Transcript of Adempiere tecnologicamente al provvedimento del Garante per gli Amministratori di Sistema Massimo...
- Slide 1
- Adempiere tecnologicamente al provvedimento del Garante per gli
Amministratori di Sistema Massimo Cotta Marketing & Presales
Director Redco Telematica S.p.A m.cotta@redco.it 20 Maggio 2009
Assago - Milanofiori
- Slide 2
- ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Agenda
Situazione ad oggi in merito alle misure richieste dal Garante Un
possibile approccio produttivo alla tematica La soluzione
tecnologica
- Slide 3
- ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Le misure
richieste dal Garante Di seguito sono indicati gli accorgimenti e
le misure che vengono prescritti ai sensi dell'art. 154, comma 1,
lett. c) del Codice, a tutti i titolari dei trattamenti di dati
personali effettuati con strumenti elettronici, esclusi, allo
stato, quelli effettuati in ambito pubblico e privato a fini
amministrativo-contabili, ovvero:
- Slide 4
- ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI 4.4 Verifica
delle attivit L'operato degli amministratori di sistema deve essere
oggetto, con cadenza almeno annuale, di un'attivit di verifica da
parte dei titolari del trattamento, in modo da controllare la sua
rispondenza alle misure organizzative, tecniche e di sicurezza
rispetto ai trattamenti dei dati personali previste dalle norme
vigenti. 4.3 Elenco degli amministratori di sistema Gli estremi
identificativi delle persone fisiche amministratori di sistema, con
l'elenco delle funzioni ad essi attribuite, devono essere riportati
nel documento programmatico sulla sicurezza, Nel caso di servizi di
amministrazione di sistema affidati in outsourcing il titolare deve
conservare direttamente e specificamente, per ogni eventuale
evenienza, gli estremi identificativi delle persone fisiche
preposte quali amministratori di sistema. Le misure richieste dal
Garante
- Slide 5
- ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI 4.5
Registrazione degli accessi Devono essere adottati sistemi idonei
alla registrazione degli accessi logici (autenticazione
informatica) ai sistemi di elaborazione e agli archivi elettronici
da parte degli amministratori di sistema. Le registrazioni (access
log) devono avere caratteristiche di completezza, inalterabilit e
possibilit di verifica della loro integrit adeguate al
raggiungimento dello scopo di verifica per cui sono richieste. Le
registrazioni devono comprendere i riferimenti temporali e la
descrizione dell'evento che le ha generate e devono essere
conservate per un congruo periodo, non inferiore a sei mesi. Fonte:
http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499 Le misure
richieste dal Garante
- Slide 6
- ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Bene, e adesso?
Il quadro normativo da tenere presente ben pi ampio (es. Art. 4
Statuto Lavoratori) La Normativa assolutamente soggetta ad
interpretazione Ogni Azienda dovr scegliere lapproccio pi adeguato
alla Normativa e definire la propria risposta E fortemente
consigliato valutare lopportunit di una consulenza in ambito
privacy / legale Non per ultimo, tutti sperano in una
provvidenziale proroga.ma ci ritarder solo la reale risoluzione del
problema che deve invece essere risolto quanto prima La soluzione
tecnologica sar solo una parte del sistema globale che porter al
raggiungimento della compliance aziendale alla normativa
- Slide 7
- ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Chi ha letto la
normativa si certamente chiesto 6: Come poter garantire e provare
che il dato memorizzato non sia stato alterato 1: Quali figure sono
identificabili nel ruolo appartenente agliAmministratori di Sistema
2: Quali sono gli eventi da collezionare 3: Se occorre solo
tracciare il login ed il logout dellamministratore o anche lattivit
svolta 4: Quanto spazio sullo storage servir per collezionare tutti
log 5: Come possibile fars che gli amministratori non cancellino le
loro tracce informatiche
- Slide 8
- ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Ecco le uniche
risposte certe Per amministratore di sistema si individuano
generalmente, in ambito informatico, figure professionali
finalizzate alla gestione e alla manutenzione di un impianto di
elaborazione o di sue componenti. Ai fini del presente
provvedimento vengono per considerate tali anche altre figure
equiparabili dal punto di vista dei rischi relativi alla protezione
dei dati, quali: Amministratore di base dati Amministratori di reti
e di apparati di sicurezza amministratori di sistemi software
complessi Amministratori di sistemi di backup/restore e
manutenzione hardware Avendo molte associazioni di categoria
(Asstel, ABI, Confindustria) esposto i propri dubbi in merito ad
alcuni aspetti del provvedimento, il 21 Aprile, il Garante ha
aperto una consultazione pubblica
(http://www.garanteprivacy.it/garante/doc.jsp?ID=1611986) per
chiarire definitivamente i punti controversi. Tutti coloro che
vogliano inoltrare suggerimenti, osservazioni o commenti avranno
tempo fino al 31 maggio p.v. Non resta, quindi, che attendere il
pronunciamento dellAutorit Garante Privacy e sperare che possa
finalmente fornire i chiarimenti richiesti.
- Slide 9
- ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Un possibile
approccio trifase AssessmentProgettoImplementazioneTuning Fase1
Fase2Fase3 Considerando che, prima o poi, il provvedimento entrer
in vigore, valutiamo allora un possibile approccio organico alla
problematica:
- Slide 10
- ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Fase 1 Che Cosa
Chi - Come Definizione delle procedure per identificare e gestire
gli accessi fisico / logici ai sistemi ed alla rete Individuazione
degli Amministratori di Sistema, di rete e delle banche dati, al
fine della regolamentazione delle procedure elencate nella
normativa del Garante Definizione delle procedure per definire le
modalit di raccolta, analisi e conservazione dei log di sistema
Individuazione degli apparati e dei sistemi che dovranno essere
soggetti alla regolamentazione di raccolta ed analisi dei log
Assessment
- Slide 11
- ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Fase 2 A
conclusione dellassessment procedurale e tecnologico potr essere
proposta ladozione di sistemi idonei alla registrazione degli
accessi logici ai sistemi di elaborazione e agli archivi
elettronici da parte degli amministratori di sistema. In questa
fase si identificher larchitettura tecnologicamente pi adatta a
soddisfare i prerequisiti tecnici e normativi identificati.
Progetto
- Slide 12
- ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Fase 3 Questa
fase riguarder limplementazione ed il tuning del sistema
tecnologico proposto. Lobiettivo finale sar la definizione di
policy minimali e funzionali, che possano validare il percorso
normativo / procedurale definito nella Fase 1. Tuning
Implementazione
- Slide 13
- ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Esigenze
Aziendali Disposizioni Garante Obiettivi progetto Assessment per
identificazione sorgente dati Policy Aziendale Ufficio Legale
(risultati analisi) Funzione Compliance (DPS) (risultati analisi)
Amministratori di Sistema Procedure OK? NO Soluzione tecnologica SI
Il processo pi corretto
- Slide 14
- ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Requisiti della
soluzione tecnologica La soluzione tecnologica dovr, come minimo,
consentire: La piena soddisfazione dei requisiti delle normative
Unanalisi efficace e veloce, a fronte di richieste ed incidenti La
gestione pro-attiva e reattiva di violazioni, mediante reporting ed
alerting dedicato Lenforcement delle policy di accesso La
correlazione degli eventi L integrabilit verso sistemi
proprietari/legacy La certificazione dellinalterabilit dei dati
memorizzati Una gestione semplificata e multi-livello delle attivit
operative
- Slide 15
- ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Una comune
architettura aziendale Router logs IDS/IDP logs VPN logs Firewall
logs Windows logs Client & file server logs Wireless access
logs Windows domain logins Oracle Financial Logs San File Access
Logs VLAN Access & Control logs DHCP logs Linux, Unix, Windows
OS logs Mainframe logs Database Logs Web server activity Content
management logs Web cache & proxy logs VA Scan logs Switch
logs
- Slide 16
- ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI La
razionalizzazione degli asset IDS/IDP logs VPN logs Firewall logs
Client & file server logs Windows domain logins Oracle
Financial Logs SAN file Access Logs Mainframe logs Database Logs VA
Scan logs Switch logs
- Slide 17
- ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Il vendor di
riferimento: RSA enVision
- Slide 18
- ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Larchitettura
della soluzione - Collection Disaccoppiamento tra Raccolta ed
Analisi/Reportistica Possibilit di sviluppo a supporto di sorgenti
dati sconosciute Possibilit di approccio incrementale Raccolta
RealTime ed Agentless Singolo punto di raccolta Raccolta di eventi
RAW Collezionamento completo (no prefiltering) Sorgenti di
tipologia eterogenea Soluzione concepita per il Real-Time
Flessibilit per analisi future di diverse tipologie Supporto ad
elevati carichi in ricezione
- Slide 19
- ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI
Differenziazione degli storage per rispettare le policy di
ridondanza Compressione dei dati archiviati Possibilit di aumentare
la protezione dei dati mediante funzionalit aggiuntive dei sistemi
di storage supportati Archivio WORM (Write Once Read Many)
applicativo Inalterabilit: NON esistono funzioni di modifica dei
dati Integrit: Hashing Marcatura temporale interna Conservazione su
IPDB, NON su RDBMS (Relational Database Management System)
Larchitettura della soluzione - Storage
- Slide 20
- ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Correlation
& Alerting Disponibilit di oggetti predefiniti e pi di 1200
report e correlazioni Singolo punto di accesso ai dati raccolti
Client per analisi forense Self-Auditing Separazione Ruoli
(funzionalit e visibilit dati) Reporting (schedulabile)
Larchitettura della soluzione Analisi / Data Management
- Slide 21
- ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Interfaccia
grafica semplificata
- Slide 22
- ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Interfaccia
grafica semplificata
- Slide 23
- ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI I vantaggi
Semplicit di integrazione B-2 Syslog, Syslog NG SNMP Formatted log
files Comma/tab/space delimited ODBC connection to remote databases
Push/pull XML files via HTTP Windows event logging API CheckPoint
OPSEC interface Cisco IDS POP/RDEP/SDEE Oltre 150 device gi noti
(www.rsasecured.com)www.rsasecured.com Universal Device Support
(linguaggio XML-like) I logfile possono essere raccolti
tramite:
- Slide 24
- ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI - 65% - 80% I
vantaggi Ottimizzazione dello storage
- Slide 25
- ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Collect
Baseline Report Forensics Manage Device Trend Micro Antivirus
Microsoft ISS Juniper IDP Cisco IPS Netscreen Firewall Windows
Server Correlated Alerts Realtime Analysis LegacyRSA enVision
Supported Devices Integrated Incident Mgmt. Analyze Event Explorer
UDS Interactive Query I vantaggi Scalabilit
- Slide 26
- ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Le marce in pi
della soluzione tecnologica Raccolta, gestione ed analisi di
qualsiasi tipologia di logfile - Da qualsiasi device IP - Eventi di
ogni tipo - Nel loro formato nativo (nessuna alterazione o
normalizzazione) Supporto di tutti i device - Centinaia gi noti e
disponibili nel DB dellapparato - Espandibilit flessibile
(Universal Device Support, xml-like) Punto di osservazione centrale
e globale -Accesso unico a tutte le informazioni su tutta
linfrastruttura - Rispetto dei profili e dei ruoli (con accesso
protetto) Installazione non invasiva - Impatto nullo/minimo
sullinfrastuttura monitorata (no agent) - Facile integrazione
- Slide 27
- ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Funzionalit
avanzate - Alert e Reporting fortemente personalizzabili Abilita
ILM (Information Lifecycle Management) - Uso ottimale dello Storage
(compressione di dati raw) - Consente lapplicazione di policy di
Conservazione dei Dati Implementa Scalabilit ed Alta Disponibilit -
Architettura di Raccolta non-stop - Hot StandBy e Fault Tolerance -
Scalabile a caldo (anche per lo storage) Performance elevate con
TCO contenuto - Referenze attive di 100.000 Eventi Per Secondo
(EPS) e 10.000 device monitorati in tempo reale - Impiego di
appliance ad alte prestazioni anche nelle versioni entry level -
Scalabilit locale e geografica - Nessuna competenza di DBA
necessaria Le marce in pi della soluzione tecnologica
- Slide 28
- ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Riassumendo La
nuova normativa non deve essere considerata un problema, ma un
punto di partenza per il miglioramento delle procedure e
dellinfrastruttura tecnologica aziendale Ladozione di un DPS
strutturato e realmente conforme, semplificherebbe moltissimo
ladozione dei nuovi processi richiesti dal Garante La scelta della
soluzione tecnologica non deve essere dettata solo dagli obblighi
dalla normativa in oggetto, ma deve essere valutata
approfonditamente e considerata come una reale innovazione
tecnologica per lAzienda Dietro ogni problema, c una
opportunit
- Slide 29
- ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Redco
Telematica S.p.A, grazie ai suoi 24 anni di esperienza maturata sul
mercato e alle referenze sino ad oggi maturate, un partner
qualificato in grado di proporre soluzioni professionali alle
problematiche esposte. Redco Telematica S.p.a
- Slide 30
- ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Grazie
dellattenzione! Massimo Cotta - Marketing Director - Redco
Telematica Spa Via Alba 18/A - 21052 Busto Arsizio VA :
www.redco.it - @: m.cotta@redco.it Tel: +39-0331-397600