Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT. Paolo Salvaneschi A6_5 V1.0. Security Management

Transcript

1 Università di Bergamo Facoltà di Ingegneria GESTIONE DEI SISTEMI ICT Paolo Salvaneschi A6_5 V1.0 Security Management Il contenuto del documento è liberamente utilizzabile dagli studenti, per studio personale e per supporto a lezioni universitarie. Ogni altro uso è riservato, e deve essere preventivamente autorizzato dall autore. Sono graditi commenti o suggerimenti per il miglioramento del materiale

2 INDICE Security management Privacy A6 Security Mgm Paolo Salvaneschi 2

3 Processi A6 GestOperativa Supporto Paolo Salvaneschi 3

4 Security management Security management Basato sullo standard ISO/IEC (ISO/IEC 27001: Information technology -- Security techniques -- Information security management systems Requirements) La norma definisce i requisiti da soddisfare per implementare un processo di gestione della security La gestione della security è un processo ciclico (plan do check act) A6 Security Mgm Paolo Salvaneschi 4

5 ISO Security management A6 Security Mgm Paolo Salvaneschi 5

6 Lo standard ISO/IEC è accompagnato da una guida che contiene best practices: ISO/IEC 27002: Information technology - Security techniques - Code of practice for information security management A6 Security Mgm Paolo Salvaneschi 6

7 Contenuti Definizione responsabilità Gestione delle protezioni Documentazione A6 Security Mgm Paolo Salvaneschi 7

8 Definizione responsabilità Esempio Da un bando di gara A6 Security Mgm Paolo Salvaneschi 8

9 Gestione delle protezioni Gestione dei dispositivi di sicurezza perimetrale Controllo del codice malevolo Security host hardening Monitoraggio A6 Security Mgm Paolo Salvaneschi 9

10 Gestione dei dispositivi di sicurezza perimetrale Firewall Gestione della configurazione Analisi degli eventi registrati dal firewall Virtual Private Network Abilitazione e gestione dei diritti di accesso Controllo del codice malevolo Installazione, distribuzione e aggiornamento periodico antivirus Analisi anomalie A6 Security Mgm Paolo Salvaneschi 10

11 Security host hardening Definizione e implementazione di direttive di configurazione dei sistemi per la security (specifiche per tipo di sistema) Aggiornamento patch per security Configurazione degli accessi a sistemi, applicazioni, DB al minimo livello di diritti di accesso sufficiente per eseguire le funzioni richieste all utente che accede (es. diritti di administrator solo ai sistemisti) (Gestione dei passaggi di stato: apertura utenza, chiusura, trasferimento utente, sospensione, riattivazione) Definizione e utilizzo di regole per l assegnazione di login e password sicure (tipo e lunghezza password, scadenza, ) A6 Security Mgm Paolo Salvaneschi 11

12 Monitoraggio Security management Analisi periodica dei sistemi di sicurezza Analisi degli eventi / anomalie registrati dai sistemi di sicurezza Ricezione e valutazione delle notifiche e degli allarmi relativi alla sicurezza provenienti da enti esterni Scansione periodica, mediante tool, della rete A6 Security Mgm Paolo Salvaneschi 12

13 Documentazione Procedura (requisiti e attività) Gestione degli incidenti di security (Incident report) Report periodico sulla security A6 Security Mgm Paolo Salvaneschi 13

14 Gestione degli incidenti di security Il processo è attivato a seguito di una segnalazione od evento potenzialmente critico notificata da: Allarme generato dal processo di monitoraggio di sicurezza Richiesta da Help Desk (primo o secondo livello) Processo: Accertamento della natura e severità dell incidente Escalation se necessario a team specializzato Informazione del referente IT Azione correttiva e chiusura dell incidente Emissione di un Incident Report A6 Security Mgm Paolo Salvaneschi 14

15 Incident Report Descrizione dell incidente Cause all origine dell incidente (bug di un sistema, attacco informatico, malfunzionamento etc.) Conseguenze dell accaduto Tempi e le modalità di rilevazione dell incidente Tempi e le modalità di ripristino Eventuali altre anomalie riscontrate A6 Security Mgm Paolo Salvaneschi 15

16 Report Periodico sulla security Il responsabile della security emette periodicamente un report per il responsabile IT che permette di analizzare l andamento del servizio Contenuto: Anomalie riscontrate rispetto alle politiche di sicurezza definite Eventuali carenze nella sicurezza Azioni svolte o necessarie A6 Security Mgm Paolo Salvaneschi 16

17 Privacy Supporto al rispetto della normativa sulla privacy DLgs. 196/2003 e suoi aggiornamenti Garante della Privacy, Provvedimento del 27 Novembre 2008 Registrazione degli accessi Adozione di sistemi di controllo che consentano la registrazione degli accessi effettuate dagli amministratori di sistema ai sistemi di elaborazione e agli archivi elettronici. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi. A6 Security Mgm Paolo Salvaneschi 17