Utilizzo dei dati di AUDITING Lecce 21 Maggio 2004.

Slides:

Advertisements

Presentazioni simili

Piano di Formazione per la Riqualificazione del Personale

Advertisements

RE.SE.T. IMPRESA Rete di servizi per il trasferimento dimpresa.

CENTRO RETE QUALITA' UMBRA

1 Consorzio interuniversitario per le Applicazioni del Supercalcolo Per Università e Ricerca Stelline 2008 Sala Volta, venerdì 7 marzo 2008 Seminario:

Il Caso O.S.B. Organizzazione Servizi Bancari Dr. Giuseppe Mazzoli AltaVia Consulting Snc Società di consulenza per l'informatica e l'e-business.

1 Introduzione ai calcolatori Parte II Software di base.

Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.

Introduzione al datawarehouse

Le tecnologie informatiche per l'azienda

L’azienda Volocom.

Prof. Emanuele Marino Concetti teorici di base della tecnologia dellinformazione.

Il Sistema Operativo.

1 Processi e Thread Processi Thread Meccanismi di comunicazione fra processi (IPC) Problemi classici di IPC Scheduling Processi e thread in Unix Processi.

Dr. Francesco Fabozzi Corso di Informatica

1 Area Comunicazione e Sviluppo Web09/10/2003Sito Web Provincia di Torino Provincia di Torino Area Relazioni e Comunicazione 1 01/12/03 Portale della Provincia.

Sistema Gestione Progetti

Palermo, 1° marzo 2005 Evoluzione dei servizi bancari telematici per la Pubblica Amministrazione Locale Alessandra DI IORIO Settore Sistemi di Pagamento.

Anno Accademico Corso di Informatica Informatica per Scienze Biologiche e Biotecnologie Anno Accademico

Il Software: Obiettivi Programmare direttamente la macchina hardware è molto difficile: lutente dovrebbe conoscere lorganizzazione fisica del computer.

Domenico Presenza Dimostratore MAIS per il dominio turistico Presentazione specifiche dei prototipi (R8.2.4) Milano – 17 Novembre 2004.

Architettura Three Tier

1 Corso di Informatica (Programmazione) Lezione 4 (24 ottobre 2008) Architettura del calcolatore: la macchina di Von Neumann.

Fabrizio Balloni - AGES S.p.A. -

17/12/02 1 Direzione Sviluppo Servizi su rete, Banche dati IRIDE Infrastruttura di Registrazione e IDEntificazione.

Il D.Lgs. n. 150/2009 – Lecce 25 gennaio 2010 Organizzazione del lavoro e sistema di valutazione Verso nuovi modelli organizzativi e di valutazione delle.

AREA COMMERCIALE BUSINESS:

FONDAMENTI DI INFORMATICA III A2A2-1 CARATTERISTICHE E MODELLIZZAZIONE DEL LAVORO DUFFICIO Argomento 2 Approfondimento 2 CARATTERISTICHE E MODELLIZZAZIONE.

Coordinatore della Segreteria Tecnica del Progetto Monitoraggio

SOFTWARE I componenti fisici del calcolatore (unità centrale e periferiche) costituiscono il cosiddetto Hardware (alla lettera, ferramenta). La struttura.

Labortaorio informatica 2003 Prof. Giovanni Raho 1 INFORMATICA Termini e concetti principali.

9. Il termine Informatica ha invaso il nostro mondo quotidiano. La sua origine è nel termine francese Informatique, derivato dalla fusione fra Information.

Chief Information Office/ SRTLC Luglio 2008 Progetto di sperimentazione Telelavoro Chief Information Office Progetto di sperimentazione Telelavoro Chief.

IMQ :PROVE E CONTROLLI PER LA QUALITA' E LA SICUREZZA 1 PROCEDURE DI VALUTAZIONE DELLA CONFORMITA : DIRETTIVA DI BASSA TENSIONE NOTA : presentazione realizzata.

lo Sportello Unico del Comune di Forlì è strutturato su un modello di “SPORTELLO LEGGERO”

Ocra con software Petra®

Database & Information Retrieval

Nuovo Software di acquisizione e archiviazione di immagini Opto Capture Evolution Produzione Noviello Intermed Ideato e progettato da Francesco Ardizzone.

La natura della collaborazione

GESTIONE GRANULARE DEGLI ACCESSI FINESTRE DI DETTAGLIO INTERSCAMBIO DEI DATI CON LARCHIVIO DI ALTRE PROCEDURE GESTIONE VERSAMENTI MANCATI TABELLIZZAZIONE.

DETERMINARE ED INDENTIFICARE I PUNTI DI VERIFICA DEFINIRE E CLASSIFICARE I MATERIALI ED I METODI UTILIZZATI STABILIRE I LIMITI ED I VALORI DI ACCETTABILITA.

Stefano Di Giovannantonio ECM Consulting Solution Expert

Certificazioni di Sicurezza Informatica”

Progetto RETE SME ALESSANDRO PASSONI

1 w w w. g a t 4. c o m WI GAT WebIngelligence rappresenta una piattaforma funzionale e tecnologica per la creazione e gestione di un datawarehouse che.

Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.

Modello Unico Trasmissione Atti

1 AUTOMATIZZAIAUTOMATIZZAIAUTOMATIZZAIAUTOMATIZZAI S.I. SISTEMASISTEMA INFORMATIVO INFORMATIVO PROCESSOPROCESSO DECISIONALE DECISIONALE DECISIONEDECISIONE.

LE COMPONENTI DEL SISTEMA INFORMATIVO

A COSA SERVE IL SISTEMA INFORMATIVO

Progetto Polidro Polizia idraulica e gestione dei corsi d’acqua.

1 Ufficio del Referente per la Formazione decentrata Magistrati AVVIO DEL PROCESSO TELEMATICO PRESSO LA CORTE DI APPELLO PRESSO LA CORTE DI APPELLO ED.

Analisi dei Requisiti (Requirements Engineering) Seminario RE Università degli Studi di Padova, 12 Gennaio 2004.

Dati e DBMS DBMS relazionali SQL Progettazione di una base di dati Programma del Corso.

Programma di Informatica Classi Seconde

Sistema Operativo (Software di base)

12/03//02 1 Dichiarazione OnLine di cambio di abitazione Compilazione guidata dei moduli Ricezione via della ricevuta di invio Ricezione via .

Università degli studi di Pavia Facoltà di Economia a.a Trasparenza dell’Informativa Finanziaria.

La Conservazione Sostitutiva e la Soluzione Una-Doc.

Nemesi Creazione e pubblicazione di una rivista online tramite l’utilizzo di Java Message Service.

Dati e DBMS DBMS relazionali SQL Progettazione di un DBMS Normalizzazione Programma del Corso di Basi di Dati.

FERRERO Mangimi S.p.A.

Portalettere/Articolazione Servizi Innovativi

Progettazione di basi di dati: metodologie e modelli

31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.

Le basi di dati.

Implementazioni di un analizzatore di protocollo Esistono quattro fondamentali tradeoff per la realizzazione di un analizzatore di protocollo:  Analisi.

Dal problema al programma – ciclo di sviluppo del software La scrittura del programma è solo una delle fasi del processo di sviluppo di un'applicazione.

Transcript della presentazione:

Utilizzo dei dati di AUDITING Lecce 21 Maggio 2004

2 Chi e Iccrea Banca S.p.A. LIccrea Banca e lIstituto centrale della categoria delle Banche di Credito Cooperativo LIccrea Banca e uno dei quattro centri applicativi autorizzati dalla Banca dItalia ad operare, come tramite, nel sistema bancario nazionale Rappresenta le BCC in tutti gli ambiti tecnico-istituzionali, curandone gli interessi legati alla loro attività bancaria E la fabbrica di servizi che sarebbe antieconomico produrre a livello locale, diminuendo limpegno delle BCC nel back office ed aiutandole a mantenere bassi i loro costi di gestione Fornisce i propri servizi sulla rete Intranet in un contesto di sicurezza e di velocità dellinformazione

3 Gli utenti di Iccrea Banca: le BCC 461 Banche di Credito Cooperativo Sportelli in oltre comuni Oltre 4 milioni di Clienti Oltre 78 Miliardi di Euro di Raccolta Ad oggi sono definite nel sistema di sicurezza oltre userid.

4 Architettura di sistema

5 Evoluzione organizzativa Nasce la necessità di avere un sistema per il controllo logico degli accessi Ad ogni applicazione viene assegnata una struttura funzionale, predisposizione di profili applicativi Le applicazioni vengono migrate nel sistema di sicurezza Tutte le applicazioni sono dichiarate al sistema di sicurezza e viene emanata la prima normativa sul controllo logico degli accessi Nasce l'esigenza di controllare le attività svolte direttamente in produzione Si sente la necessità di far convalidare tutte le attività estemporanee eseguite (assunzione di responsabilità)

6 Utilizzo dei dati di Audit Vecchia soluzione Per elaborare i dati di audit lIstituto ha considerato i seguenti aspetti: – Aspetto organizzativo Raggruppamento delle Userid in schemi logici – Aspetto normativo Definizione di norme che regolano la richiesta e la convalida delle attività eseguite con profili particolari – Aspetto tecnico Creazione di una applicazione che produca dei report, come richiesta dalla normativa, da base dati TSS (archivi di audit)

7 Utilizzo dei dati di Audit Aspetto organizzativo

8 Utilizzo dei dati di Audit Aspetto normativo Per poter snellire la procedura organizzativa legata allintervento in ambiente di produzione, da parte dei specialisti per attività di risoluzione del problema, si è provveduto alla standardizzazione di modalità operative: – Formulazione delle richieste, per ottenere profilazioni particolari; – Richieste che possono essere solamente effettuate da personale abilitato; – Modalità di convalida a posteriori. Questa prassi è stata regolamentata dallIstituto nella normativa di Controllo Logico degli Accessi della Sicurezza Logica, e brevemente riporta: – La Funzione Sicurezza Logica trasmette giornalmente ai Responsabili di Servizio, cui risultino assegnate risorse che dispongono di profili particolari – e per conoscenza alla Funzione Controlli, un elenco analitico delle attività svolte da detto personale.

9 Utilizzo dei dati di Audit Aspetto tecnico Creazione di una applicazione informatica – Fornire informazioni dettagliate, per singola userid, sul tipo di attività eseguita sulle singole risorse di sistema.

10 Utilizzo dei dati di Audit Esempio di comunicazione

11 Utilizzo dei dati di Audit Aspetto tecnico Punti di debolezza – Tempi lunghi nellesecuzione della routine di TSS per la creazione degli EARLOUT

12 Utilizzo dei dati di Audit Schema di funzionamento Infrastruttura di sicurezza TSS

13 Ricerca della soluzione Criticità nella predisposizione dei dati – Tempi lunghi di elaborazione Eccessivo utilizzo di CPU Eccessivi accessi al Sistema di Sicurezza (TSS) – Per ogni record la routine accede al security file

14 Ricerca della soluzione Non potendo intervenire nelle fasi (proprietarie del sistema di sicurezza TSS) utilizzate, dovevamo cercare altrove la soluzione La E.T. stava sviluppando un sistema di gestione dei file di auditing Gli abbiamo chiesto se potevano fornirci archivi con contenuti uguali a quelli generati con le utility del TSS. Ed abbiamo scoperto che potevamo: – Essere svincolati dallambiente (la soluzione ET poteva produrre informazioni di produzione anche dallo sviluppo) – Ottenere in automatico le Userid che beneficiano di profili particolari

15 Le specifiche di prodotto Acquisizione dati da fonti eterogenee Normalizzazione degli eventi (ADM) Memorizzazione ed analisi dei dati Componente di integrazione TSS Analisi dei dati generati da TSS Produzione output compatibili "What if" per simulare gli scenari di produzione in ambiente di test Elaborazioni parallele Interpretazione analitica degli eventi di bypass Ricostruzione dei profili e regole che concedono/negano l'accesso Report HTML

16 Modalità di esecuzione ? Primary Mode: STC (Real Time) Secondary Mode: Batch (Post Processing)

17 Utilizzo dei dati di Audit Nuova soluzione Gli output ottenuti restano essenzialmente invariati Cambia il modo di individuare le userid – Il prodotto E.T. cattura in tempo reale tutte le variazione eseguite nel security file, predisponendo un archivio contenente le userid che beneficiano di determinati profili Cambia il prodotto per la creazione degli EARLOUT – Vengono generati dal prodotto E.T. direttamente dai dati di audit del TSS (o dai record SMF), eliminando gli accessi al sistema di sicurezza TSS Il prodotto E.T. può essere attivato nellambiente di sviluppo – In questo modo si possono generare tutte le informazioni senza caricare il sistema di produzione

18 Utilizzo dei dati di Audit Schema di funzionamento Prodotto ET-1Audit Security File virtuale

19 Risultati I risultati ottenuti rispecchiano le nostre aspettative Si è raggiunto un traguardo inaspettato – Per la produzione degli EARLOUT si passa da circa 4 ore a circa 5 minuti È doverosa una considerazione: – Il prodotto ottenuto dalla E.T. è troppo evoluto oppure … Mah! Forse la verità sta nel mezzo le logiche di funzionamento del sistema di sicurezza sono troppo scarse?

20 I prossimi sviluppi... Integrazione dei dati di monitoring originati in ambienti z/Linux, Unix, MS-Windows Ulteriori espansioni e personalizzazioni del componente di prodotto ET-1Audit Security Manager Assistant per eTrust CA-Top Secret, secondo le specifiche esigenze di ICCREA Banca Sperimentazione e personalizzazione del componente di prodotto ET-1Audit Data Change Monitor per sottoporre a monitoring stretto gli accessi ad una selezione di data base, secondo le specifiche esigenze di ICCREA Banca