L’assistenza alle aziende per aspetti tecnologici e sistemici

Roma, 23 ottobre 2007

Dr. Giorgio ScarpelliVice President – VP Tech

2

CODICE

Agenda

• Profilo di VP Tech

• Metodologia e modello tecnologico per rispondere alle necessità di Data Privacy

• Conclusioni

3

CODICE

VP Tech è il partner di clienti importanti per ciò che riguarda la gestione di progetti in ambito di sicurezza aziendale

Strategia di posizionamento della sicurezza Organizzazione e governo dei processi di sicurezzaProgettazione/realizzazione soluzioni di sicurezzaPianificazione di sistemi di Security Intelligence

Consulenza e Soluzioni di Sicurezza

• Obiettivo: portare al mercato un’offerta di servizi in ambito security capace di coniugare aspetti consulenziali, tecnologici ed economici al fine di creare valore per i propri clienti

• Referenze principali: telecomunicazioni, industria, sanità e pubblica amministrazione, presenza nel mercato finance

• Forti legami con il mondo universitario e con centri di R&D e realtà tecnologiche a livello nazionale e internazionale e accesso a finanziamenti europei

• Certificata ai sensi della norma ISO 9001:2000

• 150 professionisti dedicati alla Sicurezza Informatica

Profilo di VP TechProfilo di VP Tech

4

CODICE

VP Tech supporta i propri clienti intervenendo con efficacia a vari livelli del modello operativo per la gestione della sicurezza

Security Operations Center

Security Knowledge Management e Governance

Security Knowledge base management

Security investment evaluation

Infrastruttura di pro-tezione della rete e delle sue interconnes-sioni, dei sistemi e delle applicazioni

Tecnologie di gestione della identità digitale degli utenti dei servizi informatici (autentica-zione, autorizzazione e controllo accessi)

Sistema di crisis mgmt e disaster recovery a supporto del contingency plan per garantire la conti-nuità del business aziendale

Allineamento assetto organizzativo e impianto normativo per le procedure da applicare in fase di esercizio e gestione dei sistemi informatici

Sistema di monito-raggio degli eventi di sicurezza generati dalle infrastrutture

Sistema di analisi e gestione del processo di Information Risk Management

Struttura, strumenti e processi di gestione degli incidenti di natura informatica

Sistema di gestione delle informazioni generate da sistemi e servizi di Information Security

Modello finanziario di valutazione di CAPEX e OPEX per le spese in Information Security

(TOP Management / Security Management)

(SecurityManagement)

(SecurityOperations Staff)

Security Infrastruc-ture & mgt

Sicurezza applicativa e dati

Sicurezza perimetrale e reti comunicazione

Business Continuity e Crisis Mgmt

Organizational model & operational procedures

Risk Assessment e Mgmt Incident HandlingSecurity Monitoring

En

terp

rise

Sec

uri

ty P

ort

al

5

CODICE

Alcune referenze

6

CODICE

Agenda

• Profilo di VP Tech

• Metodologia e modello tecnologico per rispondere alle necessità di Data Privacy

• Conclusioni

7

CODICE

Le informazioni sono un asset fondamentale di qualsiasi organizzazione

Gli obiettivi di business di un’azienda sono strettamente correlati alla fruizione delle informazioni, il cui valore continua a cresce in funzione dell’evoluzione del contesto relazionale, sempre più “immateriale”, in cui il business si attua

Volumi

’70 ’80 ’90 2000 oggi

Dati

Applicazioni

Sistemi

Processi

Obiettivi

…Determinano un costante incrementodel volume dei dati trattati…

…Sempre più centrali rispetto alle stra-tegie di business delle aziende

Soggetti che generano ed elaborano informazioni

Soggetti che generano ed elaborano Informazioni …

Banche

…..

Istituzioni

…..

Assicurazioni

…..

Utilities

……

Servizi

……..

Telecomunicazioni

……

Trasporti

…….

Banche

…..

Istituzioni

…..

Assicurazioni

…..

Utilities

……

Servizi

……..

Telecomunicazioni

……

Trasporti

…….

8

CODICE

Le esigenze di business si intersecano con gli obblighi normativi a tutela dei diritti degli owner dei dati

Per l’azienda questo comporta:

La singola azienda, oltre che dell’applicazione della normativa ordinaria, in particolare di quella sulla Privacy, deve tener conto dei provvedimenti specifici del Garante per azienda/settore

11 Disporre di una catena di comando Privacy efficiente e formalizzata (Titolare del trattamento ResponsabileIncaricato)

Avere un’organizzazione interna flessibile che risponda tempestivamente alle richieste del Garante

Implementare e aggiornare un’infrastruttura tecnologica che sia sempre Privacy compliant

22

33

9

CODICE

La problematica non è solo un fatto legale e burocratico

Trattamento dei dati permesso solo a chi è espressamente incaricato

Principi generali Interventi tecnologici richiesti

Assegnazione di responsabilità individuale per tutti i trattamenti dei dati critici, anche se effettuati mediante procedure automatizzate

Attribuzione inequivocabile delle azioni compiute su un dato critico al suo effettivo autore

- Separation of duties

- Processo autoritativo controllato di assegnazione dei privilegi sulle risorse

- Controllo non aggirabile dell’identità e dei privilegi di ciascun incaricato che accede al dato

- Ownership dichiarata dei dati e dei sistemi che li elaborano

- Identificazione certa degli incaricati di ciascun trattamento, all’accesso ai sistemi elaborativi ed ai dati

- Assegnazione di privilegi minimi per poter operare sui soli dati e per le sole operazioni relative al ruolo/mansione aziendale assegnata (need-to-know)

- Tracciamento completo, integro e non ripudiabile di tutte le operazioni compiute sui dati critici (incluse le operazioni di sola visualizzazione)

Lo scenario normativo in tema di data privacy richiama la necessità di adottare adeguate contromisure volte a garantire una maggior sicurezza nel trattamento dei dati. Esso tende sia ad affermare alcuni principi, sia ad indirizzare le contromisure organizzative e tecnologiche atte a metterli in pratica

10

CODICE

Per una risposta efficace, è necessario impostare una strategia basata su tre aspetti fondamentali

Costruire il modello

Definire una metodologia

Progettare l’infrastruttura tecnologica a supporto

11

Il modello di riferimento, per una efficace strategia di sicurezza, deve ribadire la centralità dei dati trattati

Dati Privacy

Dati rilevanti

per la Privacy

Imposta la strategia complessiva ed il modello di Security per mitigare i rischi correlati alla tutela della Privacy

Fornisce gli strumenti per il controllo armonico ed efficiente dei processi di attribuzione e verifica dei privilegi sulle risorse critiche, in accordo alle policy formalizzate

Consente di attribuire inequivocabilmente la responsabilità dei trattamenti effettuati sui dati critici all’effettivo owner

Attribuita e formalizzata in rapporto ai dati critici, anche in termini di responsabilità oggettive pertinenti alla tutela della Privacy

Censiti e valutati in rapporto ai dati critici che elaborano.

Regolati da policy che normano le modalità di interazione con i dati critici

-

-

Definiti e formalizzati rispetto al business aziendale

Classificati in base alla rilevanza in rapporto alla Privacy

-

-

Costruire il modello

Definire una metodologia

Progettare l’infrastruttura tecnologica

12

E’ necessario utilizzare un approccio metodologico rigoroso correlato ad un framework tecnologico di riferimento

L’attuazione di una roadmap efficace verso gli obiettivi di data privacy compliance riguarda sia l’ambito organizzativo e di processo che l’ambito tecnologico; ciò può avvenire secondo una metodologia specifica mutuabile dai principi “canonici” della gestione del rischio

Layer infrastrut-

turale e tecnologi-

co

Layer dei processi e dell’orga-nizzazione

Definizione e classificazione dei dati critici

trattati dall’azienda

Censimento dei processi e dei sistemi di elaborazione che li trattano

Analisi dei rischi correlati alle specifiche

minacce ai requisiti di

privacy sui dati critici

Infrastruttura per la gestione delle

credenziali e dei privilegi per le utenze

applicative e gli addetti IT

Interventi sulle applicazioni per la

conformità ai requisiti di identi-ficazione, auto-rizzazione, trac-ciamento utenze

Interventi per la sicurezza di SO e DB per gestione

accessi, controllo privilegi,

riservatezza dei dati e tracciamento

degli addetti IT

Sviluppo di un sistema di

auditing sui trattamenti

operati sui dati critici

Sviluppo del modello delle contromisure inquadrate in un framework di riferimento

condiviso

Verifica dell’ownership sui processi / applicazioni /

sistemi coinvolti

Costruire il modello

Definire una metodologia

Progettare l’infrastruttura tecnologica

13

AUDIT LOG CENTRALIZZATO

Il modello tecnologico deve gestire il ciclo di vita completo delle identità aziendali, ponendo sullo stesso piano le utenze applicative e sistemistiche

Applicazione S.O.End User Addetti IT

DB

Valore+

-trend

Sicurezza applicativa

Accesso, controllo autorizzazioni, protezione risorse, tracciamento non ripudiabile

“Securizzazione” S.O.

Accesso, tracciamento Comandi, controllo privilegi sulle risorse, cifratura

“Securizzazione” DB

Accesso, tracciamento Comandi, controllo privilegi sui dati, cifratura

WORKFLOW AUTORIZZATIVO GENERALE

Repository unico delle identità

Legenda flussi

Identity mgmt / provisioning

Collezionamento log

accesso diretto da parte degli utenti finali

accesso indiretto da parte degli utenti finali

Accesso diretto da parte degli Addetti IT

Costruire il modello

Definire una metodologia

Progettare l’infrastruttura tecnologica

14

Implementazione della strategia di data privacy: Aspetti legati al contesto aziendale

L’efficacia della strategia di data privacy può essere condizionata da alcuni fattori di contesto che devono essere attentamente considerati

Aspetti di contesto Fattori di rischio

La trasversalità degli interventi richiesti presuppone il coinvolgimento dell’intera organizzazione

- Scarsa maturità dell’organizzazione della sicurezza per affrontare la problematica a livello globale

- Mancanza di ownership e responsabilità dichiarate

- Mancanza di organismi di controllo interno

11

I requisiti e le contromisure richieste devono riguardare tutti i domini tecnologici, inclusi i sistemisti e gli addetti IT

- Indisponibilità a rivedere le modalità operative consolidate, in particolare per la gestione dei datacenter

- Privilegio dell’efficienza operativa a scapito della sicurezza

22

Gli interventi richiedono investimenti specifici

- Mancanza di commitment da parte degli stakeholders

- Conseguente limitatezza del budget

- Necessità di attuare interventi specifici nell’ambito della gestione ordinaria dei sistemi informativi

33

15

Accorgimenti per contrastare i fattori di rischio

Agire sul piano dell’organizzazione della sicurezza e dell’awareness sulla problematica:

La compliance è uno dei driver, ma proteggere i dati riguarda direttamente il business; è necessario il coinvolgimento di diverse funzioni con finalità ed obiettivi specifici.

PdS1

−Individuazione delle Classi di Criticitàdei Sistemi/Applicazioni.

−Individuazione del desiderato Livello di Rischio su Sistemi/Applicazioni

IT Security

Security Governance

PdS2 PdSnPdS4PdS3

IT SecurityLinee di Sviluppo

Il risultato sono specifici piani di Sicurezza, riferiti alle differenti applicazioni IT. Le contromisure sono sia di tipo tecnologico che organizzativo

Linee di SviluppoLinee di Esercizio

C1 C2 C3 C4 Cn

Con interventi trasversali, soprattutto nell’ambito infrastrutturale, èpossibile agire contemporaneamente su un sottoinsieme di minacce, ottimizzando gli investimenti

Analisi del Rischio di Alto Livello

Pianificazione degli di Interventi di security

Attuazione delle contromisure

BIA, Rilevanza strategica dei dati

−Indicatori di rischio

−Business Continuity

−Linee strategiche di protezione

11

16

Accorgimenti per contrastare i fattori di rischio

Collaborare con le linee operative per definire un insieme di contromisure sostenibili:

Costruire un modello tecnologico organico ma a “building blocks”, implementabile a perimetri concentrici, nell’ambito di una roadmap concordata con tutti gli owner coinvolti

Definire una “baseline” tecnologica di sicurezza comune, identificando un set di contromisure per ciascun dominio, caratterizzate da basso impatto operativo e TCO accettabile

22

Possibile Baseline di sicurezzaPossibile Baseline di sicurezza

Identità utente univocamente determinabile fra i vari layerCentralizzazione Identity RepositoryCentralizzazione dei processi di Identity Management e provisioning

mediante applicazione di workflow operanti sul repository centralizzatoCentralizzazione dei processi di autenticazione e rafforzamento dei

metodi di controllo accessoApplicazione del principio del minimo privilegio

Organizzazione e classificazione delle risorse per grado di criticità e rilevanza

Gestione dei privilegi per ruoli, responsabilità e mansioniPiano condiviso con le varie funzioni per la bonifica degli account di

gruppoCentralizzazione e correlazione dei sistemi di tracciatura degli accessi e delle azioni svolte

Consolidamento dei log prodotti ai vari layer

Networking

Applicazione

Server / File System

DataBase

Mid

dle

wa

re

Dati critici= Utenze individuali

= Account applicativi

= Account Sistemistici

17

Accorgimenti per contrastare i fattori di rischio

Adottare una strategia di comunicazione “verso l’alto” che evidenzi chiaramente i rischi di business correlati al tema della data privacy, ma anche il valore aggiunto che una strategia di compliance può portare all’efficienza dei processi ed all’immagine dell’azienda verso il mercato

33

Nella predisposizione di una roadmap di interventi, su cui ottenere il commitment degli stakeholders, l’attenta considerazione dei seguenti punti può rappresentare un elemento chiave di successo:

Flessibilità ed adattabilità

delle soluzioni proposte

Flessibilità ed adattabilità

delle soluzioni proposte

La soluzione deve poter rispondere alle necessità specifiche degli ambienti target

in cui si cala, garantendo una risposta tecnologica che sia commisurabile al grado di

criticità dei sistemi ed evitando di introdurre overhead amministrativi non necessari

La soluzione deve poter rispondere alle necessità specifiche degli ambienti target

in cui si cala, garantendo una risposta tecnologica che sia commisurabile al grado di

criticità dei sistemi ed evitando di introdurre overhead amministrativi non necessari

Scalabilità ed apertura evolutiva

Scalabilità ed apertura evolutiva

La soluzione non deve introdurre vincoli in termini di scalabilità e di adattabilità a

contesti futuri, intesi sia come nuove piattaforme da gestire, sia come sostenibilità

delle evoluzioni tecnologiche relative alle piattaforme IT in generale

La soluzione non deve introdurre vincoli in termini di scalabilità e di adattabilità a

contesti futuri, intesi sia come nuove piattaforme da gestire, sia come sostenibilità

delle evoluzioni tecnologiche relative alle piattaforme IT in generale

La roadmap deve puntare alla salvaguardia degli investimenti, realizzando un

disegno architetturale che massimizzi i potenziali savings, in termini di CAPEX ed

OPEX, legati sia al riutilizzo di componenti Hw/Sw, sia all’aumento della

produttività delle utenze coinvolte

La roadmap deve puntare alla salvaguardia degli investimenti, realizzando un

disegno architetturale che massimizzi i potenziali savings, in termini di CAPEX ed

OPEX, legati sia al riutilizzo di componenti Hw/Sw, sia all’aumento della

produttività delle utenze coinvolte

Massimizzazione dei savings

Massimizzazione dei savings

18

CODICE

Agenda

• Profilo di VP Tech

• Metodologia e modello tecnologico per rispondere alle necessità di Data Privacy

• Conclusioni

19

Conclusioni

− Le esigenze di compliance, in particolare in tema privacy, impongono una revisione dei processi di business, allo scopo di evidenziare il possibile scollamento fra l’impianto normativo e le policy di sicurezza e l’effettiva applicazione nei sistemi IT

− Ciò deve realizzarsi secondo una metodologia che coinvolga l’organizzazione ad ogni livello, impostata secondo una strategia di Security Governance che definisca il perimetro e ponga gli obiettivi, verificandone il raggiungimento nell’ambito di un piano organico condiviso e di un framework tecnologico di riferimento

− L’obiettivo richiede il contributo di diversi interlocutori: il fornitore delle tecnologie di base, la consulenza strategica, il system integrator, etc. che devono operare in stretta sinergia verso il cliente

− L’esperienza VP Tech, nonché la sua specializzazione distintiva su tutte le tematiche di Security maturata presso molte organizzazioni, ci pone come un partner di eccellenza in grado di fornire un contributo determinante per affrontare e gestire la problematica

20

giorgio.scarpelli@vptech.it