M2M Forum 2009Milano 07 aprile 2009

PremessaSicurezza fisicaInfrastrutture di ReteInfrastrutture di SicurezzaServizi InternetSystem e Security ManagementInfluenza del fattore umanoNormativa Europea Infrastrutture critiche

Esigenza:Affrontare i problemi di Sicurezza nella loro globalità

Soluzione:Possibilità di differenziare l’approccioApproccio essenziale (basato solo sulla tecnologia)Approccio metodologico

ENAV ha scelto : l’approccio metodologico

Stabilire le esigenze di sicurezzaTrasformarle in requisitiImplementare le soluzioniVerificare le rispondenza tra requisiti e soluzioni

Individuazione dei rischi tramite i tre fattori fondamentali:MinacciaVulnerabilitàImpatto

focalizzata su ciascuna specifica area di valutazioneIndividuazione delle metodologie specifiche per ciascuna di esse

Attivata una Risk Analysis:

Identificazione della Minaccia

Valutazione ed Analisi delle Vulnerabilità

Attività di Penetration TestingAttività di exploiting manuale delle Vulnerabilità

Valutazione dell’impatto sui beni critici di ENAV

Valutazione dell’esposizione al Rischio

Identificazione le contromisure da porre in atto

Standard internazionali (ove possibile)Esempio:

ISO/IEC 27001 (ex BS7799-2)ISO/IEC 27002 (ex ISO/IEC 17799, ex BS7799-1)SSE-CMM (ISO/IEC 21827)GMITS (ISO/IEC 13335) ISO/IEC 27005 (IT Risk Management)

TCSEC (Trusted Computer System Evaluation Criteria – Orange Book)ITSEC (Information technology Security Evaluation Criteria

ITSEMCC (Common Criteria – ISO/IEC 15408)

CertificazioneStandardizzazione delle procedureFacilità di implementazioneFacilità di monitoraggio e manutenzioneAdozione di processi e soluzioni consolidate

Vigilanza h24 sui principali Siti;Sistemi antintrusione mediante videosorveglianza, antiscavalcamento e recinzioni;Ronde;Interventi su segnalazione di infrazioni con sistemi di radiosorveglianza in siti non presidiati;Nel prossimo futuro, realizzazione di un piano nazionale per il controllo accessi basato su smart-card e controlli biometrici;

LAN 10 Giga/Bit Sede Centrale

SiSi SiSi

ATMDATAWANADSL

ISDN

CSPM NMS CSNT

Server FarmLayer

Internet

BackBoneLayer

AccessLayer

SecurityLayer

AAATerra A Terra B Primo B Secondo BSecondo APrimo A

WANLayer

Infrastruttura di Intrusion Detection

Utilizzo PKI per l’autenticazioneProfilazione utenti

Strumenti di Single sign-onSistemi di Intrusion DetectionSistemi di firewalling per la protezione perimetraleSistemi di videosorveglianza per la protezione fisica

Normativa

Codice in Materia di Protezione dei Dati Personali

Normativa interna all’organizzazioneFormazione

Piano di Formazione di base (sicurezza) suddivisa per ruoli e responsabilità

Piano periodico di aggiornamento

Piano di sensibilizzazione del personale

Condizioni di utilizzo di InternetPolitiche di utilizzo corretto dei serviziPolitiche sull’utilizzo di internet e posta elettronica

Attuale: verifiche periodiche sulle attività svolte sui sistemi e sull’applicazione delle politiche di sicurezzaFuturo:

Implementazione di un ambiente di Incident handling and response

Prevenzione degli incidenti

Identificazione della minacciaMinacce ad opera di soggetti esterni (outsiders)Minacce ad opera di soggetti interni (insiders)Minacce accidentali (errori)Minacce intenzionali (attacchi)

Applicabilità delle contromisure:Equilibrio tra elevato livello di sicurezza e l’impatto che eventuali contromisure hanno sul personale (risposta degli utenti)Formazione continua

lo scorso 23 dicembre 2008 è stata pubblicata sulla Gazzetta Ufficiale della Comunità Europea il testo della direttiva sulla identificazione e designazione delle infrastrutture critiche europee.

Essa è entrata in vigore il 12 gennaio 2009.

Gli stati membri hanno tempo fino al 12/01/2011 per la relativa ratifica. Entro tale data dovrà, inoltre, essere completato il processo di identificazione e designazione delle ECI. Gli operatori di quelle infrastrutture designate come ECI avranno un anno di tempo dalla data di designazione, per provvedere (qualora non ne siano giàdotati) a definire un Piano della Sicurezza dell’Operatore (PSO) ed a designare un “soggetto” di coordinamento

DOMANDE?

Bruno CarboneResponsabile Sicurezza InformaticaBruno.carbone@enav.it