La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

IBM Business Consulting Services La sicurezza informatica nella Pubblica Amministrazione: da reazione a prevenzione Mariangela Fagnani Roma, 9.05.2005.

Presentazioni simili


Presentazione sul tema: "IBM Business Consulting Services La sicurezza informatica nella Pubblica Amministrazione: da reazione a prevenzione Mariangela Fagnani Roma, 9.05.2005."— Transcript della presentazione:

1 IBM Business Consulting Services La sicurezza informatica nella Pubblica Amministrazione: da reazione a prevenzione Mariangela Fagnani Roma,

2 © Copyright IBM Corporation 2005 IBM Business Consulting Services 1 Agenda Security: l'approccio necessario La metodologia Strumenti e progetti Le competenze

3 © Copyright IBM Corporation 2005 IBM Business Consulting Services 2 Lapproccio alla Sicurezza si è evoluto negli ultimi anni verso il concetto di Enterprise Security, ovvero la protezione degli asset realmente critici per i servizi forniti dalle Pubbliche Amministrazioni Fonte: IBM su dati IDC/Bull da problema tecnico a problema aziendale… prevenzione reazione Esposizioni di sicurezza fisica Confidenzialità dei dati Minacce dallesterno Asset fisici Esposizioni di sicurezza logica Integrità e disponibilità dei dati Minacce dallesterno e dallinterno Asset informatici Analisi dei rischi e delle vulnerabilità Monitoraggio attivo (rete, sistemi,etc.) Gestione degli incidenti Gestione degli utenti Amministrazione della sicurezza Asset informativi 1980s 2000s1990s1995s 2003s proattività Monitoraggio della sicurezza territoriale Gestione dellinterazione col territorio Gestione delle variabili socioeconomiche Compliance con le normative Business Asset

4 © Copyright IBM Corporation 2005 IBM Business Consulting Services 3 territorio ENTE Istituti Finanziari Erogatori di utilities Pubblica Amm.ne Locale Pubblica Amm.ne Centrale Operatori Telco Enti controllo infrastrutture Fornitori Dipendentii Pubblico Aziende collegate Clienti Forze di Polizia Operatori sanitari Operatori ambientali Impianti delocalizatii La consapevolezza del proprio Territorio permette allamministrazione di individuare correttamente gli Asset da proteggere ASSETS Beni Informazioni Infrastrutture Immagine Servizi Processi Locations Persone Territorio linsieme dei soggetti, delle relazioni, dello spazio fisico e delle condizioni economiche che rendono possibile alle aziende il raggiungimento dei propri obiettivi economici e sociali

5 © Copyright IBM Corporation 2005 IBM Business Consulting Services 4 La capacità di proteggere gli Asset dipende dalla corretta comprensione delle minacce e dei requisiti cui è sottoposto il Territorio in cui le Pubbliche Amministrazioni stesse operano… Requisiti di Riservatezza Requisiti di Integrità Requisiti di Disponibilità Requisiti di Pubblico servizio Requisiti Legali Requisiti Contrattuali Minacce Fisiche Minacce Territoriali Minacce Logiche ENTE

6 © Copyright IBM Corporation 2005 IBM Business Consulting Services 5 Resilience Disegno di unarchitettura di business che supporta ed estende la flessibilità strategica e ladattabilità operativa diminuendo il rischio aziendale …e richiede alle Pubbliche Amministrazioni di adottare unarchitettura di business resilient, coerente con il proprio modello di Business Condizioni fondamentali per la realizzazione di unazienda resilient sono: La continuità del business La gestione del rischio Business Continuity Planning, Programmi di Security e Safety, Capacity planning guidati dalla tecnologia Business Resilience Business Resilience Organizational Resilience Business Process Resilience Enterprise Risk Management Resilient Infrastr. Assicurazione Business Continuity Security/ Safety Perf. &Capacity Disaster Recovery LEnterprise Risk Management è un concetto noto basato sullassicurazione Processi di business e amministrativi integrati a livello operativo Cultura aziendale, governance, policy e procedure

7 © Copyright IBM Corporation 2005 IBM Business Consulting Services 6 Il programma di sicurezza si affronta adottando una metodologia per fasi, capace di comprendere e gestire gli asset rilevanti per la missione aziendale e per la sua tutela Comprensione del Territorio operativo Individuazione delle scoperture di sicurezza (organizzative e tecnologiche) Prioritizzazione degli interventi Individuazione e disegno delle contromisure adeguate Implementazione delle soluzioni e dei prodotti Gestione del rischio (Certificazione di Sicurezza delle informazioni BS7799:2 2002) Business Assets Security

8 © Copyright IBM Corporation 2005 IBM Business Consulting Services 7 Un esempio di Component Business Model per un ente della difesa Control Direct Execute Coalition/Combined Capabilities planning National Security/ Defence Strategy Advanced Technical Research Planning Force Posture Planning Strategic Planning Establish Coherent Coalition Network Environment Establish Coalition Spectrum Agreements Advanced Research and Development Quality Requirements Assessment and Control Modeling and Simulation Test and Evaluate Concepts and Prototypes Integrated Command and Control Force Deployment Maintain Secure Battle space Networks Integrated Mission Execution Situational awareness/ OOTW Monitor Security Assistance Agreements Prioritization and Evaluation of Capability Opportunities (ROI) Manage Industrial Collaboration (Defense Integrators and Contractors) Operational Readiness Performance Management Operational Performance Management Force Re-Deployment Trade and Collaboration Control Strategy Acquisition Strategy Contract Management Program Management Monitoring and Management of Acquisition Performance Acquisition and Deployment into service of Material Assets Programme Specification and Design Scenario Planning and Outcome Based Strategy Force Package Material Capability Requirements Personnel Capability Planning Personnel Education, Training and Development Personnel Recruitment Personnel Performance Management Education, Training and Development Management Corporate Planning Human Capital Policy and Workforce Planning Budget and Cost Management Human Resource Management and Administration Facilities and Infrastructure Management Cost Controlling Base Management Policy Development Regulatory and Statutory Agreements Legislative and Public Affairs Manage Sales Manage Health, Environment and Safety Corporate Performance Management Life Cycle Tradeoff Analysis Global Security/ Defense Environment Develop Material Capabilities Develop Personnel Capabilities AcquisitionOperationsSustainmentEnablement Lifecycle Planning Integrated Demand and Supply Planning Demand and Supply Management Inventory Management Out of Service Maintenance Planning and Execution Transportation Distributions and Disposition Asset Visibility and Management Sustainment Management and Performance Monitoring Configuration Management Demand and Supply Analysis Supply Chain Strategy In Service Maintenance Planning and Execution Vendor Management Purchasing Force Preparation Coalition/Combined Forces Course Of Actions & Doctrine Intelligence Synthesis and Forecasting Monitor Coalition and Spectrum Agreements Technology Innovation Infusion and Control Force Package Personnel Capability Requirements Operational Planning Deliberate Planning Common Operational Picture Maintenance ISR Tasking and Collection Financial accounting and GL

9 © Copyright IBM Corporation 2005 IBM Business Consulting Services 8 Informati on Security La scomposizione dei componenti permette di identificare i punti critici dei processi e individuare le modalita per la loro sicurezza… Minacce di tipo fisico Furti, Manomissioni, Attacchi Minacce di tipo logico Indisponibilita delle risorse IT (rete, sistemi, dati) Virus, hacking Violazione privacy dati personali Accessi non autorizzati Perdita Integrita e disallineamento delle informazioni Minacce territoriali Leggi e normative Mancanza servizi generali (rete, energia elettrica, etc.) Disastri naturali Indisponibilita personale Customer Services E X A M P L E For illustration only Fleet Management Profile Management Asset Availability User Profile Location Information Asset visibility management Asset Availability Reserve Asset Check assignement Check-In asset Check-Out asset User Profile Location Information Asset assignement Offered Service Consumed Service Rfid per memorizzazione informazioni, tracciatura e localizzazione Copertura Assicurativa Protezione passiva ed attiva Soluzioni in alta affidabilita, procdure di backup e di continuita Protezione della rete, sistemi e dei dati Sistema di autorizzazione accessi Strong authentication per accesso ai dati Soluzioni di business continuity e disaster recovery Fornitura servizi generali duplicata e diversificata Dislocare personale Customer Services in sedi diverse Minacce Contromisure

10 © Copyright IBM Corporation 2005 IBM Business Consulting Services 9 … e definire gli elementi (Goals & Security KPIs) di misurazione e di governance del processo anche dal punto di vista della sicurezza Goal (Security target) KPI (Key Performance Indicators - Measurable Objectives) Migliorare la velocita di risposta e soluzione dei problemi di sicurezza Ridurre il tempo di investigazione Migliorare la velocita di risposta e soluzione dei problemi da parte Help Desk Tempo richiesto per investigare in merito a incidenti di sicurezza Tempo impiegato fra ricezione/report/ azione Tempo fra il primo contatto allHelp Desk e la soluzione del problema Migliorare lefficacia delle misure di protezione della reteNumero delle infezioni da virus per settimana/mese Numero dei componenti infetti per incidenti da virus Numero tentativi di intrusione nella rete per settimana/mese Aumentare il livello di Servizio del 10%Numero delle interruzioni di servizio causate da incidenti di sicurezza Numero delle interruzioni di servizio causate da interventi di tipo amministrativo in ambito sicurezza Migliorare lefficacia degli strumenti di controllo accessi dallesterno Numero di tentativi di accesso non autorizzati E X A M P L E For illustration only Informati on Security

11 © Copyright IBM Corporation 2005 IBM Business Consulting Services 10 Il disegno e limplementazione delle soluzioni di sicurezza pone le Amministrazioni in grado di tutelarsi da ogni tipologia di minaccia Informati on Security Soluzioni per Minacce Fisiche Videocontrollo digitale Videoregistrazione (radar - telecamere infrarosso); Controllo del transito di personale (badge, lettori biometrici, smart card…) Controllo dei mezzi operativi (lettura targhe, telepass,..) Controllo merci in transito (tracking, localizzazione e identificazione ottica) Sistemi Antincendio … Soluzioni per Minacce Logiche Controllo degli accessi (persistent password, digital signature, biometric, …) Sicurezza della rete (monitoraggio, IDS, firewall, …) Continuità delle operazioni (redundancy, Fault Tolerance, backup/recovery) Protezione dei dati (classificazione, data handling procedures,..) … Soluzioni per Minacce Territoriali Sistemi di monitoraggio (telerilevamento, elaborazione dati gestione sicurezza ed efficienza degli impianti di produzione) Sistemi telematici di collegamento con terze parti (organi di sicurezza, pronto intervento, …) Soluzioni di Disaster Recovery e Business continuity Certificazione ambientale Rfid per il tracking delle merci/prodotti Soluzioni per Minacce Territoriali (cont.) Innovazione dei processi Infrastrutture on demand Innovazione delle competenze Esternalizzazione dei rischi / attività

12 © Copyright IBM Corporation 2005 IBM Business Consulting Services 11 La realizzazione di un Sistema di Security Governance permette di ottimizzare gli altri strumenti di governance a disposizione dellamministrazione Controllo di gestione Controllo di Qualità Controllo Ambientale Controllo Sicurezza Lavoro Enterprise governance Business Governance (Performance) Value Creation Corporate Governance (Conformance) Accountability Controlli di Sicurezza Security governance Ottimizzazione dei controlli Diminuzione dei costi

13 © Copyright IBM Corporation 2005 IBM Business Consulting Services 12 Solamente attraverso unadeguata organizzazione delle attività di sicurezza è possibile garantire il funzionamento del sistema di governance aziendale Informati on Security QUADRO OPERATIVO Ricognizione misure di sicurezza QUADRO ORGANIZZATIVO 1 Procedure Istruzioni Politiche Standard Ridisegno dei Processi Evidenza dei Task operativi Mappatura Processi 2 3 Organizz. Di Sicurezza Job Description QUADRO NORMATIVO Workshop di formazione Evidenza Gap da colmare

14 © Copyright IBM Corporation 2005 IBM Business Consulting Services 13 Best Practice Risk Governance Conformita con leggi/regolamenti Asset Politiche e Architetture di sicurezza Sicurezza delle infrastrutture tecnologiche Protezione delle infrastrutture critiche Amministrazio ne della Sicurezza Business Continuity Confidenzialità e protezione della proprietà intellettuale Sicurezza applicazioni di business Architetture di sicurezza Firewall IDS Antivirus & content filtering Mobile & wireless security Crittografia IT Security Management WEB svc Infrastruttura a Chiave Pubblica Gestione delle Vulnerabilità Configurazione di sicurezza e gestione del fixing/patching Gestione delle Identità e degli Accessi Single Sign on Gestione delle Identità Federate Strategie & best practice Business Impact Analysis Tecnologia e strumenti Servizi Best practice Protezione fisica dei sistemi Controllo e Protezione Territorio Protezione Infrastrutture vs tecnologie web-based Lofferta di sicurezza di IBM si sviluppa attraverso cinque aree che indirizzano i vari aspetti della sicurezza Sources: Gartner Group 2004

15 © Copyright IBM Corporation 2005 IBM Business Consulting Services 14 Il Sistema di Gestione della Sicurezza e fondamentale per garantire il controllo del livello di sicurezza e laderenza a standard (es. BS7799 già standard ISO), legislazioni (es. D.Lgs. 196/03) e Linee Guida Cnipa BS Utilizzare un framework condiviso da tutti per… sviluppare, implementare e monitorare le modalità di gestione della sicurezza per… migliorare la fiducia nelle relazioni interaziendali BS Indica i requisiti per la certificazione di un.. … sistema di gestione per la sicurezza delle informazioni 10. Compliance 1. Politica di sicurezza 2. Organizzazione di sicurezza 3. Controllo e classificazione asset 9. Business Continuity Management 4. Sicurezza personale 5. Sicurezza fisica 6. Operations and communication 7. Controllo accessi 8. Sviluppo e manutenzione sistemi ISMS Pianificazione Verifica Implementazione Valutazione Codice Data Privacy regolamentare le modalità di gestione e la custodia dei dati che riguardano sia le caratteristiche della persona (dati personali) che le abitudini, scelte ed opinioni (dati sensibili) per proteggere la sfera privata e la dignità delle persone fisiche e di quelle giuridiche.

16 © Copyright IBM Corporation 2005 IBM Business Consulting Services 15 Il Security Compliance Management consente di controllare la sicurezza e la conformita dei server e delle stazioni di lavoro con le politiche prestabilite Sistemi Operativi Applicazioni Workstations DB IT security CxO IT Environment Problematiche di Business: normative, standards Problematiche lato IT: Slammer, MSBlaster, OS patches, violazione di password, ecc Utenti Controllo sistemi e piattaforme Vulnerabilita e violazioni verso le policy di sicurezza Principali benefici per I clienti: Aiuta a rendere sicuri ed integri i dati dellamministrazione Identifica le vulnerabilita di sicurezza del software Riduce i costi IT attraverso lautomazione, la centralizzazione e la separazione delle responsabilita Aiuta nella conformita con standard e leggi

17 © Copyright IBM Corporation 2005 IBM Business Consulting Services 16 La strategia di integrazione di IBM & Cisco offre una soluzione proattiva che rileva e rimuove gli attacchi alla rete Gestione delle Identità e degli Accessi Identifica e gestisce in maniera efficace i profili-utente Condiziona laccesso alla rete in funzione dei requisiti di sicurezza dei diversi device Gestione delle Identità e degli Accessi Identifica e gestisce in maniera efficace i profili-utente Condiziona laccesso alla rete in funzione dei requisiti di sicurezza dei diversi device Compliance & Remediation Identificazione, contenimento e sanitizzazione delle infezioni Policy enforcement Compliance & Remediation Identificazione, contenimento e sanitizzazione delle infezioni Policy enforcement Endpoint Protected client Trusted identity Endpoint Protected client Trusted identity Endpoint Protected servers Endpoint Protected servers Cisco Self-Defending Networks Identifica, previene e si adatta alle minacce Limita i danni provocati da virus e worms Unisce funzionalità di Identity Mgmt ad un sistema di protezione dalle minacce a livello di sistema Cisco Self-Defending Networks Identifica, previene e si adatta alle minacce Limita i danni provocati da virus e worms Unisce funzionalità di Identity Mgmt ad un sistema di protezione dalle minacce a livello di sistema

18 © Copyright IBM Corporation 2005 IBM Business Consulting Services 17 Il valore e levoluzione delle soluzioni di Identity Management Identity Management Value Single Web Application Security Security for Corporate Enterprise Portals Secure Business to Business Integration Web Security Extranet, Intranet Middleware Web Single Sign-On Identity Management for e-business Secure Platform for Applications Federated Identity Management Secure Web Services for SOA User Administration Single Web Application Security Security for Corporate Enterprise Portals Secure Business to Business Integration Web Security Extranet, Intranet Middleware

19 © Copyright IBM Corporation 2005 IBM Business Consulting Services 18 Le soluzioni di Single Sign On migliorano loperativita degli utenti e la sicurezza degli accessi alle applicazioni Web Access Manager Servizi di Gestione delle Identità Digitali WebSphere MQ Portali, CRM, ERP Web Solutions BroadVision, mySAP, and more... Web Application Servers Any other via J2EE, JAAS, and/or aznAPI Domino, iNotes, Sametime, Team Workplace Secure Clients Biometric, Proximity Tokens Messaging Linux, UNIX, RACF Systems Desktop SSO Active Directory integration Layered authentication Enforce user entitlements Web single sign-on ID Please enter your ID and password Login Password C SECURID IBM Directory Server Sun ONE Directory Novell eDirectory Active Directory Lotus Domino Directory Tivoli Identity Manager One PasswordOne Login One Audit Trail Autenticazione Flessibile

20 © Copyright IBM Corporation 2005 IBM Business Consulting Services 19 Le soluzioni di Single Sign On e di strong authentication possono essere estese anche alle applicazioni di tipo legacy Tivoli Access Manager for e-Business La soluzione utilizza il Thinkpad T42 o ActivCard per la strong authentication e il login ai sistemi aziendali Tivoli Identity Manager

21 © Copyright IBM Corporation 2005 IBM Business Consulting Services 20 Attraverso soluzioni di Integrated Identity Management si centralizza la gestione delle identita e si introducono funzionalita di provisioning e sincronizzazione password Directory Services LDAP V3 Audit & Reporting Connettività remota Mappatura Organizzativa Gestione delle politiche di provisiong Gestione politiche RBAC ( Role Based Access Control ) Funzionalità/servizi futuri Controllo Accessi Servizi gestione dei dati Sistemi e Applicazioni target Flusso dati (input) Flusso dati (output) Engine User Provisiong e Metadirectory Servizi di Work-Flow Servizi distribuiti

22 © Copyright IBM Corporation 2005 IBM Business Consulting Services 21 Organizzazione logica dellAzienda Organizzazione fisica sistemi IT Politiche di controllo accessi / abilitazioni a servizi 2 1 W2K AD Politiche Servizi Target Sistemi fisici NT PDC RACF Policy 1 W2K AD RACF Policy 2 W2K AD RACF ExchangeExchange 1 P2 P1 ( Attachements ) 0,N --- 0,N X Processo di validazione Px Priorità x Persone Fisiche (utenti) Ruoli/Mansioni Role 1 RACF ExchangeExchange 1 Role 2 Role 3 Scelta Servizio Nom Unità Ruolo Aliases … Lapplicazione delle regole di provisioning nel modello Nome Utilizzatore Descrizione Ruolo dinamico : Regola Nome Descrizione priorità membership attachements Nome Servizio Tipo (manuale/automatico) Gestione degli attributi Workflow (Processi di validazione) Exchange

23 © Copyright IBM Corporation 2005 IBM Business Consulting Services 22 Larchitettura di riferimento di una soluzione di Integrated Identity Management

24 © Copyright IBM Corporation 2005 IBM Business Consulting Services 23 Nellambito di un modello di cooperazione applicativa uno dei problemi chiave e la gestione delle identita 1.Non esistono meccanismi standard per il trust delle identita da Partners & Terze Parti 2.La mancanza di fiducia implica la replica delle informazioni degli utenti 3.Gestione degli utenti costosa e inefficiente 4.Esposizione di sicurezza, conformita e privacy Service Provider/ Aggregator Partners Business Clients Suppliers Outsourced Providers Distributors, Brokers

25 © Copyright IBM Corporation 2005 IBM Business Consulting Services 24 La soluzione di Federated Identity Management, basata sui Web Services, indirizza il problema di gestione delle identita Riduce i costi di gestione delle identita Migliora loperativita dellutente Semplifica lintegrazione Migliora la Governance Company C Insurance Provider Pension Holder Company A Stock Options Company B End User Partner Third Party Utente Terza Parte Una federazione e un gruppo di 2 o piu trusted partners che, tramite accordi contrattuali e tecnici, consentono ad un utente di un partner della federazione di accedere alle risorse di un altro partner in modo sicuro e fidato

26 © Copyright IBM Corporation 2005 IBM Business Consulting Services 25 I ruoli in un modello federato: Fornitore delle Identità e Fornitore dei Servizi 1. Fornisce le credenziali (Network / Login) 2. Gestisce gli Utenti ed i rispettivi ID 3. Autentica gli utenti 4. Garantisce circa lidentità degli utenti 1.Controlla laccesso ai servizi 2.Gli utenti delle Terze Parti mantengono labilitazione ad accedere ai servizi esclusivamente per la durata del rapporto di federazione 3.Gestisce direttamente i soli attributi- utente relativi alla corretta fruizione del servizio offerto. Fornitore delle Identità Parte Garante della transazione Parte Validante della transazione Fornitore dei Servizi Mutua FIDUCIA

27 © Copyright IBM Corporation 2005 IBM Business Consulting Services 26 Le tecnologie e gli standard in ambito di Federated Identity Management SAML (Passivo) Liberty (Passivo) WS-Federation (Passivo, Attivo) HTTP SSO (SAML protocol) Gestione delle Identità Federate (SAML protocol) Gesteionde delle Identità per Web Services Federati (HTTP e SOAP-based SSO) Supporto per vari protocolli Web Services HTTP Federation

28 © Copyright IBM Corporation 2005 IBM Business Consulting Services 27 La protezione fisica delle infrastrutture critiche sfrutta tecnologie allavanguardia e consente la gestione integrata delle identita fisiche e logiche Cruscotto Centralizzato Modulare Flessibile Gestione e selezione delle informazioni Gestione identita accesso logico e fisico Assistenza decisionale Configurabile sullutente

29 © Copyright IBM Corporation 2005 IBM Business Consulting Services 28 Innovation Value La realizzazione di processi sicuri si basa sul concetto di creazione del valore ed è realizzabile unicamente attraverso un approccio globale End-To-End Technology Group Business Value Services Financing Infrastructure Value Hardware Software Services Component Value TechnologyResearch IBM Business Consulting Services IBM Global Financing IBM Global Services Personal and Printing Systems Group Server Group Software Group Storage Systems Group Information Security

30 © Copyright IBM Corporation 2005 IBM Business Consulting Services e richiede lutilizzo di numerose e specifiche competenze da integrare e indirizzare nella medesima direzione Competenze specifiche, esperienze multisettoriali e risorse a disposizione, nel mondo e in EMEA, costituiscono i principali punti di forza dei team di lavoro IBM, la più grande comunità sulla sicurezza a livello mondiale, specialisti di sicurezza che lavorano come un unico team e in maniera globale Americas Security Center of Competence PKI Center of Competence Managed Security Services Delivery Center Business Innovation Center/ Ethical Hacking Lab Security & Privacy Practice Research Labs EMEA Wireless Center of Competence Managed Security Services Delivery Center Security & Privacy Practice Research Labs Asia Pacific Managed Security Services Delivery Center Business Innovation Center/ Ethical Hacking Lab Security & Privacy Practice Research Labs EMEA Labs & CoC Copenaghen Hursley Zurich La Gaude Rome Haifa BCRS – DR Centers 140 centers worldwide 71 in Europe 2 in Italy

31 IBM Business Consulting Services


Scaricare ppt "IBM Business Consulting Services La sicurezza informatica nella Pubblica Amministrazione: da reazione a prevenzione Mariangela Fagnani Roma, 9.05.2005."

Presentazioni simili


Annunci Google