Utilizzo dei dati di
AUDITING
Lecce
21 Maggio 2004
Chi e’ Iccrea Banca S.p.A.
• L’Iccrea Banca e’ l’Istituto centrale della categoria delle Banche
di Credito Cooperativo
• L’Iccrea Banca e’ uno dei quattro centri applicativi autorizzati
dalla Banca d’Italia ad operare, come tramite, nel sistema
bancario nazionale
• Rappresenta le BCC in tutti gli ambiti tecnico-istituzionali,
curandone gli interessi legati alla loro attività bancaria
• E’ la fabbrica di servizi che sarebbe antieconomico produrre a
livello locale, diminuendo l’impegno delle BCC nel back office ed
aiutandole a mantenere bassi i loro costi di gestione
• Fornisce i propri servizi sulla rete Intranet in un contesto di
sicurezza e di velocità dell’informazione
2
Gli utenti di Iccrea Banca: le BCC
• 461 Banche di Credito Cooperativo
• 3.239 Sportelli in oltre 2.000 comuni
• Oltre 4 milioni di Clienti
• Oltre 78 Miliardi di Euro di Raccolta
• Ad oggi sono definite nel sistema di sicurezza oltre
12.500 userid.
3
Architettura di sistema
4
Evoluzione organizzativa
• 1987 - Nasce la necessità di avere un sistema per il controllo logico
degli accessi
• Ad ogni applicazione viene assegnata una struttura funzionale,
predisposizione di profili applicativi
• 1988 - Le applicazioni vengono migrate nel sistema di sicurezza
• 1991 - Tutte le applicazioni sono dichiarate al sistema di sicurezza e
viene emanata la prima normativa sul controllo logico degli accessi
• Nasce l'esigenza di controllare le attività svolte direttamente in
produzione
• Si sente la necessità di far convalidare tutte le attività estemporanee
eseguite (assunzione di responsabilità)
5
Utilizzo dei dati di Audit
Vecchia soluzione
• Per elaborare i dati di audit l’Istituto ha considerato i
seguenti aspetti:
– Aspetto organizzativo
• Raggruppamento delle Userid in schemi logici
– Aspetto normativo
• Definizione di norme che regolano la richiesta e la convalida
delle attività eseguite con profili particolari
– Aspetto tecnico
• Creazione di una applicazione che produca dei report, come
richiesta dalla normativa, da base dati TSS (archivi di audit)
6
Utilizzo dei dati di Audit
Aspetto organizzativo
7
Utilizzo dei dati di Audit
Aspetto normativo
• Per poter snellire la procedura organizzativa legata all’intervento
in ambiente di produzione, da parte dei specialisti per attività di
risoluzione del problema, si è provveduto alla standardizzazione
di modalità operative:
– Formulazione delle richieste, per ottenere profilazioni “particolari”;
– Richieste che possono essere solamente effettuate da personale abilitato;
– Modalità di convalida a posteriori.
• Questa prassi è stata regolamentata dall’Istituto nella
normativa di Controllo Logico degli Accessi della Sicurezza
Logica, e brevemente riporta:
– ‘La Funzione Sicurezza Logica trasmette giornalmente ai Responsabili di
Servizio, cui risultino assegnate risorse che dispongono di profili
“particolari” – e per conoscenza alla Funzione Controlli, un elenco analitico
8
delle attività svolte da detto personale.’
Utilizzo dei dati di Audit
Aspetto tecnico
• Creazione di una applicazione informatica
– Fornire informazioni dettagliate, per singola userid, sul tipo di
attività eseguita sulle singole risorse di sistema.
9
Utilizzo dei dati di Audit
Esempio di comunicazione
Riepilogo delle operazioni giornaliere relative al 10/05/04 eseguite dal personale del Servizio I5343 in audit per bypass
Administration Report Utility - A cura dell'Ufficio Metodologie e Standard su base dati CA-TOP SECRET
---------------------------------------------------------------------------------------------------------------------Utente: U000001 MARIO ROSSI
Codice Servizio I5343 S. APPLICAZIONI DI MERCATO
Transazioni eseguite
RSCF
00025
Operazioni DB2 eseguite in TSO
Esecuzione PLAN
DB12
00012
Utente: U000002 MARCO BIANCHI
Archivi acceduti in TSO
Archivi acceduti in TSO
Operazioni DB2 eseguite in TSO
Codice Servizio I5343 S. APPLICAZIONI DI MERCATO
In lettura
DI12.MASTER.SPUFI.CNTL
00012
In aggiornamento
DI12.MASTER.SPUFI.CNTL
00001
Esecuzione PLAN
DSNESPRR
00004
Utente: U000003 ANTONIO VERDI
Sottomissioni eseguite
Archivi acceduti in TSO
Archivi acceduti in TSO
Archivi acceduti in TSO
Archivi acceduti in TSO
Codice Servizio I5343 S. APPLICAZIONI DI MERCATO
JOB
SUBMIT.JES07.JC01XXXX.JC01
00001
In lettura
DC01.PRENOTAZ.VSAM
00002
In lettura
ICCP.MASTER.PROCLIB
00002
In lettura
ICCR.MASTER.JOBLIB
00004
In aggiornamento
DC01.PRENOTAZ.VSAM
00004
Utente: U000004 CLAUDIO NERO
Operazioni DB2 eseguite in TSO
Operazioni DB2 eseguite in TSO
Codice Servizio I5343 S. APPLICAZIONI DI MERCATO
Esecuzione PLAN
DB12
00006
Esecuzione PLAN
DB18
00023
10
Utilizzo dei dati di Audit
Aspetto tecnico
• Punti di debolezza
– Tempi lunghi nell’esecuzione della routine di TSS per la creazione
degli EARLOUT
11
Utilizzo dei dati di Audit
Schema di funzionamento
Archiviazione dati
di audit
Infrastruttura
di sicurezza
TSS
Creazione lista
utenti in bypass
Estrazione dati su EARLOUT
Creazione lista
utenti con temporaneo
Estrazione dati su EARLOUT
Formattazione EARLOUT
per bypass
Formattazione EARLOUT
per temporanei
Prepara archivi bypass
per Servizio
Prepara archivi temporanei
per Servizio
Spedizione tramite SMTP
Spedizione tramite SMTP
12
Ricerca della soluzione
• Criticità nella predisposizione dei dati
– Tempi lunghi di elaborazione
• Eccessivo utilizzo di CPU
• Eccessivi accessi al Sistema di Sicurezza (TSS)
– Per ogni record la routine accede al security file
13
Ricerca della soluzione
• Non potendo intervenire nelle fasi (proprietarie del
sistema di sicurezza TSS) utilizzate, dovevamo
cercare altrove la soluzione
• La E.T. stava sviluppando un sistema di gestione dei
file di auditing
• Gli abbiamo chiesto se potevano fornirci archivi con
contenuti uguali a quelli generati con le utility del
TSS.
• Ed abbiamo scoperto che potevamo:
14
– Essere svincolati dall’ambiente (la soluzione ET poteva
produrre informazioni di produzione anche dallo sviluppo)
– Ottenere in automatico le Userid che beneficiano di profili
particolari
Le specifiche di prodotto
• Acquisizione dati da fonti eterogenee
• Normalizzazione degli eventi (ADM)
• Memorizzazione ed analisi dei dati
• Componente di integrazione TSS
 Analisi dei dati generati da TSS
 Produzione output compatibili
 "What if" per simulare gli scenari di produzione in ambiente di
test
 Elaborazioni parallele
 Interpretazione analitica degli eventi di bypass
 Ricostruzione dei profili e regole che concedono/negano l'accesso
• Report HTML
15
Modalità di esecuzione ?
• Primary Mode: STC (Real Time)
• Secondary Mode: Batch (Post Processing)
16
Utilizzo dei dati di Audit
Nuova soluzione
• Gli output ottenuti restano essenzialmente invariati
• Cambia il modo di individuare le userid
– Il prodotto E.T. cattura in tempo reale tutte le variazione eseguite
nel security file, predisponendo un archivio contenente le userid che
beneficiano di determinati profili
• Cambia il prodotto per la creazione degli EARLOUT
– Vengono generati dal prodotto E.T. direttamente dai dati di audit del
TSS (o dai record SMF), eliminando gli accessi al sistema di
sicurezza TSS
• Il prodotto E.T. può essere attivato nell’ambiente di
sviluppo
– In questo modo si possono generare tutte le informazioni senza
caricare il sistema di produzione
17
Utilizzo dei dati di Audit
Schema di funzionamento
Archiviazione dati
di audit
Estrazione dati su EARLOUT
Estrazione dati su EARLOUT
Formattazione EARLOUT
per bypass
Formattazione EARLOUT
per temporanei
Prepara archivi bypass
per Servizio
Prepara archivi temporanei
per Servizio
Spedizione tramite SMTP
Prodotto ET-1Audit
Security File
virtuale
Spedizione tramite SMTP
18
Risultati
• I risultati ottenuti rispecchiano le nostre aspettative
• Si è raggiunto un traguardo inaspettato
–
Per la produzione degli EARLOUT si passa da circa 4 ore a circa 5 minuti
• È doverosa una considerazione:
–
Il prodotto ottenuto dalla E.T. è troppo evoluto oppure …
le logiche di funzionamento del sistema di sicurezza sono troppo scarse?
Mah! Forse la verità sta nel mezzo
19
I prossimi sviluppi . . .
• Integrazione dei dati di monitoring originati in
ambienti z/Linux, Unix, MS-Windows
• Ulteriori espansioni e personalizzazioni del
componente di prodotto ET-1Audit Security Manager
Assistant per eTrust CA-Top Secret, secondo le
specifiche esigenze di ICCREA Banca
• Sperimentazione e personalizzazione del componente
di prodotto ET-1Audit Data Change Monitor per
sottoporre a monitoring stretto gli accessi ad una
selezione di data base, secondo le specifiche esigenze
di ICCREA Banca
20