La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

La Sicurezza informatica nella PA: strumenti e progetti Forum PA – Roma, 9 Maggio 2005 Implementare la sicurezza informatica: l’esperienza dell’Alma Mater.

PubblicatoCelso Colucci Modificato 9 anni fa

Presentazioni simili

Presentazione sul tema: "La Sicurezza informatica nella PA: strumenti e progetti Forum PA – Roma, 9 Maggio 2005 Implementare la sicurezza informatica: l’esperienza dell’Alma Mater."— Transcript della presentazione:

1 La Sicurezza informatica nella PA: strumenti e progetti Forum PA – Roma, 9 Maggio 2005 Implementare la sicurezza informatica: l’esperienza dell’Alma Mater Studiorum – Università di Bologna. Ing. Aldo Schiavina Responsabile Servizio Sicurezza e Servizi di Rete email: aldo.schiavina@unibo.it

2 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005 - 2 - Scenario Esigenze ed obiettivi relativi all’implementazione della sicurezza informatica in Ateneo Criticità Azioni intraprese ed in fase di attuazione Agenda

3 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005 - 3 - Scenario (1/2) La realtà dell’Ateneo di Bologna è complessa ed articolata: è composta da circa 150 strutture con autonomia organizzativa e gestionale (tra Amministrazione Generale, Facoltà, Dipartimenti, Centri di Ricerca e di Servizi), suddivise tra la sede di Bologna e i quattro Poli romagnoli (Cesena, Forlì, Ravenna e Rimini), con una sede remota anche a Reggio Emilia; queste strutture trattano a fini istituzionali (tra cui didattica e ricerca), diverse tipologie di dati personali, come ad es. dati sensibili, giudiziari e genetici; tutte le sedi sono tra loro connesse da una complessa rete, detta ALMAnet, la cui dorsale presenta collegamenti Gigabit Ethernet.

4 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005 - 4 - Scenario (2/2)

5 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005 - 5 - Adempimento degli obblighi normativi previsti dal codice in materia di privacy (D.Lgs. 196/03 ). In particolare, implementazione delle misure minime previste dall’allegato B dello stesso codice. Garanzia della disponibilità ed integrità dei dati e delle applicazioni necessarie allo svolgimento delle attività istituzionali dell’Ateneo, per avere continuità dei servizi offerti dall’Università. Previsione di un piano per il recupero delle funzionalità minime in caso di eventi disastrosi (Disaster Recovery). Formazione di personale strutturato, al fine di acquisire le competenze necessarie alla gestione della Sicurezza dell’Informazione, mantenendone strategicamente all’interno il suo controllo. Esigenze ed Obiettivi

6 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005 - 6 - L’Università, è un ambiente di lavoro molto particolare, dove l’informazione deve poter essere condivisa liberamente e senza troppi vincoli, al fine di perseguire con efficacia le attività istituzionali di ricerca e didattica. L’autonomia gestionale di cui sono dotate le singole strutture che la compongono non agevola il coordinamento centrale (la situazione è più semplice per ciò che concerne le strutture componenti l’Amministrazione Generale). Occorre trovare il giusto compromesso tra le esigenze di libera circolazione dell’informazione e di autonomia delle singole strutture con la necessità di adempiere gli obblighi previsti dalla legge e di soddisfare le esigenze di continuità di servizio. Criticità

7 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005 - 7 - Stesura del D.P.S. ai sensi del D.Lgs. 196/03. Implementazione di un sistema di Autenticazione/Autorizzazione di riferimento per tutto l’Ateneo (Identity Management System). Definizione di un modello di Sicurezza Perimetrale. Preparazione di un sito di Disaster Recovery. Gestione degli incidenti informatici (CERT CeSIA) ed implementazione di un sistema di Intrusion Detection. Aggiornamento del regolamento per il corretto uso della rete. Preparazione di una gara di ambito comunitario, al fine di acquisire gli apparati ed i servizi necessari all’implementazione della sicurezza informatica in Ateneo. Azioni

8 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005 - 8 - Nell’AA 2003/2004 è stato costituito un gruppo di lavoro di 6 unità di personale, dotate di diverse competenze (tecniche, giuridiche ed economico - organizzative) e formato grazie al Master in Sicurezza dell’Informazione di Almaweb, Graduate School of Information Technology, Management and Communication dell’Università di Bologna. Il D.P.S. ai sensi del D.Lgs. 196/03 per l’Ateneo è stato redatto in sede di project work previsto dal Master. È prevista l’approvazione da parte degli OO.AA. entro il 31/12/05. Questo modo di procedere ha permesso di maturare internamente le competenze necessarie per gestire la Sicurezza dell’Informazione in Ateneo, facendo ricorso a risorse formative di cui l’Università è naturalmente dotata. Stesura del D.P.S. ai sensi del D.Lgs. 196/03 (1/2)

9 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005 - 9 - La stesura del D.P.S. per l’Ateneo ha comportato, tra le altre cose: l’analisi e la documentazione dell’attuale situazione relativa al trattamento dei dati personali nell’Ateneo di Bologna (Amministrazione Generale e strutture periferiche); l’elaborazione di un’analisi dei rischi relativamente ai dati trattati; la sensibilizzazione ed il coordinamento dei Responsabili del trattamento, in merito all’adeguamento alle misure minime di sicurezza; la definizione di alcune soluzioni tecnologiche necessarie ad adempiere agli obblighi in materia di misure minime di sicurezza ed utili per ridurre i rischi individuati. Stesura del D.P.S. ai sensi del D.Lgs. 196/03 (2/2)

10 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005 - 10 - Si è sentita la necessità di un unico sistema di Autenticazione/Autorizzazione che permetta di profilare tutte le risorse umane presenti in Ateneo (Personale Docente e Tecnico Amministrativo, Studenti, Collaboratori, Ospiti, etc.), superando le difficoltà introdotte dall’esistenza di più anagrafiche e più metodi eterogenei per la gestione dell’accesso alle risorse informatiche. Un unico sistema di autenticazione consente di applicare semplicemente politiche sicure nella gestione delle credenziali, in ottemperanza a quanto previsto dall’Allegato B del D.Lgs. 196/03 e di favorire l’utente che deve ricordarsi solo una coppia di credenziali per accedere a più risorse. Queste esigenze hanno portato alla realizzazione di un Directory Service d’Ateneo (DSA). Identity Management System (1/3)

11 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005 - 11 - Identity Management System (2/3)

12 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005 - 12 - Attualmente tutte le applicazioni informatiche centralizzate utilizzate in Ateneo (es. posta elettronica, profilazione al Portale d’Ateneo, immatricolazione on-line, etc.), usano (o si apprestano ad usare) il DSA come sistema di Autenticazione/Autorizzazione. Il DSA è usato anche per l’autenticazione all’accesso alle postazioni di lavoro dell’Amministrazione Generale ed in alcuni laboratori studenti d’Ateneo. E’ in atto un’opera di divulgazione che riscontra un certo successo presso le strutture periferiche dell’Ateneo, in modo che usino il DSA per l’autenticazione alle applicazioni locali ed alle risorse informatiche (postazioni di lavoro, laboratori studenti, etc.). Identity Management System (3/3)

13 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005 - 13 - Come prima misura necessaria per la protezione della rete dell’Ateneo (ALMAnet) si è individuato un modello di sicurezza perimetrale a due livelli: Il primo livello è costituito da un firewall centralizzato ad elevate performance, posizionato a valle del link che collega ALMAnet alla rete GARR; Il secondo livello è costituito da numerosi firewall di dimensioni più ridotte, posti a monte delle LAN delle singole strutture periferiche, in corrispondenza del link che le collega al backbone della rete ALMAnet. Modello di Sicurezza Perimetrale (1/2)

14 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005 - 14 - Modello di Sicurezza Perimetrale (2/2)

15 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005 - 15 - Sito di Disaster Recovery

16 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005 - 16 - Il CeSIA ha istituito già da alcuni anni un servizio CERT, che si occupa della gestione degli incidenti di sicurezza che avvengono sulla rete ALMAnet. Questo servizio gestisce le segnalazioni che provengono dall’analogo servizio del GARR (GARR- CERT) e mantiene i rapporti con l’autorità giudiziaria. Si prevede di istituire anche un contatto con GOVCERT.IT. Monitorizza la rete ALMAnet con strumenti di IDS ed analizzatori di protocollo, per individuare in tempo reale attività dannose per la rete. Segnala ai referenti delle subnet di ALMAnet la necessità di interventi su host compromessi. Computer Emergency Response Team (1/2)

17 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005 - 17 - Il servizio CERT CeSIA ha rilevato fino a 9.000.000 di eventi anomali in un solo giorno. Negli ultimi 2 anni il servizio ha inviato oltre 2100 email per segnalare a referenti di rete host compromessi. Di queste oltre 1300 sono state inviate nel 2004. Quest’attività è necessaria per mantenere la disponibilità della rete e bloccare con tempestività la diffusione di minacce come virus e worm. Per il monitoraggio della rete il CERT CeSIA fa uso di un complesso sistema di Intrusion Detection System ed analizzatori di protocollo. Computer Emergency Response Team (2/2)

18 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005 - 18 - Intrusion Detection System

19 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005 - 19 - Si è sentita l’esigenza di attualizzare il regolamento che disciplina l’uso della rete ALMAnet (D.R. n. 71 del 21/05/1998). Si sta lavorando ad una proposta di modifica per regolamentare i seguenti aspetti: soggetti autorizzati all’uso della rete; modalita' di accesso alla rete (autenticazione e mantenimento dei log); uso di strumenti hardware e software che possono compromettere l'uso della rete se utilizzati impropriamente o per scopi non istituzionali (es. software P2P); utilizzo dei servizi di rete (posta elettronica, siti web, ecc.); implementazioni di particolari tecnologie (es. WI- FI, ecc.); … Regolamento per il corretto uso della rete

20 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005 - 20 - Oggetto della gara Apparati hardware e relativo software firewall sistema di gestione Servizi (complementari rispetto alle potenzialità interne) progettazione installazione fisica e configurazione di base manutenzione HW e SW dei firewall, anche degli apparati preesistenti configurazione avanzata monitoraggio e supporto al CERT CeSIA riconfigurazione formazione per i tecnici dell’Ateneo Approvvigionamento di apparati e servizi (1/4)

21 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005 - 21 - Tipologia della gara licitazione privata a valenza comunitaria; durata del contratto: 3 anni dalla stipula; bando e capitolato sono stati sottoposti al Collegio di valutazione del CNIPA ed hanno ottenuto il parere di congruità; le attività dovrebbero iniziare presumibilmente verso settembre-ottobre 2005. Approvvigionamento di apparati e servizi (2/4)

22 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005 - 22 - Governance del rapporto col fornitore Project Manager CeSIA: precisa i requisiti dei servizi richiesti; definisce il modello organizzativo dei servizi; definisce gli standard di riferimento; approva i piani di lavoro proposti dalla ditta e controlla la qualità dei servizi erogati. Project Manager Fornitore: è interlocutore del Project Manager del Ce.S.I.A; propone i piani di lavoro per i servizi richiesti; comunica al Project Manager del Ce.S.I.A. gli stati di avanzamento dei lavori e le eventuali criticità; coordina tecnicamente il personale della ditta; trasmette la documentazione dei servizi erogati. Approvvigionamento di apparati e servizi (3/4)

23 Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005 - 23 - Governance del rapporto col fornitore Definizione di due livelli di indicatori di performance per la maggior parte dei servizi previsti. Indicatore primario: stabilisce una soglia al di sotto della quale il servizio reso viola lo SLA concordato e dà luogo ad una contestazione, per la quale si applicano le penali previste a carico del fornitore ed in caso di grave inadempienza si procede alla risoluzione del contratto(es.: tempestività nella consegna degli apparati, affidabilità degli apparati, tempestività nella risoluzione dei malfunzionamenti, etc.); Indicatore secondario: è utilizzato per il controllo delle performance e della produttività (es.: tempo medio di consegna, tempo medio di presa in carico di un problema, etc.). Approvvigionamento di apparati e servizi (4/4)

Scaricare ppt "La Sicurezza informatica nella PA: strumenti e progetti Forum PA – Roma, 9 Maggio 2005 Implementare la sicurezza informatica: l’esperienza dell’Alma Mater."

Presentazioni simili

Rilevazione sullo stato di attuazione degli Uffici per le Relazioni con il Pubblico (URP) nelle pubbliche amministrazioni.

Rilevazione sullo stato di attuazione degli Uffici per le Relazioni con il Pubblico (URP) nelle pubbliche amministrazioni.
Progetto Shibboleth-UniTo-Scuole Il Portale d’Ateneo e I servizi offerti dall’Università alle Scuole: Interoperabilità Università-Scuole attraverso una.

Progetto Shibboleth-UniTo-Scuole Il Portale d’Ateneo e I servizi offerti dall’Università alle Scuole: Interoperabilità Università-Scuole attraverso una.
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
20/04/2006 COO-RU- Organizzazione Operativa 1 STRUTTURE SIN/ELI Struttura organizzativa COO/RU – Organizzazione Operativa 12 settembre 2007.

20/04/2006 COO-RU- Organizzazione Operativa 1 STRUTTURE SIN/ELI Struttura organizzativa COO/RU – Organizzazione Operativa 12 settembre 2007.
Il Sistema Informatico d’Ateneo

Il Sistema Informatico d’Ateneo
Il Caso O.S.B. Organizzazione Servizi Bancari Dr. Giuseppe Mazzoli AltaVia Consulting Snc Società di consulenza per l'informatica e l'e-business.

Il Caso O.S.B. Organizzazione Servizi Bancari Dr. Giuseppe Mazzoli AltaVia Consulting Snc Società di consulenza per l'informatica e l'e-business.
1 Multimedia Campus: tra tradizione e innovazione TED - Genova, 26 novembre 2004 www.operamultimedia.it.

1 Multimedia Campus: tra tradizione e innovazione TED - Genova, 26 novembre
Ministero dell’Istruzione, dell’Università e della Ricerca

Ministero dell’Istruzione, dell’Università e della Ricerca
Le tecnologie informatiche per l'azienda

Le tecnologie informatiche per l'azienda
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.

Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Il nuovo portale Unife Intervento per ladeguamento e riorganizzazione del sito unife.it (2 aprile 2007)

Il nuovo portale Unife Intervento per ladeguamento e riorganizzazione del sito unife.it (2 aprile 2007)
Strumenti e percorsi per la protezione civile locale Antonio Triglia - Formez Torino, 28 Giugno 2006 Progetto Sindaci.

Strumenti e percorsi per la protezione civile locale Antonio Triglia - Formez Torino, 28 Giugno 2006 Progetto Sindaci.
Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.

Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.
CNIPA 10 maggio 2006 1 Linee Guida per la Qualità delle Forniture ICT negli appalti pubblici Giacomo Massi Ufficio Monitoraggio e gestione progetti delle.

CNIPA 10 maggio Linee Guida per la Qualità delle Forniture ICT negli appalti pubblici Giacomo Massi Ufficio Monitoraggio e gestione progetti delle.
Chiocciola S.r.l. – Riproduzione vietata – Guarene, 24 maggio 2006 Dal 1996… un obbiettivo strategico: la sicurezza a 360° LUCIANO CORINO Chiocciola Consulting.

Chiocciola S.r.l. – Riproduzione vietata – Guarene, 24 maggio 2006 Dal 1996… un obbiettivo strategico: la sicurezza a 360° LUCIANO CORINO Chiocciola Consulting.
18 luglio 2007 Razionalizzazione dei sistemi di back-office Il ruolo del CNIPA Ing. Rosanna Alterisio Responsabile Area Progetti applicazioni e servizi.

18 luglio 2007 Razionalizzazione dei sistemi di back-office Il ruolo del CNIPA Ing. Rosanna Alterisio Responsabile Area Progetti applicazioni e servizi.
MODALITÀ DI ACQUISIZIONE DEL SOFTWARE APPLICATIVO Paolo Atzeni Dipartimento di Informatica e Automazione Università Roma Tre 03/12/2008 (materiale da:

MODALITÀ DI ACQUISIZIONE DEL SOFTWARE APPLICATIVO Paolo Atzeni Dipartimento di Informatica e Automazione Università Roma Tre 03/12/2008 (materiale da:
S ILVIO S ALZA - Università di Roma La Sapienza – Aspetti tecnologici della conservazione permanente C ONVEGNO DocArea – Bologna 20 aprile 2006 1 Aspetti.

S ILVIO S ALZA - Università di Roma La Sapienza – Aspetti tecnologici della conservazione permanente C ONVEGNO DocArea – Bologna 20 aprile Aspetti.
1 Convegno Forum PA - 9 maggio 2005 Repertorio nazionale dei dati territoriali e collaborazione tra Stato, Regioni ed enti locali Elettra Cappadozzi CNIPA.

1 Convegno Forum PA - 9 maggio 2005 Repertorio nazionale dei dati territoriali e collaborazione tra Stato, Regioni ed enti locali Elettra Cappadozzi CNIPA.
CISI – Centro Interstrutture di Servizi Informatici e Telematici Progettazione e realizzazione di un sistema FaD dAteneo CISI – Centro Interstrutture di.

CISI – Centro Interstrutture di Servizi Informatici e Telematici Progettazione e realizzazione di un sistema FaD dAteneo CISI – Centro Interstrutture di.

Presentazioni simili

Annunci Google