Implementare la sicurezza informatica: l’esperienza
dell’Alma Mater Studiorum – Università di Bologna.
Ing. Aldo Schiavina
Responsabile Servizio Sicurezza e Servizi di Rete
email: [email protected]
La Sicurezza informatica nella PA: strumenti e progetti
Forum PA – Roma, 9 Maggio 2005
Agenda
•
Scenario
•
Esigenze ed obiettivi relativi all’implementazione
della sicurezza informatica in Ateneo
•
Criticità
•
Azioni intraprese ed in fase di attuazione
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
-2-
Scenario (1/2)
•
•
•
La realtà dell’Ateneo di Bologna è complessa ed
articolata:
è composta da circa 150 strutture con autonomia
organizzativa e gestionale (tra Amministrazione
Generale, Facoltà, Dipartimenti, Centri di Ricerca e di
Servizi), suddivise tra la sede di Bologna e i quattro
Poli romagnoli (Cesena, Forlì, Ravenna e Rimini), con
una sede remota anche a Reggio Emilia;
queste strutture trattano a fini istituzionali (tra cui
didattica e ricerca), diverse tipologie di dati personali,
come ad es. dati sensibili, giudiziari e genetici;
tutte le sedi sono tra loro connesse da una complessa
rete, detta ALMAnet, la cui dorsale presenta
collegamenti Gigabit Ethernet.
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
-3-
Scenario (2/2)
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
-4-
Esigenze ed Obiettivi
•
•
•
•
Adempimento degli obblighi normativi previsti dal
codice in materia di privacy (D.Lgs. 196/03 ). In
particolare, implementazione delle misure minime
previste dall’allegato B dello stesso codice.
Garanzia della disponibilità ed integrità dei dati e
delle applicazioni necessarie allo svolgimento delle
attività istituzionali dell’Ateneo, per avere continuità
dei servizi offerti dall’Università.
Previsione di un piano per il recupero delle
funzionalità minime in caso di eventi disastrosi
(Disaster Recovery).
Formazione di personale strutturato, al fine di
acquisire le competenze necessarie alla gestione
della Sicurezza dell’Informazione, mantenendone
strategicamente all’interno il suo controllo.
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
-5-
Criticità
•
•
L’Università, è un ambiente di lavoro molto
particolare, dove l’informazione deve poter essere
condivisa liberamente e senza troppi vincoli, al fine
di perseguire con efficacia le attività istituzionali di
ricerca e didattica.
L’autonomia gestionale di cui sono dotate le singole
strutture che la compongono non agevola il
coordinamento centrale (la situazione è più semplice
per ciò che concerne le strutture componenti
l’Amministrazione Generale).
Occorre trovare il giusto compromesso tra le
esigenze di libera circolazione dell’informazione e di
autonomia delle singole strutture con la necessità di
adempiere gli obblighi previsti dalla legge e di
soddisfare le esigenze di continuità di servizio.
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
-6-
Azioni
•
•
•
•
•
•
•
Stesura del D.P.S. ai sensi del D.Lgs. 196/03.
Implementazione di un sistema di
Autenticazione/Autorizzazione di riferimento per tutto
l’Ateneo (Identity Management System).
Definizione di un modello di Sicurezza Perimetrale.
Preparazione di un sito di Disaster Recovery.
Gestione degli incidenti informatici (CERT CeSIA) ed
implementazione di un sistema di Intrusion
Detection.
Aggiornamento del regolamento per il corretto uso
della rete.
Preparazione di una gara di ambito comunitario, al
fine di acquisire gli apparati ed i servizi necessari
all’implementazione della sicurezza informatica in
Ateneo.
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
-7-
Stesura del D.P.S. ai sensi del D.Lgs. 196/03 (1/2)
•
•
•
Nell’AA 2003/2004 è stato costituito un gruppo di
lavoro di 6 unità di personale, dotate di diverse
competenze (tecniche, giuridiche ed economico organizzative) e formato grazie al Master in
Sicurezza dell’Informazione di Almaweb, Graduate
School of Information Technology, Management and
Communication dell’Università di Bologna.
Il D.P.S. ai sensi del D.Lgs. 196/03 per l’Ateneo è
stato redatto in sede di project work previsto dal
Master. È prevista l’approvazione da parte degli
OO.AA. entro il 31/12/05.
Questo modo di procedere ha permesso di maturare
internamente le competenze necessarie per gestire la
Sicurezza dell’Informazione in Ateneo, facendo
ricorso a risorse formative di cui l’Università è
naturalmente dotata.
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
-8-
Stesura del D.P.S. ai sensi del D.Lgs. 196/03 (2/2)
La stesura del D.P.S. per l’Ateneo ha comportato, tra
le altre cose:
• l’analisi e la documentazione dell’attuale
situazione relativa al trattamento dei dati
personali nell’Ateneo di Bologna
(Amministrazione Generale e strutture
periferiche);
• l’elaborazione di un’analisi dei rischi
relativamente ai dati trattati;
• la sensibilizzazione ed il coordinamento dei
Responsabili del trattamento, in merito
all’adeguamento alle misure minime di sicurezza;
• la definizione di alcune soluzioni tecnologiche
necessarie ad adempiere agli obblighi in materia
di misure minime di sicurezza ed utili per ridurre i
rischi individuati.
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
-9-
Identity Management System (1/3)
•
•
•
Si è sentita la necessità di un unico sistema di
Autenticazione/Autorizzazione che permetta di
profilare tutte le risorse umane presenti in Ateneo
(Personale Docente e Tecnico Amministrativo,
Studenti, Collaboratori, Ospiti, etc.), superando le
difficoltà introdotte dall’esistenza di più anagrafiche
e più metodi eterogenei per la gestione dell’accesso
alle risorse informatiche.
Un unico sistema di autenticazione consente di
applicare semplicemente politiche sicure nella
gestione delle credenziali, in ottemperanza a quanto
previsto dall’Allegato B del D.Lgs. 196/03 e di favorire
l’utente che deve ricordarsi solo una coppia di
credenziali per accedere a più risorse.
Queste esigenze hanno portato alla realizzazione di
un Directory Service d’Ateneo (DSA).
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 10 -
Identity Management System (2/3)
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 11 -
Identity Management System (3/3)
•
•
•
Attualmente tutte le applicazioni informatiche
centralizzate utilizzate in Ateneo (es. posta
elettronica, profilazione al Portale d’Ateneo,
immatricolazione on-line, etc.), usano (o si
apprestano ad usare) il DSA come sistema di
Autenticazione/Autorizzazione.
Il DSA è usato anche per l’autenticazione all’accesso
alle postazioni di lavoro dell’Amministrazione
Generale ed in alcuni laboratori studenti d’Ateneo.
E’ in atto un’opera di divulgazione che riscontra un
certo successo presso le strutture periferiche
dell’Ateneo, in modo che usino il DSA per
l’autenticazione alle applicazioni locali ed alle risorse
informatiche (postazioni di lavoro, laboratori
studenti, etc.).
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 12 -
Modello di Sicurezza Perimetrale (1/2)
Come prima misura necessaria per la protezione
della rete dell’Ateneo (ALMAnet) si è individuato un
modello di sicurezza perimetrale a due livelli:
•
Il primo livello è costituito da un firewall centralizzato
ad elevate performance, posizionato a valle del link
che collega ALMAnet alla rete GARR;
•
Il secondo livello è costituito da numerosi firewall di
dimensioni più ridotte, posti a monte delle LAN delle
singole strutture periferiche, in corrispondenza del
link che le collega al backbone della rete ALMAnet.
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 13 -
Modello di Sicurezza Perimetrale (2/2)
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 14 -
Sito di Disaster Recovery
Internet
DR Site
CeSIA Site
Backup Border
Gateway
OF
Border Gateway
Backup Border
Firewall
OF
Switch-Router
OF
Border Firewall
Switch-Router
ALMAnet
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 15 -
Computer Emergency Response Team (1/2)
Il CeSIA ha istituito già da alcuni anni un servizio
CERT, che si occupa della gestione degli incidenti di
sicurezza che avvengono sulla rete ALMAnet.
Questo servizio gestisce le segnalazioni che
provengono dall’analogo servizio del GARR (GARRCERT) e mantiene i rapporti con l’autorità giudiziaria.
Si prevede di istituire anche un contatto con
GOVCERT.IT.
Monitorizza la rete ALMAnet con strumenti di IDS ed
analizzatori di protocollo, per individuare in tempo
reale attività dannose per la rete.
Segnala ai referenti delle subnet di ALMAnet la
necessità di interventi su host compromessi.
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 16 -
Computer Emergency Response Team (2/2)
Il servizio CERT CeSIA ha rilevato fino a 9.000.000 di
eventi anomali in un solo giorno.
Negli ultimi 2 anni il servizio ha inviato oltre 2100
email per segnalare a referenti di rete host
compromessi. Di queste oltre 1300 sono state inviate
nel 2004.
Quest’attività è necessaria per mantenere la
disponibilità della rete e bloccare con tempestività la
diffusione di minacce come virus e worm.
Per il monitoraggio della rete il CERT CeSIA fa uso di
un complesso sistema di Intrusion Detection System
ed analizzatori di protocollo.
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 17 -
Intrusion Detection System
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 18 -
Regolamento per il corretto uso della rete
Si è sentita l’esigenza di attualizzare il regolamento
che disciplina l’uso della rete ALMAnet (D.R. n. 71 del
21/05/1998). Si sta lavorando ad una proposta di
modifica per regolamentare i seguenti aspetti:
• soggetti autorizzati all’uso della rete;
• modalita' di accesso alla rete (autenticazione e
mantenimento dei log);
• uso di strumenti hardware e software che
possono compromettere l'uso della rete se
utilizzati impropriamente o per scopi non
istituzionali (es. software P2P);
• utilizzo dei servizi di rete (posta elettronica, siti
web, ecc.);
• implementazioni di particolari tecnologie (es. WIFI, ecc.);
• …
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 19 -
Approvvigionamento di apparati e servizi (1/4)
Oggetto della gara
Apparati hardware e relativo software
• firewall
• sistema di gestione
Servizi (complementari rispetto alle potenzialità interne)
• progettazione
• installazione fisica e configurazione di base
• manutenzione HW e SW dei firewall, anche degli
apparati preesistenti
• configurazione avanzata
• monitoraggio e supporto al CERT CeSIA
• riconfigurazione
• formazione per i tecnici dell’Ateneo
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 20 -
Approvvigionamento di apparati e servizi (2/4)
Tipologia della gara
•
•
•
•
licitazione privata a valenza comunitaria;
durata del contratto: 3 anni dalla stipula;
bando e capitolato sono stati sottoposti al Collegio
di valutazione del CNIPA ed hanno ottenuto il parere
di congruità;
le attività dovrebbero iniziare presumibilmente verso
settembre-ottobre 2005.
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 21 -
Approvvigionamento di apparati e servizi (3/4)
Governance del rapporto col fornitore
•
•
Project Manager CeSIA:
 precisa i requisiti dei servizi richiesti;
 definisce il modello organizzativo dei servizi;
 definisce gli standard di riferimento;
 approva i piani di lavoro proposti dalla ditta e
controlla la qualità dei servizi erogati.
Project Manager Fornitore:
 è interlocutore del Project Manager del Ce.S.I.A;
 propone i piani di lavoro per i servizi richiesti;
 comunica al Project Manager del Ce.S.I.A. gli stati
di avanzamento dei lavori e le eventuali criticità;
 coordina tecnicamente il personale della ditta;
 trasmette la documentazione dei servizi erogati.
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 22 -
Approvvigionamento di apparati e servizi (4/4)
Governance del rapporto col fornitore
Definizione di due livelli di indicatori di performance
per la maggior parte dei servizi previsti.
• Indicatore primario: stabilisce una soglia al di
sotto della quale il servizio reso viola lo SLA
concordato e dà luogo ad una contestazione, per
la quale si applicano le penali previste a carico
del fornitore ed in caso di grave inadempienza si
procede alla risoluzione del contratto(es.:
tempestività nella consegna degli apparati,
affidabilità degli apparati, tempestività nella
risoluzione dei malfunzionamenti, etc.);
• Indicatore secondario: è utilizzato per il controllo
delle performance e della produttività (es.: tempo
medio di consegna, tempo medio di presa in
carico di un problema, etc.).
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 23 -