Le lingue
Pagine
Legale
Security Servicesin-house vs managed security
L’esperienza di Informatica Trentina
Pierluigi SartoriCISSP – CISM – CRISC – CGEIT – MBCI
Agenda
La Società Il contesto di riferimento L’organizzazione di partenza I Managed Security Services Il Security Global Control Center
3
La Società
Informatica Trentina è stata costituita nel 1983 su iniziativa della Provincia Autonoma di Trento e di altri Enti Pubblici del Trentino
La Compagine azionaria (al 31 dicembre 2012): Provincia autonoma di Trento 47,4218% Tecnofin Trentina Spa 39,7101% Regione Autonoma Trentino-Alto Adige 1,7199% Comune di Trento con l’1,2433% Camera di Commercio Industria Artigianato e Agricoltura 1,2433% Comune di Rovereto 0,7063% 15 Comunità di Valle complessivamente 5,0046% 1 Comprensorio 0,3931% altri 186 Comuni complessivamente 2,5577%
Alcuni dati al 31 dicembre 2011: Fatturato: circa 60 milioni di Euro Risorse umane: 312
Adesioni alla governance (al 31 dicembre 2012): 208 Enti Locali
La missione
Sempre più un ruolo di “strumento di politica economica” per lo
sviluppo e la crescita del sistema economico locale nel contesto dell’Information & Communication Technology: strumento di sistema, per l’ammodernamento della Pubblica
Amministrazione trentina e per promuovere lo sviluppo del contesto socio-economico del territorio, in aderenza alle direttive provinciali
strumento di collaborazione con le imprese ICT, consentendo ai molteplici operatori del comparto di partecipare con continuità alla realizzazione dei progetti di ammodernamento e digitalizzazione della PA trentina
strumento di innovazione, per promuovere l’innovazione nella PA trentina, sostenendo il ruolo di utente innovatore dell’Ente pubblico, attraverso progetti di innovazione da realizzare in sinergiae cooperazione con le imprese ICT del territorio, ed in collaborazione con gli Enti di Ricerca ed Alta Formazione presenti sul territorio
5
PAT
InfoTN
PATPAT
Il “problema” della crescita ….
PAT
InfoTN
PATPAT
Telpat
Il “problema” della crescita ….
PAT
Internet
InfoTN
Telpat
PAT
PAT
Il “problema” della crescita ….
Agenda
La Società Il contesto di riferimento L’organizzazione di partenza I Managed Security Services Il Security Global Control Center
Internet….
… oggi
Lan Interna
Reti di Datacenter
RetiDMZ
Internet
Mobile
Casalingo
Nomadico
Lo spazio cibernetico è un nuovo fondamentale campo di battaglia e di competizione geopolitica nel XXI secolo (Comitato Parlamentare per la sicurezza della Repubblica – Relazione sulle possibili implicazioni e minacce per la
sicurezza nazionale derivanti dall’utilizzo dello spazio cibernetico)
The new Pentagon strategy lays out cyber as a new warfare domain and stresses the need to fortify network defenses, protect critical infrastructure and work with allies and corporate partners (James Lewis,
cybersecurity expert at the Center for Strategic and International Studies)
I've often said that there's a strong likelihood that the next Pearl Harbor that we confront could very well be a cyberattack that cripples our power systems, our grid, our security systems, our financial systems, our governmental systems (Pentagon chief Leon Panetta, ex CIA director)
Le nuove guerre
CINA: la sola potenza emergente che abbia già sviluppato capacità operative nei cinque domini relativi alla superiorità cibernetica: elaborazione di una dottrina operativa, capacità addestrative, capacità di simulazione, creazione di unità addestrate alla guerra cibernetica, sperimentazione di attacchi hacker su larga scalaStati Uniti: Ha creato lo “United States Cyber Command (USCYBERCOM)” che, sotto la guida di un generale, centralizza il comando operativo delle operazioni nel cyberspace, organizza le cyber risorse esistenti e coordina la difesa delle reti dell’esercito americano
Le risposte dei governi
Italia: obiettivo 24 “Sicurezza dei sistemi informativi e delle reti” del piano di E-Government 2012. Prevede la stabilizzazione e il potenziamento dell’Unità di prevenzione degli incidenti informatici in ambito SPC istituita presso il CNIPA in ottemperanza all’articolo 21, comma 51.a del Decreto del Presidente del Consiglio dei Ministri del 01/04/2008 (esiste solo sulla carta)
Dell Computer espande la sua offerta IT-as-a-Service acquisendo SecureWorks®, uno dei più importanti provider nel settore dei servizi di securityHP (Hewlett Packard) acquisisce Vistorm, provider di servizi di security con una forte presenza in UK e Irlanda.IBM acquisisce McAfee, storico marchio nel settore dell’Information Security.
Le risposte dei privati
Information Security …..
… è ormai un elemento essenziale per proteggere i processi vitali per il business e i sistemi che li garantiscono
… non è qualcosa che si compra: bisogna farla … non si può limitare al solo controllo del
perimetro OGNI ELEMENTO della rete e dei sistemi ospitati
deve essere messo in sicurezza
Cosa dovrebbe comprendere
Firewall, router, applicativi, passwordIntrusion detectionProactive scanning, penetration testingMonitoraggio della configurazione dei sistemi – “Health Checking”
VoiP, Wireless, Sistemi proprietariMonitoraggio 24x7Analisi e correlazioneSviluppo SicuroPolicy, Procedure, Personale
La security vista dalle aziende
FirewallIDS
VA/PT
Monitor VOIP/WL AnalisiPolicy/Personale
Quando è efficace
Corretta combinazione di appliances, software, alert e vulnerability scan che lavorano in maniera coordinata in quella che può essere definita come “Enterprise Security Architecture”
Progettata per supportare gli obiettivi di sicurezza dell’azienda
Estesa alle policy aziendali, alle procedure e al personale
Monitorata 24x7
Security Framework
Il Security Framework è composto da un insieme coordinato di strumenti dedicati
Analogo all’Enterprise management framework Il monitoraggio 24x7 dei dati relativi
all’Information Security è centralizzato in un Security Operations Center
L’analisi dei dati viene effettuata utilizzando degli strumenti di correlazione
Possono essere utilizzati prodotti commerciali quanto open source
E’ opportuno basarsi sull’infrastruttura di sicurezza esistente per sviluppare velocemente il nuovo framework
La gestione della sicurezza
Agenda
La Società Il contesto di riferimento L’organizzazione di partenza I Managed Security Services Il Security Global Control Center
Inc
Incident Response Team
Area Reti
L’organizzazione di partenza
Area SistemiFu
nzi
on
e S
icu
rezz
a
Pro e contro
Pro: Maggior “senso” di sicurezza Alta conoscenza dell’infrastruttura Controllo di tutti i processi Controllo sulle scelte tecnologiche
Contro: Difficoltà a mantenere un Security Program Eccessiva dispersione di competenze Sovraccarico operativo per il personale Finestra di servizio ampia troppo costosa
Agenda
La Società Il contesto di riferimento L’organizzazione di partenza I Managed Security Services I Security Global Control Center
Managed o in House
Gartner© definisce il Software as a Service (SaaS) come “software distribuito, gestito e posseduto remotamente da uno o più provider (Key Issues for Software as a Service - 2007").
Analogamente possiamo definire la “Security as a Service” come “controlli di sicurezza che sono effettuati, distribuiti e gestiti remotamente da uno o più fornitori.
L’utilizzo di SaaS permette una forte riduzione dei costi e un rapido deployment
I Security as a Service, analogamente, garantiscono gli stessi vantaggi
Managed o in House
L’idea di consegnare le proprie informazioni a terze parti è causa di forti resistenze e conflitti interni che, molto spesso, impediscono una valutazione coerente dei vantaggi, sia a livello economico che di incremento del livello di sicurezza
Come per il SaaS, anche nel caso dei security as a sevice è fondamentale la scelta del provider
Molti provider offrono i servizi di managed security solo con l’obiettivo di avere un’offerta completa ma non riescono a garantire elevati livelli di competenza, disponibilità e sicurezza
Marketscope for MSS in Europe
Rapporto pubblicato da Gartner nel 2009 (G00171027), con l’obiettivo di analizzare l’andamento di questo particolare segmento di mercato in Europa, del quale si evidenziano i seguenti elementi: le realtà complesse non riescono più a gestire in
house, in maniera adeguata, i servizi di sicurezza e si rivolgono a quei soggetti che invece lo sanno fare molto bene (e solo a quelli che lo sanno fare molto bene)
Il mercato dei Managed Security Services (MSS) in Europa ha ormai raggiunto un buon livello di maturità ed è in continua crescita, sia in termini di volume che in termini di varietà di servizi offerti.
Marketscope for MSS in Europe
Nel 2009, i MSS erogati, hanno fruttato ricavi per 1.7 miliardi di dollari e permettono di stimare una crescita annuale, nel quinquennio 2008-2013, pari al 12% in termini di fatturato e al 14% in termini di numero di clienti. Risulta in pratica il settore del mercato della sicurezza con il tasso di crescita più alto.
Un’indagine effettuata su 48 MSSP è risultato che al momento in questo settore di mercato ci sono circa 3500 esperti di sicurezza impiegati che gestiscono circa 25000 device dedicati alla sicurezza (firewall, network IPS, and e-mail and Web gateway devices) per circa 4000 clienti.
Marketscope for MSS in Europe
I servizi più gettonati sono i seguenti: Firewall services IDS and IPS services (network and server) Secure Web and e-mail gateway Vulnerability scans Threat intelligence information Log management services
Non si tratta di servizi per tutte le tasche. Il contratto medio in Europa, circa il 45%, oscilla tra 100K e 500K Euro (negli USA tra 100K e 150K e nell’area Asiatica il 57% è sotto i 150K)
Market overview: MSS
Rapporto pubblicato da Forrester nel 2010, con l’obiettivo di analizzare il mercato dei Managed Security Services. Nel documento si evidenziano i seguenti elementi: Dopo anni di reticenza ad esternalizzare la security,
negli ultimi anni, malgrado la crisi economica (o forse proprio grazie ad essa n.d.r.) si assiste ad una inversione di rotta
Il 25% degli intervistati ha esternalizzato il servizio antispam e il 12% sta valutando di farlo nei prossimi 12 mesi
Il 13% ha esternalizzato il servizio di vulnerability management ed il 19% ha dichiarato di volerlo fare nei prossimi 12 mesi
Il mercato dei MSS (stimato in 4,5 miliardi di dollari a livello globale) ha avuto una crescita costante che, per i prossimi anni, viene prudenzialmente valutata intorno all’ 8%
Market overview: MSS perché?
Market overview: Evoluzione dei MSS
Le nuove esigenze dei clienti: nuove metriche che permettano alle
organizzazioni non tanto di tagliare i costi della sicurezza quanto di spenderli in progetti ordinati secondo una corretta priorità
il target sensibile si è significativamente spostato dai componenti hardware verso la debolezza delle applicazioni
servizi volti ad effettuare security e risk assessment seguendo framework internazionali riconosciuti
investigatori che analizzino le informazioni prodotte dall’infrastruttura di sicurezza e le mettano in stretta relazione con gli asset secondo la loro criticità
Quanto Managed
Il livello di esternalizzazione che si intende applicare per ogni servizio di sicurezza DEVE essere una scelta aziendale tra due diversi modelli: “Fully Managed”: tutte le attività di gestione delle
piattaforme di sicurezza vengono cedute al MSSP che, di fatto, ne assume il totale controllo.
“Co-Managed”: l’organizzazione mantiene il controllo delle sue piattaforme di sicurezza e il MSSP fornisce solo servizi di controllo, di intelligenze e/o di raccolta log.
MSS: Analisi SWOT?
Punti di forza (Strengths)• FOCUS – Il personale dell’IT può svolgere altri compiti
• SKILLS – Il MSSP ha la responsabilità delle competenze sulla security
• EFFICIENZA – MSSP è più efficiente nell’erogazione del servizio
• COSTI FISSI – Il costo della security è stabilito a priori
L
M
H
Debolezze (Weakness)• GENERICITA’ – Non è possibile customizzare le
piattaforme di security
• POLICIES – Le policy di security ed IT devono comunque essere mantenute dal cliente
• APATIA – I MSS possono generare un falso senso di sicurezza negli utenti
L
M
H
L
M
H
Opportunità (Opportunities)• I clienti possono concentrarsi sulle attività core; le
piattaforme di ICT Security sono gestite da personale dedicato
• Possibilità di restare aggiornati sulle evoluzioni senza rallentare il core business
• I clienti possono pubblicizzare il proprio brand come “molto sicuro”
Minacce (Threats)• Percezione di una minore sicurezza per aver
esternalizzato la gestione delle proprie piattaforme di sicurezza
L
MH
Agenda
La Società Il contesto di riferimento L’organizzazione di partenza I Managed Security Services Il Security Global Control Center
Il Security Global Center
SECURITY GLOBAL CONTROL CENTER(SGCC)
NOCNetwork
Operation Center
ISOCInformation Security
Operation Center
INFORMATION SECURITY
PHYSICAL SECURITY
AC
CE
SS
MA
NA
GE
ME
NT
MO
NIT
OR
I NG
Monitoraggio e Gestione Reti
Monitoraggio e GestioneSicurezza
Physical SecurityOperation Center
PSOCCRControl Room
Monitoraggio Servizi Monitoraggio
Facility
La Soluzione co-Managed
La regia e la componente autorizzativa restano alle strutture di competenza dell’azienda
Adozione da parte del provider delle procedure previste nei sistemi aziendali (SGSI/ITIL)
L’unità di crisi prevede il coinvolgimento diretto di alcune funzioni aziendali
Per le problematiche di sicurezza escalation verso la funzione aziendale preposta
Il modello adottato
Supporto specialistico
Modello PROATTIVOModello REATTIVO
Incident/change
Richiesta di assistenza dall’utente
Determinazione del problema
Apertura del ticket
Analisi delle cause
Azioni di I° livello(Applicazione di soluzioni certificate)
Decadimento prestazioni dall’utente
Determinazione del problema
Apertura del ticket
Analisi delle cause
Azioni di I° livello(Applicazione di soluzioni certificate)
Monitoring in real time
Fault operativo
Incidente sicurezza
Azioni di II° livello
Outsourcer Sistemi
Supporto Interno
Outsourcer Security
Supporto Vendor tecnologia
SGCC: Alcuni dati
Tempo necessario per l’attivazione del servizio: 3 mesi
Piena operatività (6x20 + Reperibilità 7x24): 15 mesi
Risorse interne riallocate: 5 Incident gestiti al 30/09/2012: 2.718 Change gestiti al 30/09/2012: 1.098 Richieste di assistenza al 30/09/2012: 15.502 Richieste di Access Management al 30/09/2012:
1.098 Vecchia finestra di presidio: 08.00-18.00/Lun-
Ven Nuova finestra di presidio: 04.00-24.00/Lun-Sab
Valutazioni
L’impatto economico della gestione dei servizi (non solo di security) è rimasto sostanzialmente invariato
I tempi di esecuzione delle attività connesse ai servizi gestiti dall’SGCC sono visibilmente migliorati e garantiti da SLA
La finestra di servizio prolungata con presenza fisica 6X20 assicura maggior reattività in caso di incidenti
Le competenze del personale dell’SGCC sono focalizzate sui sistemi in gestione nell’ottica di garantire la continuità del servizio
Il rispetto delle policy di Informatica Trentina è “Mission costitutiva” per l’outsourcer
Vrae?Afrikaans
Questions?English
¿Preguntas?Spanish
Domande?Italian
Вопросы?Russian
Ερωτήσεις;Greek
tupoQghachmey?Klingon
質問?Japanese
أسئلة؟Arabic
問題呢 ?Chinese
?שאלותJewish
Questions?French
Fragen?German
प्रश्न?Hindi
Quaestio?Latino