Bruno Carbone - Presentazione M2M Forum
-
Upload
gowireless -
Category
Business
-
view
894 -
download
1
description
Transcript of Bruno Carbone - Presentazione M2M Forum
M2M Forum 2009Milano 07 aprile 2009
PremessaSicurezza fisicaInfrastrutture di ReteInfrastrutture di SicurezzaServizi InternetSystem e Security ManagementInfluenza del fattore umanoNormativa Europea Infrastrutture critiche
Esigenza:Affrontare i problemi di Sicurezza nella loro globalità
Soluzione:Possibilità di differenziare l’approccioApproccio essenziale (basato solo sulla tecnologia)Approccio metodologico
ENAV ha scelto : l’approccio metodologico
Stabilire le esigenze di sicurezzaTrasformarle in requisitiImplementare le soluzioniVerificare le rispondenza tra requisiti e soluzioni
Individuazione dei rischi tramite i tre fattori fondamentali:MinacciaVulnerabilitàImpatto
focalizzata su ciascuna specifica area di valutazioneIndividuazione delle metodologie specifiche per ciascuna di esse
Attivata una Risk Analysis:
Identificazione della Minaccia
Valutazione ed Analisi delle Vulnerabilità
Attività di Penetration TestingAttività di exploiting manuale delle Vulnerabilità
Valutazione dell’impatto sui beni critici di ENAV
Valutazione dell’esposizione al Rischio
Identificazione le contromisure da porre in atto
Standard internazionali (ove possibile)Esempio:
ISO/IEC 27001 (ex BS7799-2)ISO/IEC 27002 (ex ISO/IEC 17799, ex BS7799-1)SSE-CMM (ISO/IEC 21827)GMITS (ISO/IEC 13335) ISO/IEC 27005 (IT Risk Management)
TCSEC (Trusted Computer System Evaluation Criteria – Orange Book)ITSEC (Information technology Security Evaluation Criteria
ITSEMCC (Common Criteria – ISO/IEC 15408)
CertificazioneStandardizzazione delle procedureFacilità di implementazioneFacilità di monitoraggio e manutenzioneAdozione di processi e soluzioni consolidate
Vigilanza h24 sui principali Siti;Sistemi antintrusione mediante videosorveglianza, antiscavalcamento e recinzioni;Ronde;Interventi su segnalazione di infrazioni con sistemi di radiosorveglianza in siti non presidiati;Nel prossimo futuro, realizzazione di un piano nazionale per il controllo accessi basato su smart-card e controlli biometrici;
LAN 10 Giga/Bit Sede Centrale
SiSi SiSi
ATMDATAWANADSL
ISDN
CSPM NMS CSNT
Server FarmLayer
Internet
BackBoneLayer
AccessLayer
SecurityLayer
AAATerra A Terra B Primo B Secondo BSecondo APrimo A
WANLayer
Infrastruttura di Intrusion Detection
Utilizzo PKI per l’autenticazioneProfilazione utenti
Strumenti di Single sign-onSistemi di Intrusion DetectionSistemi di firewalling per la protezione perimetraleSistemi di videosorveglianza per la protezione fisica
Normativa
Codice in Materia di Protezione dei Dati Personali
Normativa interna all’organizzazioneFormazione
Piano di Formazione di base (sicurezza) suddivisa per ruoli e responsabilità
Piano periodico di aggiornamento
Piano di sensibilizzazione del personale
Condizioni di utilizzo di InternetPolitiche di utilizzo corretto dei serviziPolitiche sull’utilizzo di internet e posta elettronica
Attuale: verifiche periodiche sulle attività svolte sui sistemi e sull’applicazione delle politiche di sicurezzaFuturo:
Implementazione di un ambiente di Incident handling and response
Prevenzione degli incidenti
Identificazione della minacciaMinacce ad opera di soggetti esterni (outsiders)Minacce ad opera di soggetti interni (insiders)Minacce accidentali (errori)Minacce intenzionali (attacchi)
Applicabilità delle contromisure:Equilibrio tra elevato livello di sicurezza e l’impatto che eventuali contromisure hanno sul personale (risposta degli utenti)Formazione continua
lo scorso 23 dicembre 2008 è stata pubblicata sulla Gazzetta Ufficiale della Comunità Europea il testo della direttiva sulla identificazione e designazione delle infrastrutture critiche europee.
Essa è entrata in vigore il 12 gennaio 2009.
Gli stati membri hanno tempo fino al 12/01/2011 per la relativa ratifica. Entro tale data dovrà, inoltre, essere completato il processo di identificazione e designazione delle ECI. Gli operatori di quelle infrastrutture designate come ECI avranno un anno di tempo dalla data di designazione, per provvedere (qualora non ne siano giàdotati) a definire un Piano della Sicurezza dell’Operatore (PSO) ed a designare un “soggetto” di coordinamento
DOMANDE?
Bruno CarboneResponsabile Sicurezza [email protected]