SISTEMI INFORMATIVI E SICUREZZA
Luglio 2004
Sistemi Informativi e Sicurezza
1
GENERALITA’
• Inizialmente erano denominati “sistemi gestionali”
• Hanno poi esteso il loro campo di azione a tutti gli altri
ambiti aziendali
• Sono anche detti “sistemi transazionali” in quanto basati su
programmi applicativi che eseguono “transazioni”
• Transazione è ogni attività di interazione con il sistema
informativo aziendale per effettuare una operazione
elementare
• Negli ultimi anni si parla sempre più di ERP (Enterprise
Resource/Requirement Planning) proprio per indicare la
pervasività di tali sistemi
Sistemi Informativi e Sicurezza
2
Le componenti di un ERP
•
•
•
•
•
FI CO HR PP MM-
Contabilità
Controllo di gestione
Gestione del personale
Gestione della produzione
Gestione dei magazzini
Sistemi Informativi e Sicurezza
3
Anatomia di una transazione (1)
• E’ normalmente attivata da un messaggio iniziale
dall’operatore al sistema e si conclude con un
messaggio finale dal sistema all’operatore
• Può essere molto semplice o molto complessa
• Di norma comporta l’esecuzione di un programma ad
hoc, l’accesso a una base di dati e operazioni di
trasmissione dati
• Possono essere:
– on line processing (vengono eseguite
immediatamente)
– batch processing (ad esecuzione differita)
Sistemi Informativi e Sicurezza
4
La evoluzione dei sistemi..
2000’s
90’s
80’s
70’s
XRP
ERP
MRP
Start
Sistemi Informativi e Sicurezza
5
dall’avvio..
70’s
2000’s
Sistemi informativi
proprietari, sviluppati
XRP
in house 90’s
che80’s
coprono
esigenze
ERP
di singole
MRP aziendali.
funzioni
Start
Sistemi Informativi e Sicurezza
6
..ai sistemi MRP
70’s
Start
Sistemi standard,per
2000’s
la gestione contabile
e la90’s
pianificazione
dei
XRP
materiali.
80’s
ERP
MRP
Materials requirement planning
Sistemi Informativi e Sicurezza
7
.. ai sistemi ERP
Copertura di tutte le aree
funzionali,
La evoluzione con integrazione
2000’s
stretta e con pianificazione
XRP
di materiali e risorse.
90’s
80’s
70’s
Start
MRP
ERP
Enterprise requirement
planning
Sistemi Informativi e Sicurezza
8
..ai sistemi XRP
eXtended requirements
planning
90’s
2000’s
XRP
80’s
ERP
Accesso
al sistema informativo
70’s
di nuoviMRP
utenti : clienti, fornitori,
partners, in ottica di impresa
Start
estesa
Sistemi Informativi e Sicurezza
9
E-BUSINESS
Rappresentazione di un sistema
ERP
CONSOLIDATO
Fornitore
(ERP2)
AMMINISTRAZIONE
FULL
INTERNET
ACCESS
Cliente
(ERP1)
CONTROLLO
DI GESTIONE
CESPITI
DIAPASON
NETWORKED
Terzista ENTERPRISE
(ERP3) SYSTEM
REPORTING
SYSTEM
ACQUISTI
CONTROLLO
PRODUZIONE
INVESTIMENTI
WAREHOUSE
SYSTEM
TESORERIA
DOCUMENT
MNGT
VENDITE
QUALITY
MNGT
MAGAZZINI
PIANIFICAZIONE
PRODUZIONE
C.R.M.
Sistemi Informativi e Sicurezza
10
MANUTENZIONE
Ulteriore evoluzione dei Sistemi Informativi (1)
Duplice ordine di requisiti: tecnologici e funzionali.
-
I requisiti tecnologici sono quelli relativamente ai quali
verrà maggiormente spinta l’innovazione, per sfruttare
appieno le possibilità dei nuovi ambienti e delle più recenti
architetture.
-
Sul versante dei requisiti funzionali è necessario operare
maggiormente su una linea di evoluzione, confermando e
andando ad arricchire aspetti e caratteristiche già patrimonio
delle attuali applicazioni.
Sistemi Informativi e Sicurezza
11
Ulteriore evoluzione dei Sistemi Informativi (2)
. Requisiti tecnologici
• Indipendenza dalla piattaforma
• Fruibilità via Internet
• Apertura verso altre applicazioni
•
•
•
•
•
•
•
. Requisiti funzionali
Completezza funzionali
Affidabilità e robustezza
Facilità d’uso
Interfaccia intuitiva
Conformità agli standard di mercato
Apertura
Orientamento all’extended enterprise
Sistemi Informativi e Sicurezza
12
Ulteriore evoluzione dei Sistemi Informativi (3)
• Il mercato ha subito e continuerà a manifestare cambiamenti
sempre più significativi e repentini. Sicuramente alcuni
importanti elementi nuovi (internet su tutti) mostrano
caratteristiche di permanenza e continuità tali da imporre ai
produttori di applicazioni un continuo allineamento delle proprie
soluzioni.
• Allineamento continuo estremamente più opportuno rispetto ad
una politica di discontinuità e cambi di direzione nello sviluppo
dei prodotti, come testimoniano le esperienze di alcuni importanti
player di mercato nel decennio scorso (ad esempio eccessiva
enfasi sul client/server).
Sistemi Informativi e Sicurezza
13
Ulteriore evoluzione dei Sistemi Informativi (4)
Il sistema nel suo complesso può essere scomposto in “servizi” specializzati
• Servizi di presentazione
Contengono la logica di presentazione dei dati e di interazione con l’utente
• Servizi web
Si occupano della gestione del colloquio con il client, ricevono le richieste,
gestiscono la sessione di lavoro e generano pagine di output
• Servizi applicativi (Business Rules)
Sono responsabili della realizzazione delle logiche applicative.
Gestiscono la transazionalità, la distribuzione delle componenti
• Servizi di integrazione
Consentono di connettere ed integrare applicazioni e sistemi diversi
Sistemi Informativi e Sicurezza
14
Verso l’Enterprise Portal
• La diffusione di una cultura omogenea e condivisa all’interno delle aziende è
il presupposto per lo sviluppo di iniziative e progetti finalizzati a creare, nel
tempo, valore per i diversi portatori di interessi.
• Per raggiungere tale obiettivo è necessario produrre e condividere, all’interno
delle aziende prima e all’esterno poi, le informazioni e ancora meglio le
conoscenze relative ai processi ed alle attività che hanno un impatto sulle
singole aree aziendali.
• Dal punto di vista tecnologico e applicativo l’infrastruttura abilitante per il
raggiungimento dell’obiettivo sopra esposto può essere rappresentata da una
applicazione intranet/extranet alla quale gli utenti accedono, in funzione del
proprio profilo, per cercare informazioni e per ottenere una serie di servizi a
valore aggiunto => ENTERPRISE PORTAL (EP)
Sistemi Informativi e Sicurezza
15
Obiettivi degli EP
A cosa risponde l’EP
•
•
•
Overload informativo
La creazione di un singolo punto di accesso e di una centralizzazione delle
ricerche aiuta a diminuire le problematiche che nascono dall’overload
informativo
Discontinuità
I continui cambiamenti organizzativi creano discontinuità nel flusso
informativo. L’EP può diventare il desktop per i “Knowledge Workers”,
eliminando le discontinuità
Distrutturazione delle informazioni
L’EP rimedia alla quantità di informazioni non strutturate, che superano,
ormai di gran lunga, quelle strutturate
Sistemi Informativi e Sicurezza
16
Modelli di EP
•
•
E’ comunque difficile giungere ad una definizione univoca degli obiettivi e delle
funzionalità caratteristiche di un EP; sono infatti le aziende stesse che, in base alle
proprie esigenze, individuano i principali obiettivi e le singole funzionalità dell’EP.
Prendendo in considerazione i diversi obiettivi di business e lo sforzo implementativo
richiesto è possibile selezionare quattro macrotipologie di Enterprise Portal
– Enterprise Hub: finalizzato alla creazione di un unico punto di accesso alla Intranet
aziendale
• Obiettivo: accesso ai dati e alle informazioni
– Content Portal: finalizzato alla integrazione dei contenuti basata sul routing e
differenziato per profilo di utenza
• Obiettivo: accesso e condivisione di informazioni
– Service Portal: finalizzato alla creazione di un unico punto di accesso ai servizi
transazionali ma anche di DW e di BI
• Obiettivo: accesso e condivisione di informazioni e servizi
– Integrator Portal: finalizzato alla piena integrazione con i sistemi di produzione,
progettazione, gestione ordini e spedizioni, ecc.
• Obiettivo: Integrazione di ambienti applicativi e tecnologici eterogenei,
collaborazione tra diverse aree aziendali
Sistemi Informativi e Sicurezza
17
Definizione di EP
• E’ un’applicazione web rivolta alle imprese allo scopo di dare
valore aggiunto
– Informativo (editoriale/gestione documentale/motore)
– Collaborativo (collaboration/worklow)
– Bridge tra aziende e Internet
– Bridge con e tra i Sistemi Informativi Aziendali
– Evoluzione dei concetti di sito e di intranet
– Semplificare la complessità IT
– User Desktop
– Single Sign On
Sistemi Informativi e Sicurezza
18
SICUREZZA
• In condizioni di funzionamento normale
–
–
–
–
back up (o dump)
log
procedura di recovery e restart
lock/unlock
Sistemi Informativi e Sicurezza
19
SICUREZZA
in situazione anomala (1)
• Virus. Programma “Pirata” che si propaga associandosi a
documenti o altri programmi e spesso svolge attività vandaliche
ai danni del sistema. Molto diffusi sulle piattaforme Windows,
quasi per nulla in ambienti Unix e Linux.
• Antivirus. Programmi commerciali per intercettare ed eliminare
i virus dai sistemi. Di norma, i prodotti distribuiscono
gratuitamente gli aggiornamenti relativi ai virus scoperti nelle
fasi successive al rilascio del prodotto.
• Trojan horse. Simile a un virus, non ha manifestazioni evidenti,
ma è in grado di mettere in collegamento il sistema con l’hacker
che lo ha generato, spesso per violare la base dei dati: La tecnica
seguita è quella di compiere uno scan sulle porte (servizi)
ritenute chiuse dal sistema operativo, per aprirne una (back door)
Sistemi Informativi e Sicurezza
20
SICUREZZA
in situazione anomala (2)
e creare attraverso quella un collegamento che eluda le
protezioni.
• Autenticazione forte. (strong authentication). Metodi di
autenticazione dell’utente più certi, rispetto alla password, che
fanno uso di smart card o di metodi biometrici (impronte digitali,
face recognition).
• Password. Parola d’ordine, associata al nome di un utente,
necessaria per collegarsi al proprio account sul server di rete.
Spesso è crittografata, ma esistono programmi pirata capaci di
catturarla nel momento in cui viene digitata sulla tastiera.
• Smart card. Simile ad una carta di credito, ma con memoria e
processore incorporati, per conservare le credenziali dell’utente,
e viene usata per un’autenticazione forte.
Sistemi Informativi e Sicurezza
21
SICUREZZA
in situazione anomala (3)
• Token. Dispositivi hardware che, unitamente ad un Pin e a un
processo di sincronizzazione con il server, modificano
automaticamente la password, in modo casuale, a scadenze
prefissate.
• Disaster Recovery. Pianificazione dell’attività necessaria a
ripristinare la funzionalità di un’infrastruttura informatica in caso
di evento distruttivo (un’alluvione o un terremoto).
• Fault Tolerance. Sistemi ridondanti sia nella base dati sia
nell’architettura hardware, in grado di garantire le continuità di
funzionamento anche in caso di guasto distruttivo di uno dei due
sistemi.
Sistemi Informativi e Sicurezza
22
SICUREZZA
in situazione anomala (4)
• Firewall. Sistema di sicurezza periferico che controlla e filtra i
pacchetti provenienti dall’esterno della rete aziendale in base a
degli indirizzi IP, all’accesso alle porte (servizi) e al tipo di
pacchetto o di servizio richiesto. Intercettando i tentativi di
intrusione. E’ buona regola installarlo tra il router del
collegamento a Internet (o extranet) e il router del collegamento al
backbone aziendale (rete interna).
• VPN. (Virtual Private Network). Infrastruttura che utilizza reti
pubbliche, tipicamente Internet, per creare collegamenti tra host
impermeabili ad utenti esterni: ciò è reso possibile con la tecnica
della tunnellizzazione e della crittografia. Normalmente
implementa il protocollo IPSec.
Sistemi Informativi e Sicurezza
23
SICUREZZA
in situazione anomala (5)
• CA. (Certification Authority). Enti, pubblici o privati, che
hanno implementato una Pki per la trasmissione di documenti
sicuri tra due parti. Una CA deve poter garantire:
l’indentificazione certa del trasmittente; la ricezione certa del
documento da parte del ricevente; l’inalterabilità del contenuto
del documento: l’impossibilità che un documento crittografato
possa essere facilmente decodificato da chi non ha la chiave di
decrittazione.
• Certificato elettronico. Documento pubblicato da una CA
contenente tutte le informazioni dell’utente titolare (compresa
la chiave pubblica) e firmato dalla CA.
Sistemi Informativi e Sicurezza
24
SICUREZZA
in situazione anomala (6)
• PKI. (Public Key Infrastructure). Insieme di regole, risorse e
sistemi per la gestione crittografata dei certificati digitali
rilasciati dalle CA.
• S/MIME. (Secure MIME). Insieme di regole proposto
dall’Internet Engineering Task Force per la crittografia e/o la
firma elettronica di un messaggio digitale.
• IPSec. (Internet Protocol Security). Protocollo standard proposto
dall’Internet Engineering Task Force, che definisce due funzioni a
garanzia della segretezza del dato trasmesso: la crittografia e
l’integrità del dato stesso. Usato spesso nelle VPN.
Sistemi Informativi e Sicurezza
25
SICUREZZA
in situazione anomala (7)
• Gateway di pagamento. Piattaforme usate nell’e-Commerce per
dividere le informazioni associate ad un ordine di acquisto:
quelle destinate all’azienda fornitrice (l’oggetto dell’acquisto) da
quelle per la banca (le coordinate bancarie, la carta di credito), in
modo che i due soggetti non abbiano l’informazione completa.
Non usano registrazioni sul disco, in modo che anche il fornitore
del servizio ignori il contenuto dell’informazione.
• Internet gateway. Server per il collegamento di una rete a
Internet, in genere a ridosso del firewall. Controlla i contenuti dei
pacchetti ricevuti e inviati.
Sistemi Informativi e Sicurezza
26