agility made possible Sumner Blount, Merritt Maxim CA Security Management

Transcript

1 WHITE PAPER Ottenere la conformità continua: il ruolo della gestione di identità e accessi Febbraio 2012 Ottenere la "conformità continua": il ruolo della gestione di identità e accessi Sumner Blount, Merritt Maxim CA Security Management agility made possible

2 Sommario executive summary 3 SEZIONE 1: La sfida della conformità continua 4 SEZIONE 2: Il ciclo di vita della conformità continua 4 SEZIONE 3: Una piattaforma per la sicurezza IT e la conformità unificata 7 Controllo delle identità 8 Controllo degli accessi 10 Controllo delle informazioni 12 SEZIONE 4: Conclusioni 14 SEZIONE 5: La gestione di identità e accessi content-aware di CA 14 SEZIONE 6: Informazioni sugli autori 15

3 Executive summary La sfida Oggi, la conformità normativa è oggetto di grandissima attenzione, insieme al mantenimento della sicurezza dei sistemi IT e alla garanzia della privacy per le informazioni riservate di clienti e aziende. Questi importanti obiettivi di business e tecnologici sono complicati da fattori quali le crescenti richieste regolamentari, la costante evoluzione degli ambienti IT, l'aumento delle richieste di riduzione del rischio da parte di consigli di amministrazione e azionisti, e la crescente necessità di ridurre i costi di conformità. Un approccio efficace ed efficiente per realizzare e gestire la conformità continua è indispensabile in un ambiente normativo complesso come quello di oggi. L'opportunità Esistono anche opportunità di rendimento commerciale che possono essere alimentate da queste nuove esigenze. Controlli di sicurezza efficaci per la conformità possono anche ridurre il rischio, contribuire ad automatizzare i processi chiave per la riduzione dei costi e dell'errore umano, e semplificare gli audit attraverso la generazione automatica dei report di conformità. Il nucleo di una strategia di conformità efficace è un'infrastruttura di gestione delle identità e degli accessi solida e integrata, che protegge sistemi, applicazioni, dati e processi da uso o accesso non autorizzato. Tuttavia, limitarsi a controllare le identità degli utenti e il loro accesso alle applicazioni e alle informazioni protette non è sufficiente. Per ottenere una sicurezza e una conformità efficaci, è necessario controllare l'utilizzo da parte degli utenti dei dati cui hanno accesso. Questo aiuta a prevenire l'abuso o la divulgazione di informazioni riservate sull'azienda o sui clienti. I vantaggi Oltre a raccogliere i frutti della conformità continua con le normative attuali ed emergenti, le organizzazioni che utilizzano una piattaforma di conformità e sicurezza IT unificata saranno maggiormente in grado di: Ridurre il rischio. Proteggere gli asset IT e informativi critici, contribuire a mantenere la riservatezza delle informazioni e ridurre il rischio di eventi catastrofici. Aumentare l'efficienza. Sviluppare processi IT e di business integrati e automatizzati che favoriscono una maggiore produttività dei dipendenti e riducono il carico di lavoro sul personale amministrativo. Ridurre i costi Automatizzare i processi di conformità, eliminare le ridondanze e migliorare la produttività. 3

4 Migliorare l efficacia di business. Migliorare la pianificazione aziendale e il processo decisionale strategico: infatti, un'infrastruttura di sicurezza e conformità solida può consentire, ai soggetti debitamente autorizzati, un accesso più rapido e semplice alle informazioni aziendali. Aumentare l'agilità del business. Consentire all'organizzazione di reagire più rapidamente agli eventi di mercato e della concorrenza e sfruttare meglio le opportunità di business. Sezione 1: La sfida della conformità continua Sfruttare la conformità per migliorare le prestazioni di business La conformità è spesso vista come un peso, ma rappresenta anche l opportunità di comprendere un'attività più a fondo, stabilire policy efficaci e controlli all'interno di esse, e utilizzare questi controlli e la tecnologia che li supporta per far rispettare la policy e migliorare le operazioni. È da questo che derivano i veri benefici degli sforzi di conformità. Mentre sempre più società se ne rendono conto e sfruttano gli sforzi di conformità per migliorare l'efficienza aziendale, chi non adotta questo approccio olistico si troverà probabilmente in una situazione di notevole svantaggio competitivo. Il problema, però, è che molte aziende hanno ottenuto la conformità con un approccio non sofisticato, ovvero processi manuali che richiedono tempo e sono soggetti a errori, pensati esclusivamente per soddisfare i requisiti di una normativa specifica. Un approccio più efficace è l'adozione di una soluzione di sicurezza e conformità centralizzata e integrata, che agevoli la conformità continua in tutta l'organizzazione. In questo documento vengono illustrate tecnologie e best practice essenziali che una solida strategia di conformità continua dovrebbe includere. Sezione 2: Il ciclo di vita della conformità continua Esistono vari elementi diversi essenziali a un approccio efficace alla conformità continua. In particolare, è necessario: Definire un insieme di passaggi efficienti e interdipendenti che interagiscano nei punti chiave del ciclo di vita e comunichino le informazioni in un modo ben definito. Distribuire una serie di controlli di sicurezza automatizzati che proteggano efficientemente le risorse. Dovrebbe trattarsi di controlli preventivi e di rilevazione, entrambi necessari per una conformità efficace. Creare un processo continuo (preferibilmente automatizzato) per il monitoraggio periodico di tutti i controlli di sicurezza chiave, per confermarne l'effettiva operatività. Sulla base di questo processo di verifica dei controlli, quantificare il rischio attuale in tutto l'it. Sulla base dei livelli di tolleranza al rischio, potrebbe essere necessario modificare le policy esistenti e di conseguenza anche rafforzare i controlli di sicurezza in atto. 4

5 La conformità effettiva è un processo continuo e costante, un ciclo di vita delle attività di conformità. Esaminiamo ogni fase nella figura A, per individuare le attività e le tecnologie che possono supportare e rendere possibile la conformità continua. Figura A. Il ciclo di vita della conformità continua 1. Identificare i requisiti normativi. Può essere molto difficile capire con precisione quali siano i requisiti per una data serie di normative. Molte aziende si affidano a costosi esperti legali o tecnici che analizzano le nuove normative per determinare come progettare policy e controlli allo scopo di soddisfarne i requisiti. L'obiettivo è eliminare i controlli ridondanti, associando tutti i requisiti normativi in un insieme di controlli armonizzati, in grado di soddisfare i requisiti di tutte le normative. 2. Definire le policy. Le policy sono la linfa vitale della conformità. Una policy è una dichiarazione che integra obiettivi e norme di comportamento che l'organizzazione vuole infondere nei propri dipendenti e partner commerciali; In genere hanno origine da requisiti normativi, rischi che l'organizzazione vuole tenere sotto controllo o obiettivi di business dell'azienda. Le policy non sono immutabili. Possono cambiare con la definizione di nuovi requisiti normativi, la modifica degli obiettivi di business della società o lo spostamento dei livelli di tolleranza al rischio aziendale. 5

6 3. Prevenire le violazioni. I controlli preventivi sono utilizzati per prevenire le violazioni delle policy. Sono essenziali per contribuire alla tutela della privacy dei clienti, prevenire perdite di dati e salvaguardare l'accesso alle risorse aziendali critiche, quali applicazioni, sistemi e informazioni. Tecnologie come la gestione degli accessi Web, la gestione degli utenti con privilegi e la prevenzione delle perdite di dati sono tutti elementi essenziali di un approccio integrato ai controlli di sicurezza preventivi. 4. Rilevare e correggere le violazioni. Non tutte le violazioni delle policy possono essere evitate in modo affidabile in tutti i casi. Controlli di rilevazione devono essere definiti per identificare aree di non conformità e correggerle prima che il loro impatto diventi significativo. Un esempio comune sono gli account utente inattivi (associati a un dipendente esistente ma con un account non più in uso) o orfani (associati a un ex dipendente). In entrambi i casi (in particolare nel caso degli account orfani) esiste un possibile rischio potenzialmente in contrasto con i requisiti di molte normative e best practice. In questo esempio, è possibile stabilire procedure per monitorare periodicamente gli account utente allo scopo di individuare queste violazioni e correggerle rapidamente. Questo può essere fatto manualmente (una scansione settimanale da parte di un amministratore), ma un approccio automatizzato (una soluzione che identifica ed elimina questi account) è più efficace ed efficiente per individuare le violazioni e controllare questi rischi potenziali. 5. Convalida dei controlli. Il monitoraggio e la convalida dei controlli di conformità rappresentano un processo continuo e spesso costoso. Che l'impulso venga da un audit interno o esterno, o da un processo regolarmente programmato, i controlli devono essere testati al fine di confermarne il corretto funzionamento. Con il passaggio delle best practice a un approccio basato sul rischio per la convalida dei controlli, il testing di questi ultimi si è man mano focalizzato sui soli controlli chiave come oggetto di test. Si tratta di un'evoluzione importante e apprezzabile delle best practice per i controlli di convalida. 6. Monitoraggio del rischio. La conformità non dovrebbe costituire un fenomeno isolato. Essa è fortemente legata, e dovrebbe essere integrata, a un programma completo di gestione del rischio IT. È importante che eventuali modifiche al profilo di conformità (ad esempio, un controllo non riuscito) si adeguino opportunamente al profilo di rischio corrente, il che consente di intraprendere azioni per affrontare questo aumento del rischio. Ora che abbiamo preso in considerazione il ciclo di vita della conformità continua, vediamo le tecnologie chiave utilizzabili per fornire una soluzione completa per la sicurezza IT e la conformità unificate. 6

7 Sezione 3: Una piattaforma per la sicurezza IT e la conformità unificata L'esigenza di una piattaforma di sicurezza e conformità unificata Mentre i singoli componenti della tecnologia possono essere distribuiti per gestire i requisiti di sicurezza e conformità più urgenti, la distribuzione in isolamento può portare a ridondanze e inefficienze che aumentano il costo e potenzialmente anche il rischio. Una piattaforma completa e integrata di gestione della conformità e della sicurezza è il modo più efficace per assicurare che lo sforzo di conformità di tutta l'organizzazione sia efficace, efficiente e sostenibile. La ragione più ovvia per una piattaforma integrata è che componenti non integrati e sistemi eterogenei sono generalmente più complessi da amministrare e gestire. In secondo luogo, una piattaforma unificata consente l'utilizzo di elementi, policy e controlli di sicurezza comuni tra sistemi diversi. In una strategia centralizzata le policy e i controlli sono standardizzati in modo da ridurre al minimo gli interventi ridondanti e la sovrapposizione (o il conflitto) dei controlli. Le funzioni di una piattaforma di sicurezza e conformità unificata Una piattaforma di gestione identità e accessi (IAM) completa è il fondamento di una sicurezza e di una conformità efficaci. Il motivo è semplice: una piattaforma IAM aiuta a risolvere le questioni più importanti riguardanti la conformità relative agli utenti, ovvero Quali utenti hanno accesso a quali risorse? Che cosa gli è consentito fare con questo accesso? Che cosa gli è consentito fare con le informazioni ottenute? Quali operazioni hanno eseguito? Per rispondere a queste domande, è necessario essere in grado di controllare efficacemente l'identità degli utenti, il loro accesso e il loro utilizzo delle informazioni, come segue: Controllo delle identità. Gestire le identità e i ruoli degli utenti, assegnare agli utenti l'accesso alle risorse necessarie, semplificare la conformità con le policy di accesso e identità e monitorare le attività degli utenti e di conformità. Controllo degli accessi. Applicare le policy relative all'accesso ad applicazioni Web, sistemi, servizi di sistema e informazioni chiave. Inoltre, fornire gestione degli utenti con privilegi per impedire azioni improprie. Controllo delle informazioni. Individuare, classificare e prevenire la diffusione di informazioni riservate relative all'azienda e ai clienti. 7

8 Il seguente grafico evidenzia queste aree chiave di conformità e indica le tecnologie essenziali per una conformità effettiva. Figura B. Controllo delle identità Per la maggior parte delle organizzazioni, la conformità non è un optional. Il problema non è solo se i team di conformità debbano dimostrare la messa in atto di controlli adeguati, ma come questo possa avvenire nel modo più efficiente ed economicamente vantaggioso. Automatizzare i processi di conformità delle identità, come la certificazione dei diritti o l'identificazione degli account orfani, implica che i team di conformità non debbano continuamente affannarsi per raccogliere manualmente i dati e rispettare le scadenze di audit. La gestione del ciclo di vita delle identità fornisce reporting su conformità delle identità, provisioning, gestione dei ruoli, nonché reporting su attività degli utenti e conformità in una modalità modulare e al contempo integrata. Mentre ogni funzione della gestione del ciclo di vita delle identità può alleviare gli sforzi di conformità in modo indipendente, la distribuzione contemporanea di queste funzioni è in grado di fornire efficienze considerevoli. La governance delle identità è relativa all'implementazione di processi e controlli per facilitarne un accesso adeguato degli utenti su base continuativa. Questo include processi di convalida, come la certificazione delle autorizzazioni, che richiede a manager degli utenti, responsabili dei ruoli o custodi delle risorse di rivedere periodicamente e convalidare la correttezza degli accessi correnti. Gli accessi inutili individuati attraverso un processo di certificazione possono essere facilmente rimossi, per ridurre 8

9 al minimo il rischio per la sicurezza dell'organizzazione. Virtualmente tutte le normative correlate alla sicurezza richiedono una valutazione periodica dei diritti di accesso di ogni utente e una soluzione di governance delle identità rappresenta il modo ideale per soddisfare questi requisiti. Il reporting basato sulle autorizzazioni fa parte anch'esso della conformità delle identità, in quanto contribuisce a dimostrare chi è autorizzato a fare cosa, in modo che l'organizzazione possa adottare misure correttive quando necessario. L'implementazione della conformità delle identità consente alle organizzazioni di implementare i controlli necessari a impedire violazioni delle policy aziendali e normative, riducendo il costo di questi processi di convalida attraverso l'automazione. La gestione dei ruoli è un elemento chiave di un'efficiente gestione delle identità e degli accessi su vasta scala. Gli strumenti di gestione dei ruoli forniscono potenti strumenti analitici per aiutare le organizzazioni a costruire una base efficace, che include ruoli, policy, diritti di accesso e così via. La maggior parte dei regolamenti relativi alla sicurezza prevede esplicitamente, come requisito, un processo ben definito per l'attribuzione dei diritti di accesso degli utenti. Con la creazione di un insieme di ruoli che associano ogni mansione a un set corrispondente di regole di accesso per ciascun ruolo, un insieme di diritti di accesso può essere facilmente assegnato a ogni nuovo utente in base al suo ruolo. Le funzionalità analitiche delle soluzioni di gestione dei ruoli forniscono valore reale e individuando potenziali vulnerabilità, come account orfani o utenti con privilegi in eccesso. Inoltre, le soluzioni di gestione dei ruoli possono facilitare l'identificazione dei ruoli per ogni utente sulla base di analogie con altri utenti. Questo migliora la gestione continuativa dei ruoli e consente processi di conformità, quali le certificazioni dei diritti, più efficienti. Da ultimo, consente alle organizzazioni di sviluppare policy di sicurezza delle identità inter-sistema, che evitino agli utenti di ottenere privilegi in conflitto o eccessivi. Il software di provisioning automatizza i processi di on-boarding, modifica e off-boarding degli utenti e l'accesso associato. Questo tipo di tecnologia è fondamentale per la conformità normativa, per varie importanti ragioni. In primo luogo, il provisioning aiuta a rafforzare i controlli interni, automatizzando il processo di concessione e rimozione dei diritti di accesso. Senza una qualche forma di provisioning automatizzato, questo processo è manuale e soggetto a errori, e richiede molto tempo. Inoltre, i processi manuali sono molto più difficili da verificare rispetto a quelli automatici. Il provisioning offre inoltre potenti funzionalità preventive, importanti per la gestione del rischio e la conformità. Ad esempio, le soluzioni di provisioning possono verificare violazioni della separazione dei compiti durante il processo di provisioning utente, per ridurre al minimo i rischi di sicurezza. Ad esempio, normative come Gramm-Leach-Bliley e Sarbanes-Oxley richiedono controlli per impedire il verificarsi di violazioni della separazione dei compiti. Le soluzioni di provisioning possono inoltre generare avvisi quando i diritti di accesso concessi a un utente sono significativamente diversi rispetto a quelli dei suoi pari. Questo è sempre più importante ai fini della conformità, in quanto le organizzazioni cercano di ridurre il numero di utenti con privilegi eccessivi, che possono spesso essere una fonte di violazioni della conformità. Il reporting su attività utente e conformità è una delle sfide più difficili nella gestione della sicurezza di un ambiente di grandi dimensioni, a causa dell'eccesso di informazioni sugli eventi di sicurezza generate dai diversi componenti del sistema. Questo flusso di informazioni può sopraffare il personale di sicurezza e rendere praticamente impossibile comprendere a fondo il vero stato della sicurezza IT. Grandi quantità di dati di cui non è possibile usufruire in modo intelligente possono rendere il monitoraggio, e quindi la conformità, molto difficile. 9

10 La conformità effettiva richiede il logging e il reporting degli eventi di sicurezza pertinenti, così come funzionalità per sintetizzare, analizzare e presentare queste informazioni in un formato significativo per gli amministratori. A titolo di contro-esempio, un sistema che riporta semplicemente migliaia di eventi "sospetti" ogni giorno, in un file di log che non viene rivisto o utilizzato, non rappresenta un controllo interno efficace e può quindi rendere una verifica di conformità molto più impegnativa. La chiave, in questo caso, è rendere fruibili e pertinenti le informazioni di sicurezza. Abbiamo visto che una robusta soluzione di gestione del ciclo di vita delle identità è indispensabile per la conformità IT. Sistemi di conformità delle identità e di provisioning contribuiscono a determinare di quali diritti di accesso dispone ogni utente, quando e perché siano stati approvati e assegnati, e dimostrano che policy prudente e coerente per la gestione dei diritti di accesso degli utenti è in atto. La gestione dei ruoli fornisce il fondamento necessario a identificare privilegi eccessivi e potenziali violazioni della separazione delle funzioni. Infine, il reporting su attività utenti e conformità consente un monitoraggio efficace dei controlli di sicurezza, per migliorarne l efficienza e facilitare la conformità. Controllo degli accessi La funzionalità chiave di qualsiasi infrastruttura IT di conformità è il controllo dell'accesso ai sistemi e alle loro risorse protette (file, applicazioni, servizi, database e simili). Qualsiasi insieme efficace di controlli interni deve partire da una componente forte di gestione degli accessi. Esistono due grandi ambiti da considerare: la gestione degli accessi Web e la gestione degli utenti privilegiati. Entrambi sono fondamentali per la conformità effettiva. Ogni componente di gestione degli accessi Web includerà due funzionalità: l'autenticazione degli utenti e l'autorizzazione del loro accesso alle risorse protette. Le funzionalità di autenticazione devono essere molto flessibili, in modo da variare il metodo di autenticazione in base a fattori quali l'importanza della risorsa cui si accede, la posizione dell'utente, il suo ruolo e simili. Inoltre, dovrebbe essere disponibile una gamma di metodi, dalle semplici password ai metodi biometrici. Infine, i metodi di autenticazione devono poter essere combinati per offrire maggiore sicurezza nel caso di determinate applicazioni o transazioni a valore elevato. L'autorizzazione degli utenti per l'accesso ad applicazioni, risorse e servizi protetti è un elemento critico della conformità. Un esempio tipico è il requisito di HIPAA di implementare policy e procedure per concedere l'accesso alle informazioni sanitarie protette (PHI) in formato elettronico. È un obbligo generale, e senza una forte funzionalità di gestione delle autorizzazioni, il suo rispetto non è possibile. La maggior parte delle organizzazioni deve rispettare più normative e ognuna può avere requisiti di autorizzazione leggermente diversi, il che rende la conformità ai requisiti un compito scoraggiante. In aggiunta, l'autorizzazione avviene spesso all'interno di ogni applicazione, con conseguenti "silos", che portano a un'applicazione dei diritti di accesso inefficiente e spesso incoerente. L'applicazione distribuita degli accessi può portare a una debolezza dei controlli interni, dal momento che gli amministratori probabilmente faticheranno a determinare esattamente quali siano i diritti di accesso di ogni utente è, e come vengano applicati in tutta la suite di applicazioni. 10

11 Una delle aree principali della conformità IT è relativa al controllo delle operazioni eseguite da amministratori IT e di sicurezza, detta gestione degli utenti con privilegi. Le azioni improprie degli utenti con privilegi, involontarie o dolose che siano, possono avere effetti disastrosi sulle operazioni IT, sulla sicurezza e sulla riservatezza globale di risorse e informazioni aziendali. È pertanto essenziale che agli amministratori sia consentito eseguire solo le operazioni per cui sono autorizzati, e solo sulle risorse appropriate. Molti requisiti normativi e framework di best practice (come ISO 27001) impongono controlli sugli utenti amministrativi. As esempio, la Sezione dello standard PCI DSS (Payment Card Industry Data Security Standard) riguarda la limitazione dei diritti di accesso per gli ID utente con privilegi allo stretto necessario per espletare le responsabilità della propria mansione lavorativa. Spesso gli amministratori condividono (e a volte perdono) le password di sistema, con rischi ancora più elevati di violazione delle policy. E quando questi utenti accedono come "root" o "Admin", le loro azioni, come riportate nel file di log, sono essenzialmente anonime. Questa situazione non solo espone a notevoli rischi per la sicurezza, ma rende la conformità estremamente difficile, in quanto non è possibile prevenire azioni improprie, né associarle al relativo autore. A essere necessario è un controllo granulare dell'accesso degli utenti amministrativi. Sfortunatamente, la sicurezza nativa dei sistemi operativi server non offre un controllo sufficiente su chi può avere accesso a quali risorse, né fornisce le funzioni di verifica granulare necessarie a soddisfare la maggioranza dei requisiti di conformità. Un soluzione per la gestione degli utenti con privilegi consente ai manager IT di creare e applicare controlli basati su policy per l'accesso degli utenti con privilegi alle risorse di sistema, monitorare le relative attività e verificare le circostanze in cui viene concesso l'accesso. Ciò garantisce maggiore responsabilità e migliori controlli per le risorse IT critiche. Un ambito di rischio è l'uso delle password dell'utente con privilegi, spesso impostate su valori di default o condivise con utenti che non dovrebbero avere questi privilegi. Pertanto, la Privileged User Password Management (PUPM), la gestione sicura delle password degli utenti con privilegi, è una funzione di conformità fondamentale. La funzione PUPM offre accesso agli account con privilegi tramite l'emissione di password temporanee, utilizzabili una sola volta, o in base alle necessità, garantendo la responsabilità delle azioni degli amministratori tramite le verifiche di sicurezza. Questa funzione offre vantaggi di conformità significativi non solo limitando l'accesso agli account con privilegi, ma anche monitorandone l'utilizzo. In questo modo, se un audit di conformità individua le prove di una potenziale violazione, la funzionalità PUPM può determinare il responsabile della trasmissione di una modifica in un sistema critico. La sicurezza della virtualizzazione ha sempre maggiore importanza man mano che le aziende ampliano il loro uso della tecnologia VM. Per loro stessa natura, gli ambienti virtualizzati presentano un rischio particolare per la sicurezza: se l'hypervisor e/o un'altra macchina virtuale vengono violati, il potenziale di danno è notevole. In virtù di questo fatto, l'integrazione 2011 alle Linee guida sulla virtualizzazione PCI DSS amplia notevolmente l'ambito di applicazione della conformità allo standard PCI DSS, poiché stabilisce che se un qualsiasi componente in un ambiente virtuale contiene i dati di un titolare di carta, anche l'intero ambiente virtuale (incluso l'hypervisor) deve esser conforme. Di conseguenza, la conformità a PCI DSS richiede controlli aggiuntivi sull'hypervisor per garantire la protezione dei dati del titolare di carta. 11

12 Autenticazione avanzata e prevenzione anti-frode forniscono funzionalità flessibili per rafforzare la solidità dell'autenticazione utenti, inclusa autenticazione basata sul rischio per identificare e prevenire tentativi di attività fraudolente. L'autenticazione a due fattori, ad esempio, garantisce una maggiore sicurezza rispetto alle password ma, quando viene implementata come token hardware, può anche determinare costi e disagi. Una soluzione di autenticazione a più fattori software-only aiuta a eliminare questi problemi e fornisce maggiore sicurezza per le risorse critiche. Soprattutto, qualsiasi rafforzamento dei controlli di sicurezza probabilmente faciliterà la conformità alle normative applicabili. L'autenticazione basata sui rischi può migliorare la conformità perché consente l'integrazione di fattori contestuali nel processo di autenticazione. Questi fattori, ad esempio l'ubicazione dell'utente, le attività recenti e l'orario, possono imporre l'utilizzo di un'autenticazione più avanzata ("step-up"). Si noti che le funzionalità di gestione degli accessi devono comprendere eventuali sistemi mainframe presenti nell'ambiente. La sicurezza è valida quanto il suo anello più debole e senza misure di sicurezza efficaci per il mainframe ' intero profilo di conformità è compromesso. Inoltre, l'integrazione di soluzioni tra mainframe e sistemi distribuiti è importante al fine di semplificare la gestione della sicurezza e per consentire un livello ragionevole di coerenza del processo in tutto l'ambiente. Controllo delle informazioni Molti fornitori di gestione delle identità offrono soluzioni focalizzate sulla gestione delle identità degli utenti e del loro accesso. Tuttavia, è fondamentale che anche le informazioni di utilizzo siano controllate, in modo che sia possibile determinare se qualcuno sta violando le policy di utilizzo. Ad esempio, i dipendenti spesso ammettono di portare dati sensibili fuori dall'azienda quando lasciano il posto di lavoro. Durante periodi di recessione economica, questo è un importante fattore di rischio, dal quale le organizzazioni devono tutelarsi. La capacità di controllare l'accesso fino al livello di dati (e non solo a "livello di contenitore", ad esempio i file) è un requisito di conformità fondamentale, che differenzia i principali fornitori di gestione delle identità. L'espressione "IAM content-aware" descrive questa funzionalità: il contenuto effettivo dei dati è utilizzato per determinare eventuali violazioni delle policy di sicurezza. E la cronologia di impiego dei dati degli utenti può essere utilizzata per modificare dinamicamente i loro diritti di accesso, ad esempio, per contribuire alla prevenzione di ulteriori rischi o violazioni. La capacità di adattare dinamicamente policy e privilegi degli utenti in base alla relativa cronologia di impiego dei dati è un'evoluzione innovativa e importante della gestione di identità e accessi. Le organizzazioni hanno l'esigenza di identificare e individuare quali informazioni sono presenti all'interno dell'azienda e dove. Devono quindi essere in grado di tutelarle e controllarle adeguatamente. È qui che la Data Loss Prevention (DLP) entra in gioco. La DLP fornisce tutela contro la perdita di dati sia analizzando e proteggendo i dati su endpoint (portatili, desktop), server di messaggistica (posta elettronica interna ed esterna; posta elettronica inviata da dispositivi mobili), a livello di confini della rete, sia rilevando e proteggendo i dati archiviati (ad esempio, identificando i dati sensibili al'interno di archivi SharePoint). Le soluzioni DLP consentono la creazione di policy flessibili per molti tipi di dati (dati personali, informazioni non pubbliche, proprietà intellettuale e così via). Le policy verificano i dati per individuare possibili violazioni della sicurezza. Queste attività includono invio di , messaggistica istantanea, utilizzo del Web, FTP, SMTP, HTTP, salvataggio su supporti rimovibili, stampa di file e altro ancora. 12

13 La soluzione DLP può quindi identificare le violazioni e adottare immediatamente le misure appropriate, ad esempio bloccando un'attività, mettendola in quarantena o mostrando un avviso all'utente. L'esigenza di conformità alla base della DLP è evidente. Con la DLP, le aziende possono ridurre al minimo la divulgazione, intenzionale o involontaria, di dati privati o sensibili. Senza la DLP, cresce per le organizzazioni il rischio che i dati vengano divulgati, con conseguente possibilità di violazioni di conformità e relative sanzioni. Ma esiste anche un'esigenza di business crescente dietro la DLP, laddove l'implementazione di soluzioni DLP diventa, per clienti, partner e parti interessate, una condizione sine qua non della collaborazione con un'azienda. Di conseguenza, un deployment DLP può effettivamente costituire un vantaggio competitivo. L'ultima componente chiave della DLP è la capacità di collegare i dati sensibili a un'identità individuale. Una cosa è sapere che è avvenuto un accesso o una fuga di dati sensibili: il valore reale, però, viene dall'identificazione dell'utente responsabile. Una volta identificato l'utente, l'organizzazione può esaminarne i singoli ruoli e autorizzazioni e potenzialmente modificarne i privilegi. Sicurezza e conformità in ambienti cloud e virtualizzati La sicurezza nella maggioranza degli ambienti aziendali è una sfida significativa. Con l'adozione da parte delle aziende di modelli informatici avanzati, come ambienti virtualizzati e cloud computing, la sicurezza diventa una questione ancora più complessa. In un ambiente virtualizzato, ad esempio, una violazione della piattaforma virtuale può compromettere tutte le applicazioni in esecuzione su tutte le macchine virtuali della piattaforma. Allo stesso modo, il cloud computing presenta sfide di sicurezza impegnative a causa del multi-tenancy, con conseguente potenziale co-location di informazioni private sull'azienda e sui clienti da parte di molti client cloud. Le aziende hanno già cominciato a creare cloud privati utilizzando la virtualizzazione. Gli ambienti virtualizzati richiedono un livello di sicurezza elevatissimo rispetto alle operazioni degli utenti con privilegi, dato l'ampio impatto che queste possono avere. In particolare, il controllo granulare dell'accesso amministrativo, così come la gestione degli utenti privilegiati, è essenziale per la protezione degli ambienti virtualizzati. Il cloud computing è una delle principali nuove tendenze di computing che richiedono strategie di sicurezza innovative. I service provider avranno bisogno di aggiungere sicurezza per fugare i timori dei potenziali clienti dei servizi cloud-based. Inoltre, dato che un fornitore cloud deve essenzialmente soddisfare i requisiti di sicurezza e conformità di tutti i suoi clienti cloud, queste funzionalità di sicurezza cloud-based dovranno essere robuste, basate su standard e rigorosamente sperimentate. Inoltre, la conformità risulta più complicata in un ambiente cloud per due motivi. In primo luogo, i dati possono essere situati presso il sito del provider del cloud, introducendo complesse sfide per garantire che rimangano privati e sicuri, non solo rispetto a soggetti esterni, ma anche rispetto ad altri clienti e amministratori cloud non autorizzati. In secondo luogo, il provider del cloud deve implementare controlli di conformità sufficienti a soddisfare i requisiti delle normative applicabili. Ad esempio, molti Paesi hanno requisiti di riservatezza specifici per i dati archiviati all'interno del territorio nazionale. Se i dati privati del cliente sono nel cloud, è necessario sapere dove risiedono e come vengono protetti. 13

14 Sezione 4: Conclusioni Le normative amministrative in materia di sicurezza in genere hanno molti requisiti in comune. I più diffusi richiedono di sapere chi sono gli utenti, a quali applicazioni e risorse hanno diritto di accedere, quali operazioni hanno effettivamente svolto (e quando). Il modo più efficace per raggiungere questo livello di controllo è attraverso una piattaforma IAM centralizzata e integrata, in grado di controllare identità, accesso e utilizzo delle informazioni. Una soluzione integrata di gestione di gestione degli accesi e delle identità content-aware è indispensabile per rendere possibile la conformità automatizzata, facilitando efficienze di costo e riducendo lo sforzo necessario per ottenere e mantenere la conformità. Senza conformità automatizzata, resteranno attivi i classici controlli manuali, che limitano l'efficacia dei controlli interni e influenzano la capacità dell'azienda di competere con successo con concorrenti più agili. Sezione 5: La gestione di identità e accessi content-aware di CA Technologies CA Technologies è uno dei principali fornitori di software di sicurezza e offre una piattaforma IAM content-aware completa sia nei sistemi distribuiti che in quelli mainframe. I componenti della soluzione CA IAM includono: Controllo delle identità CA Identity IdentityMinder offre avanzate funzionalità di gestione degli utenti con provisioning automatizzato e self-service utenti, flussi di lavoro per gestire le approvazioni, amministrazione utenti delegata e un'immediata interfaccia utente per la creazione delle policy e la gestione delle identità. CA GovernanceMinder fornisce avanzate capacità analitiche e un potente motore di policy per migliorare il time-to-value di attività essenziali come riorganizzazione dei privilegi e rilevazione dei ruoli. Controllo degli accessi CA SiteMinder offre una base per la gestione centralizzata della sicurezza, che consente l'utilizzo sicuro del Web per erogare applicazioni e servizi cloud a clienti, partner e dipendenti. CA Access ControlMinder fornisce una robusta soluzione per la gestione degli utenti con privilegi, tutelando server, applicazioni e dispositivi su piattaforme e sistemi operativi diversificati. Fornisce diritti di accesso più granulari e una maggiore protezione rispetto alle funzioni di sicurezza di base del sistema operativo. Contribuisce a migliorare la sicurezza tramite l'emissione di password utente temporanee, utilizzabili una sola volta, garantendo la responsabilità delle azioni degli utenti tramite le verifiche di sicurezza. 14

15 CA Arcot AuthMinder è una soluzione software-only di autenticazione avanzata, che offre alle aziende un'unica soluzione per creare una strategia di autenticazione solida e coesa. Grazie alla vasta gamma di metodi e interfacce di autenticazione, è possibile contribuire a eliminare costi superflui dalla catena di autenticazione. CA AuthMinder è ideale per le organizzazioni che desiderano scegliere metodi di autenticazione adeguati al rischio, senza dover installare soluzioni di autenticazione di fornitori multipli. CA RiskMinder è una soluzione di rilevamento delle frodi Web e di autenticazione basata sul rischio, che previene le frodi in tempo reale per servizi consumer e aziendali online, senza creare problemi agli utenti legittimi. Prende in esame in modo automatico una serie di dati e genera un punteggio di rischio grazie alla combinazione di analisi basate su regole e su modelli. Sulla base del punteggio di rischio, agli utenti viene consentito di procedere, viene richiesto loro di fornire le proprie credenziali di autenticazione oppure l'accesso viene negato. CA ACF2 e CA TopSecret Security consentono una condivisione controllata dei computer e dei dati mainframe, evitando la distruzione, accidentale o intenzionale, la modifica, la divulgazione e/o l'uso improprio delle risorse informatiche. Consentono di controllare chi utilizza queste risorse e forniscono gli elementi fattuali necessari per monitorare con efficacia la policy di sicurezza. Controllo delle informazioni CA DataMinder sfrutta l'identità per analizzare l'attività dell'utente finale in tempo reale e interpretare i dati con un elevato livello di precisione, per aiutare le organizzazioni a tutelare i dati sensibili con maggiore efficacia. Sezione 6: Informazioni sugli autori Sumner Blount è attivo nell'ambito dello sviluppo e del marketing di prodotti software di sicurezza da oltre 25 anni. Ha gestito il gruppo di sviluppo di sistemi operativi di grandi computer presso Digital Equipment e Prime Computer, nonché il Distributed Computing Product Management Group di Digital. Più di recente, ha ricoperto numerose posizioni di Product Management, incluso il ruolo di Product Manager per la linea di prodotti SiteMinder in Netegrity. Attualmente si sta concentrando sulle soluzioni di sicurezza e conformità presso CA Technologies. Merritt Maxim vanta 15 anni di esperienza negli ambiti della gestione e del marketing di prodotto, nel settore della sicurezza delle informazioni; durante questo periodo ha lavorato per RSA Security, Netegrity e CA Technologies. Nell'ambito dell'attuale ruolo presso CA Technologies, si occupa del marketing di prodotto per le iniziative di gestione delle identità e sicurezza cloud. Coautore di "Wireless Security", Merritt è blogger di svariati argomenti legati alla sicurezza IT e può essere seguito su Twitter all'indirizzo Merritt ha conseguito un BA cum laude presso la Colgate University e un MBA presso la Sloan School of Management del MIT, ed è l'autore di "Wireless Security". 15

16 CA Technologies è un'azienda di soluzioni e software di gestione IT con esperienza e competenze in tutti gli ambienti IT, dagli ambienti mainframe e distribuiti fino a quelli virtuali e cloud. CA Technologies gestisce e protegge gli ambienti IT, consentendo ai clienti di erogare servizi IT più flessibili. I prodotti e i servizi innovativi di CA Technologies offrono alle organizzazioni IT la visibilità e il controllo essenziali per stimolare l'agilità del business. La maggior parte delle aziende incluse nella classifica Global Fortune 500 si affida a CA Technologies per la gestione degli ecosistemi IT in continua evoluzione. Per ulteriori informazioni, visitare il sito CA Technologies all indirizzo Copyright 2012 CA Technologies. Tutti i diritti riservati. Tutti i marchi, i nomi commerciali, i marchi di servizio e i logo citati nel presente documento sono di proprietà delle rispettive società. Questo documento ha esclusivamente scopo informativo. CA Technologies non si assume alcuna responsabilità riguardo all'accuratezza e alla completezza delle presenti informazioni. Nella misura consentita dalle leggi applicabili, CA Technologies rende disponibile questo documento "così com'è" senza garanzie di alcun tipo, incluse, a titolo esemplificativo ma non esaustivo, le garanzie implicite di commerciabilità, di idoneità per uno scopo determinato e di non violazione di diritti altrui. In nessun caso CA sarà ritenuta responsabile per perdite o danni, diretti o indiretti, derivanti dall'utilizzo del presente documento, ivi inclusi, in via esemplificativa e non esaustiva, perdite di profitti, interruzioni di attività, perdita del valore di avviamento o di dati, anche nel caso in cui CA venga espressamente informata in anticipo di tali perdite o danni. CA non fornisce consulenza legale. Nessun prodotto software citato in questa pubblicazione verrà utilizzato come sostituto ai fini della conformità a qualsiasi legge (ivi inclusi, senza limitazione, atti, statuti, regolamenti, leggi, direttive, standard, policy, ordini amministrativi, ordini esecutivi, ecc. (collettivamente denominati "Leggi")) citata in questa pubblicazione o a qualsiasi obbligazione contrattuale con terze parti. Contattare un consulente legale competente per qualsiasi informazione in merito alle suddette Leggi o obbligazioni contrattuali. CS1933_0212