IBM Business Consulting Services La sicurezza informatica nella Pubblica Amministrazione: da...

IBM Business Consulting ServicesLa sicurezza informatica nella Pubblica Amministrazione: da reazione a prevenzioneMariangela FagnaniRoma, 9.05.2005

2 © Copyright IBM Corporation 2005

IBM Business Consulting Services

Agenda

Security: l'approccio necessario

La metodologia

Strumenti e progetti

Le competenze



L’approccio alla Sicurezza si è evoluto negli ultimi anni verso il concetto di “Enterprise Security”, ovvero la protezione degli asset realmente critici per i servizi forniti dalle Pubbliche Amministrazioni

Fonte: IBM su dati IDC/Bull 2003

.. da problema tecnico a problema aziendale…

prevenzione

reazione

Esposizioni di sicurezza fisicaConfidenzialità dei datiMinacce dall’esterno

Asset fisici

Esposizioni di sicurezza logicaIntegrità e disponibilità dei datiMinacce dall’esterno e dall’interno

Asset informatici

Analisi dei rischi e delle vulnerabilitàMonitoraggio attivo (rete, sistemi,etc.)Gestione degli incidentiGestione degli utentiAmministrazione della sicurezza

Asset informativi

1980’s 2000’s1990’s 1995’s 2003’s

proattivitàMonitoraggio della sicurezza territorialeGestione dell’interazione col territorioGestione delle variabili socioeconomiche Compliance con le normative

Business Asset

++

++

++



territorio

ENTEENTE

Istituti FinanziariIstituti Finanziari

Erogatori di utilitiesErogatori di utilities

Pubblica Amm.ne LocalePubblica Amm.ne Locale

Pubblica Amm.ne CentralePubblica Amm.ne Centrale

Operatori TelcoOperatori Telco

Enti controllo infrastruttureEnti controllo infrastrutture

FornitoriFornitori

DipendentiiDipendentii

PubblicoPubblicoAziende collegateAziende collegate

ClientiClienti

Forze di PoliziaForze di Polizia

Operatori sanitariOperatori sanitari

Operatori ambientaliOperatori ambientali

Impianti delocalizatiiImpianti delocalizatii

La consapevolezza del proprio “Territorio” permette all’amministrazione di individuare correttamente gli Asset da proteggere

ASSETS

Beni

Informazioni

Infrastrutture

Immagine

Servizi

Processi

Locations

Persone

Territoriol’insieme dei soggetti, delle relazioni, dello spazio fisico e delle

condizioni economiche che rendono possibile alle aziende il raggiungimento dei propri obiettivi economici e sociali



La capacità di proteggere gli Asset dipende dalla corretta comprensione delle minacce e dei requisiti cui è sottoposto il “Territorio” in cui le Pubbliche Amministrazioni stesse operano…

Requisiti di Riservatezza

Requisiti diIntegrità

Requisiti diDisponibilità

Requisiti di Pubblico servizio

Requisiti Legali

RequisitiContrattuali

Minacce Fisiche

Minacce Territoriali

Minacce Logiche

ENTE



ResilienceDisegno di un’architettura di business che supporta ed estende la flessibilità strategica e l’adattabilità operativa diminuendo il rischio aziendale

…e richiede alle Pubbliche Amministrazioni di adottare un’architettura di “business resilient”, coerente con il proprio modello di Business

Condizioni fondamentali per la realizzazione di un’azienda “resilient” sono:• La continuità del business• La gestione del rischio

Business Continuity Planning,Programmi di Security e Safety,

Capacity planningguidati dalla tecnologia

BusinessResilienceBusinessResilience

Organizational Resilience

Business Process Resilience

Enterprise Risk Management

Resilient Infrastr.

Assicurazione

Bus

ines

s C

ontin

uity

Sec

urity

/S

afet

y

Per

f. &

Cap

acity

Dis

aste

r R

ecov

ery

L’Enterprise Risk Management è un concetto noto basato sull’assicurazione

Processi di business e amministrativi integrati a livello operativo

Cultura aziendale, governance, policy e procedure



Il programma di sicurezza si affronta adottando una metodologia per fasi, capace di comprendere e gestire gli asset rilevanti per la missione aziendale e per la sua tutela

Comprensione del “Territorio operativo”

Individuazione delle scoperture di sicurezza (organizzative e tecnologiche)

Prioritizzazione degli interventi

Individuazione e disegno delle contromisure adeguate

Implementazione delle soluzioni e dei prodotti

Gestione del rischio (Certificazione di Sicurezza delle informazioni BS7799:2 2002)

Business Assets

Security

Business Assets

Security



Un esempio di Component Business Model per un ente della difesa

Control

Direct

Execute

Coalition/Combined Coalition/Combined Capabilities planningCapabilities planning

National Security/National Security/Defence StrategyDefence Strategy

Advanced Technical Advanced Technical Research PlanningResearch Planning

Force Posture Force Posture PlanningPlanning

Strategic PlanningStrategic Planning

Establish Coherent Establish Coherent Coalition Network Coalition Network

EnvironmentEnvironment

Establish Coalition Establish Coalition Spectrum AgreementsSpectrum Agreements

Advanced Research Advanced Research and Developmentand Development

Quality Requirements Quality Requirements Assessment and Assessment and

ControlControl

Modeling and Modeling and Simulation Simulation

Test and Evaluate Test and Evaluate Concepts and Concepts and

PrototypesPrototypes

Integrated Command Integrated Command and Controland Control

Force DeploymentForce Deployment

Maintain Secure Battle Maintain Secure Battle space Networksspace Networks

Integrated Mission Integrated Mission ExecutionExecution

Situational Situational awareness/ OOTWawareness/ OOTW

Monitor Security Monitor Security Assistance Assistance AgreementsAgreements

Prioritization and Prioritization and Evaluation of Evaluation of

Capability Capability Opportunities (ROI)Opportunities (ROI)

Manage Industrial Manage Industrial Collaboration Collaboration

(Defense Integrators (Defense Integrators and Contractors)and Contractors)

Operational Readiness Operational Readiness Performance Performance ManagementManagement

Operational Operational Performance Performance ManagementManagement

Force Re-DeploymentForce Re-Deployment

Trade and Trade and Collaboration Control Collaboration Control

StrategyStrategy

Acquisition StrategyAcquisition Strategy

Contract ManagementContract Management

Program ManagementProgram Management

Monitoring and Monitoring and Management of Management of

Acquisition Acquisition PerformancePerformance

Acquisition and Acquisition and Deployment into Deployment into

service of Material service of Material Assets Assets

Programme Programme Specification and Specification and

DesignDesign

Scenario Planning and Outcome Based StrategyScenario Planning and Outcome Based Strategy

Force Package Force Package Material Capability Material Capability

RequirementsRequirements

Personnel Capability Personnel Capability PlanningPlanning

Personnel Education, Personnel Education, Training and Training and DevelopmentDevelopment

Personnel Personnel RecruitmentRecruitment

Personnel Personnel Performance Performance ManagementManagement

Education, Training Education, Training and Development and Development

ManagementManagement

Corporate PlanningCorporate Planning

Human Capital Policy Human Capital Policy and Workforce and Workforce

PlanningPlanning

Budget and Cost Budget and Cost ManagementManagement

Human Resource Human Resource Management and Management and AdministrationAdministration

Facilities and Facilities and Infrastructure Infrastructure ManagementManagement

Cost ControllingCost Controlling

Base ManagementBase Management

Policy DevelopmentPolicy Development

Regulatory and Regulatory and Statutory AgreementsStatutory Agreements

Legislative and Public Legislative and Public AffairsAffairs

Manage SalesManage Sales

Manage Health, Manage Health, Environment and Environment and

SafetySafety

Corporate Corporate Performance Performance ManagementManagement

Life Cycle Tradeoff Life Cycle Tradeoff Analysis Analysis

Global Security/ Defense

Environment

Develop Material Capabilities

Develop Personnel

Capabilities Acquisition Operations Sustainment Enablement

Lifecycle Planning Lifecycle Planning

Integrated Demand Integrated Demand and Supply Planningand Supply Planning

Demand and Supply Demand and Supply ManagementManagement

Inventory Inventory ManagementManagement

Out of Service Out of Service Maintenance Planning Maintenance Planning

and Executionand Execution

Transportation Transportation Distributions and Distributions and

DispositionDisposition

Asset Visibility and Asset Visibility and ManagementManagement

Sustainment Sustainment Management and Management and

Performance Performance Monitoring Monitoring

Configuration Configuration ManagementManagement

Demand and Supply Demand and Supply AnalysisAnalysis

Supply Chain StrategySupply Chain Strategy

In Service In Service Maintenance Planning Maintenance Planning

and Executionand Execution

Vendor ManagementVendor Management

PurchasingPurchasingForce PreparationForce Preparation

Coalition/Combined Coalition/Combined Forces Course Of Forces Course Of

Actions & DoctrineActions & Doctrine

Intelligence Synthesis Intelligence Synthesis and Forecastingand Forecasting

Monitor Coalition and Monitor Coalition and Spectrum AgreementsSpectrum Agreements Technology Technology

Innovation Infusion Innovation Infusion and Controland Control

Force Package Force Package Personnel Capability Personnel Capability

RequirementsRequirements

Operational PlanningOperational Planning

Deliberate PlanningDeliberate Planning

Common Operational Common Operational Picture MaintenancePicture Maintenance

ISR Tasking and ISR Tasking and CollectionCollection

Financial accounting Financial accounting and GLand GL



Information Security


La scomposizione dei componenti permette di identificare i punti critici dei processi e individuare le modalita’ per la loro sicurezza…

Minacce di tipo fisico

Furti, Manomissioni, Attacchi

Minacce di tipo logico

Indisponibilita’ delle risorse IT (rete, sistemi, dati)

Virus, hacking

Violazione privacy dati personali

Accessi non autorizzati

Perdita Integrita’ e disallineamento delle informazioni

Minacce territoriali

Leggi e normative

Mancanza servizi generali (rete, energia elettrica, etc.)

Disastri naturali

Indisponibilita’ personale Customer Services

E X

A M

P L

E

Fo

r illustratio

n o

nly

Fleet

Management

Profile Management

Asset Availability

User Profile

Location Information

Asset visibility management

Asset Availability

Reserve Asset

Check assignement

Check-In asset

Check-Out asset

User Profile

Location Information

Asset assignement

Offered Service

Consumed Service

Rfid per memorizzazione informazioni, tracciatura e localizzazione

Copertura Assicurativa

Protezione passiva ed attiva

Soluzioni in alta affidabilita’ , procdure di backup e di continuita’

Protezione della rete , sistemi e dei dati

Sistema di autorizzazione accessi

Strong authentication per accesso ai dati

Soluzioni di business continuity e disaster recovery

Fornitura servizi generali duplicata e diversificata

Dislocare personale Customer Services in sedi diverse

Minacce Contromisure



… e definire gli elementi (Goals & Security KPIs) di misurazione e di governance del processo anche dal punto di vista della sicurezza

Goal

(Security target)

KPI

(Key Performance Indicators - Measurable Objectives)

Migliorare la velocita’ di risposta e soluzione dei problemi di sicurezza

Ridurre il tempo di investigazione

Migliorare la velocita’ di risposta e soluzione dei problemi da parte Help Desk

Tempo richiesto per investigare in merito a incidenti di sicurezza

Tempo impiegato fra ricezione/report/ azione

Tempo fra il primo contatto all’Help Desk e la soluzione del problema

Migliorare l’efficacia delle misure di protezione della rete Numero delle infezioni da virus per settimana/mese

Numero dei componenti infetti per incidenti da virus

Numero tentativi di intrusione nella rete per settimana/mese

Aumentare il livello di Servizio del 10% Numero delle interruzioni di servizio causate da incidenti di sicurezza

Numero delle interruzioni di servizio causate da interventi di tipo amministrativo in ambito sicurezza

Migliorare l’efficacia degli strumenti di controllo accessi dall’esterno

Numero di tentativi di accesso non autorizzati

E X

A M

P L

E

Fo

r illustratio

n o

nly





Il disegno e l’implementazione delle soluzioni di sicurezza pone le Amministrazioni in grado di tutelarsi da ogni tipologia di minaccia



Soluzioni per Minacce Fisiche

• Videocontrollo digitale

• Videoregistrazione (radar - telecamere infrarosso);

• Controllo del transito di personale (badge, lettori biometrici, smart card…)

• Controllo dei mezzi operativi (lettura targhe, telepass, ..)

• Controllo merci in transito (tracking, localizzazione e identificazione ottica)

• Sistemi Antincendio• …

Soluzioni per Minacce Logiche

• Controllo degli accessi (persistent password, digital signature, biometric, …)

• Sicurezza della rete (monitoraggio, IDS, firewall, …)

• Continuità delle operazioni (redundancy, Fault Tolerance, backup/recovery)

• Protezione dei dati (classificazione, data handling procedures, ..)

• …

Soluzioni per Minacce Territoriali

• Sistemi di monitoraggio (telerilevamento, elaborazione dati gestione sicurezza ed efficienza degli impianti di produzione)

• Sistemi telematici di collegamento con terze parti (organi di sicurezza, pronto intervento, …)

• Soluzioni di Disaster Recovery e Business continuity

• Certificazione ambientale

• Rfid per il tracking delle merci/prodotti

Soluzioni per Minacce Territoriali

(cont.)

Innovazione dei processi

Infrastrutture on demand

Innovazione delle competenze

Esternalizzazione dei rischi / attività



La realizzazione di un Sistema di Security Governance permette di ottimizzare gli altri strumenti di governance a disposizione dell’amministrazione

Controllo di gestione

Controllo di Qualità

Controllo Ambientale

Controllo Sicurezza Lavoro

Enterprise governanceEnterprise governance

BusinessGovernance

(Performance)

Value Creation

CorporateGovernance

(Conformance)

CorporateGovernance

(Conformance)

Accountability

Controlli di

Sicurezza

Security governanceSecurity governance

Ottimizzazione dei controlli

Diminuzione dei costi



Solamente attraverso un’adeguata organizzazione delle attività di sicurezza è possibile garantire il funzionamento del sistema di governance aziendale



QUADRO OPERATIVOQUADRO OPERATIVO

Ricognizione misure di sicurezza

QUADRO ORGANIZZATIVO

QUADRO ORGANIZZATIVO

1

ProcedureProcedure

IstruzioniIstruzioni

PolitichePolitiche

StandardStandard Ridisegno dei Processi

Ridisegno dei Processi

Evidenza dei Task operativiEvidenza dei

Task operativi

Mappatura Processi

Mappatura Processi

2

3

Organizz. Di Sicurezza

Organizz. Di Sicurezza

Job Description

Job Description

QUADRO NORMATIVO

QUADRO NORMATIVO

Workshop di formazione

Workshop di formazione

Evidenza Gap da colmare

Evidenza Gap da colmare



Best Practice Risk Governance Conformita’ con leggi/regolamenti

AssetAsset

Politiche e Architetture di sicurezza

Sicurezza delle

infrastrutture tecnologiche

Protezione delle

infrastrutture critiche

Amministrazione della

Sicurezza

Business Continuity

Confidenzialità e protezione della proprietà intellettuale

Sicurezza applicazioni di business Architetture di sicurezza

Firewall IDS Antivirus & content

filtering Mobile & wireless

security Crittografia IT Security Management

WEB svc Infrastruttura a Chiave Pubblica Gestione delle Vulnerabilità Configurazione di sicurezza e

gestione del fixing/patching Gestione delle Identità e degli

Accessi Single Sign on Gestione delle Identità Federate

Strategie & best practice Business Impact Analysis Tecnologia e strumenti Servizi

Best practice Protezione fisica dei

sistemi Controllo e Protezione

Territorio Protezione Infrastrutture vs

tecnologie web-based

L’offerta di sicurezza di IBM si sviluppa attraverso cinque aree che indirizzano i vari aspetti della sicurezza

Sources: Gartner Group 2004



Il Sistema di Gestione della Sicurezza e’ fondamentale per garantire il controllo del livello di sicurezza e l’aderenza a standard (es. BS7799 già standard ISO), legislazioni (es. D.Lgs. 196/03) e Linee Guida Cnipa

BS7799-1

Utilizzare un framework condiviso da tutti per…

sviluppare, implementare e monitorare le modalità di gestione della sicurezza per… migliorare la fiducia nelle relazioni interaziendali

BS7799-2

Indica i requisiti per la certificazione di un..

… sistema di gestione per la sicurezza delle informazioni

10. Compliance

1. Politica di sicurezza

2. Organizzazione di sicurezza

3. Controllo e classificazione asset

9. Business Continuity Management

4. Sicurezza personale

5. Sicurezza fisica

6. Operations and communication

7. Controllo accessi

8. Sviluppo e manutenzione sistemi

ISMSISMSISMSISMS

Pianificazione

Verifica

ImplementazioneValutazione

Codice Data Privacy

regolamentare le modalità di gestione e la custodia dei dati che riguardano sia le caratteristiche della persona (dati personali) che le abitudini, scelte ed opinioni (dati sensibili) per proteggere la sfera privata e la dignità delle persone fisiche e di quelle giuridiche.

Codice Data Privacy

regolamentare le modalità di gestione e la custodia dei dati che riguardano sia le caratteristiche della persona (dati personali) che le abitudini, scelte ed opinioni (dati sensibili) per proteggere la sfera privata e la dignità delle persone fisiche e di quelle giuridiche.



Il Security Compliance Management consente di controllare la sicurezza e la conformita’ dei server e delle stazioni di lavoro con le politiche prestabilite

Sistemi Operativi

Applicazioni

WorkstationsDB

IT securityCxO

IT Environment

Problematiche di Business:

normative, standards

Problematiche lato IT:

Slammer, MSBlaster, OS patches,

violazione di password, ecc

Utenti

Controllo sistemi e piattaforme

Vulnerabilita’ e violazioni verso le policy di

sicurezza

Principali benefici per I clienti:

Aiuta a rendere sicuri ed integri i dati

dell’amministrazione

Identifica le vulnerabilita’ di sicurezza del

software

Riduce i costi IT attraverso l’automazione, la

centralizzazione e la separazione delle

responsabilita’

Aiuta nella conformita’ con standard e leggi



La strategia di integrazione di IBM & Cisco offre una soluzione proattiva che rileva e rimuove gli attacchi alla rete

Gestione delle Identità e degli AccessiIdentifica e gestisce in maniera efficace i profili-utente

Condiziona l’accesso alla rete in funzione dei requisiti di sicurezza dei diversi device

Gestione delle Identità e degli AccessiIdentifica e gestisce in maniera efficace i profili-utente

Condiziona l’accesso alla rete in funzione dei requisiti di sicurezza dei diversi device

Compliance & RemediationIdentificazione, contenimento e sanitizzazione delle infezioni

Policy enforcement

Compliance & RemediationIdentificazione, contenimento e sanitizzazione delle infezioni

Policy enforcement

EndpointProtected clientTrusted identity

EndpointProtected clientTrusted identity

EndpointProtected servers

EndpointProtected servers

Cisco Self-Defending NetworksIdentifica, previene e si adatta alle minacceLimita i danni provocati da virus e worms

Unisce funzionalità di Identity Mgmt ad un sistema di protezione dalle minacce a livello di sistema

Cisco Self-Defending NetworksIdentifica, previene e si adatta alle minacceLimita i danni provocati da virus e worms

Unisce funzionalità di Identity Mgmt ad un sistema di protezione dalle minacce a livello di sistema



Il valore e l’evoluzione delle soluzioni di Identity ManagementId

en

tity

Man

ag

em

en

t V

al u

e

Single Web Application

Security

Security for

Corporate Enterprise

Portals

Secure Business to

Business Integration

Web Security Extranet, Intranet

Middleware

Web SingleSign-On

Identity Managementfor e-business

Secure Platformfor Applications

Federated IdentityManagement

Secure WebServices for SOA

User Administration

Single Web Application

Security

Security for

Corporate Enterprise

Portals

Secure Business to

Business Integration

Web Security Extranet, Intranet

Middleware



Le soluzioni di Single Sign On migliorano l’operativita’ degli utenti e la sicurezza degli accessi alle applicazioni Web

Access Manager

Servizi di Gestione delle Identità Digitali

WebSphere MQ

Portali, CRM, ERP Web Solutions

BroadVision, mySAP, and more . . .

Web Application ServersAny other via J2EE, JAAS, and/or aznAPI

Domino, iNotes, Sametime, Team Workplace

Secure ClientsBiometric, Proximity Tokens

Messaging

Linux, UNIX, RACF Systems

Desktop SSOActive Directory integration

• Layered authentication• Enforce user entitlements • Web single sign-on

ID

Please enter your ID and password

Login

PasswordC139576

SECURID

IBM Directory ServerSun ONE DirectoryNovell eDirectoryActive DirectoryLotus Domino DirectoryTivoli Identity Manager

One Password

One Login

One Audit Trail

Autenticazione Flessibile



Le soluzioni di Single Sign On e di strong authentication possono essere estese anche alle applicazioni di tipo legacy

Tivoli Access Manager for e-Business

La soluzione utilizza il Thinkpad T42 o ActivCard per la strong authentication e il login ai sistemi aziendali

Tivoli Identity Manager



Attraverso soluzioni di “Integrated Identity Management” si centralizza la gestione delle identita’ e si introducono funzionalita’ di provisioning e sincronizzazione password

DirectoryServicesLDAP V3

Audit & Reporting Connettività remota

Mappatura Organizzativa

Gestione delle politiche di provisiong

Gestione politiche RBAC ( Role Based Access Control )

Funzionalità/servizi futuri

Controllo Accessi

Servizi gestione dei dati

Sistemi e Applicazioni target

Flusso dati (input)

Flusso dati (output)

Engine User Provisiong e Metadirectory Servizi di Work-Flow

Servizi distribuiti



Organizzazione logica dell’Azienda

Organizzazione fisica sistemi IT

Politiche di controllo accessi / abilitazioni a servizi

2

1

W2K AD

Politiche Servizi Target Sistemi fisici

NT PDC

RACF

Policy 1

W2K AD

RACF

Policy 2

W2K AD

RACF

Exchange

Exchange 1

P2

P1

( Attachements )0,N --- 0,N 0,N --- 0,N 1 --- 1

XProcesso di validazione

Px Priorità x

PersoneFisiche (utenti)

Ruoli/Mansioni

Role 1Role 1

RACF

Exchange

Exchange 1

Role 2Role 2

Role 3Role 3

Scelta Servizio

NomUnitàRuoloEmailAliases…

L’applicazione delle regole di “provisioning” nel modello

NomeUtilizzatoreDescrizioneRuolo dinamico : •Regola

NomeDescrizione•priorità•membership•attachements

NomeServizio•Tipo (manuale/automatico)•Gestione degli attributi• Workflow (Processi di validazione)

Exchange

Exchange



Portale/LDAP

RACFActiveDirectory

Exchange

HR

Data feed

DB2

LDAPLDAP AuditAudit

Super Admin

Admin Applicativo

Admin HR

Target Admin

Gestione Centralizzata

Data Reconc.

XML over SSL

L’architettura di riferimento di una soluzione di Integrated Identity Management



Nell’ambito di un modello di cooperazione applicativa uno dei problemi chiave e’ la gestione delle identita’

1. Non esistono meccanismi standard per il “trust” delle identita’ da Partners & Terze Parti

2. La mancanza di fiducia implica la replica delle informazioni degli utenti

3. Gestione degli utenti costosa e inefficiente

4. Esposizione di sicurezza, conformita’ e privacy

ServiceProvider/

Aggregator

Partners

Business Clients

Suppliers

Outsourced Providers

Distributors,Brokers



La soluzione di Federated Identity Management, basata sui Web Services, indirizza il problema di gestione delle identita’

Riduce i costi di gestione delle identita’

Migliora l’operativita’ dell’utente

Semplifica l’integrazione

Migliora la Governance

Company C

Insurance ProviderPension

Holder

Company A

Stock Options

Company B

End User

Partner

Third PartyUtente Terza Parte

Una federazione e’ un gruppo di 2 o piu’ “trusted” partners che, tramite

accordi contrattuali e tecnici, consentono ad un utente di un partner

della federazione di accedere alle risorse di un altro partner in modo

sicuro e fidato



I ruoli in un modello federato: Fornitore delle Identità e Fornitore dei Servizi

1. Fornisce le credenziali (Network / Login)

2. Gestisce gli Utenti ed i rispettivi ID

3. Autentica gli utenti

4. “Garantisce” circa l’identità degli utenti

1. Controlla l’accesso ai servizi

2. Gli utenti delle Terze Parti mantengono l’abilitazione ad accedere ai servizi esclusivamente per la durata del rapporto di “federazione”

3. Gestisce direttamente i soli attributi-utente relativi alla corretta fruizione del servizio offerto.

Fornitoredelle

Identità

Parte “Garante” della transazione Parte “Validante” della transazione

Fornitore dei Servizi

Mutua FIDUCIA



Le tecnologie e gli standard in ambito di Federated Identity Management

SAML(Passivo)

Liberty(Passivo)

WS-Federation(Passivo, Attivo)

HTTP SSO(SAML protocol)

Gestione delle Identità Federate

(SAML protocol)

Gesteionde delle Identità perWeb Services Federati

(HTTP e SOAP-based SSO)

Supporto per vari protocolli Web Services

HTTP Federation



La protezione fisica delle infrastrutture critiche sfrutta tecnologie all’avanguardia e consente la gestione integrata delle identita’ fisiche e logiche

Cruscotto Centralizzato•Modulare•Flessibile•Gestione e selezione delle informazioni

•Gestione identita’ accesso logico e fisico

•Assistenza decisionale

•Configurabile sull’utente



Inno

vation

Valu

e

La realizzazione di processi “sicuri” si basa sul concetto di creazione del valore ed è realizzabile unicamente attraverso un approccio globale End-To-End

Technology Group

Business

Value

Business

Value

ServicesServices

FinancingFinancing

Infrastructure

Value

Infrastructure

Value

HardwareHardware

SoftwareSoftware

ServicesServices

Component

Value

Component

ValueTechnologyTechnology

ResearchResearch

IBM Business Consulting ServicesIBM Global Financing

IBM Global ServicesPersonal and Printing Systems Group Server GroupSoftware GroupStorage Systems Group

InformationSecurity



..... e richiede l’utilizzo di numerose e specifiche competenze da integrare e indirizzare nella medesima direzione

Competenze specifiche, esperienze multisettoriali e risorse a disposizione, nel mondo e in EMEA, costituiscono i principali punti di forza dei team di lavoro IBM, la più grande comunità sulla sicurezza a livello mondiale, 3.000 specialisti di sicurezza che lavorano come un unico team e in maniera globale

Americas Security Center of Competence PKI Center of Competence Managed Security Services

Delivery Center Business Innovation Center/

Ethical Hacking Lab Security & Privacy Practice Research Labs

EMEA Wireless Center of Competence Managed Security Services

Delivery Center Security & Privacy Practice Research Labs

Asia Pacific Managed Security Services

Delivery Center Business Innovation Center/

Ethical Hacking Lab Security & Privacy Practice Research Labs

EMEA Labs & CoC• Copenaghen• Hursley• Zurich• La Gaude• Rome• Haifa

BCRS – DR Centers• 140 centers worldwide• 71 in Europe• 2 in Italy

IBM Business Consulting Services La sicurezza informatica nella Pubblica Amministrazione: da...

Documents

Transcript of IBM Business Consulting Services La sicurezza informatica nella Pubblica Amministrazione: da...