Sistemi Informativi e Sicurezza1 SISTEMI INFORMATIVI E SICUREZZA Luglio 2004.

26
Sistemi Informativi e Sic urezza 1 SISTEMI INFORMATIVI E SICUREZZA Luglio 2004

Transcript of Sistemi Informativi e Sicurezza1 SISTEMI INFORMATIVI E SICUREZZA Luglio 2004.

Page 1: Sistemi Informativi e Sicurezza1 SISTEMI INFORMATIVI E SICUREZZA Luglio 2004.

Sistemi Informativi e Sicurezza 1

SISTEMI INFORMATIVI E SICUREZZA

Luglio 2004

Page 2: Sistemi Informativi e Sicurezza1 SISTEMI INFORMATIVI E SICUREZZA Luglio 2004.

Sistemi Informativi e Sicurezza 2

GENERALITA’

• Inizialmente erano denominati “sistemi gestionali”

• Hanno poi esteso il loro campo di azione a tutti gli altri

ambiti aziendali

• Sono anche detti “sistemi transazionali” in quanto basati su

programmi applicativi che eseguono “transazioni”

• Transazione è ogni attività di interazione con il sistema

informativo aziendale per effettuare una operazione

elementare

• Negli ultimi anni si parla sempre più di ERP (Enterprise

Resource/Requirement Planning) proprio per indicare la

pervasività di tali sistemi

Page 3: Sistemi Informativi e Sicurezza1 SISTEMI INFORMATIVI E SICUREZZA Luglio 2004.

Sistemi Informativi e Sicurezza 3

Le componenti di un ERP

• FI - Contabilità

• CO - Controllo di gestione

• HR - Gestione del personale

• PP - Gestione della produzione

• MM - Gestione dei magazzini

Page 4: Sistemi Informativi e Sicurezza1 SISTEMI INFORMATIVI E SICUREZZA Luglio 2004.

Sistemi Informativi e Sicurezza 4

Anatomia di una transazione (1)

• E’ normalmente attivata da un messaggio iniziale dall’operatore al sistema e si conclude con un messaggio finale dal sistema all’operatore

• Può essere molto semplice o molto complessa• Di norma comporta l’esecuzione di un programma ad

hoc, l’accesso a una base di dati e operazioni di trasmissione dati

• Possono essere:– on line processing (vengono eseguite immediatamente)– batch processing (ad esecuzione differita)

Page 5: Sistemi Informativi e Sicurezza1 SISTEMI INFORMATIVI E SICUREZZA Luglio 2004.

Sistemi Informativi e Sicurezza 5

La evoluzione dei sistemi..

StartMRP

ERP

XRP

70’s

2000’s

90’s

80’s

Page 6: Sistemi Informativi e Sicurezza1 SISTEMI INFORMATIVI E SICUREZZA Luglio 2004.

Sistemi Informativi e Sicurezza 6

dall’avvio..

StartMRP

ERP

XRP

70’s

2000’s

90’s

80’s

Sistemi informativiproprietari, sviluppatiin houseche coprono esigenzedi singolefunzioni aziendali.

Page 7: Sistemi Informativi e Sicurezza1 SISTEMI INFORMATIVI E SICUREZZA Luglio 2004.

Sistemi Informativi e Sicurezza 7

..ai sistemi MRP

StartMRP

ERP

XRP

70’s

2000’s

90’s

80’s

Sistemi standard,per la gestione contabilee la pianificazione deimateriali.

Materials requirement planning

Page 8: Sistemi Informativi e Sicurezza1 SISTEMI INFORMATIVI E SICUREZZA Luglio 2004.

Sistemi Informativi e Sicurezza 8

La evoluzione

.. ai sistemi ERP

StartMRP

ERP

XRP

70’s

2000’s

90’s

80’s

Copertura di tutte le areefunzionali, con integrazionestretta e con pianificazionedi materiali e risorse.

Enterprise requirement planning

Page 9: Sistemi Informativi e Sicurezza1 SISTEMI INFORMATIVI E SICUREZZA Luglio 2004.

Sistemi Informativi e Sicurezza 9

..ai sistemi XRP

StartMRP

ERP

XRP

70’s

2000’s

90’s

80’sAccesso al sistema informativodi nuovi utenti : clienti, fornitori,partners, in ottica di impresaestesa

eXtended requirements planning

Page 10: Sistemi Informativi e Sicurezza1 SISTEMI INFORMATIVI E SICUREZZA Luglio 2004.

Sistemi Informativi e Sicurezza 10

Cliente(ERP1)

Fornitore(ERP2)

Terzista(ERP3)

DIAPASONNETWORKEDENTERPRISESYSTEM

CONTROLLO DI GESTIONE

CONSOLIDATO

CESPITI

INVESTIMENTI

AMMINISTRAZIONE

TESORERIA

ACQUISTI

VENDITE

C.R.M.

MAGAZZINI

CONTROLLOPRODUZIONE

PIANIFICAZIONEPRODUZIONE

MANUTENZIONE

E-BUSINESS

FULLINTERNETACCESS

REPORTING

SYSTEM

WAREHOUSE

SYSTEM

DOCUMENT

MNGT

QUALITYMNGT

Rappresentazione di un sistema ERP

Page 11: Sistemi Informativi e Sicurezza1 SISTEMI INFORMATIVI E SICUREZZA Luglio 2004.

Sistemi Informativi e Sicurezza 11

Ulteriore evoluzione dei Sistemi Informativi (1)

Duplice ordine di requisiti: tecnologici e funzionali.

- I requisiti tecnologici sono quelli relativamente ai quali verrà maggiormente spinta l’innovazione, per sfruttare appieno le possibilità dei nuovi ambienti e delle più

recenti architetture.

- Sul versante dei requisiti funzionali è necessario operare maggiormente su una linea di evoluzione, confermando e andando ad arricchire aspetti e caratteristiche già

patrimonio delle attuali applicazioni.

Page 12: Sistemi Informativi e Sicurezza1 SISTEMI INFORMATIVI E SICUREZZA Luglio 2004.

Sistemi Informativi e Sicurezza 12

Ulteriore evoluzione dei Sistemi Informativi (2). Requisiti tecnologici

• Indipendenza dalla piattaforma• Fruibilità via Internet• Apertura verso altre applicazioni

. Requisiti funzionali• Completezza funzionali• Affidabilità e robustezza• Facilità d’uso• Interfaccia intuitiva• Conformità agli standard di mercato• Apertura• Orientamento all’extended enterprise

Page 13: Sistemi Informativi e Sicurezza1 SISTEMI INFORMATIVI E SICUREZZA Luglio 2004.

Sistemi Informativi e Sicurezza 13

Ulteriore evoluzione dei Sistemi Informativi (3)

• Il mercato ha subito e continuerà a manifestare cambiamenti sempre più significativi e repentini. Sicuramente alcuni importanti elementi nuovi (internet su tutti) mostrano caratteristiche di permanenza e continuità tali da imporre ai produttori di applicazioni un continuo allineamento delle proprie soluzioni.

• Allineamento continuo estremamente più opportuno rispetto ad una politica di discontinuità e cambi di direzione nello sviluppo dei prodotti, come testimoniano le esperienze di alcuni importanti player di mercato nel decennio scorso (ad esempio eccessiva enfasi sul client/server).

Page 14: Sistemi Informativi e Sicurezza1 SISTEMI INFORMATIVI E SICUREZZA Luglio 2004.

Sistemi Informativi e Sicurezza 14

Ulteriore evoluzione dei Sistemi Informativi (4)

Il sistema nel suo complesso può essere scomposto in “servizi” specializzati

• Servizi di presentazione

Contengono la logica di presentazione dei dati e di interazione con l’utente

• Servizi web

Si occupano della gestione del colloquio con il client, ricevono le richieste, gestiscono la sessione di lavoro e generano pagine di output

• Servizi applicativi (Business Rules)

Sono responsabili della realizzazione delle logiche applicative.

Gestiscono la transazionalità, la distribuzione delle componenti

• Servizi di integrazione

Consentono di connettere ed integrare applicazioni e sistemi diversi

Page 15: Sistemi Informativi e Sicurezza1 SISTEMI INFORMATIVI E SICUREZZA Luglio 2004.

Sistemi Informativi e Sicurezza 15

Verso l’Enterprise Portal

• La diffusione di una cultura omogenea e condivisa all’interno delle aziende è il presupposto per lo sviluppo di iniziative e progetti finalizzati a creare, nel tempo, valore per i diversi portatori di interessi.

• Per raggiungere tale obiettivo è necessario produrre e condividere, all’interno delle aziende prima e all’esterno poi, le informazioni e ancora meglio le conoscenze relative ai processi ed alle attività che hanno un impatto sulle singole aree aziendali.

• Dal punto di vista tecnologico e applicativo l’infrastruttura abilitante per il raggiungimento dell’obiettivo sopra esposto può essere rappresentata da una applicazione intranet/extranet alla quale gli utenti accedono, in funzione del proprio profilo, per cercare informazioni e per ottenere una serie di servizi a valore aggiunto => ENTERPRISE PORTAL (EP)

Page 16: Sistemi Informativi e Sicurezza1 SISTEMI INFORMATIVI E SICUREZZA Luglio 2004.

Sistemi Informativi e Sicurezza 16

Obiettivi degli EP

A cosa risponde l’EP

• Overload informativo

La creazione di un singolo punto di accesso e di una centralizzazione delle ricerche aiuta a diminuire le problematiche che nascono dall’overload informativo

• Discontinuità

I continui cambiamenti organizzativi creano discontinuità nel flusso informativo. L’EP può diventare il desktop per i “Knowledge Workers”, eliminando le discontinuità

• Distrutturazione delle informazioni

L’EP rimedia alla quantità di informazioni non strutturate, che superano, ormai di gran lunga, quelle strutturate

Page 17: Sistemi Informativi e Sicurezza1 SISTEMI INFORMATIVI E SICUREZZA Luglio 2004.

Sistemi Informativi e Sicurezza 17

Modelli di EP• E’ comunque difficile giungere ad una definizione univoca degli obiettivi e delle

funzionalità caratteristiche di un EP; sono infatti le aziende stesse che, in base alle proprie esigenze, individuano i principali obiettivi e le singole funzionalità dell’EP.

• Prendendo in considerazione i diversi obiettivi di business e lo sforzo implementativo richiesto è possibile selezionare quattro macrotipologie di Enterprise Portal

– Enterprise Hub: finalizzato alla creazione di un unico punto di accesso alla Intranet aziendale

• Obiettivo: accesso ai dati e alle informazioni

– Content Portal: finalizzato alla integrazione dei contenuti basata sul routing e differenziato per profilo di utenza

• Obiettivo: accesso e condivisione di informazioni

– Service Portal: finalizzato alla creazione di un unico punto di accesso ai servizi transazionali ma anche di DW e di BI

• Obiettivo: accesso e condivisione di informazioni e servizi

– Integrator Portal: finalizzato alla piena integrazione con i sistemi di produzione, progettazione, gestione ordini e spedizioni, ecc.

• Obiettivo: Integrazione di ambienti applicativi e tecnologici eterogenei, collaborazione tra diverse aree aziendali

Page 18: Sistemi Informativi e Sicurezza1 SISTEMI INFORMATIVI E SICUREZZA Luglio 2004.

Sistemi Informativi e Sicurezza 18

Definizione di EP

• E’ un’applicazione web rivolta alle imprese allo scopo di dare valore aggiunto

– Informativo (editoriale/gestione documentale/motore)

– Collaborativo (collaboration/worklow)

– Bridge tra aziende e Internet

– Bridge con e tra i Sistemi Informativi Aziendali

– Evoluzione dei concetti di sito e di intranet

– Semplificare la complessità IT

– User Desktop

– Single Sign On

Page 19: Sistemi Informativi e Sicurezza1 SISTEMI INFORMATIVI E SICUREZZA Luglio 2004.

Sistemi Informativi e Sicurezza 19

SICUREZZA

• In condizioni di funzionamento normale

– back up (o dump)– log– procedura di recovery e restart– lock/unlock

Page 20: Sistemi Informativi e Sicurezza1 SISTEMI INFORMATIVI E SICUREZZA Luglio 2004.

Sistemi Informativi e Sicurezza 20

SICUREZZAin situazione anomala (1)

• Virus. Programma “Pirata” che si propaga associandosi a documenti o altri programmi e spesso svolge attività vandaliche ai danni del sistema. Molto diffusi sulle piattaforme Windows, quasi per nulla in ambienti Unix e Linux.

• Antivirus. Programmi commerciali per intercettare ed eliminare i virus dai sistemi. Di norma, i prodotti distribuiscono gratuitamente gli aggiornamenti relativi ai virus scoperti nelle fasi successive al rilascio del prodotto.

• Trojan horse. Simile a un virus, non ha manifestazioni evidenti, ma è in grado di mettere in collegamento il sistema con l’hacker che lo ha generato, spesso per violare la base dei dati: La tecnica seguita è quella di compiere uno scan sulle porte (servizi) ritenute chiuse dal sistema operativo, per aprirne una (back door)

Page 21: Sistemi Informativi e Sicurezza1 SISTEMI INFORMATIVI E SICUREZZA Luglio 2004.

Sistemi Informativi e Sicurezza 21

SICUREZZAin situazione anomala (2)

e creare attraverso quella un collegamento che eluda le protezioni.

• Autenticazione forte. (strong authentication). Metodi di autenticazione dell’utente più certi, rispetto alla password, che fanno uso di smart card o di metodi biometrici (impronte digitali, face recognition).

• Password. Parola d’ordine, associata al nome di un utente, necessaria per collegarsi al proprio account sul server di rete. Spesso è crittografata, ma esistono programmi pirata capaci di catturarla nel momento in cui viene digitata sulla tastiera.

• Smart card. Simile ad una carta di credito, ma con memoria e processore incorporati, per conservare le credenziali dell’utente, e viene usata per un’autenticazione forte.

Page 22: Sistemi Informativi e Sicurezza1 SISTEMI INFORMATIVI E SICUREZZA Luglio 2004.

Sistemi Informativi e Sicurezza 22

SICUREZZAin situazione anomala (3)

• Token. Dispositivi hardware che, unitamente ad un Pin e a un processo di sincronizzazione con il server, modificano automaticamente la password, in modo casuale, a scadenze prefissate.

• Disaster Recovery. Pianificazione dell’attività necessaria a ripristinare la funzionalità di un’infrastruttura informatica in caso di evento distruttivo (un’alluvione o un terremoto).

• Fault Tolerance. Sistemi ridondanti sia nella base dati sia nell’architettura hardware, in grado di garantire le continuità di funzionamento anche in caso di guasto distruttivo di uno dei due sistemi.

Page 23: Sistemi Informativi e Sicurezza1 SISTEMI INFORMATIVI E SICUREZZA Luglio 2004.

Sistemi Informativi e Sicurezza 23

SICUREZZAin situazione anomala (4)

• Firewall. Sistema di sicurezza periferico che controlla e filtra i pacchetti provenienti dall’esterno della rete aziendale in base a degli indirizzi IP, all’accesso alle porte (servizi) e al tipo di pacchetto o di servizio richiesto. Intercettando i tentativi di intrusione. E’ buona regola installarlo tra il router del collegamento a Internet (o extranet) e il router del collegamento al backbone aziendale (rete interna).

• VPN. (Virtual Private Network). Infrastruttura che utilizza reti pubbliche, tipicamente Internet, per creare collegamenti tra host impermeabili ad utenti esterni: ciò è reso possibile con la tecnica della tunnellizzazione e della crittografia. Normalmente implementa il protocollo IPSec.

Page 24: Sistemi Informativi e Sicurezza1 SISTEMI INFORMATIVI E SICUREZZA Luglio 2004.

Sistemi Informativi e Sicurezza 24

SICUREZZAin situazione anomala (5)

• CA. (Certification Authority). Enti, pubblici o privati, che hanno implementato una Pki per la trasmissione di documenti sicuri tra due parti. Una CA deve poter garantire: l’indentificazione certa del trasmittente; la ricezione certa del documento da parte del ricevente; l’inalterabilità del contenuto del documento: l’impossibilità che un documento crittografato possa essere facilmente decodificato da chi non ha la chiave di decrittazione.

• Certificato elettronico. Documento pubblicato da una CA contenente tutte le informazioni dell’utente titolare (compresa la chiave pubblica) e firmato dalla CA.

Page 25: Sistemi Informativi e Sicurezza1 SISTEMI INFORMATIVI E SICUREZZA Luglio 2004.

Sistemi Informativi e Sicurezza 25

SICUREZZAin situazione anomala (6)

• PKI. (Public Key Infrastructure). Insieme di regole, risorse e sistemi per la gestione crittografata dei certificati digitali rilasciati dalle CA.

• S/MIME. (Secure MIME). Insieme di regole proposto dall’Internet Engineering Task Force per la crittografia e/o la firma elettronica di un messaggio digitale.

• IPSec. (Internet Protocol Security). Protocollo standard proposto dall’Internet Engineering Task Force, che definisce due funzioni a garanzia della segretezza del dato trasmesso: la crittografia e l’integrità del dato stesso. Usato spesso nelle VPN.

Page 26: Sistemi Informativi e Sicurezza1 SISTEMI INFORMATIVI E SICUREZZA Luglio 2004.

Sistemi Informativi e Sicurezza 26

SICUREZZAin situazione anomala (7)

• Gateway di pagamento. Piattaforme usate nell’e-Commerce per dividere le informazioni associate ad un ordine di acquisto: quelle destinate all’azienda fornitrice (l’oggetto dell’acquisto) da quelle per la banca (le coordinate bancarie, la carta di credito), in modo che i due soggetti non abbiano l’informazione completa. Non usano registrazioni sul disco, in modo che anche il fornitore del servizio ignori il contenuto dell’informazione.

• Internet gateway. Server per il collegamento di una rete a Internet, in genere a ridosso del firewall. Controlla i contenuti dei pacchetti ricevuti e inviati.