La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Agenda Security: l'approccio necessario La metodologia

PubblicatoDesiderio Martinelli Modificato 10 anni fa

Presentazioni simili

Presentazione sul tema: "Agenda Security: l'approccio necessario La metodologia"— Transcript della presentazione:

0 La sicurezza informatica nella Pubblica Amministrazione: da reazione a prevenzione Mariangela Fagnani Roma,

1 Agenda Security: l'approccio necessario La metodologia
Strumenti e progetti Le competenze

2 L’approccio alla Sicurezza si è evoluto negli ultimi anni verso il concetto di “Enterprise Security”, ovvero la protezione degli asset realmente critici per i servizi forniti dalle Pubbliche Amministrazioni .. da problema tecnico a problema aziendale… Esposizioni di sicurezza fisica Confidenzialità dei dati Minacce dall’esterno Asset fisici + reazione Esposizioni di sicurezza logica Integrità e disponibilità dei dati Minacce dall’esterno e dall’interno Asset informatici + prevenzione Analisi dei rischi e delle vulnerabilità Monitoraggio attivo (rete, sistemi,etc.) Gestione degli incidenti Gestione degli utenti Amministrazione della sicurezza Asset informativi + Ogni passaggio recepisce e “digerisce” quello precedente, istituzionalizzando le attività richieste come BAU, aprendo, ricercandole, competenze sempre più ampie per un controllo + completo Compliance con le normative: anche ambientali etcc… Le nuove tecnologie informatiche, i mercati globali, e le opportunità offerte da Internet, hanno trasformato il modo di fare business delle aziende e conseguentemente la loro strategia ICT: OPERATIONAL EFFICIENCY Lower Cost Optimized High Utilization Productive  Lower Operational Costs RESILIENCY Recoverable Secured Flexible Adaptive  Assets protection ON DEMAND Integrated Open Virtualized Autonomic  Position for Market Leadership proattività Monitoraggio della sicurezza territoriale Gestione dell’interazione col territorio Gestione delle variabili socioeconomiche Compliance con le normative Business Asset 1980’s 1990’s 1995’s 2000’s 2003’s Fonte: IBM su dati IDC/Bull 2003

3 La consapevolezza del proprio “Territorio” permette all’amministrazione di individuare correttamente gli Asset da proteggere Territorio l’insieme dei soggetti, delle relazioni, dello spazio fisico e delle condizioni economiche che rendono possibile alle aziende il raggiungimento dei propri obiettivi economici e sociali ASSETS Beni Informazioni Infrastrutture Immagine Servizi Processi Locations Persone Istituti Finanziari territorio Erogatori di utilities Dipendentii Operatori ambientali Pubblica Amm.ne Locale ENTE Clienti E’ quindi necessario definire cosa si intende per territorio: l’insieme dei soggetti, delle relazioni, dello spazio fisico e delle condizioni economiche che rendono possibile alle aziende il raggiungimento dei propri obiettivi economici e sociali e che questa difende dall’ingerenza di soggetti esterni L’azienda per funzionare ha quindi bisogno di : Beni Servizi Pubblica sicurezza Acqua Gas Energia elettrica Telecomunicazioni Trasporti Transazioni economico-finanziarie Ecc.. Tutti sul territorio che costituisce l’environment ove opera l’azienda Pubblica Amm.ne Centrale Aziende collegate Operatori Telco Pubblico Forze di Polizia Impianti delocalizatii Enti controllo infrastrutture Operatori sanitari Fornitori

4 La capacità di proteggere gli Asset dipende dalla corretta comprensione delle minacce e dei requisiti cui è sottoposto il “Territorio” in cui le Pubbliche Amministrazioni stesse operano… Minacce Fisiche Requisiti di Pubblico servizio Requisiti Legali Requisiti Contrattuali Requisiti di Riservatezza ENTE MINACCE LOGICHE Accessi non autorizzati alle informazioni Modifiche non autorizzate Perdita di informazioni Furto Sabotaggio Violazione della privacy Frode Virus Hacking Errori colposi Continuità del servizio Disallineamento delle informazioni tra i sistemi e gli utenti Spionaggio industriale MINACCE FISICHE Incidenti sul lavoro Sabotaggio dall’interno Incendio Atti intimidatori Minacce fisiche – a prescindere dal territorio Minacce logiche – informatiche + informative MINACCE AMBIENTALI Biologiche Chimiche Atti vandalici Atti criminosi Disastri naturali Epidemie Inadeguatezza delle infrastrutture Terrorismo evoluzione politica Evoluzione normativa Fenomeni sociale (terrorismo, degrado sociale,...) Indisponibilità delle utilities Vincoli ambientali Degrado socioeconomico MINACCE DI MERCATO Variabilità economica Elasticità della domanda Aggressività dei competitors Rapporti con partners/fornitori Produttività dei dipendenti Costo delle materie prime Efficienza dei processi Innovazione tecnologiche (pervasività, maggior complessità,...) Minacce Territoriali Minacce Logiche Requisiti di Integrità Requisiti di Disponibilità

5 …e richiede alle Pubbliche Amministrazioni di adottare un’architettura di “business resilient”, coerente con il proprio modello di Business Resilience Disegno di un’architettura di business che supporta ed estende la flessibilità strategica e l’adattabilità operativa diminuendo il rischio aziendale Business Resilience Cultura aziendale, governance, policy e procedure Organizational Resilience Processi di business e amministrativi integrati a livello operativo Business Process Resilience Resilient Infrastr. L’Enterprise Risk Management è un concetto noto basato sull’assicurazione Business Continuity Planning, Programmi di Security e Safety, Capacity planning guidati dalla tecnologia Enterprise Risk Management Business Resiliency: un approccio integrato alla sicurezza Nel contesto attuale, il verificarsi di un evento inaspettato può causare perdita di opportunità di mercato e di clienti, degradare brand e reputazione, perdita di valore per gli azionisti ed essere infine fatale per l’azienda Obiettivi di una resilient infrastructure: IBM si propone di limitare e gestire i rischi associati ai fattori di stress tipici dei processi del core business del Cliente, supportando la costruzione di una resilient infrastructure. Ciò significa: Creare una struttura organizzativa e tecnologica elastica e solida Supportare il Cliente nella gestione di un evento catastrofico inaspettato e nella capacità di un rapido recupero (disaster recovery) Riconcettualizzare in modo integrato business e infrastruttura IT, ed esteso a tutti gli stakeholders Trasferire le opportunità di breve periodo in una visione di lungo periodo Assicurare sopravvivenza, continuità e crescita, garantendo una maggior protezione a un costo inferiore ...cio’ significa affrontare in maniera congiunta e integrata ogni layer necessario alla realizzazione di un’architettura resilient e di processi di business “sicuri” Resilient Infrastructure Layers Realizzare una resilient infrastructure significa agire in maniera congiunta e integrata sui sei layers della resiliency vision. Strategy - Comprendere I rischi, le vulnerabilità specifiche e il posizionamento dell’azienda all’interno del mercato di riferimento. Valutare una strategia d’impresa che indirizzi gli obiettivi IT verso la continuità, disponibilità, performance, sicurezza, governance. Diffondere presso I dipendenti la cultura dell’anticipazione dei fattori di stress inaspettati. La strategia di resiliency è un processo continuo: al cambiare delle condizioni di mercato, cambiano I punti di vulnerabilità del business Organization - Definire ruoli e responsabilità, individuare gli skills critici nella gestione dei cambiamenti organizzativi. Creare un workplace flessibilie e distribuito tra dipendenti, clienti e fornitori. Business and IT process - Identificare le funzionalità di processo essenziali per sostenere il business in periodo di stress è la chiave per rendere l’azienda preparata contro un evento inaspettato. Data and applications - Diversificare dati e applicazioni, semplificare e standardizzare le architettture protegge l’azienda contro l’impatto organizzativo dovuto alla perdita di figure chiave Technology – Investire in hardware, software, network architecture per assicurare alti livelli di availability, redundancy, failover e brevi tempi di recupero, in seguito a eventi disastrosi Facilities and security – Concentrare l’attenzione sugli aspetti legati all’ambiente, alla posizione geografica, alla dispersione, alla sicurezza fisica e logica dei buildings e degli impianti. Assicurare un’alta protezione delle informazioni vitali per l’azienda Security/ Safety Disaster Recovery Perf. &Capacity Business Continuity Assicurazione Condizioni fondamentali per la realizzazione di un’azienda “resilient” sono: La continuità del business La gestione del rischio

6 Business Assets Security
Il programma di sicurezza si affronta adottando una metodologia per fasi, capace di comprendere e gestire gli asset rilevanti per la missione aziendale e per la sua tutela Comprensione del “Territorio operativo” Individuazione delle scoperture di sicurezza (organizzative e tecnologiche) Prioritizzazione degli interventi Individuazione e disegno delle contromisure adeguate Implementazione delle soluzioni e dei prodotti Gestione del rischio (Certificazione di Sicurezza delle informazioni BS7799:2 2002) What should I do? Help me do it. Manage it. ASSESS PLAN DESIGN IMPLEMENT RUN Security Governance Business Assets Security

7 Un esempio di Component Business Model per un ente della difesa
Control Direct Execute Coalition/Combined Capabilities planning National Security/ Defence Strategy Advanced Technical Research Planning Force Posture Planning Strategic Planning Establish Coherent Coalition Network Environment Establish Coalition Spectrum Agreements Advanced Research and Development Quality Requirements Assessment and Control Modeling and Simulation Test and Evaluate Concepts and Prototypes Integrated Command and Control Force Deployment Maintain Secure Battle space Networks Integrated Mission Execution Situational awareness/ OOTW Monitor Security Assistance Agreements Prioritization and Evaluation of Capability Opportunities (ROI) Manage Industrial Collaboration (Defense Integrators and Contractors) Operational Readiness Performance Management Operational Performance Management Force Re-Deployment Trade and Collaboration Control Strategy Acquisition Strategy Contract Management Program Management Monitoring and Management of Acquisition Performance Acquisition and Deployment into service of Material Assets Programme Specification and Design Scenario Planning and Outcome Based Strategy Force Package Material Capability Requirements Personnel Capability Planning Personnel Education, Training and Development Personnel Recruitment Personnel Performance Management Education, Training and Development Management Corporate Planning Human Capital Policy and Workforce Planning Budget and Cost Management Human Resource Management and Administration Facilities and Infrastructure Management Cost Controlling Base Management Policy Development Regulatory and Statutory Agreements Legislative and Public Affairs Manage Sales Manage Health, Environment and Safety Corporate Performance Management Life Cycle Tradeoff Analysis Global Security/ Defense Environment Develop Material Capabilities Develop Personnel Capabilities Acquisition Operations Sustainment Enablement Lifecycle Planning Integrated Demand and Supply Planning Demand and Supply Management Inventory Management Out of Service Maintenance Planning and Execution Transportation Distributions and Disposition Asset Visibility and Management Sustainment Management and Performance Monitoring Configuration Management Demand and Supply Analysis Supply Chain Strategy In Service Maintenance Planning and Execution Vendor Management Purchasing Force Preparation Coalition/Combined Forces Course Of Actions & Doctrine Intelligence Synthesis and Forecasting Monitor Coalition and Spectrum Agreements Technology Innovation Infusion and Control Force Package Personnel Capability Requirements Operational Planning Deliberate Planning Common Operational Picture Maintenance ISR Tasking and Collection Financial accounting and GL

8 Asset visibility management
Information Security What should I do? Help me do it. Manage it. ASSESS PLAN DESIGN IMPLEMENT RUN Security Governance La scomposizione dei componenti permette di identificare i punti critici dei processi e individuare le modalita’ per la loro sicurezza… E X A M P L E For illustration only Asset assignement Asset Availability Asset Availability Location Information Fleet Management Location Information Reserve Asset Asset visibility management Check-In asset User Profile Profile Management Check assignement Check-Out asset Offered Service Consumed Service User Profile Minacce Contromisure Rfid per memorizzazione informazioni, tracciatura e localizzazione Copertura Assicurativa Protezione passiva ed attiva Soluzioni in alta affidabilita’ , procdure di backup e di continuita’ Protezione della rete , sistemi e dei dati Sistema di autorizzazione accessi Strong authentication per accesso ai dati Soluzioni di business continuity e disaster recovery Fornitura servizi generali duplicata e diversificata Dislocare personale Customer Services in sedi diverse Minacce di tipo fisico Furti, Manomissioni, Attacchi Minacce di tipo logico Indisponibilita’ delle risorse IT (rete, sistemi, dati) Virus, hacking Violazione privacy dati personali Accessi non autorizzati Perdita Integrita’ e disallineamento delle informazioni Minacce territoriali Leggi e normative Mancanza servizi generali (rete, energia elettrica, etc.) Disastri naturali Indisponibilita’ personale Customer Services

9 (Key Performance Indicators - Measurable Objectives)
Security Governance … e definire gli elementi (Goals & Security KPIs) di misurazione e di governance del processo anche dal punto di vista della sicurezza What should I do? ASSESS Information Security PLAN RUN Manage it. DESIGN Help me do it. E X A M P L E For illustration only Goal (Security target) KPI (Key Performance Indicators - Measurable Objectives) Migliorare la velocita’ di risposta e soluzione dei problemi di sicurezza Ridurre il tempo di investigazione Migliorare la velocita’ di risposta e soluzione dei problemi da parte Help Desk Tempo richiesto per investigare in merito a incidenti di sicurezza Tempo impiegato fra ricezione/report/ azione Tempo fra il primo contatto all’Help Desk e la soluzione del problema Migliorare l’efficacia delle misure di protezione della rete Numero delle infezioni da virus per settimana/mese Numero dei componenti infetti per incidenti da virus Numero tentativi di intrusione nella rete per settimana/mese Aumentare il livello di Servizio del 10% Numero delle interruzioni di servizio causate da incidenti di sicurezza Numero delle interruzioni di servizio causate da interventi di tipo amministrativo in ambito sicurezza Migliorare l’efficacia degli strumenti di controllo accessi dall’esterno Numero di tentativi di accesso non autorizzati

10 Security Governance Il disegno e l’implementazione delle soluzioni di sicurezza pone le Amministrazioni in grado di tutelarsi da ogni tipologia di minaccia What should I do? ASSESS Information Security PLAN RUN Manage it. IMPLEMENT DESIGN Soluzioni per Minacce Fisiche Videocontrollo digitale Videoregistrazione (radar - telecamere infrarosso); Controllo del transito di personale (badge, lettori biometrici, smart card…) Controllo dei mezzi operativi (lettura targhe, telepass, ..) Controllo merci in transito (tracking, localizzazione e identificazione ottica) Sistemi Antincendio Minacce Logiche Controllo degli accessi (persistent password, digital signature, biometric, …) Sicurezza della rete (monitoraggio, IDS, firewall, …) Continuità delle operazioni (redundancy, Fault Tolerance, backup/recovery) Protezione dei dati (classificazione, data handling procedures, ..) Minacce Territoriali Sistemi di monitoraggio (telerilevamento, elaborazione dati gestione sicurezza ed efficienza degli impianti di produzione) Sistemi telematici di collegamento con terze parti (organi di sicurezza, pronto intervento, …) Soluzioni di Disaster Recovery e Business continuity Certificazione ambientale Rfid per il tracking delle merci/prodotti Soluzioni per Minacce Territoriali (cont.) Innovazione dei processi Infrastrutture on demand Innovazione delle competenze Esternalizzazione dei rischi / attività Help me do it.

11 Enterprise governance Ottimizzazione dei controlli
La realizzazione di un Sistema di Security Governance permette di ottimizzare gli altri strumenti di governance a disposizione dell’amministrazione Enterprise governance Business Governance (Performance) Value Creation Corporate (Conformance) Accountability Security governance Ottimizzazione dei controlli Diminuzione dei costi Controlli di Sicurezza Controllo Sicurezza Lavoro Controllo Ambientale Controllo di Qualità Controllo di gestione

12 Security Governance Solamente attraverso un’adeguata organizzazione delle attività di sicurezza è possibile garantire il funzionamento del sistema di governance aziendale What should I do? ASSESS Information Security PLAN RUN Manage it. IMPLEMENT DESIGN QUADRO OPERATIVO Ricognizione misure di sicurezza QUADRO ORGANIZZATIVO 1 Procedure Istruzioni Politiche Standard Ridisegno dei Processi Evidenza dei Task operativi Mappatura Processi 2 3 Organizz. Di Sicurezza Job Description NORMATIVO Workshop di formazione Evidenza Gap da colmare Help me do it.

13 L’offerta di sicurezza di IBM si sviluppa attraverso cinque aree che indirizzano i vari aspetti della sicurezza Best Practice Risk Governance Conformita’ con leggi/regolamenti Confidenzialità e protezione della proprietà intellettuale Sicurezza applicazioni di business Architetture di sicurezza Politiche e Architetture di sicurezza Best practice Protezione fisica dei sistemi Controllo e Protezione Territorio Protezione Infrastrutture vs tecnologie web-based Firewall IDS Antivirus & content filtering Mobile & wireless security Crittografia IT Security Management Protezione delle infrastrutture critiche Asset Sicurezza delle infrastrutture tecnologiche Strategie & best practice Business Impact Analysis Tecnologia e strumenti Servizi WEB svc Infrastruttura a Chiave Pubblica Gestione delle Vulnerabilità Configurazione di sicurezza e gestione del fixing/patching Gestione delle Identità e degli Accessi Single Sign on Gestione delle Identità Federate Business Continuity Amministrazione della Sicurezza Sources: Gartner Group 2004

14 Il Sistema di Gestione della Sicurezza e’ fondamentale per garantire il controllo del livello di sicurezza e l’aderenza a standard (es. BS7799 già standard ISO), legislazioni (es. D.Lgs. 196/03) e Linee Guida Cnipa BS7799-1 Utilizzare un framework condiviso da tutti per… sviluppare, implementare e monitorare le modalità di gestione della sicurezza per… migliorare la fiducia nelle relazioni interaziendali BS7799-2 Indica i requisiti per la certificazione di un.. … sistema di gestione per la sicurezza delle informazioni Codice Data Privacy regolamentare le modalità di gestione e la custodia dei dati che riguardano sia le caratteristiche della persona (dati personali) che le abitudini, scelte ed opinioni (dati sensibili) per proteggere la sfera privata e la dignità delle persone fisiche e di quelle giuridiche. ISMS Pianificazione Verifica Implementazione Valutazione 1. Politica di sicurezza 2. Organizzazione di sicurezza 3. Controllo e classificazione asset 4. Sicurezza personale 5. Sicurezza fisica Obiettivi ISMS Garantire uniformità di comportamento a tutta l’azienda Monitorare nuove minacce e vulnerabilità Ottimizzare i processi di business Conoscere il livello di applicazione delle policy e provvedere all’aggiornamento; Garantire la tutela del patrimonio a fronte dell’evoluzione del business, dell’organizzazione, della tecnologia delle leggi e dei contratti Prevenire e gestire gli incidenti Valorizzare gli investimenti Incrementare il valore d’azienda Il BS 7799 promuove l’approccio per processi per pianificare, realizzare, mantenere in opera, controllare e migliorare l’efficacia dell’ISMS. La certificazione di un ISMS non implica il raggiungimento di specifici livelli di sicurezza delle informazioni da parte di specifici prodotti o servizi La certificazione garantisce che è stata fatta una valutazione del rischio e sono stati identificati e realizzati controlli appropriati alle necessità di sicurezza delle informazioni. La certificazione di conformità dell’ISMS di un’organizzazione deve dimostrare che l’organizzazione ha realizzato e sta mantenendo un ISMS efficace nell’area specificata dal certificato e i suoi processi operano in accordo con quel sistema. 6. Operations and communication 7. Controllo accessi 8. Sviluppo e manutenzione sistemi 9. Business Continuity Management 10. Compliance

15 Problematiche lato IT:
Il Security Compliance Management consente di controllare la sicurezza e la conformita’ dei server e delle stazioni di lavoro con le politiche prestabilite Problematiche lato IT: Slammer, MSBlaster, OS patches, violazione di password, ecc Controllo sistemi e piattaforme Vulnerabilita’ e violazioni verso le policy di sicurezza Principali benefici per I clienti: Aiuta a rendere sicuri ed integri i dati dell’amministrazione Identifica le vulnerabilita’ di sicurezza del software Riduce i costi IT attraverso l’automazione, la centralizzazione e la separazione delle responsabilita’ Aiuta nella conformita’ con standard e leggi Problematiche di Business: normative, standards CxO IT security Utenti Applicazioni DB Workstations Sistemi Operativi IT Environment

16 La strategia di integrazione di IBM & Cisco offre una soluzione proattiva che rileva e rimuove gli attacchi alla rete Gestione delle Identità e degli Accessi Identifica e gestisce in maniera efficace i profili-utente Condiziona l’accesso alla rete in funzione dei requisiti di sicurezza dei diversi device Cisco Self-Defending Networks Identifica, previene e si adatta alle minacce Limita i danni provocati da virus e worms Unisce funzionalità di Identity Mgmt ad un sistema di protezione dalle minacce a livello di sistema Endpoint Protected client Trusted identity Endpoint Protected servers Compliance & Remediation Identificazione, contenimento e sanitizzazione delle infezioni Policy enforcement

17 Il valore e l’evoluzione delle soluzioni di Identity Management
Federated Identity Management Secure Web Services for SOA Secure Platform for Applications Identity Management Value Identity Management for e-business Web Single Sign-On User Administration Single Web Application Security Web Security Extranet, Intranet Middleware Security for Corporate Enterprise Portals Secure Business to Business Integration Single Web Application Security Web Security Extranet, Intranet Middleware Secure Business to Business Integration Security for Corporate Enterprise Portals

18 Autenticazione Flessibile delle Identità Digitali
Le soluzioni di Single Sign On migliorano l’operativita’ degli utenti e la sicurezza degli accessi alle applicazioni Web One Password Autenticazione Flessibile Portali, CRM, ERP Web Solutions One Login One Audit Trail ID Please enter your ID and password Login Password C BroadVision, mySAP, and more . . . 139576 SECURID Web Application Servers Access Manager Any other via J2EE, JAAS, and/or aznAPI Desktop SSO Active Directory integration Linux, UNIX, RACF Systems The IBM Tivoli Access Manager family provides a consistent security implementation for users to flexibly access IT resources. Users can access resources using wired or wireless devices, through flexible authentication methods, such as tokens, digital certificates, or biometrics. The Tivoli Access Manager family also supports different identity data repositories, including the IBM Directory Server, as well as directories from Sun, Novell, Microsoft, Lotus and Tivoli Identity Manager. Utilizing a consistent security engine that provides out-of-the-box integration with numerous back-end resources, organizations can realize return on investment through decreased application development and deployment costs, reduced help desk costs and improved administrator productivity. The IBM Tivoli Access Manager family provides users with a consistent method for accessing their authorized IT resources, including Portal, CRM, ERP and many other Web solutions. Integration is provided for any Web application server through J2EE, JAAS, and/or the aznAPI. Integrated security is available for many WebSphere solutions, including WebSphere Portal, WebSphere Application Server, WebSphere Business Integration, WebSphere Business Integration for HIPAA, WebSphere Everyplace and WebSphere MQ. Integration with Microsoft is provided in several ways: Microsoft Windows 2000 desktop users can use Single Sign-On to access enterprise portal targets; Tivoli Access Manager leverages SPNEGO (Simple Negotiation Protocol) and also Kerberos and NTLM authentication to extend SSO to applications and middleware; Supports Microsoft Active Directory as an identity data repository and can provide Active Directory identity management, provisioning and data synchronization; Microsoft is also working with IBM to define Web Services Security standards (WS-Security). IBM Tivoli Access Manager provides single sign-on to Lotus Sametime, Team Workplace and through Lotus Domino. Tivoli Access Manager delivers Web single sign-on, access control for Lotus iNotes Web Access functions, and secure Web browser-based access to the full-featured iNotes functions. IBM Client Security Solutions offers selected NetVista desktops and ThinkPad notebooks with built-in cryptographic technologies in both hardware and software that work together to provide a strong level of trust and security in the client PC platform. Tivoli Access Manager for e-business can centrally control and dynamically manage the authentication elements used by these systems. The Tivoli Access Manager family is comprised of three products: IBM Tivoli Access Manager for e-business – provides Web single sign-on and consistent security enforcement across Web and application resources. It provides centralized access control from browsers, PCs and wireless devices to any Web server, using flexible authentication. IBM Tivoli Access Manager for Business Integration – Enhances WebSphere MQ’s native security services with application-level data protection, without modifying or recompiling MQ applications. IBM Tivoli Access Manager for Operating Systems - Helps prevent security violations due to unguarded privileges of UNIX and Linux “root” or “super” users. It can help reduce costs through centralized administration across AIX, Sun Solaris, HP-UX and Linux systems. Domino, iNotes, Sametime, Team Workplace Servizi di Gestione delle Identità Digitali Messaging IBM Directory Server Sun ONE Directory Novell eDirectory Active Directory Lotus Domino Directory Tivoli Identity Manager WebSphere MQ Layered authentication Enforce user entitlements Web single sign-on Secure Clients Biometric, Proximity Tokens

19 Tivoli Access Manager for e-Business Tivoli Identity Manager
Le soluzioni di Single Sign On e di strong authentication possono essere estese anche alle applicazioni di tipo legacy La soluzione utilizza il Thinkpad T42 o ActivCard per la strong authentication e il login ai sistemi aziendali Tivoli Access Manager for e-Business Tivoli Identity Manager

20 Attraverso soluzioni di “Integrated Identity Management” si centralizza la gestione delle identita’ e si introducono funzionalita’ di provisioning e sincronizzazione password Flusso dati (input) Engine User Provisiong e Metadirectory Servizi di Work-Flow  Gestione delle politiche di provisiong  Funzionalità/servizi futuri Mappatura Organizzativa Gestione politiche RBAC ( Role Based Access Control ) Controllo Accessi Servizi distribuiti Directory Services LDAP V3 Servizi gestione dei dati Audit & Reporting Connettività remota Flusso dati (output) Sistemi e Applicazioni target

21 L’applicazione delle regole di “provisioning” nel modello
Organizzazione logica dell’Azienda Politiche di controllo accessi / abilitazioni a servizi Organizzazione fisica sistemi IT Persone Fisiche (utenti) Ruoli/Mansioni Politiche ( Attachements ) Servizi Target Sistemi fisici 0,N --- 0,N 0,N --- 0,N W2K AD W2K AD Role 1 NT PDC Policy 1 RACF Nom Unità Ruolo Aliases Role 2 P1 Exchange 1 Nome Descrizione priorità membership attachements RACF RACF Nome Utilizzatore Descrizione Ruolo dinamico : Regola W2K AD Exchange Exchange Policy 2 Role 3 RACF P2 Exchange Scelta Servizio 2 Nome Servizio Tipo (manuale/automatico) Gestione degli attributi Workflow (Processi di validazione) Exchange 1 Exchange 1 X Processo di validazione Px Priorità x

22 L’architettura di riferimento di una soluzione di Integrated Identity Management

23 Nell’ambito di un modello di cooperazione applicativa uno dei problemi chiave e’ la gestione delle identita’ Suppliers Partners Service Provider/ Aggregator Business Clients Outsourced Providers Distributors, Brokers Non esistono meccanismi standard per il “trust” delle identita’ da Partners & Terze Parti La mancanza di fiducia implica la replica delle informazioni degli utenti Gestione degli utenti costosa e inefficiente Esposizione di sicurezza, conformita’ e privacy

24 La soluzione di Federated Identity Management, basata sui Web Services, indirizza il problema di gestione delle identita’ Partner Third Party Una federazione e’ un gruppo di 2 o piu’ “trusted” partners che, tramite accordi contrattuali e tecnici, consentono ad un utente di un partner della federazione di accedere alle risorse di un altro partner in modo sicuro e fidato Utente Terza Parte End User Riduce i costi di gestione delle identita’ Migliora l’operativita’ dell’utente Semplifica l’integrazione Migliora la Governance Lower Identity Management costs: The cost and complexity of identity administration in today's environment is primarily due to a single reason: to provide access to a user for a service or an application means giving the user an account within the service or application specific repository. The fundamental practice of creating and managing user accounts leads to various administration, single sign on and compliance issues. Create account in each target system for the user Establishment of access rights or credentials Establish initial password/PIN Help Desk or Customer Care support to handle the following: - Manage forgotten username, Forgotten passwords, password resets De-provisioning accounts when user leaves the company By federating user access to these third-party users, companies can effectively off load user administration costs back to the provider who has direct responsibility for managing the user. Improved User experience User experience is improved because users can navigate easily between Web sites while maintaining a global login identity Simplified Integration: Integration is simplified because there is a common way to network identities between companies or between applications. Organizations can eliminating the friction caused by incompatible identity and security management between companies. Improved Governance: In today's model where the company takes on the management burden of third-party user administration and provisioning these audit issues are magnified when these third-party users turnover and this identity is not propagated to the company for de-provisioning. Things to consider: Organizations cannot account for access rights granted in their internal systems for third-party users; there is no proof whether third-party user actually exists or even needs access No accountability on why a third-party user was granted access in the first place. No procedures in place to de-provision user accounts when users turnover. Top-Line Growth: The federated business model enables service providers to be able to federate data to large established clients, partners and customers that they normally would not have access to. Pension Holder Company A Company C Insurance Provider Stock Options Company B

25 Parte “Garante” della transazione Parte “Validante” della transazione
I ruoli in un modello federato: Fornitore delle Identità e Fornitore dei Servizi Parte “Garante” della transazione Parte “Validante” della transazione Fornitore dei Servizi Fornitore delle Identità Mutua FIDUCIA Controlla l’accesso ai servizi Gli utenti delle Terze Parti mantengono l’abilitazione ad accedere ai servizi esclusivamente per la durata del rapporto di “federazione” Gestisce direttamente i soli attributi-utente relativi alla corretta fruizione del servizio offerto. 1. Fornisce le credenziali (Network / Login) 2. Gestisce gli Utenti ed i rispettivi ID 3. Autentica gli utenti 4. “Garantisce” circa l’identità degli utenti Within a federation, organizations play one or both of two roles: identity provider and/or service provider. Identity Provider: The identity provider (IdP) is the authoritative site responsible for authenticating an end user and asserting an identity for that user in a trusted fashion to trusted partners. The identity provider is responsible for account creation, provisioning, password management, and general account management and also acts as a collection point or client to trusted identity providers. . Service Provider: Those partners who offer services but do not act as identity providers are known as service providers. The service provider (SP) relies on the IdP to assert information about a user, leaving the SP to manage only those user attributes that are relevant to the SP. Looking back at our earlier example of IBM and Hewitt: IBM would be the identity provider, they are asserting the identity of an IBM employee to Hewitt Hewitt would be the service provider. There service is the savings plan/401k management

26 Le tecnologie e gli standard in ambito di Federated Identity Management
HTTP SSO (SAML protocol) Gestione delle Identità Federate (SAML protocol) Gesteionde delle Identità per Web Services Federati (HTTP e SOAP-based SSO) SAML (Passivo) Liberty (Passivo) WS-Federation (Passivo, Attivo) IBM's Federated Identity Management solution delivers concurrent support for key identity management specifications such as Liberty, WS-Federation and SAML. IBM's federated identity is built on the trust foundation of WS-Security family of specifications. Integration of federated identity management capabilities with IBM middleware solutions such as WebSphere enables application Currently, there are three different technologies that customers are considering for federation. SAML (Security Assertions Markup Language): is a specification designed to provide cross-vendor single-sign-on interoperability. SAML was developed by a consortium of vendors (including IBM). SAML has two major components - it describes SAML assertions used to transfer information within a single sign-on protocol and SAML bindings and profiles for a single sign-on protocol. A SAML assertion is an XML-formatted token that is used to transfer user identity (and attribute) information from a user's identity provider to trusted service providers as part of the completion of a single sign-on request. SAML also defines protocols for implementing single sign-on. These protocols are HTTP-redirect based and involve the user's browser. By itself, SAML is not rich enough to support federations. SAML does not address the issues of trust, user management, privacy, etc. Liberty Alliance: The Liberty Alliance Project is an alliance formed to deliver and support a federated network identity solution for the Internet that enables single sign-on for consumers and business users in an open, federated way. In some ways, Libery is Similar to SAML. However, Liberty includes a richer set of functions such as: Account linking, Single Logout, and procedures for federation/defederation. WS-Federation: WS-Federation is a specification defined by IBM, Microsoft, VeriSign and RSA within the scope of the IBM-Microsoft Web Services Security Roadmap. WS-Federation interoperability between IBM and Microsoft has been demonstrated several times. WS-Federation Passive describes how to implement federation functionality in a passive client environment. A passive client is one that is not web services enabled. The most commonly encountered example of a passive client is a vanilla HTTP browser. WS-Fed Passive describes how to leverage the advantages of a federation relationship such as single- sign-on in a passive client environment. Supporto per vari protocolli Web Services HTTP Federation

27 Cruscotto Centralizzato
La protezione fisica delle infrastrutture critiche sfrutta tecnologie all’avanguardia e consente la gestione integrata delle identita’ fisiche e logiche Cruscotto Centralizzato Modulare Flessibile Gestione e selezione delle informazioni Gestione identita’ accesso logico e fisico Assistenza decisionale Configurabile sull’utente

28 La realizzazione di processi “sicuri” si basa sul concetto di creazione del valore ed è realizzabile unicamente attraverso un approccio globale End-To-End Information Security Innovation Value IBM Business Consulting Services IBM Global Financing Business Value Services Financing Infrastructure Value IBM Global Services Personal and Printing Systems Group Server Group Software Group Storage Systems Group Hardware Software Services Component Value Technology Group Research Technology

29 ..... e richiede l’utilizzo di numerose e specifiche competenze da integrare e indirizzare nella medesima direzione Competenze specifiche, esperienze multisettoriali e risorse a disposizione, nel mondo e in EMEA, costituiscono i principali punti di forza dei team di lavoro IBM, la più grande comunità sulla sicurezza a livello mondiale, specialisti di sicurezza che lavorano come un unico team e in maniera globale EMEA Labs & CoC Copenaghen Hursley Zurich La Gaude Rome Haifa EMEA Wireless Center of Competence Managed Security Services Delivery Center Security & Privacy Practice Research Labs BCRS – DR Centers 140 centers worldwide 71 in Europe 2 in Italy Americas Security Center of Competence PKI Center of Competence Managed Security Services Delivery Center Business Innovation Center/ Ethical Hacking Lab Security & Privacy Practice Research Labs Asia Pacific Managed Security Services Delivery Center Business Innovation Center/ Ethical Hacking Lab Security & Privacy Practice Research Labs

30

Scaricare ppt "Agenda Security: l'approccio necessario La metodologia"

Presentazioni simili

INTRODUZIONE ALL’ITIL Information Technology Infrastructure Library

INTRODUZIONE ALL’ITIL Information Technology Infrastructure Library
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Il Caso O.S.B. Organizzazione Servizi Bancari Dr. Giuseppe Mazzoli AltaVia Consulting Snc Società di consulenza per l'informatica e l'e-business.

Il Caso O.S.B. Organizzazione Servizi Bancari Dr. Giuseppe Mazzoli AltaVia Consulting Snc Società di consulenza per l'informatica e l'e-business.
Mills Monica Galiano Specialista Sicurezza Tivoli IBM SW Group

Mills Monica Galiano Specialista Sicurezza Tivoli IBM SW Group
Office System 2007: il licensing dei prodotti server.

Office System 2007: il licensing dei prodotti server.
Miglioramento della protezione dei dati mediante SQL Server 2005 Utilizzo della crittografia di SQL Server 2005 per agevolare la protezione dei dati Pubblicato:

Miglioramento della protezione dei dati mediante SQL Server 2005 Utilizzo della crittografia di SQL Server 2005 per agevolare la protezione dei dati Pubblicato:
Introduzione ad Active Directory

Introduzione ad Active Directory
Liberiamo(ci) (dal)le applicazioni con Softgrid

Liberiamo(ci) (dal)le applicazioni con Softgrid
Configuring Network Access

Configuring Network Access
| | Microsoft Certificate Lifecycle Manager.

| | Microsoft Certificate Lifecycle Manager.
TechNet Management European Expert Tour Milano, 4 ottobre 2005BENVENUTI TechNet Management European Expert Tour Milano, 4 ottobre 2005BENVENUTI Davide.

TechNet Management European Expert Tour Milano, 4 ottobre 2005BENVENUTI TechNet Management European Expert Tour Milano, 4 ottobre 2005BENVENUTI Davide.
Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.

Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.
SISTEMA INFORMATIVO AZIENDALE

SISTEMA INFORMATIVO AZIENDALE
Smart Card Distribution for EGovernment Identity Promotion: Problems and Solutions.

Smart Card Distribution for EGovernment Identity Promotion: Problems and Solutions.
CALL CENTER REGIONALE 24 marzo 2009.

CALL CENTER REGIONALE 24 marzo 2009.
OMAT VoiceCom - Roma 11, novembre 2003 Francesco Arciprete La Qualità e la Sicurezza delle TLC fattori abilitanti dell E-Government OMAT VoiceCom – Roma,

OMAT VoiceCom - Roma 11, novembre 2003 Francesco Arciprete La Qualità e la Sicurezza delle TLC fattori abilitanti dell E-Government OMAT VoiceCom – Roma,
Java Enterprise Edition (JEE)

Java Enterprise Edition (JEE)
Amministratore di sistema di Educazione&Scuola

Amministratore di sistema di Educazione&Scuola
Information Technology

Information Technology
Sistemi Informativi Integrati d’Azienda

Sistemi Informativi Integrati d’Azienda

Presentazioni simili

Annunci Google