1 / 30

Adempiere tecnologicamente al provvedimento del Garante per gli Amministratori di Sistema

Adempiere tecnologicamente al provvedimento del Garante per gli Amministratori di Sistema. Massimo Cotta Marketing & Presales Director R edco Telematica S.p.A m.cotta@redco.it. 20 Maggio 2009 – Assago - Milanofiori. Agenda. Situazione ad oggi in merito alle misure richieste dal Garante.

zion
Download Presentation

Adempiere tecnologicamente al provvedimento del Garante per gli Amministratori di Sistema

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Adempiere tecnologicamente al provvedimento del Garante per gli Amministratori di Sistema Massimo Cotta Marketing & Presales Director Redco Telematica S.p.A m.cotta@redco.it 20 Maggio 2009 – Assago - Milanofiori

  2. Agenda • Situazione ad oggi in merito alle misure richieste dal Garante • Un possibile approccio produttivo alla tematica • La soluzione tecnologica

  3. Le misure richieste dal Garante Di seguito sono indicati gli accorgimenti e le misure che vengono prescritti ai sensi dell'art. 154, comma 1, lett. c) del Codice, a tutti i titolari dei trattamenti di dati personali effettuati con strumenti elettronici, esclusi, allo stato, quelli effettuati in ambito pubblico e privato a fini amministrativo-contabili, ovvero:

  4. Le misure richieste dal Garante 4.3 Elenco degli amministratori di sistemaGli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza,…… Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema. 4.4 Verifica delle attivitàL'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.

  5. Fonte: http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499 Le misure richieste dal Garante 4.5 Registrazione degli accessiDevono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.

  6. Bene, e adesso? • Il quadro normativo da tenere presente è ben più ampio (es. Art. 4 Statuto Lavoratori) • La Normativa è assolutamente soggetta ad interpretazione • Ogni Azienda dovrà scegliere l’approccio più adeguato alla Normativa e definire la propria risposta • E’ fortemente consigliato valutare l’opportunità di unaconsulenza in ambito privacy / legale • La soluzione tecnologica sarà solo una parte del sistema globale che porterà al raggiungimento della compliance aziendale alla normativa • Non per ultimo, tutti sperano in una provvidenziale proroga….ma ciò ritarderà solo la reale risoluzione del problema che deve invece essere risolto quanto prima

  7. Chi ha letto la normativa si è certamente chiesto 1: Quali figure sono identificabili nel ruolo appartenente agli “Amministratori di Sistema” 6: Come poter garantire e provare che il dato memorizzato non sia stato alterato 2: Quali sono gli eventi da collezionare 3: Se occorre solo tracciare il login ed il logout dell’amministratore o anche l’attività svolta 4: Quanto spazio sullo storage servirà per collezionare tutti log 5: Come è possibile farsì che gli amministratori non cancellino le loro tracce informatiche

  8. Ecco le uniche risposte certe • Per «amministratore di sistema» si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali: • Amministratore di base dati • Amministratori di reti e di apparati di sicurezza amministratori di sistemi software complessi • Amministratori di sistemi di backup/restore e manutenzione hardware Avendo molte associazioni di categoria (Asstel, ABI, Confindustria) esposto i propri dubbi in merito ad alcuni aspetti del provvedimento, il 21 Aprile, il Garante ha aperto una consultazione pubblica (http://www.garanteprivacy.it/garante/doc.jsp?ID=1611986) per chiarire definitivamente i punti controversi. Tutti coloro che vogliano inoltrare suggerimenti, osservazioni o commenti avranno tempo fino al 31 maggio p.v. Non resta, quindi, che attendere il pronunciamento dell’Autorità Garante Privacy e sperare che possa finalmente fornire i chiarimenti richiesti.

  9. Fase2 Fase3 Fase1 Un possibile approccio “trifase” Considerando che, prima o poi, il provvedimento entrerà in vigore, valutiamo allora un possibile approccio organico alla problematica: Assessment Progetto Implementazione Tuning

  10. Che Cosa – Chi - Come • Definizione delle procedure per identificare e gestire gli accessi fisico / logici ai sistemi ed alla rete • Individuazione degli Amministratori di Sistema, di rete e delle banche dati, al fine della regolamentazione delle procedure elencate nella normativa del Garante • Definizione delle procedure per definire le modalità di raccolta, analisi e conservazione dei log di sistema • Individuazione degli apparati e dei sistemi che dovranno essere soggetti alla regolamentazione di raccolta ed analisi dei log Assessment Fase 1

  11. A conclusione dell’assessment procedurale e tecnologico potrà essere proposta l’adozione di sistemi idonei alla registrazione degli accessi logici ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. In questa fase si identificherà l’architettura tecnologicamente più adatta a soddisfare i prerequisiti tecnici e normativi identificati. Progetto Fase 2

  12. Questa fase riguarderà l’implementazione ed il tuning del sistema tecnologico proposto. L’obiettivo finale sarà la definizione di policy minimali e funzionali, che possano validare il percorso normativo / procedurale definito nella “Fase 1”. Implementazione Tuning Fase 3

  13. Disposizioni Garante Esigenze Aziendali Obiettivi progetto Ufficio Legale (risultati analisi) Assessment per identificazione sorgente dati Funzione Compliance (DPS) (risultati analisi) Policy Aziendale Amministratori di Sistema Procedure Soluzione tecnologica Il processo più corretto NO OK? SI

  14. Requisiti della soluzione tecnologica • La piena soddisfazione dei requisiti delle normative La soluzione tecnologica dovrà, come minimo, consentire: • Un’analisi efficace e veloce, a fronte di richieste ed incidenti • La gestione pro-attiva e reattiva di violazioni, mediante reporting ed alerting dedicato • L’enforcement delle policy di accesso • La correlazione degli eventi • L’ integrabilità verso sistemi proprietari/legacy • La certificazione dell’inalterabilità dei dati memorizzati • Una gestione semplificata e multi-livello delle attività operative

  15. Web cache & proxy logs Content management logs Web server activity IDS/IDP logs VA Scan logs Router logs Windows logs Client & file server logs Switch logs Firewall logs Wireless access logs VPN logs Windows domain logins Linux, Unix, Windows OS logs DHCP logs San File Access Logs VLAN Access & Control logs Mainframe logs Oracle Financial Logs Database Logs Una comune architettura aziendale

  16. IDS/IDP logs VA Scan logs Firewall logs Switch logs Client & file server logs VPN logs Windows domain logins SAN file Access Logs Mainframe logs Database Logs Oracle Financial Logs La razionalizzazione degli asset

  17. Il vendor di riferimento: RSA enVision

  18. L’architettura della soluzione - Collection • Raccolta di eventi “RAW” • Collezionamento completo (no prefiltering) • Sorgenti di tipologia eterogenea • Soluzione concepita per il Real-Time • Flessibilità per analisi future di diverse tipologie • Supporto ad elevati carichi in ricezione • Disaccoppiamento tra Raccolta ed Analisi/Reportistica • Possibilità di sviluppo a supporto di sorgenti dati “sconosciute” • Possibilità di approccio “incrementale” • Raccolta RealTime ed Agentless • Singolo punto di raccolta

  19. L’architettura della soluzione - Storage • Archivio WORM (Write Once Read Many) applicativo • Inalterabilità: NON esistono funzioni di modifica dei dati • Integrità: Hashing • Marcatura temporale interna • Conservazione su IPDB, NON su RDBMS (Relational Database Management System) • Differenziazione degli storage per rispettare le policy di ridondanza • Compressione dei dati archiviati • Possibilità di aumentare la protezione dei dati mediante funzionalità aggiuntive dei sistemi di storage supportati

  20. L’architettura della soluzione – Analisi / Data Management • Self-Auditing • Separazione Ruoli (funzionalità e visibilità dati) • Reporting (schedulabile) • Correlation & Alerting • Disponibilità di oggetti predefiniti e più di 1200 report e correlazioni • Singolo punto di accesso ai dati raccolti • Client per analisi forense

  21. Interfaccia grafica semplificata

  22. Interfaccia grafica semplificata

  23. I vantaggi – Semplicità di integrazione I logfile possono essere raccolti tramite: • Syslog, Syslog NG • SNMP • Formatted log files • Comma/tab/space delimited • ODBC connection to remote databases • Push/pull XML files via HTTP • Windows event logging API • CheckPoint OPSEC interface • Cisco IDS POP/RDEP/SDEE • Oltre 150 device già noti (www.rsasecured.com) • Universal Device Support (linguaggio XML-like) B-2

  24. - 80% - 65% I vantaggi – Ottimizzazione dello storage

  25. Interactive Query CorrelatedAlerts Realtime Analysis Baseline Report EventExplorer Forensics Integrated Incident Mgmt. WindowsServer NetscreenFirewall CiscoIPS Juniper IDP Microsoft ISS Trend Micro Antivirus Device Device I vantaggi – Scalabilità Analyze Manage Collect UDS RSA enVision Supported Devices Legacy

  26. Le “marce in più” della soluzione tecnologica • Raccolta, gestione ed analisi di qualsiasi tipologia di logfile • - Da qualsiasi device IP • - Eventi di ogni tipo • - Nel loro formato nativo (nessuna alterazione o normalizzazione) • Supporto di tutti i device • - Centinaia già noti e disponibili nel DB dell’apparato • - Espandibilità flessibile (Universal Device Support, xml-like) • Punto di osservazione centrale e globale • Accesso unico a tutte le informazioni su tutta l’infrastruttura • Rispetto dei profili e dei ruoli (con accesso protetto) • Installazione non invasiva • - Impatto nullo/minimo sull’infrastuttura monitorata (no agent) • - Facile integrazione

  27. Le “marce in più” della soluzione tecnologica • Funzionalità avanzate • - Alert e Reporting fortemente personalizzabili • Abilita ILM (Information Lifecycle Management) • - Uso ottimale dello Storage (compressione di dati raw) • - Consente l’applicazione di policy di Conservazione dei Dati • Implementa Scalabilità ed Alta Disponibilità • - Architettura di Raccolta non-stop • - Hot StandBy e Fault Tolerance • - Scalabile a caldo (anche per lo storage) • Performance elevate con TCO contenuto • - Referenze attive di 100.000 Eventi Per Secondo (EPS) e 10.000 device monitorati in tempo reale • - Impiego di appliance ad alte prestazioni anche nelle versioni entry level • - Scalabilità locale e geografica • - Nessuna competenza di DBA necessaria

  28. Riassumendo • L’adozione di un DPS strutturato e realmente conforme, semplificherebbe moltissimo l’adozione dei nuovi processi richiesti dal Garante • La nuova normativa non deve essere considerata un problema, ma un punto di partenza per il miglioramento delle procedure e dell’infrastruttura tecnologica aziendale • La scelta della soluzione tecnologica non deve essere dettata solo dagli obblighi dalla normativa in oggetto, ma deve essere valutata approfonditamente e considerata come una reale innovazione tecnologica per l’Azienda “ Dietro ogni problema, c’è una opportunità”

  29. Redco Telematica S.p.a Redco Telematica S.p.A , grazie ai suoi 24 anni di esperienza maturata sul mercato e alle referenze sino ad oggi maturate, è un partner qualificato in grado di proporre soluzioni professionali alle problematiche esposte.

  30. Grazie dell’attenzione! Massimo Cotta - Marketing Director - Redco Telematica Spa Via Alba 18/A - 21052 Busto Arsizio VA : www.redco.it - @: m.cotta@redco.it Tel: +39-0331-397600

More Related