IBM Business Consulting Services La sicurezza informatica nella Pubblica Amministrazione: da reazione a prevenzione Mariangela Fagnani Roma, 9.05.2005 IBM Business Consulting Services Agenda 1 Security: l'approccio necessario La metodologia Strumenti e progetti Le competenze © Copyright IBM Corporation 2005 IBM Business Consulting Services L’approccio alla Sicurezza si è evoluto negli ultimi anni verso il concetto di “Enterprise Security”, ovvero la protezione degli asset realmente critici per i servizi forniti dalle Pubbliche Amministrazioni .. da problema tecnico a problema aziendale… reazione Esposizioni di sicurezza fisica Confidenzialità dei dati Minacce dall’esterno + Esposizioni di sicurezza logica Integrità e disponibilità dei dati Minacce dall’esterno e dall’interno + prevenzione proattività 2 Asset informatici Analisi dei rischi e delle vulnerabilità Monitoraggio attivo (rete, sistemi,etc.) Gestione degli incidenti Gestione degli utenti Amministrazione della sicurezza Monitoraggio della sicurezza territoriale Gestione dell’interazione col territorio Gestione delle variabili socioeconomiche Compliance con le normative 1980’s Fonte: IBM su dati IDC/Bull 2003 Asset fisici 1990’s 1995’s Asset informativi + 2000’s Business Asset 2003’s © Copyright IBM Corporation 2005 IBM Business Consulting Services La consapevolezza del proprio “Territorio” permette all’amministrazione di individuare correttamente gli Asset da proteggere Territorio l’insieme dei soggetti, delle relazioni, dello spazio fisico e delle condizioni economiche che rendono possibile alle aziende il raggiungimento dei propri obiettivi economici e sociali Beni Informazioni Istituti Finanziari Infrastrutture territorio Erogatori di utilities ASSETS Dipendentii Operatori ambientali Immagine Servizi Pubblica Amm.ne Locale Pubblica Amm.ne Centrale Aziende collegate Pubblico Persone Forze di Polizia Impianti delocalizatii Fornitori 3 Processi Clienti Locations Operatori Telco Enti controllo infrastrutture ENTE Operatori sanitari © Copyright IBM Corporation 2005 IBM Business Consulting Services La capacità di proteggere gli Asset dipende dalla corretta comprensione delle minacce e dei requisiti cui è sottoposto il “Territorio” in cui le Pubbliche Amministrazioni stesse operano… Minacce Fisiche Requisiti Legali Requisiti di Pubblico servizio Requisiti di Riservatezza Minacce Territoriali 4 Requisiti Contrattuali ENTE Requisiti di Integrità Requisiti di Disponibilità © Copyright IBM Corporation 2005 Minacce Logiche IBM Business Consulting Services …e richiede alle Pubbliche Amministrazioni di adottare un’architettura di “business resilient”, coerente con il proprio modello di Business Resilience Disegno di un’architettura di business che supporta ed estende la flessibilità strategica e l’adattabilità operativa diminuendo il rischio aziendale Business Resilience Organizational Resilience Business Process Resilience Cultura aziendale, governance, policy e procedure Processi di business e amministrativi integrati a livello operativo Resilient Infrastr. Enterprise Risk Management L’Enterprise Risk Management è un concetto noto basato sull’assicurazione Assicurazione Business Continuity Planning, Programmi di Security e Safety, Capacity planning guidati dalla tecnologia 5 Condizioni fondamentali per la realizzazione di un’azienda “resilient” sono: • La continuità del business • La gestione del rischio © Copyright IBM Corporation 2005 IBM Business Consulting Services Il programma di sicurezza si affronta adottando una metodologia per fasi, capace di comprendere e gestire gli asset rilevanti per la missione aziendale e per la sua tutela Comprensione del “Territorio operativo” Individuazione delle scoperture di sicurezza (organizzative e tecnologiche) Business Assets Security Prioritizzazione degli interventi Individuazione e disegno delle contromisure adeguate Implementazione delle soluzioni e dei prodotti Gestione del rischio (Certificazione di Sicurezza delle informazioni BS7799:2 2002) 6 © Copyright IBM Corporation 2005 IBM Business Consulting Services Un esempio di Component Business Model per un ente della difesa Global Security/ Defense Environment Coalition/Combined Capabilities planning Direct National Security/ Defence Strategy Coalition/Combined Forces Course Of Actions & Doctrine Intelligence Synthesis and Forecasting Situational awareness/ OOTW Control Monitor Security Assistance Agreements Monitor Coalition and Spectrum Agreements Establish Coherent Coalition Network Environment Establish Coalition Spectrum Agreements Develop Material Capabilities Scenario Planning and Outcome Based Strategy Advanced Technical Research Planning Force Package Material Capability Requirements Force Package Personnel Capability Requirements Prioritization and Evaluation of Capability Opportunities (ROI) Personnel Performance Management Manage Industrial Collaboration (Defense Integrators and Contractors) Education, Training and Development Management Operations Sustainment Enablement Trade and Collaboration Control Strategy Strategic Planning Lifecycle Planning Corporate Planning Force Posture Planning Acquisition Strategy Advanced Research and Development Quality Requirements Assessment and Control Modeling and Simulation Programme Specification and Design Integrated Demand and Supply Planning Supply Chain Strategy Deliberate Planning Monitoring and Management of Acquisition Performance Operational Readiness Performance Management Operational Performance Management Technology Innovation Infusion and Control Test and Evaluate Concepts and Prototypes 7 Personnel Capability Planning Acquisition Operational Planning Life Cycle Tradeoff Analysis Execute Develop Personnel Capabilities Common Operational Picture Maintenance Personnel Recruitment Contract Management Personnel Education, Training and Development Program Management Integrated Command and Control Force Preparation Force Deployment ISR Tasking and Collection Integrated Mission Execution Maintain Secure Battle space Networks Force Re-Deployment © Copyright IBM Corporation 2005 Human Capital Policy and Workforce Planning Policy Development Sustainment Management and Performance Monitoring Regulatory and Statutory Agreements Configuration Management Legislative and Public Affairs Demand and Supply Analysis Corporate Performance Management Vendor Management Demand and Supply Management Inventory Management Purchasing Acquisition and Deployment into service of Material Assets Budget and Cost Management Human Resource Management and Administration Financial accounting and GL Asset Visibility and Management Facilities and Infrastructure Management In Service Maintenance Planning and Execution Cost Controlling Out of Service Maintenance Planning and Execution Transportation Distributions and Disposition Base Management Manage Sales Manage Health, Environment and Safety IBM Business Consulting Services La scomposizione dei componenti permette di identificare i punti critici dei processi e individuare le modalita’ per la loro sicurezza… Asset assignement Check assignement Fleet Management Location Information Check-In asset Asset visibility management Profile Management User Profile Check-Out asset Offered Service User Profile Consumed Service Contromisure Minacce Minacce di tipo fisico Furti, Manomissioni, Attacchi Minacce di tipo logico Indisponibilita’ delle risorse IT (rete, sistemi, dati) Virus, hacking Violazione privacy dati personali Accessi non autorizzati Perdita Integrita’ e disallineamento delle informazioni Minacce territoriali Leggi e normative Mancanza servizi generali (rete, energia elettrica, etc.) Disastri naturali Indisponibilita’ personale Customer Services Rfid per memorizzazione informazioni, tracciatura e localizzazione Copertura Assicurativa Protezione passiva ed attiva Soluzioni in alta affidabilita’ , procdure di backup e di continuita’ Protezione della rete , sistemi e dei dati Sistema di autorizzazione accessi Strong authentication per accesso ai dati Soluzioni di business continuity e disaster recovery Fornitura servizi generali duplicata e diversificata Dislocare personale Customer Services in sedi diverse 8 © Copyright IBM Corporation 2005 For illustration only Reserve Asset Asset Availability Location Information E X A M P L E Asset Availability Informati on Security IBM Business Consulting Services … e definire gli elementi (Goals & Security KPIs) di misurazione e di governance del processo anche dal punto di vista della sicurezza Migliorare la velocita’ di risposta e soluzione dei problemi di sicurezza Ridurre il tempo di investigazione Migliorare la velocita’ di risposta e soluzione dei problemi da parte Help Desk Tempo richiesto per investigare in merito a incidenti di sicurezza Migliorare l’efficacia delle misure di protezione della rete Numero delle infezioni da virus per settimana/mese Numero dei componenti infetti per incidenti da virus Numero tentativi di intrusione nella rete per settimana/mese Aumentare il livello di Servizio del 10% Numero delle interruzioni di servizio causate da incidenti di sicurezza Numero delle interruzioni di servizio causate da interventi di tipo amministrativo in ambito sicurezza Migliorare l’efficacia degli strumenti di controllo accessi dall’esterno Numero di tentativi di accesso non autorizzati Tempo impiegato fra ricezione/report/ azione Tempo fra il primo contatto all’Help Desk e la soluzione del problema © Copyright IBM Corporation 2005 For illustration only 9 KPI (Key Performance Indicators - Measurable Objectives) E X A M P L E Goal (Security target) Informati on Security IBM Business Consulting Services Il disegno e l’implementazione delle soluzioni di sicurezza pone le Amministrazioni in grado di tutelarsi da ogni tipologia di minaccia Soluzioni per Minacce Fisiche • Videocontrollo digitale • Videoregistrazione (radar - telecamere infrarosso); • Controllo del transito di personale (badge, lettori biometrici, smart card…) • Controllo dei mezzi operativi (lettura targhe, telepass, ..) • Controllo merci in transito (tracking, localizzazione e identificazione ottica) • Sistemi Antincendio • … 10 Soluzioni per Minacce Logiche Soluzioni per Minacce Territoriali • Controllo degli accessi (persistent password, digital signature, biometric, …) • Sicurezza della rete (monitoraggio, IDS, firewall, …) • Sistemi di monitoraggio (telerilevamento, elaborazione dati gestione sicurezza ed efficienza degli impianti di produzione) • Sistemi telematici di collegamento con terze parti (organi di sicurezza, pronto intervento, …) • Soluzioni di Disaster Recovery e Business continuity • Certificazione ambientale • Rfid per il tracking delle merci/prodotti • Continuità delle operazioni (redundancy, Fault Tolerance, backup/recovery) • Protezione dei dati (classificazione, data handling procedures, ..) • … © Copyright IBM Corporation 2005 Informati on Security Soluzioni per Minacce Territoriali (cont.) Innovazione dei processi Infrastrutture on demand Innovazione delle competenze Esternalizzazione dei rischi / attività IBM Business Consulting Services La realizzazione di un Sistema di Security Governance permette di ottimizzare gli altri strumenti di governance a disposizione dell’amministrazione Enterprise governance Security governance Controllo Sicurezza Lavoro Corporate Governance Controllo Ambientale Controlli di Sicurezza (Conformance) Business Governance (Performance) Controllo di Qualità Controllo di gestione Accountability Value Creation Ottimizzazione dei controlli Diminuzione dei costi 11 © Copyright IBM Corporation 2005 IBM Business Consulting Services Solamente attraverso un’adeguata organizzazione delle attività di sicurezza è possibile garantire il funzionamento del sistema di governance aziendale 2 Ricognizione misure di sicurezza 1 QUADRO OPERATIVO Mappatura Processi QUADRO NORMATIVO Politiche 12 Standard Ridisegno dei Processi Procedure Evidenza dei Task operativi 3 QUADRO ORGANIZZATIVO Organizz. Di Sicurezza Istruzioni Job Description Workshop di formazione Evidenza Gap da colmare © Copyright IBM Corporation 2005 Informati on Security IBM Business Consulting Services L’offerta di sicurezza di IBM si sviluppa attraverso cinque aree che indirizzano i vari aspetti della sicurezza Best practice Protezione fisica dei sistemi Protezione Controllo e Protezione delle Territorio infrastrutture Protezione Infrastrutture vs critiche tecnologie web-based Confidenzialità e protezione della proprietà intellettuale Sicurezza applicazioni di business Architetture di sicurezza Best Practice Risk Governance Conformita’ con leggi/regolamenti Politiche e Architetture di sicurezza Asset Business Continuity Strategie & best practice Business Impact Analysis Tecnologia e strumenti Servizi Firewall IDS Sicurezza Antivirus & content filtering delle Mobile & wireless infrastrutture security tecnologiche Crittografia IT Security Management Amministrazio ne della Sicurezza WEB svc Infrastruttura a Chiave Pubblica Gestione delle Vulnerabilità Configurazione di sicurezza e gestione del fixing/patching Gestione delle Identità e degli Accessi Single Sign on Gestione delle Identità Federate Sources: Gartner Group 2004 13 © Copyright IBM Corporation 2005 IBM Business Consulting Services Il Sistema di Gestione della Sicurezza e’ fondamentale per garantire il controllo del livello di sicurezza e l’aderenza a standard (es. BS7799 già standard ISO), legislazioni (es. D.Lgs. 196/03) e Linee Guida Cnipa BS7799-1 Utilizzare un framework condiviso da tutti per… sviluppare, implementare e monitorare le modalità di gestione della sicurezza per… migliorare la fiducia nelle relazioni interaziendali Codice Data Privacy regolamentare le modalità di gestione e la custodia dei dati che riguardano sia le caratteristiche della persona (dati personali) che le abitudini, scelte ed opinioni (dati sensibili) per proteggere la sfera privata e la dignità delle persone fisiche e di quelle giuridiche. BS7799-2 Indica i requisiti per la certificazione di un.. … sistema di gestione per la sicurezza delle informazioni 1. Politica di sicurezza 2. Organizzazione di sicurezza Pianificazione 3. Controllo e classificazione asset 4. Sicurezza personale 5. Sicurezza fisica 6. Operations and communication Valutazione ISMS Implementazione 7. Controllo accessi 8. Sviluppo e manutenzione sistemi 9. Business Continuity Management 10. Compliance 14 Verifica © Copyright IBM Corporation 2005 IBM Business Consulting Services Il Security Compliance Management consente di controllare la sicurezza e la conformita’ dei server e delle stazioni di lavoro con le politiche prestabilite Problematiche lato IT: Slammer, MSBlaster, OS patches, violazione di password, ecc Problematiche di Business: normative, standards Controllo sistemi e piattaforme Vulnerabilita’ e violazioni verso le policy di sicurezza Principali benefici per I clienti: Aiuta a rendere sicuri ed integri i dati CxO IT security dell’amministrazione Identifica le vulnerabilita’ di sicurezza del software Riduce i costi IT attraverso l’automazione, la centralizzazione e la separazione delle responsabilita’ Applicazioni Utenti DB Aiuta nella conformita’ con standard e leggi Workstations Sistemi Operativi IT Environment 15 © Copyright IBM Corporation 2005 IBM Business Consulting Services La strategia di integrazione di IBM & Cisco offre una soluzione proattiva che rileva e rimuove gli attacchi alla rete Gestione delle Identità e degli Accessi Identifica e gestisce in maniera efficace i profili-utente Condiziona l’accesso alla rete in funzione dei requisiti di sicurezza dei diversi device Cisco Self-Defending Networks Endpoint Protected client Trusted identity Identifica, previene e si adatta alle minacce Limita i danni provocati da virus e worms Unisce funzionalità di Identity Mgmt ad un sistema di protezione dalle minacce a livello di sistema Compliance & Remediation Identificazione, contenimento e sanitizzazione delle infezioni Policy enforcement 16 © Copyright IBM Corporation 2005 Endpoint Protected servers IBM Business Consulting Services Il valore e l’evoluzione delle soluzioni di Identity Management Federated Identity Management Secure Platform for Applications Web Single Sign-On Secure Web Services for SOA Identity Management for e-business User Administration Single Web Single Web Application Application Security Security 17 Web Security Web Security Extranet, Extranet, Intranet Intranet Middleware Middleware Security for Security for Corporate Corporate Enterprise Enterprise Portals Portals Secure Secure Business to Business to Business Business Integration Integration © Copyright IBM Corporation 2005 IBM Business Consulting Services Le soluzioni di Single Sign On migliorano l’operativita’ degli utenti e la sicurezza degli accessi alle applicazioni Web One Password Autenticazione Flessibile One Login One Audit Trail 139576 SECURID C Login Please enter your ID and password Portali, CRM, ERP Web Solutions BroadVision, mySAP, and more . . . ID Password Web Application Servers Any other via J2EE, JAAS, and/or aznAPI Access Manager Desktop SSO Active Directory integration Linux, UNIX, RACF Systems Domino, iNotes, Sametime, Team Workplace Servizi di Gestione delle Identità Digitali • Layered authentication • Enforce user entitlements • Web single sign-on 18 IBM Directory Server Sun ONE Directory Novell eDirectory Active Directory Lotus Domino Directory Tivoli Identity Manager Messaging WebSphere MQ Secure Clients Biometric, Proximity Tokens © Copyright IBM Corporation 2005 IBM Business Consulting Services Le soluzioni di Single Sign On e di strong authentication possono essere estese anche alle applicazioni di tipo legacy La soluzione utilizza il Thinkpad T42 o ActivCard per la strong authentication e il login ai sistemi aziendali Tivoli Access Manager for e-Business Tivoli Identity Manager 19 © Copyright IBM Corporation 2005 IBM Business Consulting Services Attraverso soluzioni di “Integrated Identity Management” si centralizza la gestione delle identita’ e si introducono funzionalita’ di provisioning e sincronizzazione password Engine User Provisiong e Metadirectory Flusso dati (input) Servizi di Work-Flow Funzionalità/servizi futuri Gestione delle politiche di provisiong Mappatura Organizzativa Controllo Accessi Gestione politiche RBAC ( Role Based Access Control ) Servizi distribuiti Servizi gestione dei dati Audit & Reporting Connettività remota Flusso dati (output) Sistemi e Applicazioni target 20 © Copyright IBM Corporation 2005 Directory Services LDAP V3 IBM Business Consulting Services L’applicazione delle regole di “provisioning” nel modello Organizzazione logica dell’Azienda Politiche di controllo accessi / abilitazioni a servizi Persone Ruoli/Mansioni Fisiche 0,N --- 0,N (utenti) 0,N --- 0,N Politiche ( Attachements ) W2K AD W2K AD Policy 1 Role 2 P1 Nome Utilizzatore Descrizione Ruolo dinamico : •Regola Role 3 Processo di validazione Px 21 Priorità x Sistemi fisici Nome Descrizione •priorità •membership •attachements Policy 2 NT PDC RACF Exchange 1 RACF W2K AD P2 X Servizi Target 1 --- 1 Role 1 Nom Unità Ruolo Email Aliases … Organizzazione fisica sistemi IT Exchange RACF Exchange RACF Exchange 2 Nome Servizio •Tipo (manuale/automatico) •Gestione degli attributi • Workflow (Processi di validazione) Scelta Servizio Exchange 1 © Copyright IBM Corporation 2005 Exchange 1 IBM Business Consulting Services L’architettura di riferimento di una soluzione di Integrated Identity Management Admin HR Super Admin Gestione Centralizzata Data feed HR LDAP Audit Admin Applicativo XML over SSL Data Reconc. Exchange Active Directory RACF Portale/ LDAP Target Admin 22 © Copyright IBM Corporation 2005 DB2 IBM Business Consulting Services Nell’ambito di un modello di cooperazione applicativa uno dei problemi chiave e’ la gestione delle identita’ Suppliers Partners Business Clients Service Provider/ Aggregator Outsourced Providers Distributors, Brokers 1. Non esistono meccanismi standard per il “trust” delle identita’ da Partners & Terze Parti 2. La mancanza di fiducia implica la replica delle informazioni degli utenti 3. Gestione degli utenti costosa e inefficiente 4. Esposizione di sicurezza, conformita’ e privacy 23 © Copyright IBM Corporation 2005 IBM Business Consulting Services La soluzione di Federated Identity Management, basata sui Web Services, indirizza il problema di gestione delle identita’ Partner Una federazione e’ un gruppo di 2 o piu’ “trusted” partners che, tramite accordi contrattuali e tecnici, consentono ad un utente di un partner della federazione di accedere alle risorse di un altro partner in modo sicuro e fidato Utente Terza Parte Third Party End User Riduce i costi di gestione delle identita’ Migliora l’operativita’ dell’utente Company C Company A Company B Semplifica l’integrazione Migliora la Governance 24 Pension Holder Insurance Provider Stock Options © Copyright IBM Corporation 2005 IBM Business Consulting Services I ruoli in un modello federato: Fornitore delle Identità e Fornitore dei Servizi Parte “Garante” della transazione Fornitore delle Identità Mutua Parte “Validante” della transazione FIDUCIA 1. Fornisce le credenziali (Network / Login) 1. 2. Gestisce gli Utenti ed i rispettivi ID Controlla l’accesso ai servizi 2. Gli utenti delle Terze Parti mantengono l’abilitazione ad accedere ai servizi esclusivamente per la durata del rapporto di “federazione” 3. Gestisce direttamente i soli attributiutente relativi alla corretta fruizione del servizio offerto. 3. Autentica gli utenti 4. “Garantisce” circa l’identità degli utenti 25 Fornitore dei Servizi © Copyright IBM Corporation 2005 IBM Business Consulting Services Le tecnologie e gli standard in ambito di Federated Identity Management HTTP SSO (SAML protocol) SAML (Passivo) Gestione delle Identità Federate (SAML protocol) Gesteionde delle Identità per Web Services Federati (HTTP e SOAP-based SSO) WS-Federation (Passivo, Attivo) Liberty (Passivo) Supporto per vari protocolli Web Services HTTP Federation 26 © Copyright IBM Corporation 2005 IBM Business Consulting Services La protezione fisica delle infrastrutture critiche sfrutta tecnologie all’avanguardia e consente la gestione integrata delle identita’ fisiche e logiche Cruscotto Centralizzato • Modulare • Flessibile • Gestione e selezione delle informazioni • Gestione identita’ accesso logico e fisico • Assistenza decisionale • Configurabile sull’utente 27 © Copyright IBM Corporation 2005 IBM Business Consulting Services La realizzazione di processi “sicuri” si basa sul concetto di creazione del valore ed è realizzabile unicamente attraverso un approccio globale End-To-End Information Security Services Innovation Value Research 28 Financing Business Value Hardware Software Infrastructure Value Services Technology Component Value IBM Business Consulting Services IBM Global Financing IBM Global Services Personal and Printing Systems Group Server Group Software Group Storage Systems Group Technology Group © Copyright IBM Corporation 2005 IBM Business Consulting Services ..... e richiede l’utilizzo di numerose e specifiche competenze da integrare e indirizzare nella medesima direzione Competenze specifiche, esperienze multisettoriali e risorse a disposizione, nel mondo e in EMEA, costituiscono i principali punti di forza dei team di lavoro IBM, la più grande comunità sulla sicurezza a livello mondiale, 3.000 specialisti di sicurezza che lavorano come un unico team e in maniera globale EMEA Labs & CoC EMEA • Copenaghen • Hursley • Zurich • La Gaude • Rome • Haifa Wireless Center of Competence Managed Security Services Delivery Center Security & Privacy Practice Research Labs BCRS – DR Centers Americas Security Center of Competence PKI Center of Competence Managed Security Services Delivery Center Business Innovation Center/ Ethical Hacking Lab Security & Privacy Practice Research Labs 29 Asia Pacific Managed Security Services Delivery Center Business Innovation Center/ Ethical Hacking Lab Security & Privacy Practice Research Labs © Copyright IBM Corporation 2005 • 140 centers worldwide • 71 in Europe • 2 in Italy IBM Business Consulting Services