Compliance alle normative e gestione del dato

Your partner

in business

Compliance alle normative e protezione del Dato

Alessandro Bergamino

Infrastructure Architect

Compliance alle normative e protezione del Dato

Durante la sessione , orientata a definire buon pratiche da adottare per la salvaguardia delle informazioni aziendali , si vogliono condividere alcuni elementi di una possibile strategia ottimale per implementare un sistema di gestione della sicurezza delle informazioni all'interno della propria azienda, avvalendosi del supporto di processi efficaci di internal audit che traggono vantaggio da soluzioni innovative in tema di monitoraggio degli accessi e dell'utilizzo delle informazioni nel tempo da parte degli utenti aziendali.

Obiettivo dell’Information Security

L’information Security ha come obiettivo principale la protezione delle informazioni aziendali da una vasta gamma di minacce (interne ed esterne dall’ambito aziendale) al fine di : • garantire la continuità del business • minimizzare eventuali danni alle attività aziendali • massimizzare il ritorno degli investimenti e le opportunità di nuovo

business preservandone le caratteristiche di • integrità • disponibilità • riservatezza

La Strategia suggerita

Implementare un sistema di gestione della sicurezza delle informazioni

identificare le informazioni da proteggere (asset) e i relativi responsabili (data owner)

definire un approccio per la valutazione dei rischi

implementare un processo di monitoraggio continuo dell’uso delle informazioni (auditing)

certificare la qualità dei processi aziendali di gestione delle informazioni attraverso norme standard come ISO 27001

Proteggere le informazioni, da dove cominciare?

Oggi più dell’80% dei dati aziendali si presenta in formato non strutturato la maggior parte di questi dati risiede all’interno di file-server, dispositivi NAS, portali e mailbox la forma più comune dei dati non strutturati è il file gestire e proteggere un’elevata quantità di dati non strutturati di questo tipo rappresenta la vera sfida da vincere per ogni organizzazione. Da che parte cominciare allora?

Audit …. come vengono usate le informazioni?

Per disegnare un processo di monitoraggio continuo dell’uso delle informazioni un buon punto di partenza può essere quello di fornire risposte alle seguenti domande:

chi ha avuto accesso alle risorse, intese come dati e informazioni?

quando?

da dove?

chi può accedervi?

chi non dovrebbe avere accesso?

Raccolta metadati

Activity Auditing

Permissions

User & Group

Information

Chi ci può aiutare?

spesso non forniscono una visione globale del patrimonio

informativo aziendale distribuito su sistemi eterogenei

le funzionalità native richiedono molto impegno per attivare la

cattura degli eventi, e quello è solo l’inizio; una volta che gli eventi

vengono raccolti occorre aggregarli, normalizzarli e analizzarli.

difettano di analisi forensi e di classificazione delle informazioni

trascurano le problematiche di analisi e gestione delle autorizzazioni

Limiti delle classiche soluzioni di File System Auditing

Esistono soluzioni innovative in questo ambito…

Il meglio di

Identity Intelligence

con il meglio di

Identity & Access Governance

Strumenti di Identity and Access Intelligence

Il termine "Identity Intelligence" è stato diffuso nel corso del 2010, grazie anche alla sua adozione da parte di Gartner, e si riferisce principalmente alle funzionalità che seguono… La presenza, all'interno di un'organizzazione, di un repository degli account utente, in grado di raccogliere in modo efficace tutte le informazioni che caratterizzano gli utenti e i loro diritti di accesso. Se confrontato, il repository utilizzato dalle soluzioni di Identity Management è di solito più semplice e meno adatto per effettuare analisi complesse.


Un ulteriore funzionalità è la capacità di correlare informazioni provenienti da diversi sistemi target e fonti autorevoli, al fine di compilare correttamente e in modo efficiente il repository


In ambienti complessi, i dati sugli utenti e gli account utente sono raccolti da decine o centinaia di fonti diverse, utilizzando standard diversi, strutture diverse e tecnologie differenti Al fine di consentire l'analisi rapida, dettagliata e completa, è essenziale avere uno strumento in grado di raccogliere, descrivere e omogeneizzare tutti questi dati , permettendo di realizzare analisi complesse, basate sui principi di business intelligence

Strumenti di Identity and Access Governance

Questa tipologia di soluzione (IAG) permette il coinvolgimento degli utenti finali e dei responsabili delle Business Unit nel processo di Identity & Access Management (IAM), invece di lasciare la gran parte della gestione solo agli amministratori IT. Fornisce funzionalità di Intelligenza grazie alle quali il processo di raccolta delle informazioni sugli accessi permette di effettuare rapide ed efficaci scelte in materia di Governance dell’intero ciclo di vita delle identità usate nell’accesso alle applicazioni ed alle informazioni aziendali. La soluzione IAG si basa su un "identity data warehouse”.

Strumenti di Identity and Access Governance

Questa tipologia di soluzioni innovative forniscono un piattaforma di workflow che automatizza i processi di access requests e access certification. Il permettere ai responsabili aziendali la visione delle relazioni tra gli utenti e le risorse che devono utilizzare per svolgere il loro lavoro era un elemento mancante nel mondo IAM.

IAI & IAG Solution

Dec

ide

Access

Password

mgmt

Remediation

Role based

Access

control

AM/SSO

Provisioning

Federation &

Access

Attestation

DES

IGN

& M

AIN

TAIN

Role

definition

Identity and Access Management

COTS

Inhouse

Live Monitoring

Usage based

role mining

Unified access

records

Risk Simulation

engine

Policy

Center

Data

classification

& monitoring

DLP / SIEM

enrichment

User Trends

& Anomalies

Data

warehousing

Unified Intelligence

Fine Grained

Audits

Activity based

SoD

Compliance

center

Access

request with

usage trends

Real-time

alerts Assessment

Forensics

Entitlements

HR

LDAP

Applications Unstructured

Data

Administration,

Access and Security

IAM + IAI + IAG, insieme

Esploriamo insieme il processo di Data Governance

Governare i dati, una sfida impegnativa

Assegnare il compito di proteggere i dati al loro responsabile e renderlo autonomo introducendo strumenti adeguati per permettergli di effettuare questa

gestione.

Processo di Data Governance

Data Owners

Classification

Permissions

Access Audit

Access Policies

Analytics

Data Governance: Data Owners

Chi è il responsabile del dato?

Identificazione automatica del proprietario «vero»

Cose che vorresti poter fare:

fornire ai responsabili dei dati la possibilità di gestire verifiche

periodiche in autonomia

permettere agli utenti di richiedere accesso ai dati per loro o per altri

sotto la loro supervisione

aiutare i responsabili dei dati a identificare dati e permessi non usati

da parecchio tempo

inviare periodicamente report ai responsabili con le statistiche di

utilizzo delle informazioni

Data Governance: Classification

Dove sono i miei dati più importanti?

Rilevamento dei dati su file server e CMS usando dizionari di

parole e regular expressions.


identificare dati importanti sovra esposti

permettere ai responsabili di business di effettuare verifiche sui

permessi esistenti

avvisare in caso di spostamento della posizione dei dati importanti

completare la propria soluzione DLP con funzionalità di analisi dei

permessi

Data Governance: Permissions

Chi ha accesso a cosa?

Mappatura dei permessi basata su nome utente, luogo, gruppi, etc.

Visibilità sui permessi effettivi di accesso alle risorse

Visibilità su chi ha accesso a informazioni «classificate»


applicare il principio dell’uso del privilegio minimo necessario

rimuovere utenti e gruppi non più usati da tempo

automatizzare le verifiche sui diritti di accesso

trovare risorse sovra esposte

Data Governance: Access Audit

Chi ha fatto cosa?

Completa visibilità sull’accesso alle risorse

Non si fa uso dei sistemi di audit e log nativi

Monitoraggio in tempo reale (asincrono)

Analisi forensi complesse ora gestibili con facilità


Verificare l’utilizzo di risorse «confidenziali»

Monitorare eventuali cambi di permessi sulle risorse «critiche»

Identificare account di servizio che accedono ai dati

Data Governance: Access Policies

Chi dovrebbe fare cosa?

Rilevare l’uso inappropriato delle risorse in tempo reale

Eliminare il tempo necessario per effettuare l’elaborazione

manuale di report

Uso di WhiteList e BlackList abbinato ai filtri

(Chi/Quando/Dove/Cosa/Come)


Inviare segnalazioni in caso di violazione delle regole

Rilevare l’accesso a dati «confidenziali» da parte di utenti con

privilegi elevati (IT Admins)

Data Governance: Analytics

Funzionalità di Business Intelligence per i tuoi dati

Utili informazioni dettagliate sui rischi di accesso ai dati

Rileva anomalie rispetto all’utilizzo medio storico


Fornire cruscotti di monitoraggio per i responsabili della Sicurezza

Avere le informazioni per poter eseguire azioni correttive

quotidianamente

Rivedere le tendenze di utilizzo delle risorse riservate

Caratteristiche di una soluzione innovativa

Data Classification

Owner Identification

Usage Profiling

Activity Monitoring

Identity Monitoring

Data Enrichment

Unified Access Policies

Access Certification

Request Automation

Grazie per l’attenzione Grazie per l’attenzione

Compliance alle normative e gestione del dato

Technology

Transcript of Compliance alle normative e gestione del dato