Post on 09-Dec-2020
Gestione di DispositiviOne Time Password
Roberto Apollonio, CISA,CISMroberto.apollonio@h3g.it3 Italia, Internal Audit Dpt
Sessione di Studio AIEARoma, 25 Marzo 2013
2003 – 2013: 3 Italia compie 10 anni
Il 3 marzo 2003, 3 Italia ha iniziato la sua avventura nel mondo delle TLC mobili
lanciando, per prima al mondo, i servizi di comunicazione mobile di terza
generazione con tecnologia UMTS. Oggi “3” offre un’ampia gamma di servizi di
comunicazione, Internet e TV in mobilità a 9,5 milioni di clienti.
3 Italia si é sempre distinta per il suo approccio innovativo e pionieristico che le ha
permesso di raggiungere diversi primati:
• nel 2004, il lancio dell’UMTS;
• nel 2006, il lancio della prima TV Digitale Mobile DVB-H al mondo, la prima
Il Gruppo 3 Italia
1Roberto Apollonio, 3 Italia, CISA, CISM Sessione di Studio AIEA, Roma 25 Marzo 2013
• nel 2006, il lancio della prima TV Digitale Mobile DVB-H al mondo, la prima
offerta commerciale HSDPA e la prima chiavetta Internet ricaricabile per
accedere al Web in banda larga mobile;
• nel 2010 prende il via La3, la TV autoprodotta da 3 Italia, il social media
channel oggi in onda su Digitale Terrestre, sulla piattaforma Sky, sugli
smartphone e i tablet “3” oltre che sul sito www.la3tv.it;
• nel 2011 l’azienda si aggiudica per 305 milioni di euro il 25% delle frequenze
LTE messe a gara dal governo italiano e avvia un piano biennale da 1
miliardo per potenziare ulteriormente la propria rete;
• nel 2012 lancia i suoi servizi di Internet veloce con tecnologia 4G LTE con
l’obiettivo di estendere la copertura a 100 mega alle principali aree urbane e
a una serie di località in digital divide.
Fonte www.tre.it
Il Gruppo 3 Italia
Oggi 3 Italia dispone di una copertura del 93% della popolazione e di una rete
all’avanguardia, che le ha permesso di ottenere sul fronte dei servizi Internet
mobile veloce a 42 mega un primato sul mercato nazionale collegando l’83%
italiani in oltre 4.100 comuni.
Tutto questo é stato possibile grazie al supporto di Hutchison Whampoa, azionista
di riferimento di “3”, che ha investito in Italia più di 10 miliardi di euro, il più
cospicuo investimento estero diretto nel nostro Paese dai tempi del piano
Marshall.
Hutchison Whampoa è una multinazionale tra le prime 500 nella classifica
2Roberto Apollonio, 3 Italia, CISA, CISM Sessione di Studio AIEA, Roma 25 Marzo 2013
Hutchison Whampoa è una multinazionale tra le prime 500 nella classifica
Fortune, una delle più grandi imprese quotate alla borsa di Hong Kong, operativa
in 53 Paesi con più di 250 mila dipendenti e un fatturato di 50 miliardi di dollari nel
2011 e di 25 miliardi di dollari nei primi sei mesi del 2012.
Fonte www.tre.it
Indice
• Introduzione
• Il progetto
3Roberto Apollonio, 3 Italia, CISA, CISM Sessione di Studio AIEA, Roma 25 Marzo 2013
• Punti di Attenzione
• Conclusioni
Indice
• Introduzione
• Il progetto
4Roberto Apollonio, 3 Italia, CISA, CISM Sessione di Studio AIEA, Roma 25 Marzo 2013
• Punti di Attenzione
• Conclusioni
Obiettivo
Obiettivo
Applicazione Procedura
Per gli operatori di diversi settori, commerciali-tecnici-sicurezza,
l’introduzione dello strumento del token costituisce una svolta
vincente e una misura di sicurezza efficace per il controllo degli
accessi a applicazioni e sistemi.
Un progetto di tale rilevanza richiede:
• un’attenta gestione delle diverse componenti informatiche
dell’infrastruttura di sicurezza su cui poggia la soluzione dei
token;
5Roberto Apollonio, 3 Italia, CISA, CISM Sessione di Studio AIEA, Roma 25 Marzo 2013
Applicazione Procedura Gare Commissioning
Per un campione di 10 gare nel periodo Q4/11-Q1/12
token;
• l’adozione di efficienti procedure di gestione dello strumento
che, se non ben indirizzate, possono introdurre elementi di
rischio per il successo della soluzione.
Obiettivo dell’intervento è di illustrare e condividere l’esperienza del
quotidiano nella gestione tecnico/operativa e logistica dei token in
una realtà aziendale di rilievo e con grandi numeri.
Token
Il Token
Applicazione Procedura
Un token per la sicurezza (chiamato anche token hardware, token per l'autenticazione, token crittografico, o
semplicemente token) è un dispositivo fisico attraverso il quale
poter effettuare una autenticazione one time password
(tipicamente una autenticazione a due fattori).
Un token si presenta spesso sotto forma di dispositivo elettronico portatile di piccole dimensioni, alimentato
a batteria con autonomia nell'ordine di qualche anno, dotato di
6Roberto Apollonio, 3 Italia, CISA, CISM Sessione di Studio AIEA, Roma 25 Marzo 2013
Applicazione Procedura Gare Commissioning
Per un campione di 10 gare nel periodo Q4/11-Q1/12
a batteria con autonomia nell'ordine di qualche anno, dotato di
uno schermo e talvolta di una tastiera numerica.
Alcuni token possono essere collegati ad un computer tramite una
porta USB per facilitare lo scambio di dati.
Un token può anche essere di tipo software, ove le informazioni
necessarie risiedono direttamente nel computer dell'utente, e non
in un oggetto esterno.
Applicazione Procedura
Autenticazione a 2 Fattori
Aut.ne
2
Fattori
Per autenticarsi a sistemi digitali vengono distinte tre diverse
tecniche sulla scorta di:
• una cosa che si conosce, per esempio una password o
il PIN;
• una cosa che si hai, come un telefono cellulare, una carta di
credito o un oggetto fisico come un token;
• una cosa che si è, come l'impronta digitale, il timbro vocale,
la retina o l'iride, o altre caratteristiche di riconoscimento
attraverso caratteristiche uniche del corpo umano
7Roberto Apollonio, 3 Italia, CISA, CISM Sessione di Studio AIEA, Roma 25 Marzo 2013
Applicazione Procedura Gare Commissioning
Per un campione di 10 gare nel periodo Q4/11-Q1/12
Fattori attraverso caratteristiche uniche del corpo umano
Si dice che un sistema fa leva su un’autenticazione a due fattori quando si basa su due diversi metodi di autenticazione tra
quelli sopra elencati.
Le più comuni forme di autenticazione a due fattori usano "una
cosa che si conosce" (una password) come primo dei due fattori,
mentre come secondo fattore viene utilizzato o "una cosa che si
ha" (un oggetto fisico) o "una cosa che si è" (una caratteristica
biometrica come ad esempio un’impronta digitale).
Applicazione Procedura
Tipologie Token
Tipologie
8Roberto Apollonio, 3 Italia, CISA, CISM Sessione di Studio AIEA, Roma 25 Marzo 2013
Applicazione Procedura Gare Commissioning
Per un campione di 10 gare nel periodo Q4/11-Q1/12
Tipologie
Token
Comune
Software
Biometrico
Indice
• Introduzione
• Il progetto
9Roberto Apollonio, 3 Italia, CISA, CISM Sessione di Studio AIEA, Roma 25 Marzo 2013
• Punti di Attenzione
• Conclusioni
Le Fasi del Progetto
Realiz
zazio
ne
Il progetto può essere suddiviso in modo semplice come segue:
1. Fase preparatoria• Studio/conoscenza dei requisiti affinchè l’obiettivo finale sia
pertinente e che rientri nella strategia aziendale.
• Questa fase, generalmente qualificata di Pre-Progetto,
deve concludersi con l'elaborazione di documenti e azioni
che formalizzano il progetto e indichino le condizioni
organizzative dello svolgimento.
2. Fase di realizzazione• Fase operativa di creazione del progetto, gestita da un
system integrator, in collaborazione con la committenza.
10Roberto Apollonio, 3 Italia, CISA, CISM Sessione di Studio AIEA, Roma 25 Marzo 2013
Realiz
zazio
ne
system integrator, in collaborazione con la committenza.
• Questa fase comincia con la ricezione del “capitolato” e si
chiude con la realizzazione del progetto.
3. Fase finale• Consegna della soluzione con il fine di assicurare che il
progetto sia conforme alle attese e far si che la sua
"installazione" sia avvenuta correttamente.
4. Gestione Operativa• Set di istruzioni operative che rendono “live” l’oggetto del
progetto nel tempo.
Liv
e
• Censimento sistemi e applicazioni
• Restrizioni tecniche• Censimento utenze
• Supporto tecnico• Scadenza token• Magazzino• Distribuzione
• Supporto tecnico• Consegna token• Registrazione token• PIN/Password reset
Timeline e Punti di Attenzione
Fase Preparatoria
Fase Realizzazione
Fase Finale
GestioneOperativa
• I Punti d’Attenzione della fase realizzativa vanno annoverati tra quelli
11Roberto Apollonio, 3 Italia, CISA, CISM Sessione di Studio AIEA, Roma 25 Marzo 2013
• Censimento utenze• Valore del token• Privacy• Utenti con più profili• Magazzino• Distribuzione• Formazione • Outsourcers• …
• Distribuzione• Spare • Rottura, furto,
smarrimento• …• …
• PIN/Password reset• Quadrature e
riconciliazioni• …• …
annoverati tra quelli tipici di un progetto informatico di integrazione e non rientrano nello scope dell’intervento.
Indice
• Introduzione
• Il progetto
12Roberto Apollonio, 3 Italia, CISA, CISM Sessione di Studio AIEA, Roma 25 Marzo 2013
• Punti di Attenzione
• Conclusioni
• Censimento sistemi e applicazioni– Verificare tipologia di sistemi e applicazioni
• Restrizioni tecniche– Non tutte le utenze possono migrare ad autentucazione
con token (es. utenze in script di sistema) • Censimento utenze
– Quali utenze, dove sono dislocate, piano di migrazione• Valore del token
– Prevedere eventuale lettera di consegna• Privacy
Punti di Attenzione
Fase Preparatoria
• Censimento sistemi e applicazioni
• Restrizioni tecniche• Censimento utenze
Maggiori Dettagli
13Roberto Apollonio, 3 Italia, CISA, CISM Sessione di Studio AIEA, Roma 25 Marzo 2013
• Privacy– Ove necessario, predisporre lettera di assegnazione ai
fini della responsabilità in ambito Priovacy• Utenti con più profili
– Assistenti, operatori, tecnici• Magazzino
– Chi lo gestisce, dove è collocato, come è alimentato• Distribuzione
– Quali modalità della 1°distribuzione e le successive• Formazione
– Prevedere un piano di formazione all’utilizzo del token• Outsourcers
– Assegnazione del token (ad personam, all’outsourcer), dislocazione geografica e integrazioni a contratto
• Censimento utenze• Valore del token• Privacy• Utenti con più profili• Magazzino• Distribuzione• Formazione • Outosurcers• …• …
Punti di Attenzione
Fase Finale
• Supporto tecnico• Consegna token• Registrazione token• PIN/Password reset
Maggiori Dettagli
• Supporto tecnico– Staff tecnico– Procedure di registrazione token, sostituzione e rottura,
password reset• Consegna del token
– Distribuzione geografica degli utenti• Registrazione del token
– Quale approccio: a) registrazione massiva dei token e distribuzioneb)distribuzione e registrazione a carico utente
14Roberto Apollonio, 3 Italia, CISA, CISM Sessione di Studio AIEA, Roma 25 Marzo 2013
• PIN/Password reset• Quadrature e
riconciliazioni• …• …
b)distribuzione e registrazione a carico utente• Quadrature tra sistemi
– Quadrature e riconciliazioni tra i sistemi, le applicazioni e l’infrastruttura di sicurezza con i token
Punti di Attenzione
Gestione Operativa
• Supporto tecnico• Scadenza token• Magazzino• Distribuzione
Maggiori Dettagli
• Supporto tecnico– Procedure di registrazione token, sostituzione e rottura,
password reset• Scadenza del token
– Monitoring & reporting della scadenza dei diversi lotti di token
• Magazzino– Modalità operative di gestione del magazzino token al
fine di soddisfare tutte le richieste interne provenienti dai dipartimenti e/o da enti esterni
15Roberto Apollonio, 3 Italia, CISA, CISM Sessione di Studio AIEA, Roma 25 Marzo 2013
• Distribuzione• Spare • Rottura, furto,
smarrimento• …• …
dipartimenti e/o da enti esterni• Spare
– Quantificare e rendere disponbili spare token su tutte le sedi operative per assicurare la sostituzione a fronte di qualsiasi evenienza
Indice
• Introduzione
• Il progetto
16Roberto Apollonio, 3 Italia, CISA, CISM Sessione di Studio AIEA, Roma 25 Marzo 2013
• Punti di Attenzione
• Conclusioni
Fattori
Critici
Conclusioni
Fase Preparatoria
• ------• ------• ------• ------
Fase Finale
• ------• ------• ------
Gestione Operativa
• ------• ------
La resa finale del progetto per l’introduzione e l’utilizzo del token dipende fortemente dalla
17Roberto Apollonio, 3 Italia, CISA, CISM Sessione di Studio AIEA, Roma 25 Marzo 2013
• ------• ------• ------• ------• ------• ------
• ------• ------• ------• ------• ------• ------• ------
• ------• ------• ------• ------• ------• ------• ------• ------
dipende fortemente dalla capacità di affrontare e indirizzare in maniera efficace tutti gli ambiti in relazione diretta e indiretta con la gestione operativa.
Grazie
18Roberto Apollonio, 3 Italia, CISA, CISM Sessione di Studio AIEA, Roma 25 Marzo 2013
Grazie
roberto.apollonio@h3g.it