La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Lassistenza alle aziende per aspetti tecnologici e sistemici Roma, 23 ottobre 2007 Dr. Giorgio Scarpelli Vice President – VP Tech.

Presentazioni simili


Presentazione sul tema: "Lassistenza alle aziende per aspetti tecnologici e sistemici Roma, 23 ottobre 2007 Dr. Giorgio Scarpelli Vice President – VP Tech."— Transcript della presentazione:

1 Lassistenza alle aziende per aspetti tecnologici e sistemici Roma, 23 ottobre 2007 Dr. Giorgio Scarpelli Vice President – VP Tech

2 1 CODICE Agenda Profilo di VP Tech Metodologia e modello tecnologico per rispondere alle necessità di Data Privacy Conclusioni

3 2 CODICE VP Tech è il partner di clienti importanti per ciò che riguarda la gestione di progetti in ambito di sicurezza aziendale Strategia di posizionamento della sicurezza Organizzazione e governo dei processi di sicurezza Progettazione/realizzazione soluzioni di sicurezza Pianificazione di sistemi di Security Intelligence Consulenza e Soluzioni di Sicurezza Obiettivo: portare al mercato unofferta di servizi in ambito security capace di coniugare aspetti consulenziali, tecnologici ed economici al fine di creare valore per i propri clienti Referenze principali: telecomunicazioni, industria, sanità e pubblica amministrazione, presenza nel mercato finance Forti legami con il mondo universitario e con centri di R&D e realtà tecnologiche a livello nazionale e internazionale e accesso a finanziamenti europei Certificata ai sensi della norma ISO 9001:2000 150 professionisti dedicati alla Sicurezza Informatica Profilo di VP Tech

4 3 CODICE VP Tech supporta i propri clienti intervenendo con efficacia a vari livelli del modello operativo per la gestione della sicurezza Security Operations Center Security Knowledge Management e Governance Security Knowledge base management Security investment evaluation Infrastruttura di pro- tezione della rete e delle sue interconnes- sioni, dei sistemi e delle applicazioni Tecnologie di gestione della identità digitale degli utenti dei servizi informatici (autentica- zione, autorizzazione e controllo accessi) Sistema di crisis mgmt e disaster recovery a supporto del contingency plan per garantire la conti- nuità del business aziendale Allineamento assetto organizzativo e impianto normativo per le procedure da applicare in fase di esercizio e gestione dei sistemi informatici Sistema di monito- raggio degli eventi di sicurezza generati dalle infrastrutture Sistema di analisi e gestione del processo di Information Risk Management Struttura, strumenti e processi di gestione degli incidenti di natura informatica Sistema di gestione delle informazioni generate da sistemi e servizi di Information Security Modello finanziario di valutazione di CAPEX e OPEX per le spese in Information Security (TOP Management / Security Management) (Security Management) (Security Operations Staff) Security Infrastruc- ture & mgt Sicurezza applicativa e dati Sicurezza perimetrale e reti comunicazione Business Continuity e Crisis Mgmt Organizational model & operational procedures Risk Assessment e Mgmt Incident Handling Security Monitoring Enterprise Security Portal

5 4 CODICE Alcune referenze

6 5 CODICE Agenda Profilo di VP Tech Metodologia e modello tecnologico per rispondere alle necessità di Data Privacy Conclusioni

7 6 CODICE Le informazioni sono un asset fondamentale di qualsiasi organizzazione Gli obiettivi di business di unazienda sono strettamente correlati alla fruizione delle informazioni, il cui valore continua a cresce in funzione dellevoluzione del contesto relazionale, sempre più immateriale, in cui il business si attua Volumi 7080 90 2000 oggi Dati Applicazioni Sistemi Processi Obiettivi …Determinano un costante incremento del volume dei dati trattati… …Sempre più centrali rispetto alle stra- tegie di business delle aziende Soggetti che generano ed elaborano informazioni Soggetti che generano ed elaborano Informazioni … Banche ….. Istituzioni ….. Assicurazioni ….. Utilities …… Servizi …….. Telecomunicazioni …… Trasporti ……. Banche ….. Istituzioni ….. Assicurazioni ….. Utilities …… Servizi …….. Telecomunicazioni …… Trasporti …….

8 7 CODICE Le esigenze di business si intersecano con gli obblighi normativi a tutela dei diritti degli owner dei dati Per lazienda questo comporta: La singola azienda, oltre che dellapplicazione della normativa ordinaria, in particolare di quella sulla Privacy, deve tener conto dei provvedimenti specifici del Garante per azienda/settore 1 Disporre di una catena di comando Privacy efficiente e formalizzata (Titolare del trattamento Responsabile Incaricato) Avere unorganizzazione interna flessibile che risponda tempestivamente alle richieste del Garante Implementare e aggiornare uninfrastruttura tecnologica che sia sempre Privacy compliant 2 3

9 8 CODICE La problematica non è solo un fatto legale e burocratico Trattamento dei dati permesso solo a chi è espressamente incaricato Principi generaliInterventi tecnologici richiesti Assegnazione di responsabilità individuale per tutti i trattamenti dei dati critici, anche se effettuati mediante procedure automatizzate Attribuzione inequivocabile delle azioni compiute su un dato critico al suo effettivo autore -Separation of duties -Processo autoritativo controllato di assegnazione dei privilegi sulle risorse -Controllo non aggirabile dellidentità e dei privilegi di ciascun incaricato che accede al dato -Ownership dichiarata dei dati e dei sistemi che li elaborano -Identificazione certa degli incaricati di ciascun trattamento, allaccesso ai sistemi elaborativi ed ai dati -Assegnazione di privilegi minimi per poter operare sui soli dati e per le sole operazioni relative al ruolo/mansione aziendale assegnata (need-to-know) -Tracciamento completo, integro e non ripudiabile di tutte le operazioni compiute sui dati critici (incluse le operazioni di sola visualizzazione) Lo scenario normativo in tema di data privacy richiama la necessità di adottare adeguate contromisure volte a garantire una maggior sicurezza nel trattamento dei dati. Esso tende sia ad affermare alcuni principi, sia ad indirizzare le contromisure organizzative e tecnologiche atte a metterli in pratica

10 9 CODICE Per una risposta efficace, è necessario impostare una strategia basata su tre aspetti fondamentali Costruire il modello Definire una metodologia Progettare linfrastruttura tecnologica a supporto

11 10 Il modello di riferimento, per una efficace strategia di sicurezza, deve ribadire la centralità dei dati trattati Dati Privacy Dati rilevanti per la Privacy Imposta la strategia complessiva ed il modello di Security per mitigare i rischi correlati alla tutela della Privacy Fornisce gli strumenti per il controllo armonico ed efficiente dei processi di attribuzione e verifica dei privilegi sulle risorse critiche, in accordo alle policy formalizzate Consente di attribuire inequivocabilmente la responsabilità dei trattamenti effettuati sui dati critici alleffettivo owner Attribuita e formalizzata in rapporto ai dati critici, anche in termini di responsabilità oggettive pertinenti alla tutela della Privacy Censiti e valutati in rapporto ai dati critici che elaborano. Regolati da policy che normano le modalità di interazione con i dati critici - - Definiti e formalizzati rispetto al business aziendale Classificati in base alla rilevanza in rapporto alla Privacy - - Costruire il modello Definire una metodologia Progettare linfrastruttura tecnologica

12 11 E necessario utilizzare un approccio metodologico rigoroso correlato ad un framework tecnologico di riferimento Lattuazione di una roadmap efficace verso gli obiettivi di data privacy compliance riguarda sia lambito organizzativo e di processo che lambito tecnologico; ciò può avvenire secondo una metodologia specifica mutuabile dai principi canonici della gestione del rischio Layer infrastrut- turale e tecnologi- co Layer dei processi e dellorga- nizzazione Definizione e classificazione dei dati critici trattati dallazienda Censimento dei processi e dei sistemi di elaborazione che li trattano Analisi dei rischi correlati alle specifiche minacce ai requisiti di privacy sui dati critici Infrastruttura per la gestione delle credenziali e dei privilegi per le utenze applicative e gli addetti IT Interventi sulle applicazioni per la conformità ai requisiti di identi- ficazione, auto- rizzazione, trac- ciamento utenze Interventi per la sicurezza di SO e DB per gestione accessi, controllo privilegi, riservatezza dei dati e tracciamento degli addetti IT Sviluppo di un sistema di auditing sui trattamenti operati sui dati critici Sviluppo del modello delle contromisure inquadrate in un framework di riferimento condiviso Verifica dellownership sui processi / applicazioni / sistemi coinvolti Costruire il modello Definire una metodologia Progettare linfrastruttura tecnologica

13 12 AUDIT LOG CENTRALIZZATO Il modello tecnologico deve gestire il ciclo di vita completo delle identità aziendali, ponendo sullo stesso piano le utenze applicative e sistemistiche ApplicazioneS.O. End UserAddetti IT DB Valore + - trend Sicurezza applicativa Accesso, controllo autorizzazioni, protezione risorse, tracciamento non ripudiabile Securizzazione S.O. Accesso, tracciamento Comandi, controllo privilegi sulle risorse, cifratura Securizzazione DB Accesso, tracciamento Comandi, controllo privilegi sui dati, cifratura WORKFLOW AUTORIZZATIVO GENERALE Repository unico delle identità Legenda flussi Identity mgmt / provisioning Collezionamento log accesso diretto da parte degli utenti finali accesso indiretto da parte degli utenti finali Accesso diretto da parte degli Addetti IT Costruire il modello Definire una metodologia Progettare linfrastruttura tecnologica

14 13 Implementazione della strategia di data privacy: Aspetti legati al contesto aziendale Lefficacia della strategia di data privacy può essere condizionata da alcuni fattori di contesto che devono essere attentamente considerati Aspetti di contestoFattori di rischio La trasversalità degli interventi richiesti presuppone il coinvolgimento dellintera organizzazione -Scarsa maturità dellorganizzazione della sicurezza per affrontare la problematica a livello globale -Mancanza di ownership e responsabilità dichiarate -Mancanza di organismi di controllo interno 1 I requisiti e le contromisure richieste devono riguardare tutti i domini tecnologici, inclusi i sistemisti e gli addetti IT -Indisponibilità a rivedere le modalità operative consolidate, in particolare per la gestione dei datacenter -Privilegio dellefficienza operativa a scapito della sicurezza 2 Gli interventi richiedono investimenti specifici -Mancanza di commitment da parte degli stakeholders -Conseguente limitatezza del budget -Necessità di attuare interventi specifici nellambito della gestione ordinaria dei sistemi informativi 3

15 14 Accorgimenti per contrastare i fattori di rischio Agire sul piano dellorganizzazione della sicurezza e dellawareness sulla problematica : La compliance è uno dei driver, ma proteggere i dati riguarda direttamente il business; è necessario il coinvolgimento di diverse funzioni con finalità ed obiettivi specifici. 1

16 15 Accorgimenti per contrastare i fattori di rischio Collaborare con le linee operative per definire un insieme di contromisure sostenibili : Costruire un modello tecnologico organico ma a building blocks, implementabile a perimetri concentrici, nellambito di una roadmap concordata con tutti gli owner coinvolti Definire una baseline tecnologica di sicurezza comune, identificando un set di contromisure per ciascun dominio, caratterizzate da basso impatto operativo e TCO accettabile 2 Possibile Baseline di sicurezza Identità utente univocamente determinabile fra i vari layer Centralizzazione Identity Repository Centralizzazione dei processi di Identity Management e provisioning mediante applicazione di workflow operanti sul repository centralizzato Centralizzazione dei processi di autenticazione e rafforzamento dei metodi di controllo accesso Applicazione del principio del minimo privilegio Organizzazione e classificazione delle risorse per grado di criticità e rilevanza Gestione dei privilegi per ruoli, responsabilità e mansioni Piano condiviso con le varie funzioni per la bonifica degli account di gruppo Centralizzazione e correlazione dei sistemi di tracciatura degli accessi e delle azioni svolte Consolidamento dei log prodotti ai vari layer Networking Applicazione Server / File System DataBase Middleware Dati critici = Utenze individuali = Account applicativi = Account Sistemistici

17 16 Accorgimenti per contrastare i fattori di rischio Adottare una strategia di comunicazione verso lalto che evidenzi chiaramente i rischi di business correlati al tema della data privacy, ma anche il valore aggiunto che una strategia di compliance può portare allefficienza dei processi ed allimmagine dellazienda verso il mercato 3 Nella predisposizione di una roadmap di interventi, su cui ottenere il commitment degli stakeholders, lattenta considerazione dei seguenti punti può rappresentare un elemento chiave di successo: Flessibilità ed adattabilità delle soluzioni proposte La soluzione deve poter rispondere alle necessità specifiche degli ambienti target in cui si cala, garantendo una risposta tecnologica che sia commisurabile al grado di criticità dei sistemi ed evitando di introdurre overhead amministrativi non necessari Scalabilità ed apertura evolutiva La soluzione non deve introdurre vincoli in termini di scalabilità e di adattabilità a contesti futuri, intesi sia come nuove piattaforme da gestire, sia come sostenibilità delle evoluzioni tecnologiche relative alle piattaforme IT in generale La roadmap deve puntare alla salvaguardia degli investimenti, realizzando un disegno architetturale che massimizzi i potenziali savings, in termini di CAPEX ed OPEX, legati sia al riutilizzo di componenti Hw/Sw, sia allaumento della produttività delle utenze coinvolte Massimizzazione dei savings

18 17 CODICE Agenda Profilo di VP Tech Metodologia e modello tecnologico per rispondere alle necessità di Data Privacy Conclusioni

19 18 Conclusioni Le esigenze di compliance, in particolare in tema privacy, impongono una revisione dei processi di business, allo scopo di evidenziare il possibile scollamento fra limpianto normativo e le policy di sicurezza e leffettiva applicazione nei sistemi IT Ciò deve realizzarsi secondo una metodologia che coinvolga lorganizzazione ad ogni livello, impostata secondo una strategia di Security Governance che definisca il perimetro e ponga gli obiettivi, verificandone il raggiungimento nellambito di un piano organico condiviso e di un framework tecnologico di riferimento Lobiettivo richiede il contributo di diversi interlocutori: il fornitore delle tecnologie di base, la consulenza strategica, il system integrator, etc. che devono operare in stretta sinergia verso il cliente Lesperienza VP Tech, nonché la sua specializzazione distintiva su tutte le tematiche di Security maturata presso molte organizzazioni, ci pone come un partner di eccellenza in grado di fornire un contributo determinante per affrontare e gestire la problematica

20 19 giorgio.scarpelli@vptech.it.scarpelli@vptech.it


Scaricare ppt "Lassistenza alle aziende per aspetti tecnologici e sistemici Roma, 23 ottobre 2007 Dr. Giorgio Scarpelli Vice President – VP Tech."

Presentazioni simili


Annunci Google