Il governo della sicurezza ICT in Ferrovie dello Stato

Genova, 18 febbraio 2011

La Governance della Sicurezza delle Informazioni In Italia: stato dell’arte e nuove prospettive

Alessandro Musumeci

Direttore Centrale Sistemi

Informativi

2

1927: gli albori……

Nel 1927 le Ferrovie dello Stato installano, prime in Italia e seconde

in Europa, macchine IBM a schede perforate per la contabilità di

magazzino, la revisione generale delle giacenze e l’analisi delle

scorte inutilizzate. Qualche anno più tardi la meccanizzazione viene

estesa alla contabilità introiti (passeggeri e merci) e alle statistiche

sul traffico ferroviario

3

1927: gli albori……

Gli impianti meccanografici delle Ferrovie dello Stato installati

al Servizio Materiali e Trazione di Firenze e al Controllo Merci

di Torino.

4

1954: i primi passi……

I più importanti Servizi delle Ferrovie dello Stato (Approvvigionamenti, Lavori e Costruzioni, Materiale e Trazione, Commerciale e del Traffico, Ragioneria e Contabilità Generale, Personale e Affari Generali) adottano l'impostazione meccanografica per risolvere diversi problemi dal controllo delle scorte giacenti nei magazzini all'analisi del trasporto merci (carri caricati, tonnellaggio, tonnellate-chilometro, introiti), dal calcolo di paghe e stipendi alla valutazione del consumo di combustibile e lubrificanti nelle locomotive

5

Quasi un milione di schede perforate vengono elaborate mensilmente dal

Servizio Materiale e Trazione delle Ferrovie dello Stato per determinare le

competenze accessorie di lavoro al personale di macchina, basate su

numerosi elementi variabili (dal consumo di combustibile delle locomotive ai

chilometri di percorrenza).

1957: i primi passi……

6

Altre tappe tecnologiche significative…

• Installazione del primo elaboratore elettronico IBM presso la Ragioneria (inizio anni ’70)

• Piattaforma commerciale TPN-Siemens (dal 1970 al 2000)

• Controllo Centralizzato Rotabili-CCR (anni ’70)

• Controllo Centralizzato Linee-CCL-Siemens Roma-Napoli (anni ’75/80)

• Controllo Centralizzato Linee-CCL-Unisys Milano-Bologna (anni ’75/80)

• Rete Hermes a livello europeo (1985)

7

L’evoluzione dei processi di outsourcing in Ferrovie

• Luglio 1988: ipotesi di costituzione della società Fersystems fra Ferrovie dello Stato e Cap Gemini Geda

• 1992: ipotesi di costituzione della società Datasint (Ferrovie 51%, BNC 4%, Finsiel 15%, IBM 15%, Olivetti 15%)

• Agosto 1996: aggiudicazione tramite gara dell’outsourcing dei sistemi informativi Ferrovie alla società TSF

• Novembre 2010: aggiudicazione, tramite gara, della gestione e sviluppo sistemi informativi ad un RTI formato da Almaviva, Ansaldo STS, Engineering e Telecom Italia

8

• Dipendenti: 77.000

• Treni/giorno: 9.600

• Linee: 16.537 km

• Stazioni e fermate: 2400

• Passeggeri/anno 500 milioni

• Merci/anno 80 milioni Tonnellate

• 8000 km di fibra ottica

Il Gruppo FS oggiPresenza internazionale in:

-Repubblica Ceca

-Polonia

-Egitto

-Algeria

-Venezuela

-Arabia Saudita

-Turchia

-Brasile

-Uruguay

Accordi internazionali con

-Francia (Veolia)

-Germania (Arriva)

2009

9

Il Piano Industriale di Ferrovie dello Stato conferma l’obiettivo del raggiungimento dell’equilibrio

economico e finanziario dell’azienda ed individua i seguenti elementi chiave:

Leadership nel mercato domestico

Mantenimento della leadership del mercato passeggeri domestico, in particolare per il servizio AV e

merci

Concentrazione e specializzazione

Concentrazione della produzione nelle aree a maggior valore e specializzazione delle società del

Gruppo lungo la filiera produttiva

Eccellenza Operativa

Miglioramento degli indicatori di puntualità, leadership europea nella sicurezza, miglioramento dei livelli

di pulizia dei rotabili, gestione più efficace delle informazioni ai clienti

Sviluppo Internazionale

Sviluppo dell’offerta di servizi passeggeri e merci sul mercato internazionale

Miglioramento tecnologico continuo

Perseguimento dei programmi d’innovazione tecnologica (SCC, SCMT, SSC, GSM-R, ETCS)

Il Piano d’Impresa di Ferrovie dello Stato

10

Obiettivi 2011 dell’ICT nel Gruppo Ferrovie

• Assicurare l’indirizzo e il governo del sistema ICT di Gruppo garantendo il costante allineamento delle strategie ICT con le strategie e le priorità di business del Gruppo attraverso il presidio dell’evoluzione tecnologica, della pianificazione dei Sistemi del Gruppo, dell’ottimizzazione delle risorse e lo sviluppo e l’implementazione di una idonea strategia di sourcing, utilizzando il nuovo contratto settennale di servizi.

Sistemi di

Ferrovie

dello Stato SPA

Indirizzo e

Governo ICT

di Gruppo

11

Il sistema ICT di Ferrovie dello Stato è un sistema complesso, eterogeneo,

distribuito, con più di 77.000 utenti interni e con, potenzialmente, milioni di

utenti esterni

Il Piano strategico di Ferrovie dello Stato considera l’ICT lo strumento

abilitante ai servizi per i diversi interlocutori:

– Il ruolo dei sistemi ICT e della DCSI richiede quindi una profonda evoluzione nel

passaggio da “centro di costo” e da “parziale” gestore dell’ICT di Ferrovie

nell’unico “fornitore di servizi ICT” e di “centro di competenze ICT”

La sicurezza ICT deve essere pervasiva a tutti i livelli ed in tutti i dispositivi,

ed essere ben bilanciata

La sicurezza ICT non è un insieme di prodotti-soluzioni, ma un processo

continuo che deve essere gestito day-by day e che deve evolvere in

funzione delle nuove esigenze, dell’evoluzione tecnologica e dei nuovi

rischi

L’attuazione della sicurezza ICT dev’essere normata attraverso l’uso di

opportune policy (come quella per tutto il personale dell’agosto 2009 o quella

per l’uso delle reti Wi-Fi)

Il ruolo della sicurezza informatica in Ferrovie

12

L’orientamento della DCSI a fornitore di servizi e

competenze ICT

SISTEMI

ICT

S

E

R

V

I

Z

I

I

C

T

DC 1

DC n

Interlocutore 1

Interlocutore 2

Interlocutore n

DC 2

SLA

SLA

Utenti interni &

Interlocutori esterni

DCSI

Fornitore ICT 1

Fornitore ICT 2

Fornitore ICT n

SLA

SLA

SLA

.

.

Ferrovie

.

.

Includono anche indicatori di sicurezza

13

La sicurezza ICT nella visione concettuale dell’ICT Governance

Ambiente

di produzione

ICT

Ambiente

di sviluppo

Ambienti

di sviluppo

(IDE, RAD, ecc.)

test e controllo delle prestazioni

Ambiente

di pre- produzione

(staging)

test e controllo delle funzionalità,

della qualità e delle prestazioni

Ferrovie dello Stato

processi, organizzazione, strategie, business

Strumenti

decisionali

ICT EA

Gestione

Infrastruttura

ICT

Gestione

applicativi

ICT

Gestione

Sicurezza

ICT

Gestione

Richieste

ICT

Gestione strategica

Principali elementi per la sicurezza ICT

14

Dal piano strategico alle policy ed agli interventi per la sicurezza ICT

Piano Strategico di Ferrovie dello Stato

Piano Strategico ICT ICT Enterprise Architecture

Piano DCSI sicurezza ICT

Linee di indirizzo (strategia)

Policy (il “cosa” operativo)

Procedure (il “come”operativo)

Compliance a leggi e normative

Progetto architetturae definizione standard

Progetto soluzione Messa in produzione

Aspettitecnici

Aspettiorganizzativi

Policy (il “cosa” operativo)

Procedure (il “come”operativo)

Progetto soluzione Messa in produzione

15

Procedura di Sicurezza

Indica lo scopo di un’attività, ciò che deve essere fatto e chi lo deve fare, quando

e/o come deve essere fatto, quali strumenti e attrezzature devono essere

utilizzati e come dovranno essere controllati e registrati.

Finalità: documentare con accuratezza le istruzioni e le prassi operative vigenti

all’interno dell’Ente.

Linee di indirizzo

Descrivono gli indirizzi a più alto livello, con una vista strategica e pluriennale nell’ambito

dell’eviluzione dell’EA

Policy di Sicurezza

Indica un insieme di regole e norme che specificano o regolamentano le modalità con cui

un sistema o un'organizzazione fornisce servizi di sicurezza per proteggere risorse critiche

o riservate.

Finalità: far prendere coscienza all’Ente dei propri asset e del loro valore, prescrivendo un livello di sicurezza applicabile, misurabile e verificabile.

Come

Cosa

Linee di indirizzo, Policy e Procedure

16

Passato, presente e futuro di minacce ICT

Infrastrutturaglobale

Impatto a livello regionale

Reti multiple

Singola rete

Singolosistema

1a generazione

• Boot virus

2a generazione

• Macro virus

• E-mail

• DoS

• Packing limitati

3a generazione

• DoS e DDoS

• Attacchi multipli (worm + virus + Trojan)

• Turbo worms

• Attacchi su più sistemi

4a generazione

• Minacce istantanee

• Flash threats

• Attacchi worm massicci

• Virus e worm offensivi sul carico utile

• Attacchi alle infrastrutture

• Virus per cellulari e palmari

Obiettivo e scopo del

danno

1980s 1990s 2000 Odierni e futuri

Secondi

Minuti

Giorni

Settimane

• Le velocità di attacco attuali non sono più gestibili a livello “umano”• La prevenzione e l’analisi dei dati deve essere il più possibile automatizzata

Fonte: “La sicurezza digitale” di M. Bozzetti

17

Dal costo della sicurezza ICT al costo della “non sicurezza”

Il costo della sicurezza deve essere paragonato al costo della “non sicurezza”, ossia ai danni diretti ed indiretti che possono essere causati Analisi del Rischio

Nel costo complessivo, la quota maggiore è per gli aspetti organizzativi (chi fa che cosa, chi controlla il controllore, formazione, sensibilizzazione, addestramento, …) più che per gli aspetti tecnici

I costi assicurativi sul rischio residuo diminuiscono al crescere del livello di sicurezza in atto

Forte e crescente l’impatto dell’adeguamento per la conformità alle diverse normative e leggi che impattano sulla sicurezza e sulla gestioni dei sistemi informatici

Se non si ha e non si implementa una idonea policy per la sicurezza ICT:

si incorre in sanzioni amministrative e/o penali: Legge 196 sulla privacy, Legge 231 sulla Governance, IAS, …

non si possono produrre e vendere prodotti e servizi, oltre a non poter essere quotati in determinate Borse: IAS, SOX, HPPI, ...

18

Gli obiettivi del piano della sicurezza ICT per il 2011

1. Incrementare in maniera bilanciata il livello di sicurezza sia fisico che logico dell’intero sistema informativo di Ferrovie dello Stato, facendo riferimento alle più consolidate best practice e standard ed utilizzando il nuovo contratto di outsourcing:

• In particolare tempestiva ed automatica rilevazione di eventuali incidenti di sicurezza;

2. Definizione architettura sicurezza ICT, definendo gli standard relativi da specificare nei Capitolati emessi da Ferrovie dello Stato, in particolare per garantire l’idonea sicurezza intrinseca della “nuove” applicazioni

3. Effettuare l’analisi del rischio per taluni ambiti applicativi ed infrastrutturali considerati più critici per le attività/servizi di Ferrovie dello Stato

4. Mettere in esercizio gli idonei strumenti per una effettiva gestione della sicurezza ICT sia in termini tecnici che organizzativi:

• Chiara definizione dei ruoli e delle responsabilità della sicurezza ICT

• Definizione e pubblicazione (anche via Intranet) delle policy e delle procedure

• Monitoraggio delle primarie funzionalità di tutti i server

• Definizione e monitoraggio SLA sicurezza (anche verso fornitori)

• Creazione del comune ed unico CMDB via strumenti automatici open source di discovery ed inventory

• Gestire in maniera omogenea l’identificazione e l’autenticazione degli utenti e delle deleghe, in particolare per gli amministratori di sistema, sia dei server che dei PC

19

Gli obiettivi del piano per gli anni successivi

Arco temporale 2012-13:

– Consolidamento e messa a punto degli strumenti tecnici ed organizzativi introdotti a

partire dal 2009 e consolidati con il nuovo contratto di outsourcing

– Definizione, attuazione e gestione delle SLA di sicurezza per i servizi ICT

– Ampliamento dell’analisi del rischio

– Sensibilizzazione, formazione ed addestramento utenza alla sicurezza informatica

(piano security awareness da concordare con FS Formazione)

– Introduzione strumenti di identificazione biometrica per accessi ad aree riservate del

CED o per uso di programmi molto critici

– Attuazione piano di Disaster Recovery

Arco temporale 2014-15

– Introduzione logiche di risk management e mitigazion nell’ambito della securirity

governance, parte dell’ICT Governance

– Consolidamento e messa a punto degli strumenti tecnici ed organizzativi introdotti in

precedenza

20

Grazie per l’attenzione !

a.musumeci@ferroviedellostato.it