1 / 28

sicurezza e privacy: adempimenti e contromisure per mettersi in regola

Computer Associates . Fondata nel 1976Presente in 100 paesi > 16,000 persone50 centri di ricerca e sviluppo nel mondo3

jacob
Télécharger la présentation

sicurezza e privacy: adempimenti e contromisure per mettersi in regola

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

    1. Sicurezza e privacy: adempimenti e contromisure per mettersi in regola! Buongiorno a tutti Voi, sono Elio Molteni, Security Business Technologist di C.A.. Come vedete dal titolo parleremo di convergenza tra sicurezza fisica e logica, due aree apparentemente divise ma che hanno molti punti in comune. Di fatto, la loro divisione non ha mai avuto senso di esistere in quanto sono sostanzialmente due aspetti dello stesso problema: la sicurezza. Perch quindi questo tema? Perch gli eventi, la tecnologia, la necessit di maggior produttivit (la ricerca dellefficienza) richiedono una maggior integrazione dei due aspetti dello stesso problema. (Vedere esempi su aeroporti! Prova fatta con Byte Technology etc....)Buongiorno a tutti Voi, sono Elio Molteni, Security Business Technologist di C.A.. Come vedete dal titolo parleremo di convergenza tra sicurezza fisica e logica, due aree apparentemente divise ma che hanno molti punti in comune. Di fatto, la loro divisione non ha mai avuto senso di esistere in quanto sono sostanzialmente due aspetti dello stesso problema: la sicurezza. Perch quindi questo tema? Perch gli eventi, la tecnologia, la necessit di maggior produttivit (la ricerca dellefficienza) richiedono una maggior integrazione dei due aspetti dello stesso problema. (Vedere esempi su aeroporti! Prova fatta con Byte Technology etc....)

    2. Due parole su C.A. Anche se tutti Voi sicuramente ci conoscono. Di tutti questi dati mi preme sottolineare quelli relativi ai centri di ricerca e sviluppo. Solo per la suite di prodotti di sicurezza eTrust, abbiamo oltre 400 persone allo sviluppo. Un altro punto non riportato nella slide la forza del supporto: 24 x 7 a livello international ed un centro di supporto locale in Italia. Due parole su C.A. Anche se tutti Voi sicuramente ci conoscono. Di tutti questi dati mi preme sottolineare quelli relativi ai centri di ricerca e sviluppo. Solo per la suite di prodotti di sicurezza eTrust, abbiamo oltre 400 persone allo sviluppo. Un altro punto non riportato nella slide la forza del supporto: 24 x 7 a livello international ed un centro di supporto locale in Italia.

    4. Fattori critici del mercato L incremento del Business dipende dalla Tecnologia Economia in ripresa budgets contenuti La complessita persiste e cresce Aumenta la rapidita di cambiamento E richiesto ladeguamento alle normative

    5. Questo comporta le organizzazioni richiedono maggiori responsabilita forzando lIT a comportarsi nell ottica del business! Un adeguato allineamento dellIT alle attivita di Business Revisione degli investimenti esistenti e attenzione alla ottimizzazione dei costi Gestione degli asset attraverso il ciclo di vita ed il ROI Avere piu informazioni per decidere sugli investimenti Adeguamento alle misure minime di sicurezza (TU Privacy)

    6. Lambiente e le esigenze

    8. Lutente finale chiede servizi che garantiscano un livello di sicurezza adeguato. I gestori del servizio devono porre attenzione al SLA; lascarsa sicurezza una minaccia molto forte al SLA. Basta un interruzione di servizio dovuta ad un DOS, un Virus, un abuso di accesso e il SLA non viene rispettato. Security is a real risk for SLA. Think to a Virus/worm such as code red or to a denial of service attach that try to saturate a web server like what appen to Yahoo two years ago! Lutente finale chiede servizi che garantiscano un livello di sicurezza adeguato. I gestori del servizio devono porre attenzione al SLA; lascarsa sicurezza una minaccia molto forte al SLA. Basta un interruzione di servizio dovuta ad un DOS, un Virus, un abuso di accesso e il SLA non viene rispettato. Security is a real risk for SLA. Think to a Virus/worm such as code red or to a denial of service attach that try to saturate a web server like what appen to Yahoo two years ago!

    9.

    11. Come in tutte le cose, anche per la sicurezza c quello che possiamo chiamare il mondo ideale e la realt dei fatti. Per avvicinarsi al mondo ideale esistono delle Best Practice (un esempio dato dalla BS77799) che fornisce le linee guida per implementare un sistema di sicurezza adeguato agli obiettivi di business. Si tratta quindi di cercare di ridurre il pi possibile il gap tra le best practice e la realt. Semplificando, basterebbe rispondere ad una serie di domande per le quali ne abbiamo alcuni esempi! Prendiamo alcuni dei problemi oggi molto sentiti nelle banche: la necessit di ridurre il tempo per rendere operativo un collaboratore (vedi il punto del turnover della slide iniziale). Come tracciare gli accessi (la normativa italiana, es 318/99 ne fa esplicita menzione). Senza arrivare al tema della business continuity (che va affrontato quanto prima...) pensiamo anche al semplice centro di backup! Come in tutte le cose, anche per la sicurezza c quello che possiamo chiamare il mondo ideale e la realt dei fatti. Per avvicinarsi al mondo ideale esistono delle Best Practice (un esempio dato dalla BS77799) che fornisce le linee guida per implementare un sistema di sicurezza adeguato agli obiettivi di business. Si tratta quindi di cercare di ridurre il pi possibile il gap tra le best practice e la realt. Semplificando, basterebbe rispondere ad una serie di domande per le quali ne abbiamo alcuni esempi! Prendiamo alcuni dei problemi oggi molto sentiti nelle banche: la necessit di ridurre il tempo per rendere operativo un collaboratore (vedi il punto del turnover della slide iniziale). Come tracciare gli accessi (la normativa italiana, es 318/99 ne fa esplicita menzione). Senza arrivare al tema della business continuity (che va affrontato quanto prima...) pensiamo anche al semplice centro di backup!

    21. Un modello che pu aiutare quello qui rappresentato che partendo dagli aspetti organizzativi sfrutta la tecnologia per ottenere dei risultati intermedi (vedi asset management) per poi passare a considerare gli altri aspetti della sicurezza: Limpostazione delle policy operative (dopo aver definito le policy funzionali (es la policy per la password, per le connessioni ad Internet, per laccesso ai sistemi etc.) devo trasformare queste policies teoriche in qualcosa di effettivo, in grado di bloccare laccesso in caso di NON rispetto della regola. A questo si deve aggiungere il tema dello User Provisioning (vale a dire, un sistema automatizzato e sicuro per rispettare in ogni momento il principio del Least Privilege) Che dire del monitoraggio dei sistemi e delle applicazioni (molte banche hanno centinaia se non migliaia di server nelle filiali ma non viene fatto un controllo sistematico di chi accede a che cosa! Ultimo punto la parte che rientra nel tema grandissimo della business continuity: la gestione dello storage e la disponibilit dei dati. Un modello che pu aiutare quello qui rappresentato che partendo dagli aspetti organizzativi sfrutta la tecnologia per ottenere dei risultati intermedi (vedi asset management) per poi passare a considerare gli altri aspetti della sicurezza: Limpostazione delle policy operative (dopo aver definito le policy funzionali (es la policy per la password, per le connessioni ad Internet, per laccesso ai sistemi etc.) devo trasformare queste policies teoriche in qualcosa di effettivo, in grado di bloccare laccesso in caso di NON rispetto della regola. A questo si deve aggiungere il tema dello User Provisioning (vale a dire, un sistema automatizzato e sicuro per rispettare in ogni momento il principio del Least Privilege) Che dire del monitoraggio dei sistemi e delle applicazioni (molte banche hanno centinaia se non migliaia di server nelle filiali ma non viene fatto un controllo sistematico di chi accede a che cosa! Ultimo punto la parte che rientra nel tema grandissimo della business continuity: la gestione dello storage e la disponibilit dei dati.

    29. Questa la nostra risposta alle necesit di sicurezza che come gi accennato spaziano dallanalisi dei rischi sino alla realizzazione del sistema di sicurezza (es. ISMS basato sulle best practice BS7799): Un front-end di amministrazione e controllo semplice immediato e sicuro: il portale La tecnologia come contromisure per affrontare i temi che riguardano la sicurezza Se prendiamo come riferimento lo standard BS7799, possiamo notare come per quasi tutte le misure tecnologiche riferite come best practice dalla BS7799, Computer Associates ha una risposta: dallasset management allantivirus, dallamministrazione utenti al SSO; dallintrusion detection al controllo delle vulnerabilit. La nostra tecnologia come abbiamo visto suddivisa in brand: Unicenter per il System,Network,Application and DB management, eTrust per gli aspetti tradizionali della sicurezza, Brighstor per la parte di Storage management. Il tutto supportato dalla tecnologia portale che stata inclusa in ogni brand per offrire il front-end semplice ed innovativo.Questa la nostra risposta alle necesit di sicurezza che come gi accennato spaziano dallanalisi dei rischi sino alla realizzazione del sistema di sicurezza (es. ISMS basato sulle best practice BS7799): Un front-end di amministrazione e controllo semplice immediato e sicuro: il portale La tecnologia come contromisure per affrontare i temi che riguardano la sicurezza Se prendiamo come riferimento lo standard BS7799, possiamo notare come per quasi tutte le misure tecnologiche riferite come best practice dalla BS7799, Computer Associates ha una risposta: dallasset management allantivirus, dallamministrazione utenti al SSO; dallintrusion detection al controllo delle vulnerabilit. La nostra tecnologia come abbiamo visto suddivisa in brand: Unicenter per il System,Network,Application and DB management, eTrust per gli aspetti tradizionali della sicurezza, Brighstor per la parte di Storage management. Il tutto supportato dalla tecnologia portale che stata inclusa in ogni brand per offrire il front-end semplice ed innovativo.

    30. CAs eTrust Security Solutions

    34. Sicurezza e privacy: adempimenti e contromisure per mettersi in regola! Buongiorno a tutti Voi, sono Elio Molteni, Security Business Technologist di C.A.. Come vedete dal titolo parleremo di convergenza tra sicurezza fisica e logica, due aree apparentemente divise ma che hanno molti punti in comune. Di fatto, la loro divisione non ha mai avuto senso di esistere in quanto sono sostanzialmente due aspetti dello stesso problema: la sicurezza. Perch quindi questo tema? Perch gli eventi, la tecnologia, la necessit di maggior produttivit (la ricerca dellefficienza) richiedono una maggior integrazione dei due aspetti dello stesso problema. (Vedere esempi su aeroporti! Prova fatta con Byte Technology etc....)Buongiorno a tutti Voi, sono Elio Molteni, Security Business Technologist di C.A.. Come vedete dal titolo parleremo di convergenza tra sicurezza fisica e logica, due aree apparentemente divise ma che hanno molti punti in comune. Di fatto, la loro divisione non ha mai avuto senso di esistere in quanto sono sostanzialmente due aspetti dello stesso problema: la sicurezza. Perch quindi questo tema? Perch gli eventi, la tecnologia, la necessit di maggior produttivit (la ricerca dellefficienza) richiedono una maggior integrazione dei due aspetti dello stesso problema. (Vedere esempi su aeroporti! Prova fatta con Byte Technology etc....)

More Related