L’assistenza alle aziende per aspetti tecnologici e sistemici Roma, 23 ottobre 2007 Dr. Giorgio Scarpelli Vice President – VP Tech CODICE Agenda • Profilo di VP Tech • Metodologia e modello tecnologico per rispondere alle necessità di Data Privacy • Conclusioni 1 CODICE VP Tech è il partner di clienti importanti per ciò che riguarda la gestione di progetti in ambito di sicurezza aziendale Profilo di VP Tech • Obiettivo: portare al mercato un’offerta di servizi in ambito security capace di coniugare aspetti consulenziali, tecnologici ed economici al fine di creare valore per i propri clienti Consulenza e Soluzioni di Sicurezza Strategia di posizionamento della sicurezza Organizzazione e governo dei processi di sicurezza Progettazione/realizzazione soluzioni di sicurezza Pianificazione di sistemi di Security Intelligence • Referenze principali: telecomunicazioni, industria, sanità e pubblica amministrazione, presenza nel mercato finance • Forti legami con il mondo universitario e con centri di R&D e realtà tecnologiche a livello nazionale e internazionale e accesso a finanziamenti europei • Certificata ai sensi della norma ISO 9001:2000 • 150 professionisti dedicati alla Sicurezza Informatica 2 CODICE VP Tech supporta i propri clienti intervenendo con efficacia a vari livelli del modello operativo per la gestione della sicurezza (TOP Management / Security Management) Security Operations Center (Security Management) Security Infrastructure & mgt (Security Operations Staff) Sistema di gestione delle informazioni generate da sistemi e servizi di Information Security Security Monitoring Sistema di monitoraggio degli eventi di sicurezza generati dalle infrastrutture Modello finanziario di valutazione di CAPEX e OPEX per le spese in Information Security Risk Assessment e Mgmt Sistema di analisi e gestione del processo di Information Risk Management Sicurezza perimetrale e Sicurezza applicativa e reti comunicazione dati Infrastruttura di protezione della rete e delle sue interconnessioni, dei sistemi e delle applicazioni Security investment evaluation Tecnologie di gestione della identità digitale degli utenti dei servizi informatici (autenticazione, autorizzazione e controllo accessi) Incident Handling Struttura, strumenti e processi di gestione degli incidenti di natura informatica Business Continuity e Crisis Mgmt Sistema di crisis mgmt e disaster recovery a supporto del contingency plan per garantire la continuità del business aziendale Enterprise Security Portal Security Knowledge base management Security Knowledge Management e Governance Organizational model & operational procedures Allineamento assetto organizzativo e impianto normativo per le procedure da applicare in fase di esercizio e gestione dei sistemi informatici 3 CODICE Alcune referenze 4 CODICE Agenda • Profilo di VP Tech • Metodologia e modello tecnologico per rispondere alle necessità di Data Privacy • Conclusioni 5 CODICE Le informazioni sono un asset fondamentale di qualsiasi organizzazione Gli obiettivi di business di un’azienda sono strettamente correlati alla fruizione delle informazioni, il cui valore continua a cresce in funzione dell’evoluzione del contesto relazionale, sempre più “immateriale”, in cui il business si attua Soggetti che generano ed elaborano informazioni … Informazioni …Determinano un costante incremento del volume dei dati trattati… …Sempre più centrali rispetto alle strategie di business delle aziende Banche ….. Obiettivi Istituzioni ….. Processi Volumi Applicazioni Assicurazioni Sistemi ….. Utilities Dati …… Servizi …….. Telecomunicazioni …… Trasporti ’70 ’80 ’90 2000 oggi ……. 6 CODICE Le esigenze di business si intersecano con gli obblighi normativi a tutela dei diritti degli owner dei dati Per l’azienda questo comporta: La singola azienda, oltre che dell’applicazione della normativa ordinaria, in particolare di quella sulla Privacy, deve tener conto dei provvedimenti specifici del Garante per azienda/settore 1 Disporre di una catena di comando Privacy efficiente e formalizzata (Titolare del trattamento ResponsabileIncaricato) 2 Avere un’organizzazione interna flessibile che risponda tempestivamente alle richieste del Garante 3 Implementare e aggiornare un’infrastruttura tecnologica che sia sempre Privacy compliant 7 CODICE La problematica non è solo un fatto legale e burocratico Lo scenario normativo in tema di data privacy richiama la necessità di adottare adeguate contromisure volte a garantire una maggior sicurezza nel trattamento dei dati. Esso tende sia ad affermare alcuni principi, sia ad indirizzare le contromisure organizzative e tecnologiche atte a metterli in pratica Principi generali Trattamento dei dati permesso solo a chi è espressamente incaricato Interventi tecnologici richiesti - Separation of duties - Processo autoritativo controllato di assegnazione dei privilegi sulle risorse - Controllo non aggirabile dell’identità e dei privilegi di ciascun incaricato che accede al dato Assegnazione di responsabilità individuale per tutti i trattamenti dei dati critici, anche se effettuati mediante procedure automatizzate Attribuzione inequivocabile delle azioni compiute su un dato critico al suo effettivo autore - Ownership dichiarata dei dati e dei sistemi che li elaborano - Identificazione certa degli incaricati di ciascun trattamento, all’accesso ai sistemi elaborativi ed ai dati - Assegnazione di privilegi minimi per poter operare sui soli dati e per le sole operazioni relative al ruolo/mansione aziendale assegnata (need-to-know) - Tracciamento completo, integro e non ripudiabile di tutte le operazioni compiute sui dati critici (incluse le operazioni di sola visualizzazione) 8 CODICE Per una risposta efficace, è necessario impostare una strategia basata su tre aspetti fondamentali Costruire il modello Definire una metodologia Progettare l’infrastruttura tecnologica a supporto 9 Il modello di riferimento, per una efficace strategia di sicurezza, deve ribadire la centralità dei dati trattati - Censiti e valutati in rapporto ai dati critici che elaborano. - Regolati da policy che normano le modalità di interazione con i dati critici Attribuita e formalizzata in rapporto ai dati critici, anche in termini di responsabilità oggettive pertinenti alla tutela della Privacy - Definiti e formalizzati rispetto al business aziendale - Classificati in base alla rilevanza in rapporto alla Privacy Costruire il modello Definire una metodologia Progettare l’infrastruttura tecnologica Imposta la strategia complessiva ed il modello di Security per mitigare i rischi correlati alla tutela della Privacy Dati Dati Privacy rilevanti per la Privacy Fornisce gli strumenti per il controllo armonico ed efficiente dei processi di attribuzione e verifica dei privilegi sulle risorse critiche, in accordo alle policy formalizzate Consente di attribuire inequivocabilmente la responsabilità dei trattamenti effettuati sui dati critici all’effettivo owner 10 E’ necessario utilizzare un approccio metodologico rigoroso correlato ad un framework tecnologico di riferimento Costruire il modello Definire una metodologia Progettare l’infrastruttura tecnologica L’attuazione di una roadmap efficace verso gli obiettivi di data privacy compliance riguarda sia l’ambito organizzativo e di processo che l’ambito tecnologico; ciò può avvenire secondo una metodologia specifica mutuabile dai principi “canonici” della gestione del rischio Layer dei processi e dell’organizzazione Layer infrastrutturale e tecnologico Definizione e classificazione dei dati critici trattati dall’azienda Censimento dei processi e dei sistemi di elaborazione che li trattano Infrastruttura per la gestione delle credenziali e dei privilegi per le utenze applicative e gli addetti IT Verifica dell’ownership sui processi / applicazioni / sistemi coinvolti Interventi sulle applicazioni per la conformità ai requisiti di identificazione, autorizzazione, tracciamento utenze Analisi dei rischi correlati alle specifiche minacce ai requisiti di privacy sui dati critici Interventi per la sicurezza di SO e DB per gestione accessi, controllo privilegi, riservatezza dei dati e tracciamento degli addetti IT Sviluppo del modello delle contromisure inquadrate in un framework di riferimento condiviso Sviluppo di un sistema di auditing sui trattamenti operati sui dati critici 11 Il modello tecnologico deve gestire il ciclo di vita completo delle identità aziendali, ponendo sullo stesso piano le utenze applicative e sistemistiche Costruire il modello Definire una metodologia Progettare l’infrastruttura tecnologica WORKFLOW AUTORIZZATIVO GENERALE Repository unico delle identità End User Addetti IT Applicazione S.O. DB “Securizzazione” S.O. “Securizzazione” DB + Valore trend - Sicurezza applicativa Accesso, controllo autorizzazioni, protezione risorse, tracciamento non ripudiabile Accesso, tracciamento Comandi, controllo privilegi sulle risorse, cifratura Accesso, tracciamento Comandi, controllo privilegi sui dati, cifratura Legenda flussi Identity mgmt / provisioning accesso diretto da parte degli utenti finali accesso indiretto da parte degli utenti finali AUDIT LOG CENTRALIZZATO Accesso diretto da parte degli Addetti IT Collezionamento log 12 Implementazione della strategia di data privacy: Aspetti legati al contesto aziendale L’efficacia della strategia di data privacy può essere condizionata da alcuni fattori di contesto che devono essere attentamente considerati 1 2 Aspetti di contesto Fattori di rischio La trasversalità degli interventi richiesti presuppone il coinvolgimento dell’intera organizzazione - Scarsa maturità dell’organizzazione della sicurezza per affrontare la problematica a livello globale I requisiti e le contromisure richieste devono riguardare tutti i domini tecnologici, inclusi i sistemisti e gli addetti IT - Indisponibilità a rivedere le modalità operative consolidate, in particolare per la gestione dei datacenter - Mancanza di ownership e responsabilità dichiarate - Mancanza di organismi di controllo interno - Privilegio dell’efficienza operativa a scapito della sicurezza - Mancanza di commitment da parte degli stakeholders 3 Gli interventi richiedono investimenti specifici - Conseguente limitatezza del budget - Necessità di attuare interventi specifici nell’ambito della gestione ordinaria dei sistemi informativi 13 Accorgimenti per contrastare i fattori di rischio 1 Agire sul piano dell’organizzazione della sicurezza e dell’awareness sulla problematica: La compliance è uno dei driver, ma proteggere i dati riguarda direttamente il business; è necessario il coinvolgimento di diverse funzioni con finalità ed obiettivi specifici. −Indicatori di rischio −Business Continuity −Linee strategiche di protezione BIA, Rilevanza strategica dei dati Security Governance IT Security −Individuazione delle Classi di Criticità dei Sistemi/Applicazioni. −Individuazione del desiderato Livello di Rischio su Sistemi/Applicazioni Analisi del Rischio di Alto Livello Pianificazione degli di Interventi di security IT Security Linee di Sviluppo PdS1 PdS2 PdS3 PdS4 PdSn Il risultato sono specifici piani di Sicurezza, riferiti alle differenti applicazioni IT. Le contromisure sono sia di tipo tecnologico che organizzativo Attuazione delle contromisure Linee di Sviluppo Linee di Esercizio C1 C2 C3 C4 Cn Con interventi trasversali, soprattutto nell’ambito infrastrutturale, è possibile agire contemporaneamente su un sottoinsieme di minacce, ottimizzando gli investimenti 14 Accorgimenti per contrastare i fattori di rischio 2 Collaborare con le linee operative per definire un insieme di contromisure sostenibili: Costruire un modello tecnologico organico ma a “building blocks”, implementabile a perimetri concentrici, nell’ambito di una roadmap concordata con tutti gli owner coinvolti Definire una “baseline” tecnologica di sicurezza comune, identificando un set di contromisure per ciascun dominio, caratterizzate da basso impatto operativo e TCO accettabile Possibile Baseline di sicurezza DataBase Server / File System Networking = Utenze individuali = Account applicativi Dati critici Middleware Applicazione Identità utente univocamente determinabile fra i vari layer Centralizzazione Identity Repository Centralizzazione dei processi di Identity Management e provisioning mediante applicazione di workflow operanti sul repository centralizzato Centralizzazione dei processi di autenticazione e rafforzamento dei metodi di controllo accesso Applicazione del principio del minimo privilegio Organizzazione e classificazione delle risorse per grado di criticità e rilevanza Gestione dei privilegi per ruoli, responsabilità e mansioni Piano condiviso con le varie funzioni per la bonifica degli account di gruppo Centralizzazione e correlazione dei sistemi di tracciatura degli accessi e delle azioni svolte Consolidamento dei log prodotti ai vari layer = Account Sistemistici 15 Accorgimenti per contrastare i fattori di rischio 3 Adottare una strategia di comunicazione “verso l’alto” che evidenzi chiaramente i rischi di business correlati al tema della data privacy, ma anche il valore aggiunto che una strategia di compliance può portare all’efficienza dei processi ed all’immagine dell’azienda verso il mercato Nella predisposizione di una roadmap di interventi, su cui ottenere il commitment degli stakeholders, l’attenta considerazione dei seguenti punti può rappresentare un elemento chiave di successo: Massimizzazione dei savings La roadmap deve puntare alla salvaguardia degli investimenti, realizzando un disegno architetturale che massimizzi i potenziali savings, in termini di CAPEX ed OPEX, legati sia al riutilizzo di componenti Hw/Sw, sia all’aumento della produttività delle utenze coinvolte Flessibilità ed adattabilità delle soluzioni proposte La soluzione deve poter rispondere alle necessità specifiche degli ambienti target in cui si cala, garantendo una risposta tecnologica che sia commisurabile al grado di criticità dei sistemi ed evitando di introdurre overhead amministrativi non necessari Scalabilità ed apertura evolutiva La soluzione non deve introdurre vincoli in termini di scalabilità e di adattabilità a contesti futuri, intesi sia come nuove piattaforme da gestire, sia come sostenibilità delle evoluzioni tecnologiche relative alle piattaforme IT in generale 16 CODICE Agenda • Profilo di VP Tech • Metodologia e modello tecnologico per rispondere alle necessità di Data Privacy • Conclusioni 17 Conclusioni − Le esigenze di compliance, in particolare in tema privacy, impongono una revisione dei processi di business, allo scopo di evidenziare il possibile scollamento fra l’impianto normativo e le policy di sicurezza e l’effettiva applicazione nei sistemi IT − Ciò deve realizzarsi secondo una metodologia che coinvolga l’organizzazione ad ogni livello, impostata secondo una strategia di Security Governance che definisca il perimetro e ponga gli obiettivi, verificandone il raggiungimento nell’ambito di un piano organico condiviso e di un framework tecnologico di riferimento − L’obiettivo richiede il contributo di diversi interlocutori: il fornitore delle tecnologie di base, la consulenza strategica, il system integrator, etc. che devono operare in stretta sinergia verso il cliente − L’esperienza VP Tech, nonché la sua specializzazione distintiva su tutte le tematiche di Security maturata presso molte organizzazioni, ci pone come un partner di eccellenza in grado di fornire un contributo determinante per affrontare e gestire la problematica 18 [email protected] 19