slide1 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Agenda PowerPoint Presentation
Download Presentation
Agenda

Loading in 2 Seconds...

play fullscreen
1 / 31

Agenda - PowerPoint PPT Presentation


  • 81 Views
  • Uploaded on

La sicurezza informatica nella Pubblica Amministrazione: da reazione a prevenzione Mariangela Fagnani Roma, 9 .05.2005. Agenda. Security: l'approccio necessario La metodologia Strumenti e progetti Le competenze.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Agenda' - donar


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1

La sicurezza informatica nella Pubblica Amministrazione: da reazione a prevenzioneMariangela FagnaniRoma, 9.05.2005

agenda
Agenda
  • Security: l'approccio necessario
  • La metodologia
  • Strumenti e progetti
  • Le competenze
slide3

L’approccio alla Sicurezza si è evoluto negli ultimi anni verso il concetto di “Enterprise Security”, ovvero la protezione degli asset realmente critici per i servizi forniti dalle Pubbliche Amministrazioni

Esposizioni di sicurezza fisica

Confidenzialità dei dati

Minacce dall’esterno

.. da problema tecnico a problema aziendale…

Asset fisici

+

reazione

Esposizioni di sicurezza logica

Integrità e disponibilità dei dati

Minacce dall’esterno e dall’interno

Asset informatici

+

Analisi dei rischi e delle vulnerabilità

Monitoraggio attivo (rete, sistemi,etc.)

Gestione degli incidenti

Gestione degli utenti

Amministrazione della sicurezza

prevenzione

Asset informativi

+

proattività

Monitoraggio della sicurezza territoriale

Gestione dell’interazione col territorio

Gestione delle variabili socioeconomiche

Compliance con le normative

Business Asset

1990’s

1995’s

2000’s

1980’s

2003’s

Fonte: IBM su dati IDC/Bull 2003

slide4
La consapevolezza del proprio “Territorio” permette all’amministrazione di individuare correttamente gli Asset da proteggere

Territorio

l’insieme dei soggetti, delle relazioni, dello spazio fisico e delle condizioni economiche che rendono possibile alle aziende il raggiungimento dei propri obiettivi economici e sociali

ASSETS

Beni

Informazioni

Infrastrutture

Immagine

Servizi

Processi

Locations

Persone

Istituti Finanziari

territorio

Dipendentii

Erogatori di utilities

Operatori ambientali

Pubblica Amm.ne Locale

Clienti

ENTE

Pubblica Amm.ne Centrale

Aziende collegate

Pubblico

Operatori Telco

Forze di Polizia

Impianti delocalizatii

Enti controllo infrastrutture

Operatori sanitari

Fornitori

slide5

La capacità di proteggere gli Asset dipende dalla corretta comprensione delle minacce e dei requisiti cui è sottoposto il “Territorio” in cui le Pubbliche Amministrazioni stesse operano…

Minacce

Fisiche

Requisiti

Legali

Requisiti di

Pubblico servizio

Requisiti

Contrattuali

Requisiti di

Riservatezza

ENTE

Minacce

Territoriali

Minacce

Logiche

Requisiti di

Disponibilità

Requisiti di

Integrità

slide6
…e richiede alle Pubbliche Amministrazioni di adottare un’architettura di “business resilient”, coerente con il proprio modello di Business

Resilience

Disegno di un’architettura di business che supporta ed estende la flessibilità strategica e l’adattabilità operativa diminuendo il rischio aziendale

Business

Resilience

Cultura aziendale, governance,

policy e procedure

Organizational Resilience

Processi di business e amministrativi

integrati a livello operativo

Business Process Resilience

Resilient Infrastr.

L’Enterprise Risk Management è un

concetto noto basato sull’assicurazione

Business Continuity Planning,

Programmi di Security e Safety,

Capacity planning

guidati dalla tecnologia

Enterprise Risk Management

Security/

Safety

Perf. &Capacity

Business Continuity

Disaster Recovery

Assicurazione

  • Condizioni fondamentali per la realizzazione di un’azienda “resilient” sono:
    • La continuità del business
    • La gestione del rischio
slide7

Comprensione del “Territorio operativo”

  • Individuazione delle scoperture di sicurezza (organizzative e tecnologiche)
  • Prioritizzazione degli interventi
  • Individuazione e disegno delle contromisure adeguate
  • Implementazione delle soluzioni e dei prodotti
  • Gestione del rischio (Certificazione di Sicurezza delle informazioni BS7799:2 2002)

What should I do?

ASSESS

Business Assets Security

PLAN

RUN

Manage it.

DESIGN

Help me do it.

IMPLEMENT

Security Governance

Il programma di sicurezza si affronta adottando una metodologia per fasi, capace di comprendere e gestire gli asset rilevanti per la missione aziendale e per la sua tutela

un esempio di component business model per un ente della difesa

Global Security/ Defense Environment

Develop Material Capabilities

Develop Personnel Capabilities

Acquisition

Operations

Sustainment

Enablement

Coalition/Combined Capabilities planning

Scenario Planning and Outcome Based Strategy

Trade and Collaboration Control Strategy

Strategic Planning

Lifecycle Planning

Corporate Planning

Budget and Cost Management

Integrated Demand and Supply Planning

Force Posture Planning

National Security/

Defence Strategy

Advanced Technical Research Planning

Personnel Capability Planning

Acquisition Strategy

Direct

Human Capital Policy and Workforce Planning

Coalition/Combined Forces Course Of Actions & Doctrine

Operational Planning

Supply Chain Strategy

Force Package Personnel Capability Requirements

Force Package Material Capability Requirements

Deliberate Planning

Intelligence Synthesis and Forecasting

Policy Development

Situational awareness/ OOTW

Prioritization and Evaluation of Capability Opportunities (ROI)

Personnel Performance Management

Monitoring and Management of Acquisition Performance

Operational Readiness Performance Management

Sustainment Management and Performance Monitoring

Regulatory and Statutory Agreements

Monitor Security Assistance Agreements

Legislative and Public Affairs

Configuration Management

Education, Training and Development Management

Manage Industrial Collaboration (Defense Integrators and Contractors)

Control

Operational Performance Management

Corporate Performance Management

Demand and Supply Analysis

Monitor Coalition and Spectrum Agreements

Common Operational Picture Maintenance

Technology Innovation Infusion and Control

Vendor Management

Establish Coherent Coalition Network Environment

Advanced Research and Development

Personnel Recruitment

Contract Management

Integrated Command and Control

Demand and Supply Management

Human Resource Management and Administration

Inventory Management

Quality Requirements Assessment and Control

Program Management

Personnel Education, Training and Development

Force Preparation

Financial accounting and GL

Establish Coalition Spectrum Agreements

Purchasing

Force Deployment

Acquisition and Deployment into service of Material Assets

Facilities and Infrastructure Management

Life Cycle Tradeoff Analysis

Asset Visibility and Management

ISR Tasking and Collection

Execute

In Service Maintenance Planning and Execution

Modeling and Simulation

Cost Controlling

Integrated Mission Execution

Base Management

Test and Evaluate Concepts and Prototypes

Out of Service Maintenance Planning and Execution

Maintain Secure Battle space Networks

Manage Sales

Programme Specification and Design

Manage Health, Environment and Safety

Transportation Distributions and Disposition

Force Re-Deployment

Un esempio di Component Business Model per un ente della difesa
slide9

What should I do?

ASSESS

Information Security

PLAN

RUN

Manage it.

DESIGN

IMPLEMENT

Help me do it.

Security Governance

Offered Service

Consumed Service

La scomposizione dei componenti permette di identificare i punti critici dei processi e individuare le modalita’ per la loro sicurezza…

E X A M P L E

For illustration only

Asset Availability

Asset assignement

Fleet

Management

Asset Availability

Location Information

Location Information

Asset visibility management

Reserve Asset

Check-In asset

Profile Management

User Profile

Check assignement

Check-Out asset

User Profile

Contromisure

Minacce

slide10

Security Governance

… e definire gli elementi (Goals & Security KPIs) di misurazione e di governance del processo anche dal punto di vista della sicurezza

What should I do?

ASSESS

Information Security

PLAN

RUN

Manage it.

DESIGN

Help me do it.

E X A M P L E

For illustration only

slide11

Security Governance

  • Soluzioni per
  • Minacce Fisiche
    • Videocontrollo digitale
    • Videoregistrazione (radar - telecamere infrarosso);
    • Controllo del transito di personale (badge, lettori biometrici, smart card…)
    • Controllo dei mezzi operativi (lettura targhe, telepass, ..)
    • Controllo merci in transito (tracking, localizzazione e identificazione ottica)
    • Sistemi Antincendio
  • Soluzioni per
  • Minacce Logiche
    • Controllo degli accessi (persistent password, digital signature, biometric, …)
    • Sicurezza della rete (monitoraggio, IDS, firewall, …)
    • Continuità delle operazioni (redundancy, Fault Tolerance, backup/recovery)
    • Protezione dei dati (classificazione, data handling procedures, ..)
  • Soluzioni per
  • Minacce Territoriali
    • Sistemi di monitoraggio (telerilevamento, elaborazione dati gestione sicurezza ed efficienza degli impianti di produzione)
    • Sistemi telematici di collegamento con terze parti (organi di sicurezza, pronto intervento, …)
    • Soluzioni di Disaster Recovery e Business continuity
    • Certificazione ambientale
    • Rfid per il tracking delle merci/prodotti
  • Soluzioni per Minacce Territoriali (cont.)
    • Innovazione dei processi
    • Infrastrutture on demand
    • Innovazione delle competenze
    • Esternalizzazione dei rischi / attività
Il disegno e l’implementazione delle soluzioni di sicurezza pone le Amministrazioni in grado di tutelarsi da ogni tipologia di minaccia

What should I do?

ASSESS

Information Security

PLAN

RUN

Manage it.

DESIGN

IMPLEMENT

Help me do it.

slide12

Security governance

Enterprise governance

Controlli

di

Sicurezza

Corporate

Governance

(Conformance)

Business

Governance

(Performance)

Accountability

Value Creation

Ottimizzazione dei controlli

Diminuzione dei costi

La realizzazione di un Sistema di Security Governance permette diottimizzare gli altri strumenti di governance a disposizione dell’amministrazione

Controllo Sicurezza

Lavoro

Controllo Ambientale

Controllo di Qualità

Controllo di gestione

slide13

2

Security Governance

QUADRO OPERATIVO

Ricognizione misure di sicurezza

Mappatura Processi

1

QUADRO

NORMATIVO

Politiche

3

Standard

Ridisegno dei Processi

QUADRO

ORGANIZZATIVO

Procedure

Evidenza dei Task operativi

Organizz. Di Sicurezza

Istruzioni

Job Description

Workshop di formazione

Evidenza Gap da colmare

Solamente attraverso un’adeguata organizzazione delle attività di sicurezza è possibile garantire il funzionamento del sistema di governance aziendale

What should I do?

ASSESS

Information Security

PLAN

RUN

Manage it.

DESIGN

IMPLEMENT

Help me do it.

slide14

L’offerta di sicurezza di IBM si sviluppa attraverso cinque aree che indirizzano i vari aspetti della sicurezza

  • Best Practice
  • Risk Governance
  • Conformita’ con leggi/regolamenti
  • Confidenzialità e protezione della proprietà intellettuale
  • Sicurezza applicazioni di business
  • Architetture di sicurezza

Politiche e Architetture di sicurezza

  • Best practice
  • Protezione fisica dei sistemi
  • Controllo e Protezione Territorio
  • Protezione Infrastrutture vs tecnologie web-based
  • Firewall
  • IDS
  • Antivirus & content filtering
  • Mobile & wireless security
  • Crittografia
  • IT Security Management

Asset

Protezione delle infrastrutture critiche

Sicurezza

delle infrastrutture tecnologiche

  • Strategie & best practice
  • Business Impact Analysis
  • Tecnologia e strumenti
  • Servizi
  • WEB svc
  • Infrastruttura a Chiave Pubblica
  • Gestione delle Vulnerabilità
  • Configurazione di sicurezza e gestione del fixing/patching
  • Gestione delle Identità e degli Accessi
  • Single Sign on
  • Gestione delle Identità Federate

Business Continuity

Amministrazione della Sicurezza

Sources: Gartner Group 2004

slide15

Pianificazione

ISMS

Valutazione

Implementazione

Verifica

Il Sistema di Gestione della Sicurezza e’ fondamentale per garantire il controllo del livello di sicurezza e l’aderenza a standard (es. BS7799 già standard ISO), legislazioni (es. D.Lgs. 196/03) e Linee Guida Cnipa

BS7799-1

Utilizzare un framework condiviso da tuttiper…

sviluppare, implementare e monitorare le modalità di gestione della sicurezza per… migliorare la fiducia nelle relazioni interaziendali

BS7799-2

Indica i requisiti per la certificazione di un..

… sistema di gestione per la sicurezza delle informazioni

Codice Data Privacy

regolamentare le modalità di gestione e la custodia dei dati che riguardano sia le caratteristiche della persona (dati personali) che le abitudini, scelte ed opinioni (dati sensibili) per proteggere la sfera privata e la dignità delle persone fisiche e di quelle giuridiche.

1. Politica di sicurezza

2. Organizzazione di sicurezza

3. Controllo e classificazione asset

4. Sicurezza personale

5. Sicurezza fisica

6. Operations and communication

7. Controllo accessi

8. Sviluppo e manutenzione sistemi

9. Business Continuity Management

10. Compliance

slide16

Utenti

Sistemi

Operativi

Workstations

DB

Applicazioni

Il Security Compliance Management consente di controllare la sicurezza e la conformita’ dei server e delle stazioni di lavoro con le politiche prestabilite

Problematiche lato IT:

Slammer, MSBlaster,

OS patches,

violazione di password, ecc

  • Controllo sistemi e piattaforme
    • Vulnerabilita’ e violazioni verso le policy di sicurezza
  • Principali benefici per I clienti:
    • Aiuta a rendere sicuri ed integri i dati dell’amministrazione
    • Identifica le vulnerabilita’ di sicurezza del software
    • Riduce i costi IT attraverso l’automazione, la centralizzazione e la separazione delle responsabilita’
    • Aiuta nella conformita’ con standard e leggi

Problematiche di Business: normative, standards

CxO

IT security

IT Environment

slide17
La strategia di integrazione di IBM & Cisco offre una soluzione proattiva che rileva e rimuove gli attacchi alla rete

Gestione delle Identità e degli Accessi

Identifica e gestisce in maniera efficace i profili-utente

Condiziona l’accesso alla rete in funzione dei requisiti di sicurezza dei diversi device

Cisco Self-Defending Networks

Identifica, previene e si adatta alle minacce

Limita i danni provocati da virus e worms

Unisce funzionalità di Identity Mgmt ad un sistema

di protezione dalle minacce a livello di sistema

  • Endpoint
  • Protected client
  • Trustedidentity
  • Endpoint
  • Protected servers

Compliance & Remediation

Identificazione, contenimento e sanitizzazione delle infezioni

Policy enforcement

il valore e l evoluzione delle soluzioni di identity management
Il valore e l’evoluzione delle soluzioni di Identity Management

Federated Identity

Management

Secure Web

Services for SOA

Secure Platform

for Applications

Identity Management Value

Identity Management

for e-business

Web Single

Sign-On

User Administration

Single Web Application Security

Web Security Extranet, Intranet Middleware

Security for Corporate Enterprise Portals

Secure Business to Business Integration

Single Web Application Security

Web Security Extranet, Intranet Middleware

Secure Business to Business Integration

Security for Corporate Enterprise Portals

slide19

One Password

Login

Please enter your ID and password

ID

Password

One Login

C

One Audit Trail

Access Manager

139576

SECURID

Le soluzioni di Single Sign On migliorano l’operativita’ degli utenti e la sicurezza degli accessi alle applicazioni Web

Autenticazione Flessibile

Portali, CRM, ERP Web Solutions

BroadVision, mySAP, and more . . .

Web Application Servers

Any other via J2EE, JAAS, and/or aznAPI

Desktop SSO

Active Directory integration

Linux, UNIX, RACF Systems

Domino, iNotes, Sametime,

Team Workplace

Servizi di Gestione

delle Identità Digitali

Messaging

IBM Directory Server

Sun ONE Directory

Novell eDirectory

Active Directory

Lotus Domino Directory

Tivoli Identity Manager

WebSphere MQ

  • Layered authentication
  • Enforce user entitlements
  • Web single sign-on

Secure Clients

Biometric, Proximity Tokens

slide20

Tivoli Identity Manager

Tivoli Access Manager for e-Business

Le soluzioni di Single Sign On e di strong authentication possono essere estese anche alle applicazioni di tipo legacy

La soluzione utilizza il Thinkpad T42 o ActivCard per la strong authentication e il login ai sistemi aziendali

slide21

Attraverso soluzioni di “Integrated Identity Management” si centralizza la gestione delle identita’ e si introducono funzionalita’ di provisioning e sincronizzazione password

Flusso dati (input)

Engine User Provisiong e Metadirectory

Servizi di Work-Flow 

Funzionalità/servizi futuri

Gestione delle politiche di provisiong 

Mappatura Organizzativa

Gestione politiche RBAC

( Role Based Access Control )

Controllo Accessi

Servizi distribuiti

Directory

Services

LDAP V3

Servizi gestione dei dati

Connettività remota

Audit & Reporting

Flusso dati (output)

Sistemi e Applicazioni target

slide22

W2K AD

Px

P1

P2

RACF

Policy 2

RACF

W2K AD

Policy 1

Role 1

Role 3

Role 2

RACF

Exchange

Exchange 1

Exchange

Exchange 1

W2K AD

RACF

1

Scelta Servizio

2

L’applicazione delle regole di “provisioning” nel modello

Organizzazione logica dell’Azienda

Organizzazione fisica sistemi IT

Politiche di controllo accessi / abilitazioni a servizi

Persone

Fisiche (utenti)

Politiche

Ruoli/Mansioni

( Attachements )

Servizi Target

Sistemi fisici

0,N --- 0,N

0,N --- 0,N

1 --- 1

NT PDC

Nom

Unità

Ruolo

Email

Aliases

Exchange

  • Nome
  • Descrizione
  • priorità
  • membership
  • attachements
  • Nome
  • Utilizzatore
  • Descrizione
  • Ruolo dinamico :
  • Regola

Exchange

  • Nome
  • Servizio
  • Tipo
  • (manuale/automatico)
  • Gestione degli attributi
  • Workflow (Processi di validazione)

X

Processo di validazione

Priorità x

slide24
Nell’ambito di un modello di cooperazione applicativa uno dei problemi chiave e’ la gestione delle identita’

Suppliers

Partners

Service

Provider/

Aggregator

Business Clients

Outsourced Providers

Distributors,Brokers

  • Non esistono meccanismi standard per il “trust” delle identita’ da Partners & Terze Parti
  • La mancanza di fiducia implica la replica delle informazioni degli utenti
  • Gestione degli utenti costosa e inefficiente
  • Esposizione di sicurezza, conformita’ e privacy
slide25

Partner

Company A

Third Party

Pension Holder

Company C

Insurance Provider

Company B

Stock Options

La soluzione di Federated Identity Management, basata sui Web Services, indirizza il problema di gestione delle identita’

Una federazione e’ un gruppo di 2 o piu’ “trusted” partners che, tramite accordi contrattuali e tecnici, consentono ad un utente di un partner della federazione di accedere alle risorse di un altro partner in modo sicuro e fidato

  • Riduce i costi di gestione delle identita’
  • Migliora l’operativita’ dell’utente
  • Semplifica l’integrazione
  • Migliora la Governance

Utente Terza Parte

End User

i ruoli in un modello federato fornitore delle identit e fornitore dei servizi
I ruoli in un modello federato: Fornitore delle Identità e Fornitore dei Servizi

Parte “Garante” della transazione

Parte “Validante” della transazione

Fornitore dei

Servizi

Fornitore

delle

Identità

Mutua FIDUCIA

  • Controlla l’accesso ai servizi
  • Gli utenti delle Terze Parti mantengono l’abilitazione ad accedere ai servizi esclusivamente per la durata del rapporto di “federazione”
  • Gestisce direttamente i soli attributi-utente relativi alla corretta fruizione del servizio offerto.

1. Fornisce le credenziali (Network / Login)

2. Gestisce gli Utenti ed i rispettivi ID

3. Autentica gli utenti

4. “Garantisce” circa l’identità degli utenti

le tecnologie e gli standard in ambito di federated identity management
Le tecnologie e gli standard in ambito di Federated Identity Management

Gesteionde delle Identità perWeb Services Federati(HTTP e SOAP-based SSO)

HTTP SSO(SAML protocol)

Gestione delle Identità Federate(SAML protocol)

SAML

(Passivo)

WS-Federation

(Passivo, Attivo)

Liberty

(Passivo)

Supporto per vari protocolli Web Services

HTTP Federation

slide28

Cruscotto Centralizzato

    • Modulare
    • Flessibile
    • Gestione e selezione delle informazioni
    • Gestione identita’ accesso logico e fisico
    • Assistenza decisionale
    • Configurabile sull’utente

La protezione fisica delle infrastrutture critiche sfrutta tecnologie all’avanguardia e consente la gestione integrata delle identita’ fisiche e logiche

slide29

La realizzazione di processi “sicuri” si basa sul concetto di creazione del valore ed è realizzabile unicamente attraverso un approccio globale End-To-End

Information

Security

Innovation Value

  • IBM Business Consulting Services
  • IBM Global Financing
  • Business
  • Value
  • Services
  • Financing
  • IBM Global Services
  • Personal and Printing Systems Group
  • Server Group
  • Software Group
  • Storage Systems Group
  • Infrastructure
  • Value
  • Hardware
  • Software
  • Services
  • Component
  • Value
  • Technology Group
  • Research
  • Technology
slide30
..... e richiede l’utilizzo di numerose e specifiche competenze da integrare e indirizzare nella medesima direzione

Competenze specifiche, esperienze multisettoriali e risorse a disposizione, nel mondo e in EMEA, costituiscono i principali punti di forza dei team di lavoro IBM, la più grande comunità sulla sicurezza a livello mondiale, 3.000specialisti di sicurezza che lavorano come un unico team e in maniera globale

EMEA Labs & CoC

  • Copenaghen
  • Hursley
  • Zurich
  • La Gaude
  • Rome
  • Haifa

EMEA

  • Wireless Center of Competence
  • Managed Security Services Delivery Center
  • Security & Privacy Practice
  • Research Labs

BCRS – DR Centers

  • 140 centers worldwide
  • 71 in Europe
  • 2 in Italy

Americas

  • Security Center of Competence
  • PKI Center of Competence
  • Managed Security Services Delivery Center
  • Business Innovation Center/ Ethical Hacking Lab
  • Security & Privacy Practice
  • Research Labs

Asia Pacific

  • Managed Security Services Delivery Center
  • Business Innovation Center/ Ethical Hacking Lab
  • Security & Privacy Practice
  • Research Labs