La Sicurezza informatica nella PA: strumenti e progetti Forum PA – Roma, 9 Maggio 2005...
-
Upload
celso-colucci -
Category
Documents
-
view
213 -
download
0
Transcript of La Sicurezza informatica nella PA: strumenti e progetti Forum PA – Roma, 9 Maggio 2005...
La Sicurezza informatica nella PA: strumenti e progetti
Forum PA – Roma, 9 Maggio 2005
Implementare la sicurezza informatica: l’esperienza dell’Alma Mater Studiorum – Università di Bologna.
Ing. Aldo SchiavinaResponsabile Servizio Sicurezza e Servizi di Rete
email: [email protected]
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 2 -
• Scenario
• Esigenze ed obiettivi relativi all’implementazione della sicurezza informatica in Ateneo
• Criticità
• Azioni intraprese ed in fase di attuazione
Agenda
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 3 -
Scenario (1/2)
La realtà dell’Ateneo di Bologna è complessa ed articolata:
• è composta da circa 150 strutture con autonomia organizzativa e gestionale (tra Amministrazione Generale, Facoltà, Dipartimenti, Centri di Ricerca e di Servizi), suddivise tra la sede di Bologna e i quattro Poli romagnoli (Cesena, Forlì, Ravenna e Rimini), con una sede remota anche a Reggio Emilia;
• queste strutture trattano a fini istituzionali (tra cui didattica e ricerca), diverse tipologie di dati personali, come ad es. dati sensibili, giudiziari e genetici;
• tutte le sedi sono tra loro connesse da una complessa rete, detta ALMAnet, la cui dorsale presenta collegamenti Gigabit Ethernet.
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 4 -
Scenario (2/2)
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 5 -
• Adempimento degli obblighi normativi previsti dal codice in materia di privacy (D.Lgs. 196/03 ). In particolare, implementazione delle misure minime previste dall’allegato B dello stesso codice.
• Garanzia della disponibilità ed integrità dei dati e delle applicazioni necessarie allo svolgimento delle attività istituzionali dell’Ateneo, per avere continuità dei servizi offerti dall’Università.
• Previsione di un piano per il recupero delle funzionalità minime in caso di eventi disastrosi (Disaster Recovery).
• Formazione di personale strutturato, al fine di acquisire le competenze necessarie alla gestione della Sicurezza dell’Informazione, mantenendone strategicamente all’interno il suo controllo.
Esigenze ed Obiettivi
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 6 -
• L’Università, è un ambiente di lavoro molto particolare, dove l’informazione deve poter essere condivisa liberamente e senza troppi vincoli, al fine di perseguire con efficacia le attività istituzionali di ricerca e didattica.
• L’autonomia gestionale di cui sono dotate le singole strutture che la compongono non agevola il coordinamento centrale (la situazione è più semplice per ciò che concerne le strutture componenti l’Amministrazione Generale).
Occorre trovare il giusto compromesso tra le esigenze di libera circolazione dell’informazione e di autonomia delle singole strutture con la necessità di adempiere gli obblighi previsti dalla legge e di soddisfare le esigenze di continuità di servizio.
Criticità
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 7 -
• Stesura del D.P.S. ai sensi del D.Lgs. 196/03.• Implementazione di un sistema di
Autenticazione/Autorizzazione di riferimento per tutto l’Ateneo (Identity Management System).
• Definizione di un modello di Sicurezza Perimetrale.• Preparazione di un sito di Disaster Recovery.• Gestione degli incidenti informatici (CERT CeSIA) ed
implementazione di un sistema di Intrusion Detection.
• Aggiornamento del regolamento per il corretto uso della rete.
• Preparazione di una gara di ambito comunitario, al fine di acquisire gli apparati ed i servizi necessari all’implementazione della sicurezza informatica in Ateneo.
Azioni
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 8 -
• Nell’AA 2003/2004 è stato costituito un gruppo di lavoro di 6 unità di personale, dotate di diverse competenze (tecniche, giuridiche ed economico - organizzative) e formato grazie al Master in Sicurezza dell’Informazione di Almaweb, Graduate School of Information Technology, Management and Communication dell’Università di Bologna.
• Il D.P.S. ai sensi del D.Lgs. 196/03 per l’Ateneo è stato redatto in sede di project work previsto dal Master. È prevista l’approvazione da parte degli OO.AA. entro il 31/12/05.
• Questo modo di procedere ha permesso di maturare internamente le competenze necessarie per gestire la Sicurezza dell’Informazione in Ateneo, facendo ricorso a risorse formative di cui l’Università è naturalmente dotata.
Stesura del D.P.S. ai sensi del D.Lgs. 196/03 (1/2)
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 9 -
La stesura del D.P.S. per l’Ateneo ha comportato, tra le altre cose:• l’analisi e la documentazione dell’attuale
situazione relativa al trattamento dei dati personali nell’Ateneo di Bologna (Amministrazione Generale e strutture periferiche);
• l’elaborazione di un’analisi dei rischi relativamente ai dati trattati;
• la sensibilizzazione ed il coordinamento dei Responsabili del trattamento, in merito all’adeguamento alle misure minime di sicurezza;
• la definizione di alcune soluzioni tecnologiche necessarie ad adempiere agli obblighi in materia di misure minime di sicurezza ed utili per ridurre i rischi individuati.
Stesura del D.P.S. ai sensi del D.Lgs. 196/03 (2/2)
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 10 -
• Si è sentita la necessità di un unico sistema di Autenticazione/Autorizzazione che permetta di profilare tutte le risorse umane presenti in Ateneo (Personale Docente e Tecnico Amministrativo, Studenti, Collaboratori, Ospiti, etc.), superando le difficoltà introdotte dall’esistenza di più anagrafiche e più metodi eterogenei per la gestione dell’accesso alle risorse informatiche.
• Un unico sistema di autenticazione consente di applicare semplicemente politiche sicure nella gestione delle credenziali, in ottemperanza a quanto previsto dall’Allegato B del D.Lgs. 196/03 e di favorire l’utente che deve ricordarsi solo una coppia di credenziali per accedere a più risorse.
• Queste esigenze hanno portato alla realizzazione di un Directory Service d’Ateneo (DSA).
Identity Management System (1/3)
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 11 -
Identity Management System (2/3)
text
Directory
database diproduzione
Databasepersonale
altridatabase
Databasestrutture
Databasestudenti
DatabaseDSA
broker
LDAP pubblico
Persone interne edesterne all'Ateneo
Utenti dell'Ateneodi Bologna
Amministratoridel DSA
Directory Service di Ateneo
Gestionedel DSA
Web Service
Serviziper cuiil DSAè una
risorsa
Aggiornamentodel database
Aggiornamentoe interrogazionedella directory
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 12 -
• Attualmente tutte le applicazioni informatiche centralizzate utilizzate in Ateneo (es. posta elettronica, profilazione al Portale d’Ateneo, immatricolazione on-line, etc.), usano (o si apprestano ad usare) il DSA come sistema di Autenticazione/Autorizzazione.
• Il DSA è usato anche per l’autenticazione all’accesso alle postazioni di lavoro dell’Amministrazione Generale ed in alcuni laboratori studenti d’Ateneo.
• E’ in atto un’opera di divulgazione che riscontra un certo successo presso le strutture periferiche dell’Ateneo, in modo che usino il DSA per l’autenticazione alle applicazioni locali ed alle risorse informatiche (postazioni di lavoro, laboratori studenti, etc.).
Identity Management System (3/3)
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 13 -
Come prima misura necessaria per la protezione della rete dell’Ateneo (ALMAnet) si è individuato un modello di sicurezza perimetrale a due livelli:
• Il primo livello è costituito da un firewall centralizzato ad elevate performance, posizionato a valle del link che collega ALMAnet alla rete GARR;
• Il secondo livello è costituito da numerosi firewall di dimensioni più ridotte, posti a monte delle LAN delle singole strutture periferiche, in corrispondenza del link che le collega al backbone della rete ALMAnet.
Modello di Sicurezza Perimetrale (1/2)
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 14 -
Modello di Sicurezza Perimetrale (2/2)
Internet
Primo livello di protezione
ALMAnet Border Router
GARR net
ALMAnet Border Firewall
Secondo livello di protezione Secondo livello di protezione
Firewall Periferico
Dip. #3
Firewall Periferico
Dip. #1
ALMAnetBackbone
Fac. #2
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 15 -
Sito di Disaster Recovery
DR Site CeSIA Site
OF
OF
OFBorder Gateway
Switch-Router
Border Firewall
Backup Border Gateway
Switch-Router
Backup Border Firewall
Internet
ALMAnet
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 16 -
Il CeSIA ha istituito già da alcuni anni un servizio CERT, che si occupa della gestione degli incidenti di sicurezza che avvengono sulla rete ALMAnet.
Questo servizio gestisce le segnalazioni che provengono dall’analogo servizio del GARR (GARR-CERT) e mantiene i rapporti con l’autorità giudiziaria.Si prevede di istituire anche un contatto con GOVCERT.IT.
Monitorizza la rete ALMAnet con strumenti di IDS ed analizzatori di protocollo, per individuare in tempo reale attività dannose per la rete.
Segnala ai referenti delle subnet di ALMAnet la necessità di interventi su host compromessi.
Computer Emergency Response Team (1/2)
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 17 -
Il servizio CERT CeSIA ha rilevato fino a 9.000.000 di eventi anomali in un solo giorno.
Negli ultimi 2 anni il servizio ha inviato oltre 2100 email per segnalare a referenti di rete host compromessi. Di queste oltre 1300 sono state inviate nel 2004.
Quest’attività è necessaria per mantenere la disponibilità della rete e bloccare con tempestività la diffusione di minacce come virus e worm.
Per il monitoraggio della rete il CERT CeSIA fa uso di un complesso sistema di Intrusion Detection System ed analizzatori di protocollo.
Computer Emergency Response Team (2/2)
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 18 -
Intrusion Detection System
CERT CeSIA IDS Infrastructure
OF
OF
ALMAnet
Internet
Optical
Tap
OFOptical Switch (Cisco 3508)
Open Source Tools
ISS RealSecure Gigabit Sensor
OF
ISS SiteProtector DB
ISS SiteProtector Console
CeSIA Firewall
ALMAnet Border Firewall
ALMAnet Border Router
Host Linux Host Windows
CERT CeSIA Operators Hosts
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 19 -
Si è sentita l’esigenza di attualizzare il regolamento che disciplina l’uso della rete ALMAnet (D.R. n. 71 del 21/05/1998). Si sta lavorando ad una proposta di modifica per regolamentare i seguenti aspetti:• soggetti autorizzati all’uso della rete;• modalita' di accesso alla rete (autenticazione e
mantenimento dei log);• uso di strumenti hardware e software che
possono compromettere l'uso della rete se utilizzati impropriamente o per scopi non istituzionali (es. software P2P);
• utilizzo dei servizi di rete (posta elettronica, siti web, ecc.);
• implementazioni di particolari tecnologie (es. WI-FI, ecc.);
• …
Regolamento per il corretto uso della rete
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 20 -
Oggetto della gara
Apparati hardware e relativo software• firewall• sistema di gestione
Servizi (complementari rispetto alle potenzialità interne)• progettazione• installazione fisica e configurazione di base• manutenzione HW e SW dei firewall, anche degli
apparati preesistenti• configurazione avanzata• monitoraggio e supporto al CERT CeSIA• riconfigurazione• formazione per i tecnici dell’Ateneo
Approvvigionamento di apparati e servizi (1/4)
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 21 -
Tipologia della gara
• licitazione privata a valenza comunitaria;• durata del contratto: 3 anni dalla stipula; • bando e capitolato sono stati sottoposti al Collegio di
valutazione del CNIPA ed hanno ottenuto il parere di congruità;
• le attività dovrebbero iniziare presumibilmente verso settembre-ottobre 2005.
Approvvigionamento di apparati e servizi (2/4)
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 22 -
Governance del rapporto col fornitore
• Project Manager CeSIA: precisa i requisiti dei servizi richiesti; definisce il modello organizzativo dei servizi; definisce gli standard di riferimento; approva i piani di lavoro proposti dalla ditta e
controlla la qualità dei servizi erogati.• Project Manager Fornitore:
è interlocutore del Project Manager del Ce.S.I.A; propone i piani di lavoro per i servizi richiesti; comunica al Project Manager del Ce.S.I.A. gli stati
di avanzamento dei lavori e le eventuali criticità; coordina tecnicamente il personale della ditta; trasmette la documentazione dei servizi erogati.
Approvvigionamento di apparati e servizi (3/4)
Implementare la sicurezza informatica: l’esperienza dell’Università di Bologna – Forum PA, 9 Maggio 2005
- 23 -
Governance del rapporto col fornitore
Definizione di due livelli di indicatori di performance per la maggior parte dei servizi previsti.• Indicatore primario: stabilisce una soglia al di
sotto della quale il servizio reso viola lo SLA concordato e dà luogo ad una contestazione, per la quale si applicano le penali previste a carico del fornitore ed in caso di grave inadempienza si procede alla risoluzione del contratto(es.: tempestività nella consegna degli apparati, affidabilità degli apparati, tempestività nella risoluzione dei malfunzionamenti, etc.);
• Indicatore secondario: è utilizzato per il controllo delle performance e della produttività (es.: tempo medio di consegna, tempo medio di presa in carico di un problema, etc.).
Approvvigionamento di apparati e servizi (4/4)