L’assistenza alle aziende
per aspetti tecnologici e
sistemici
Roma, 23 ottobre 2007
Dr. Giorgio Scarpelli
Vice President – VP Tech
CODICE
Agenda
• Profilo di VP Tech
• Metodologia e modello tecnologico per
rispondere alle necessità di Data Privacy
• Conclusioni
1
CODICE
VP Tech è il partner di clienti importanti per ciò che riguarda la gestione
di progetti in ambito di sicurezza aziendale
Profilo di VP Tech
• Obiettivo: portare al mercato un’offerta
di servizi in ambito security capace di
coniugare aspetti consulenziali,
tecnologici ed economici al fine di
creare valore per i propri clienti
Consulenza e Soluzioni di Sicurezza
Strategia di posizionamento della sicurezza
Organizzazione e governo dei processi di sicurezza
Progettazione/realizzazione soluzioni di sicurezza
Pianificazione di sistemi di Security Intelligence
• Referenze principali: telecomunicazioni,
industria, sanità e pubblica
amministrazione, presenza nel mercato
finance
• Forti legami con il mondo
universitario e con centri di R&D e
realtà tecnologiche a livello nazionale e
internazionale e accesso a finanziamenti
europei
• Certificata ai sensi della norma ISO
9001:2000
• 150 professionisti dedicati alla
Sicurezza Informatica
2
CODICE
VP Tech supporta i propri clienti intervenendo con efficacia a vari livelli
del modello operativo per la gestione della sicurezza
(TOP Management /
Security Management)
Security
Operations
Center
(Security
Management)
Security
Infrastructure & mgt
(Security
Operations
Staff)
Sistema di gestione delle
informazioni generate da
sistemi e servizi di
Information Security
Security Monitoring
Sistema di monitoraggio degli eventi di
sicurezza generati
dalle infrastrutture
Modello finanziario di
valutazione di CAPEX e
OPEX per le spese in
Information Security
Risk Assessment e Mgmt
Sistema di analisi e
gestione del processo
di Information Risk
Management
Sicurezza perimetrale e Sicurezza applicativa e
reti comunicazione
dati
Infrastruttura di protezione della rete e
delle sue interconnessioni, dei sistemi e
delle applicazioni
Security investment
evaluation
Tecnologie di gestione
della identità digitale
degli utenti dei servizi
informatici (autenticazione, autorizzazione e
controllo accessi)
Incident Handling
Struttura, strumenti e
processi di gestione
degli incidenti di natura
informatica
Business Continuity e
Crisis Mgmt
Sistema di crisis mgmt
e disaster recovery a
supporto del contingency
plan per garantire la continuità del business
aziendale
Enterprise Security Portal
Security Knowledge
base management
Security
Knowledge
Management
e Governance
Organizational model &
operational procedures
Allineamento assetto
organizzativo e impianto
normativo per le
procedure da applicare in
fase di esercizio e
gestione dei sistemi
informatici
3
CODICE
Alcune referenze
4
CODICE
Agenda
• Profilo di VP Tech
• Metodologia e modello tecnologico per
rispondere alle necessità di Data Privacy
• Conclusioni
5
CODICE
Le informazioni sono un asset fondamentale di qualsiasi
organizzazione
Gli obiettivi di business di un’azienda sono strettamente correlati alla fruizione delle
informazioni, il cui valore continua a cresce in funzione dell’evoluzione del contesto
relazionale, sempre più “immateriale”, in cui il business si attua
Soggetti che generano ed elaborano
informazioni …
Informazioni
…Determinano un costante incremento
del volume dei dati trattati…
…Sempre più centrali rispetto alle strategie di business delle aziende
Banche
…..
Obiettivi
Istituzioni
…..
Processi
Volumi
Applicazioni
Assicurazioni
Sistemi
…..
Utilities
Dati
……
Servizi
……..
Telecomunicazioni
……
Trasporti
’70
’80
’90
2000 oggi
…….
6
CODICE
Le esigenze di business si intersecano con gli obblighi normativi a
tutela dei diritti degli owner dei dati
Per l’azienda questo comporta:
La singola azienda, oltre che
dell’applicazione della
normativa ordinaria, in
particolare di quella sulla
Privacy, deve tener conto dei
provvedimenti specifici del
Garante per azienda/settore
1
Disporre di una catena di comando
Privacy efficiente e formalizzata (Titolare
del trattamento
ResponsabileIncaricato)
2
Avere un’organizzazione interna
flessibile che risponda tempestivamente
alle richieste del Garante
3
Implementare e aggiornare
un’infrastruttura tecnologica che sia
sempre Privacy compliant
7
CODICE
La problematica non è solo un fatto legale e burocratico
Lo scenario normativo in tema di data privacy richiama la necessità di adottare adeguate contromisure volte a
garantire una maggior sicurezza nel trattamento dei dati. Esso tende sia ad affermare alcuni principi, sia ad
indirizzare le contromisure organizzative e tecnologiche atte a metterli in pratica
Principi generali
Trattamento dei dati
permesso solo a chi è
espressamente incaricato
Interventi tecnologici richiesti
- Separation of duties
- Processo autoritativo controllato di assegnazione dei
privilegi sulle risorse
- Controllo non aggirabile dell’identità e dei privilegi di
ciascun incaricato che accede al dato
Assegnazione di
responsabilità individuale
per tutti i trattamenti dei dati
critici, anche se effettuati
mediante procedure
automatizzate
Attribuzione inequivocabile
delle azioni compiute su un
dato critico al suo effettivo
autore
- Ownership dichiarata dei dati e dei sistemi che li elaborano
- Identificazione certa degli incaricati di ciascun trattamento,
all’accesso ai sistemi elaborativi ed ai dati
- Assegnazione di privilegi minimi per poter operare sui soli
dati e per le sole operazioni relative al ruolo/mansione
aziendale assegnata (need-to-know)
- Tracciamento completo, integro e non ripudiabile di tutte
le operazioni compiute sui dati critici (incluse le operazioni di
sola visualizzazione)
8
CODICE
Per una risposta efficace, è necessario impostare una
strategia basata su tre aspetti fondamentali
 Costruire il modello
 Definire una metodologia
 Progettare l’infrastruttura tecnologica a supporto
9
Il modello di riferimento, per una efficace strategia
di sicurezza, deve ribadire la centralità dei dati
trattati
- Censiti e valutati in
rapporto ai dati critici che
elaborano.
- Regolati da policy che
normano le modalità di
interazione con i dati critici
Attribuita e formalizzata
in rapporto ai dati critici,
anche in termini di
responsabilità oggettive
pertinenti alla tutela della
Privacy
- Definiti e formalizzati rispetto
al business aziendale
- Classificati in base alla
rilevanza in rapporto alla
Privacy
 Costruire il modello
 Definire una metodologia
 Progettare l’infrastruttura tecnologica
Imposta la strategia
complessiva ed il
modello di Security per
mitigare i rischi correlati
alla tutela della Privacy
Dati
Dati
Privacy
rilevanti
per la
Privacy
Fornisce gli strumenti per
il controllo armonico ed
efficiente dei processi di
attribuzione e verifica dei
privilegi sulle risorse
critiche, in accordo alle
policy formalizzate
Consente di attribuire
inequivocabilmente la
responsabilità dei
trattamenti effettuati sui dati
critici all’effettivo owner
10
E’ necessario utilizzare un approccio metodologico
rigoroso correlato ad un framework tecnologico di
riferimento
 Costruire il modello
 Definire una metodologia
 Progettare l’infrastruttura tecnologica
L’attuazione di una roadmap efficace verso gli obiettivi di data privacy compliance riguarda sia
l’ambito organizzativo e di processo che l’ambito tecnologico; ciò può avvenire secondo una
metodologia specifica mutuabile dai principi “canonici” della gestione del rischio
Layer dei
processi e
dell’organizzazione
Layer
infrastrutturale e
tecnologico
Definizione e
classificazione
dei dati critici
trattati
dall’azienda
Censimento
dei processi e
dei sistemi di
elaborazione
che li trattano
Infrastruttura per la
gestione delle
credenziali e dei
privilegi per le utenze
applicative e gli addetti
IT
Verifica
dell’ownership
sui processi /
applicazioni /
sistemi coinvolti
Interventi sulle
applicazioni per la
conformità ai
requisiti di identificazione, autorizzazione, tracciamento utenze
Analisi dei
rischi correlati
alle specifiche
minacce ai
requisiti di
privacy sui dati
critici
Interventi per la
sicurezza di SO e
DB per gestione
accessi, controllo
privilegi,
riservatezza dei
dati e tracciamento
degli addetti IT
Sviluppo del
modello delle
contromisure
inquadrate in
un framework
di riferimento
condiviso
Sviluppo di un
sistema di
auditing sui
trattamenti
operati sui dati
critici
11
Il modello tecnologico deve gestire il ciclo di vita
completo delle identità aziendali, ponendo sullo
stesso piano le utenze applicative e sistemistiche
 Costruire il modello
 Definire una metodologia
 Progettare l’infrastruttura tecnologica
WORKFLOW AUTORIZZATIVO GENERALE
Repository unico delle identità
End User
Addetti IT
Applicazione
S.O.
DB
“Securizzazione”
S.O.
“Securizzazione”
DB
+ Valore
trend
-
Sicurezza
applicativa
Accesso,
controllo
autorizzazioni,
protezione
risorse,
tracciamento
non ripudiabile
Accesso,
tracciamento
Comandi,
controllo
privilegi sulle
risorse,
cifratura
Accesso,
tracciamento
Comandi,
controllo
privilegi sui
dati, cifratura
Legenda flussi
Identity mgmt / provisioning
accesso diretto da parte
degli utenti finali
accesso indiretto da parte
degli utenti finali
AUDIT LOG CENTRALIZZATO
Accesso diretto da parte
degli Addetti IT
Collezionamento log
12
Implementazione della strategia di data privacy: Aspetti legati
al contesto aziendale
L’efficacia della strategia di data privacy può essere condizionata da alcuni fattori di contesto che devono
essere attentamente considerati
1
2
Aspetti di contesto
Fattori di rischio
La trasversalità degli interventi
richiesti presuppone il
coinvolgimento dell’intera
organizzazione
- Scarsa maturità dell’organizzazione della sicurezza per
affrontare la problematica a livello globale
I requisiti e le contromisure
richieste devono riguardare tutti i
domini tecnologici, inclusi i
sistemisti e gli addetti IT
- Indisponibilità a rivedere le modalità operative
consolidate, in particolare per la gestione dei datacenter
- Mancanza di ownership e responsabilità dichiarate
- Mancanza di organismi di controllo interno
- Privilegio dell’efficienza operativa a scapito della
sicurezza
- Mancanza di commitment da parte degli stakeholders
3
Gli interventi richiedono
investimenti specifici
- Conseguente limitatezza del budget
- Necessità di attuare interventi specifici nell’ambito della
gestione ordinaria dei sistemi informativi
13
Accorgimenti per contrastare i fattori di rischio
1
Agire sul piano dell’organizzazione della sicurezza e dell’awareness sulla problematica:
La compliance è uno dei driver, ma proteggere i dati riguarda direttamente il business; è necessario
il coinvolgimento di diverse funzioni con finalità ed obiettivi specifici.
−Indicatori di rischio
−Business Continuity
−Linee strategiche di protezione
BIA, Rilevanza
strategica dei dati
Security
Governance
IT Security
−Individuazione delle Classi di Criticità
dei Sistemi/Applicazioni.
−Individuazione del desiderato Livello di
Rischio su Sistemi/Applicazioni
Analisi del Rischio
di Alto Livello
Pianificazione degli di Interventi di security
IT Security
Linee di Sviluppo
PdS1
PdS2
PdS3
PdS4
PdSn
Il risultato sono specifici piani di
Sicurezza, riferiti alle differenti
applicazioni IT. Le contromisure sono
sia di tipo tecnologico che
organizzativo
Attuazione delle contromisure
Linee di Sviluppo
Linee di Esercizio
C1
C2
C3
C4
Cn
Con interventi trasversali, soprattutto
nell’ambito infrastrutturale, è
possibile agire contemporaneamente
su un sottoinsieme di minacce,
ottimizzando gli investimenti
14
Accorgimenti per contrastare i fattori di rischio
2
Collaborare con le linee operative per definire un insieme di contromisure sostenibili:
Costruire un modello tecnologico organico ma a “building blocks”, implementabile a perimetri
concentrici, nell’ambito di una roadmap concordata con tutti gli owner coinvolti
Definire una “baseline” tecnologica di sicurezza comune, identificando un set di contromisure per
ciascun dominio, caratterizzate da basso impatto operativo e TCO accettabile
Possibile Baseline di sicurezza
DataBase
Server / File System
Networking
= Utenze individuali
= Account applicativi
Dati
critici
Middleware
Applicazione
Identità utente univocamente determinabile fra i vari layer
 Centralizzazione Identity Repository
 Centralizzazione dei processi di Identity Management e provisioning
mediante applicazione di workflow operanti sul repository centralizzato
 Centralizzazione dei processi di autenticazione e rafforzamento dei
metodi di controllo accesso
Applicazione del principio del minimo privilegio
 Organizzazione e classificazione delle risorse per grado di criticità e
rilevanza
 Gestione dei privilegi per ruoli, responsabilità e mansioni
 Piano condiviso con le varie funzioni per la bonifica degli account di
gruppo
Centralizzazione e correlazione dei sistemi di tracciatura degli accessi
e delle azioni svolte
 Consolidamento dei log prodotti ai vari layer
= Account Sistemistici
15
Accorgimenti per contrastare i fattori di rischio
3
Adottare una strategia di comunicazione “verso l’alto” che evidenzi chiaramente i
rischi di business correlati al tema della data privacy, ma anche il valore aggiunto che
una strategia di compliance può portare all’efficienza dei processi ed all’immagine
dell’azienda verso il mercato
Nella predisposizione di una roadmap di interventi, su cui ottenere il commitment degli
stakeholders, l’attenta considerazione dei seguenti punti può rappresentare un elemento
chiave di successo:
Massimizzazione
dei savings
La roadmap deve puntare alla salvaguardia degli investimenti, realizzando un
disegno architetturale che massimizzi i potenziali savings, in termini di CAPEX ed
OPEX, legati sia al riutilizzo di componenti Hw/Sw, sia all’aumento della
produttività delle utenze coinvolte
Flessibilità ed
adattabilità
delle
soluzioni proposte
La soluzione deve poter rispondere alle necessità specifiche degli ambienti target in
cui si cala, garantendo una risposta tecnologica che sia commisurabile al grado di
criticità dei sistemi ed evitando di introdurre overhead amministrativi non necessari
Scalabilità ed
apertura evolutiva
La soluzione non deve introdurre vincoli in termini di scalabilità e di adattabilità a
contesti futuri, intesi sia come nuove piattaforme da gestire, sia come sostenibilità
delle evoluzioni tecnologiche relative alle piattaforme IT in generale
16
CODICE
Agenda
• Profilo di VP Tech
• Metodologia e modello tecnologico per
rispondere alle necessità di Data Privacy
• Conclusioni
17
Conclusioni
− Le esigenze di compliance, in particolare in tema privacy, impongono una revisione
dei processi di business, allo scopo di evidenziare il possibile scollamento fra
l’impianto normativo e le policy di sicurezza e l’effettiva applicazione nei
sistemi IT
− Ciò deve realizzarsi secondo una metodologia che coinvolga l’organizzazione ad
ogni livello, impostata secondo una strategia di Security Governance che
definisca il perimetro e ponga gli obiettivi, verificandone il raggiungimento
nell’ambito di un piano organico condiviso e di un framework tecnologico di
riferimento
− L’obiettivo richiede il contributo di diversi interlocutori: il fornitore delle
tecnologie di base, la consulenza strategica, il system integrator, etc. che
devono operare in stretta sinergia verso il cliente
− L’esperienza VP Tech, nonché la sua specializzazione distintiva su tutte le
tematiche di Security maturata presso molte organizzazioni, ci pone come un
partner di eccellenza in grado di fornire un contributo determinante per affrontare e
gestire la problematica
18
[email protected]
19