La Sicurezza informatica nella PA: strumenti e progetti Forum PA – Roma, 9 Maggio 2005 Implementare la sicurezza informatica: l’esperienza dell’Alma Mater.

Slides:

Advertisements

Presentazioni simili

Rilevazione sullo stato di attuazione degli Uffici per le Relazioni con il Pubblico (URP) nelle pubbliche amministrazioni.

Advertisements

Progetto Shibboleth-UniTo-Scuole Il Portale d’Ateneo e I servizi offerti dall’Università alle Scuole: Interoperabilità Università-Scuole attraverso una.

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.

20/04/2006 COO-RU- Organizzazione Operativa 1 STRUTTURE SIN/ELI Struttura organizzativa COO/RU – Organizzazione Operativa 12 settembre 2007.

Il Sistema Informatico d’Ateneo

Il Caso O.S.B. Organizzazione Servizi Bancari Dr. Giuseppe Mazzoli AltaVia Consulting Snc Società di consulenza per l'informatica e l'e-business.

1 Multimedia Campus: tra tradizione e innovazione TED - Genova, 26 novembre

Ministero dell’Istruzione, dell’Università e della Ricerca

Le tecnologie informatiche per l'azienda

Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.

Il nuovo portale Unife Intervento per ladeguamento e riorganizzazione del sito unife.it (2 aprile 2007)

Strumenti e percorsi per la protezione civile locale Antonio Triglia - Formez Torino, 28 Giugno 2006 Progetto Sindaci.

Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.

CNIPA 10 maggio Linee Guida per la Qualità delle Forniture ICT negli appalti pubblici Giacomo Massi Ufficio Monitoraggio e gestione progetti delle.

Chiocciola S.r.l. – Riproduzione vietata – Guarene, 24 maggio 2006 Dal 1996… un obbiettivo strategico: la sicurezza a 360° LUCIANO CORINO Chiocciola Consulting.

18 luglio 2007 Razionalizzazione dei sistemi di back-office Il ruolo del CNIPA Ing. Rosanna Alterisio Responsabile Area Progetti applicazioni e servizi.

MODALITÀ DI ACQUISIZIONE DEL SOFTWARE APPLICATIVO Paolo Atzeni Dipartimento di Informatica e Automazione Università Roma Tre 03/12/2008 (materiale da:

S ILVIO S ALZA - Università di Roma La Sapienza – Aspetti tecnologici della conservazione permanente C ONVEGNO DocArea – Bologna 20 aprile Aspetti.

1 Convegno Forum PA - 9 maggio 2005 Repertorio nazionale dei dati territoriali e collaborazione tra Stato, Regioni ed enti locali Elettra Cappadozzi CNIPA.

CISI – Centro Interstrutture di Servizi Informatici e Telematici Progettazione e realizzazione di un sistema FaD dAteneo CISI – Centro Interstrutture di.

Il D.Lgs. n. 150/2009 – Lecce 25 gennaio 2010 Organizzazione del lavoro e sistema di valutazione Verso nuovi modelli organizzativi e di valutazione delle.

Lorientamento, gli orientatori CORSO DI FORMAZIONE PER I REFERENTI DELLORIENTAMENTO dicembre febbraio 2007.

Virtual Learning Environments (i. e

ISTAT DCRS Novità organizzative e legislative per il PSN (Roma, 24 giugno 2009) Maria Rosaria Simeone (Dirigente Servizio DCRS/IST) Impatto della normativa.

PROGETTO MICHAEL Censimento delle collezioni digitalizzate dellAteneo di Trento Convegno "Collezioni digitali di periodici in Italia e in Europa: standard,

Elezione del Rettore 2005 Punti per la discussione a nome del coordinamento dei Ricercatori dellUniversità degli Studi di Modena e Reggio Emilia.

Riproduzione riservata

Istituzione Scolastica Riceve la diagnosi dalla famiglia Protocolla la diagnosi :se da specialista privato indirizza la famiglia allASL di competenza per.

Chief Information Office/ SRTLC Luglio 2008 Progetto di sperimentazione Telelavoro Chief Information Office Progetto di sperimentazione Telelavoro Chief.

PresenzeWeb: breve guida

IL QUADRO DEI WORK EXPERIENCE

1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)

1 Convegno Forum PA - 11 maggio 2005 La qualità della formazione: pubblico e privato a confronto Mirella Casini Schaerf- CNIPA "Quality, like value, is.

Esperto di E-government dello sviluppo locale (A.A. 2003/2004) Università di Pisa, Facoltà di scienze politiche 14 dicembre 2004 L'amministrazione elettronica.

Roma - 10 Maggio 2000 Il Manager Didattico CRUI Conferenza dei Rettori delle Università Italiane.

SIARL ARCHITETTURA DEL SISTEMA E GESTIONE DELLA SICUREZZA Milano, 5 novembre 2003 Struttura Sistemi Informativi e Semplificazione.

Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra.

LO SPORTELLO UNICO DELL’ EDILIZIA

La normativa italiana in materia di utilizzo delle tecnologie dell’informazione e della comunicazione presso la Pubblica Amministrazione.

Sicurezza nella Sezione INFN di Bologna Franco Brasolin Servizio Calcolo e Reti Sezione INFN di Bologna Riunione Referenti – Bologna 17 Novembre 2003 –

1 FORUM P.A. La partenza del Sistema Pubblico di Connettività Roma - maggio 2004M. Martini La partenza del Sistema Pubblico di Connettività ing. Marco.

Anticorruzione.

“PSICOLOGIA DELLE ORGANIZZAZIONI E DEI SERVIZI” Laurea Specialistica Facoltà di Psicologia Alma Mater Studiorum - Università di Bologna – sede di Cesena.

CUC Centro Unico di Contatto.

Ing. Adriano Cavicchi Dirigente Generale S.I.N.A.P. Sistema Informativo Nazionale degli Appalti Pubblici Forum P.A. 10 maggio 2004.

INFN & sicurezza: aspetti legali Roberto Cecchini Paestum, 11 Giugno 2003.

Progetto “Il Lavoro Pubblico che cambia – Linea Telelavoro” Napoli, 16 Dicembre 2004 Incontro di presentazione degli studi di fattibilità SMART Sviluppo.

Sistemi di elaborazione dell’informazione Modulo 3 -Protocolli applicativi Unità didattica 5 -Amministrazione remota Ernesto Damiani Lezione 1 – Gestione.

Seminari organizzati dallo SBA febbraio-maggio 2006

Il giornalista del futuro Soluzioni innovative per lavorare ovunque Grand Hotel De La Minerve Roma, 30 settembre 2004.

PEOPLE Riflessioni per il riuso Forum PA 10 maggio 2005 Roma.

Roma – 9 maggio 2005La Sicurezza informatica nella P.A.: strumenti e progetti Continuità Operativa per le PA Gaetano Santucci CNIPA Responsabile Area Indirizzo,

Forum P.A. – Roma, 13 Maggio 2004 Il Vademecum per l’eLearning nelle P.A., Rosamaria Barrese Il Vademecum per l’eLearning nelle Pubbliche Amministrazioni.

Sicurezza e attacchi informatici

Presentazione Servizi. Di Cosa Ci Occupiamo Hera02 cura per le Aziende i seguenti tre assetti: 1 – I servizi di Telecomunicazioni: Connessione Dati verso.

ECDL European Computer Driving Licence

Accreditamento delle sedi formative di: Costanza Bettoni, con la collaborazione di Laura Evangelista per le schede 18, 19, 20 e 21. Roma, Luglio 2001.

Le basi di dati.

II FASE - Linea d’azione 2 “Il riuso delle soluzioni di eGovernment” 10 maggio 2004 Roberto Pizzicannella CNIPA – Area Innovazione Regioni ed Enti Locali.

1 Il regolamento di organizzazione A cura del dott. Arturo Bianco.

Ospedale Luigi Sacco Azienda Ospedaliera – Polo Universitario.

PIANO DI ATTUAZIONE DEL PNSD A CURA DELL’INSEGNANTE A.D. CLAUDIA MORESCHI.

PPT- Postecert PEC – 05/2009 Postecert Posta Elettronica Certificata.

Migrazione a Win2003 Server a cura del Prof. Arturo Folilela.

R. Brunetti INFN - Torino. Contenuti Cosa e’ uno CSIRT Gestione della sicurezza in EGI/IGI e IGI-CSIRT Servizi ed attivita’ previste Collaborazione con.

AULA INFORMATICA MULTIMEDIALE DONAZIONE MCKINSEY & COMPANY ITALIA.

Ing. Monica Summa Camera di Commercio di Napoli 1 “ La gestione in sicurezza delle attrezzature: aspetti generali ed applicativi ” Sala Consiglio Camera.

Il dato pubblico: aspetti giuridici ed organizzativi – Donato A. Limone Il dato pubblico:aspetti giuridici ed organizzativi Relatore: Donato A. Limone,ordinario.

A.A ottobre 2008 Facoltà di Scienze della Comunicazione Master in Comunicazione nella PA Le politiche attive del lavoro prof. Nedo Fanelli.

Framework di sicurezza della piattaforma OCP (Identity & Access Management) Smart Cities and Communities and Social Innovation Bando MIUR D.D. 391/Ric.

Transcript della presentazione:

La Sicurezza informatica nella PA: strumenti e progetti Forum PA – Roma, 9 Maggio 2005 Implementare la sicurezza informatica: l’esperienza dell’Alma Mater Studiorum – Università di Bologna. Ing. Aldo Schiavina Responsabile Servizio Sicurezza e Servizi di Rete

Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Scenario Esigenze ed obiettivi relativi all’implementazione della sicurezza informatica in Ateneo Criticità Azioni intraprese ed in fase di attuazione Agenda

Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Scenario (1/2) La realtà dell’Ateneo di Bologna è complessa ed articolata: è composta da circa 150 strutture con autonomia organizzativa e gestionale (tra Amministrazione Generale, Facoltà, Dipartimenti, Centri di Ricerca e di Servizi), suddivise tra la sede di Bologna e i quattro Poli romagnoli (Cesena, Forlì, Ravenna e Rimini), con una sede remota anche a Reggio Emilia; queste strutture trattano a fini istituzionali (tra cui didattica e ricerca), diverse tipologie di dati personali, come ad es. dati sensibili, giudiziari e genetici; tutte le sedi sono tra loro connesse da una complessa rete, detta ALMAnet, la cui dorsale presenta collegamenti Gigabit Ethernet.

Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Scenario (2/2)

Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Adempimento degli obblighi normativi previsti dal codice in materia di privacy (D.Lgs. 196/03 ). In particolare, implementazione delle misure minime previste dall’allegato B dello stesso codice. Garanzia della disponibilità ed integrità dei dati e delle applicazioni necessarie allo svolgimento delle attività istituzionali dell’Ateneo, per avere continuità dei servizi offerti dall’Università. Previsione di un piano per il recupero delle funzionalità minime in caso di eventi disastrosi (Disaster Recovery). Formazione di personale strutturato, al fine di acquisire le competenze necessarie alla gestione della Sicurezza dell’Informazione, mantenendone strategicamente all’interno il suo controllo. Esigenze ed Obiettivi

Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio L’Università, è un ambiente di lavoro molto particolare, dove l’informazione deve poter essere condivisa liberamente e senza troppi vincoli, al fine di perseguire con efficacia le attività istituzionali di ricerca e didattica. L’autonomia gestionale di cui sono dotate le singole strutture che la compongono non agevola il coordinamento centrale (la situazione è più semplice per ciò che concerne le strutture componenti l’Amministrazione Generale). Occorre trovare il giusto compromesso tra le esigenze di libera circolazione dell’informazione e di autonomia delle singole strutture con la necessità di adempiere gli obblighi previsti dalla legge e di soddisfare le esigenze di continuità di servizio. Criticità

Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Stesura del D.P.S. ai sensi del D.Lgs. 196/03. Implementazione di un sistema di Autenticazione/Autorizzazione di riferimento per tutto l’Ateneo (Identity Management System). Definizione di un modello di Sicurezza Perimetrale. Preparazione di un sito di Disaster Recovery. Gestione degli incidenti informatici (CERT CeSIA) ed implementazione di un sistema di Intrusion Detection. Aggiornamento del regolamento per il corretto uso della rete. Preparazione di una gara di ambito comunitario, al fine di acquisire gli apparati ed i servizi necessari all’implementazione della sicurezza informatica in Ateneo. Azioni

Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Nell’AA 2003/2004 è stato costituito un gruppo di lavoro di 6 unità di personale, dotate di diverse competenze (tecniche, giuridiche ed economico - organizzative) e formato grazie al Master in Sicurezza dell’Informazione di Almaweb, Graduate School of Information Technology, Management and Communication dell’Università di Bologna. Il D.P.S. ai sensi del D.Lgs. 196/03 per l’Ateneo è stato redatto in sede di project work previsto dal Master. È prevista l’approvazione da parte degli OO.AA. entro il 31/12/05. Questo modo di procedere ha permesso di maturare internamente le competenze necessarie per gestire la Sicurezza dell’Informazione in Ateneo, facendo ricorso a risorse formative di cui l’Università è naturalmente dotata. Stesura del D.P.S. ai sensi del D.Lgs. 196/03 (1/2)

Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio La stesura del D.P.S. per l’Ateneo ha comportato, tra le altre cose: l’analisi e la documentazione dell’attuale situazione relativa al trattamento dei dati personali nell’Ateneo di Bologna (Amministrazione Generale e strutture periferiche); l’elaborazione di un’analisi dei rischi relativamente ai dati trattati; la sensibilizzazione ed il coordinamento dei Responsabili del trattamento, in merito all’adeguamento alle misure minime di sicurezza; la definizione di alcune soluzioni tecnologiche necessarie ad adempiere agli obblighi in materia di misure minime di sicurezza ed utili per ridurre i rischi individuati. Stesura del D.P.S. ai sensi del D.Lgs. 196/03 (2/2)

Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Si è sentita la necessità di un unico sistema di Autenticazione/Autorizzazione che permetta di profilare tutte le risorse umane presenti in Ateneo (Personale Docente e Tecnico Amministrativo, Studenti, Collaboratori, Ospiti, etc.), superando le difficoltà introdotte dall’esistenza di più anagrafiche e più metodi eterogenei per la gestione dell’accesso alle risorse informatiche. Un unico sistema di autenticazione consente di applicare semplicemente politiche sicure nella gestione delle credenziali, in ottemperanza a quanto previsto dall’Allegato B del D.Lgs. 196/03 e di favorire l’utente che deve ricordarsi solo una coppia di credenziali per accedere a più risorse. Queste esigenze hanno portato alla realizzazione di un Directory Service d’Ateneo (DSA). Identity Management System (1/3)

Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Identity Management System (2/3)

Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Attualmente tutte le applicazioni informatiche centralizzate utilizzate in Ateneo (es. posta elettronica, profilazione al Portale d’Ateneo, immatricolazione on-line, etc.), usano (o si apprestano ad usare) il DSA come sistema di Autenticazione/Autorizzazione. Il DSA è usato anche per l’autenticazione all’accesso alle postazioni di lavoro dell’Amministrazione Generale ed in alcuni laboratori studenti d’Ateneo. E’ in atto un’opera di divulgazione che riscontra un certo successo presso le strutture periferiche dell’Ateneo, in modo che usino il DSA per l’autenticazione alle applicazioni locali ed alle risorse informatiche (postazioni di lavoro, laboratori studenti, etc.). Identity Management System (3/3)

Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Come prima misura necessaria per la protezione della rete dell’Ateneo (ALMAnet) si è individuato un modello di sicurezza perimetrale a due livelli: Il primo livello è costituito da un firewall centralizzato ad elevate performance, posizionato a valle del link che collega ALMAnet alla rete GARR; Il secondo livello è costituito da numerosi firewall di dimensioni più ridotte, posti a monte delle LAN delle singole strutture periferiche, in corrispondenza del link che le collega al backbone della rete ALMAnet. Modello di Sicurezza Perimetrale (1/2)

Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Modello di Sicurezza Perimetrale (2/2)

Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Sito di Disaster Recovery

Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Il CeSIA ha istituito già da alcuni anni un servizio CERT, che si occupa della gestione degli incidenti di sicurezza che avvengono sulla rete ALMAnet. Questo servizio gestisce le segnalazioni che provengono dall’analogo servizio del GARR (GARR- CERT) e mantiene i rapporti con l’autorità giudiziaria. Si prevede di istituire anche un contatto con GOVCERT.IT. Monitorizza la rete ALMAnet con strumenti di IDS ed analizzatori di protocollo, per individuare in tempo reale attività dannose per la rete. Segnala ai referenti delle subnet di ALMAnet la necessità di interventi su host compromessi. Computer Emergency Response Team (1/2)

Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Il servizio CERT CeSIA ha rilevato fino a di eventi anomali in un solo giorno. Negli ultimi 2 anni il servizio ha inviato oltre per segnalare a referenti di rete host compromessi. Di queste oltre 1300 sono state inviate nel Quest’attività è necessaria per mantenere la disponibilità della rete e bloccare con tempestività la diffusione di minacce come virus e worm. Per il monitoraggio della rete il CERT CeSIA fa uso di un complesso sistema di Intrusion Detection System ed analizzatori di protocollo. Computer Emergency Response Team (2/2)

Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Intrusion Detection System

Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Si è sentita l’esigenza di attualizzare il regolamento che disciplina l’uso della rete ALMAnet (D.R. n. 71 del 21/05/1998). Si sta lavorando ad una proposta di modifica per regolamentare i seguenti aspetti: soggetti autorizzati all’uso della rete; modalita' di accesso alla rete (autenticazione e mantenimento dei log); uso di strumenti hardware e software che possono compromettere l'uso della rete se utilizzati impropriamente o per scopi non istituzionali (es. software P2P); utilizzo dei servizi di rete (posta elettronica, siti web, ecc.); implementazioni di particolari tecnologie (es. WI- FI, ecc.); … Regolamento per il corretto uso della rete

Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Oggetto della gara Apparati hardware e relativo software firewall sistema di gestione Servizi (complementari rispetto alle potenzialità interne) progettazione installazione fisica e configurazione di base manutenzione HW e SW dei firewall, anche degli apparati preesistenti configurazione avanzata monitoraggio e supporto al CERT CeSIA riconfigurazione formazione per i tecnici dell’Ateneo Approvvigionamento di apparati e servizi (1/4)

Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Tipologia della gara licitazione privata a valenza comunitaria; durata del contratto: 3 anni dalla stipula; bando e capitolato sono stati sottoposti al Collegio di valutazione del CNIPA ed hanno ottenuto il parere di congruità; le attività dovrebbero iniziare presumibilmente verso settembre-ottobre Approvvigionamento di apparati e servizi (2/4)

Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Governance del rapporto col fornitore Project Manager CeSIA: precisa i requisiti dei servizi richiesti; definisce il modello organizzativo dei servizi; definisce gli standard di riferimento; approva i piani di lavoro proposti dalla ditta e controlla la qualità dei servizi erogati. Project Manager Fornitore: è interlocutore del Project Manager del Ce.S.I.A; propone i piani di lavoro per i servizi richiesti; comunica al Project Manager del Ce.S.I.A. gli stati di avanzamento dei lavori e le eventuali criticità; coordina tecnicamente il personale della ditta; trasmette la documentazione dei servizi erogati. Approvvigionamento di apparati e servizi (3/4)

Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio Governance del rapporto col fornitore Definizione di due livelli di indicatori di performance per la maggior parte dei servizi previsti. Indicatore primario: stabilisce una soglia al di sotto della quale il servizio reso viola lo SLA concordato e dà luogo ad una contestazione, per la quale si applicano le penali previste a carico del fornitore ed in caso di grave inadempienza si procede alla risoluzione del contratto(es.: tempestività nella consegna degli apparati, affidabilità degli apparati, tempestività nella risoluzione dei malfunzionamenti, etc.); Indicatore secondario: è utilizzato per il controllo delle performance e della produttività (es.: tempo medio di consegna, tempo medio di presa in carico di un problema, etc.). Approvvigionamento di apparati e servizi (4/4)