Mariangela Fagnani Security & Privacy Services Leader, IBM Italia

Transcript

1 Evoluzione della sicurezza e degli strumenti per la protezione degli asset aziendali Bologna, 2 ottobre 2008 Mariangela Fagnani Security & Privacy Services Leader, IBM Italia

2 Agenda Conoscere, gestire, evolvere Sicurezza: garantire il governo degli asset, anche di quelli che non si hanno Evoluzione: modelli di governo e strumenti a supporto IBM: la Visione completa per la Sicurezza consapevole Casi Operativi: soluzioni realizzate

3 Conoscere, gestire, evolvere: Drivers e Inibitori di Sicurezza 1. Richieste crescenti di conformità a normative vigenti e policy aziendali/di Gruppo 2. Nuove e diversificate minacce di sicurezza 3. Volumi crescenti di dati diversificati da trattare Le iniziative realizzate per finalità di compliance, hanno consentito di creare un programma strutturato per gestire il rischio in un modo consistente. Questo ha portato grandi benefici sul modello di gestione dei dati. Primaria azienda di Servizi Finanziari Gli articoli in prima pagina, spesso hanno suscitato grandi preoccupazioni: cosa accadrebbe se un impiegato riuscisse ad accedere e usare impropriamenti i dati dei Clienti? Primaria azienda di Assicurazione 1. Difficoltà nella definizione di una strategia completa di sicurezza 2. Business ed IT non allineati 3. Preoccupazione che la protezione dei Dati possa limitare la fruibilità dei dati 4. Approccio alla sicurezza spesso focalizzato sulla infrastruttura, non sui dati 5. Limiti di budget Il problema è che non c è molta consapevolezza sul bisogno reale di sicurezza: spesso il focus sul profitto distoglie dalla gestione delle priorità che dovrebbe includere anche la sicurezza per proteggere al meglio il proprio business. Primaria azienda di produzione Farmaceutica

4 Sicurezza: garantire il governo degli asset, anche di quelli che non si hanno Qual è il perimetro dell azienda? Sono aumentati gli interlocutori ed ampliati i confini aziendali Gli asset risiedono sempre meno nei confini fisici (laptop, mobile device, CED terze parti, etc.), ma appartengono al patrimonio aziendale L approccio classico di tipo piece-by-piece non funziona più, occorre un modello integrato L azienda deve aver una completa vision, data dall analisi dei suoi processi e servizi, per poter definire un modello target che garantisca un adeguato livello di efficienza del business. Outsourcers Dipendenti Partner Stakeholder Visitatori Azienda Autorità giudiziarie Clienti Aziende collegate Fornitori

5 Modelli di governo e strumenti a supporto: parla il mercato Global Innovation Outlook per la Società e la Sicurezza Il Global Innovation Outlook del 2008, ha individuato le principali prossime sfide per la sicurezza. Le organizzazioni rappresentate includevano: Unicredit, Gas Natural (produttore di energia spagnolo), Syntetics (fornitore di CCTV in U.K.), Aeroflot, la Banca Centrale Russa. Il 21mo secolo ha portato ad una ridefinizione della nozione di sicurezza. Sia che si tratti di furto delle identità, sicurezza delle frontiere o spionaggio industriale, la sicurezza di ogni nazione, business, organizzazione, sta mutando rapidamente anche in relazione a tecnologie sempre più sofisticate e crescente interdipendenza nei processi. Le organizzazioni sono alla ricerca di soluzioni innovative per proteggere al meglio i propri asset, sia fisici che digitali, e al contempo proteggere gli interessi dei propri Clienti. L obiettivo globale è cercare il giusto equilibrio tra crescita socio-economica e mitigazione dei rischi intervenendo direttamente con strumenti integrati per difendersi dalle nuove minacce. La sicurezza entra in uno scenario sempre più globale.

6 Modelli di governo e strumenti a supporto: la vision ICT Promuovere l integrazione tra business e tecnologia Prima di tutto il business, poi la tecnologia - Chiudere il gap tra business e IT - Costruire competenze ibride nella community IT - Promuovere un nuovo modello di governance - Riunire la leadership di business e IT People Compliance Management Security Risk Management Secure Infrastructure Technology Information Process Focus: Auditor Verificare la compliance con le normative vigenti e le policy interne Focus: Minacce Ottimizzare la sicurezza in linea con obiettivi di business / rischio sia interni che esterni Focus: Operations Fornire un supporto operativo che sia integrato e semplice

7 IBM: la Visione completa per la Sicurezza consapevole Standard Internazionali e normative Esperienza del team globale IBM Best Practices IBM The The IBM IBM Security Security Framework Framework Security Security Governance, Governance, Risk Risk Management Management and and Compliance Compliance Business Process Level People and Identity Data and Information Security Organization Level Application and Process Network, Server, and End-point Business IT Security Security Solutions Level Physical Infrastructure Infrastructure Level Common Policy, Event Handling and Reporting Common Policy, Event Handling and Reporting Security

8 IBM: la Visione completa per la Sicurezza consapevole Valutare Il livello di sicurezza Proteggere Gli asset di valore Difendere Dalle minacce Monitorare L ambiente Controllare Il rischio IBM IBM Security / OEM Hardware Security and Hardware Software and Software

9 IBM: la Visione completa per la Sicurezza consapevole IBM Security Governance Solutions IBM Threat Mitigation Solutions IBM Data Security Solutions IBM Identity and Access Management Solutions IBM Physical Security Solutions Professional Security services Managed Security Services Hardware and Software Obiettivo: fornire una difesa integrata e completa, Logica + Fisica

10 IBM: la Visione completa per la Sicurezza consapevole soluzioni per la Security Governance IBM Security Governance Services Professional services Managed security services Hardware and software Security Risk Management - analizzare gli asset informativi, le minacce associate e identificare i relativi rischi di sicurezza. Security Program Design and Management supportare lo sviluppo e il disegno operativo di un programma di sicurezza che soddisfi le esigenze IT e di business. Regulatory and Standard Compliance - analizzare, valutare e quindi sviluppare i processi ed il modello operativo di business, al fine di realizzare, gestire e monitorare una efficiente soluzione di IT security per la Compliance. Security Privacy supportare i Clienti nel rafforzare la sensibilità/consapevolezza sui temi privacy, realizzare privacy assessment e implementare la corretta strategia. IBM Security Education & Training Services realizzare corsi di formazione, in aula e web-based.

11 IBM: la Visione completa per la Sicurezza consapevole soluzioni per la Threat Mitigation IBM Infrastructure Threat Mitigation Services Professional services Managed security services Hardware and software Network Protection - Fornisce una completa prevenzione e individuazione delle minacce di rete. Endpoint System Protection Fornisce vigilanza continua per tutti gli endpoints e soluzioni per l accesso remoto sicuro. Application Security Gestisce il traffico di rete e utilizza best practices per migliorare la sicurezza delle applicazioni a favore di una Security Posture aziendale completa e conforme alle linee guida dell organizzazione. Security Enablement and Vulnerability Management Identifica e gestisce proattivamente la Security Posture aziendale e la Compliance.

12 IBM: la Visione completa per la Sicurezza consapevole soluzioni per la Data Security IBM Data Security Services Professional services Managed security services Hardware and software Activity Compliance Monitoring and Enforcement monitora gli utenti privileged e i relativi database amministrati, include la gestione delle vulnerabilità (V-Mgmt). Enterprise Content Protection monitora i dati non appena escono dalla rete (IP, sensitive data); extrusion (prevenzione della perdita dati) - Include Awareness Education Service Endpoint Data Protection protegge i nastri, laptop, PDA, e supporti rimovibili, attraverso l encryption e il port control.

13 IBM: la Visione completa per la Sicurezza consapevole soluzioni per IAM (Identity and Access Management) IBM Identity and Access Management Services Professional services Managed security services Hardware and software Identity Assessment and Strategy analizza l ambiente di identity management e sviluppa una strategia per migliorare l efficacia della gestione delle identitià Identity Proofing supporta la definizione e la verifica delle identità, e realizza uno screening degli utenti. Identity Lifecycle Management fornisce la gestione delle credenziali utente e lo user provisioning. Directory Services - fornisce assessment, disegno e implementazione delle directory organizzative. Strong Authentication Solutions - fornisce soluzioni per l autenticazione multi-fattore, inclusa la biometria, smartcard, token, etc.

14 IBM: la Visione completa per la Sicurezza consapevole soluzioni per la Physical Security IBM Physical Security Services Professional services Managed security services Hardware and software Site Security fornisce un esame approfondito dei controlli di sicurezza e dei processi relativi al site o all intera azienda. Digital Video Surveillance fornisce soluzione integrata di video sorveglianza e sicurezza che consente di vedere, monitorare e registrare digitalmente le attività relative a tutto l ambiente. Smart Surveillance Solution sistema avanzato di sorveglianza(videoanalisi) che monitora lo spazio fisico in tempo reale e abilita allarmi in tempo reale e ricerche content based.

15 IBM: la Visione completa per la Sicurezza consapevole IBM sta rafforzando nel tempo la sua leadership nell area Sicurezza, con un modello sempre più completo che include: sicurezza fisica, logica e di processo, componenti di tecnologia e aspetti gestionali. Portfolio di sicurezza rafforzato: acquisite Consul Risk Management, Watchfire, Encentuate, Micromuse, Internet Security Systems (con i prodotti di Threat Management, la specializzazione dei laboratori X-force, i Security Operation Centers ed i Managed Security Services). Investimenti costanti in Ricerca e Sviluppo: IBM é una delle aziende che maggiormente investe in ricerca e sviluppo di soluzioni e tecnologie innovative di sicurezza (Smart Surveillance System, Zurich Lab, Watson Research Center, Haifa Lab, Tivoli Lab). IBM é partner dei principali player tecnologici, sia in ambito sicurezza logica (Cisco, Juniper, Checkpoint, RSA,..) che per la sicurezza fisica (Genetec, March Networks, GE, CNL, Lenel, Axis, Anixter, Pelco, ) IBM nell area dei servizi di sicurezza ha una Practice dedicata, Security & Privacy Services che mette a disposizione dei suoi Clienti soluzioni specializzate attraverso il lavoro di 3500 persone a livello globale. IBM Italia vanta il Competence Center per la sicurezza fisica e il Security Demo Center Integrato Milano Roma.

16 IBM: la Visione completa per la Sicurezza consapevole Labs & Centri Ricerca TJ Watson Cryptographic foundations Internet security & "ethical hacking" Secure systems and smart cards IDS sensors & vulnerability analysis Secure payment systems Antivirus Privacy technology Biometrics Almaden Cryptographic foundations Secure government workstation Roma Zurich egovernment OSC Physical Security CoC (Center of Competence) TivoliLab Cryptographic foundations Java cryptography Privacy technology Multiparty protocols IDS & alert correlation Smart card systems and application Haifa PKI enablement Trust policies New Dehli High-performance Cryptographic hardware & software Tokyo Digital watermarking XML security VLSI for cryptoh

17 Soluzione Identity & Access Management Cliente Area Public, Italia Esigenze del cliente: Single sign-on e gestione unificata delle utenze Limitare gli accessi alle informazioni sensibili o personali e agli asset critici Proteggersi dagli attacchi alla sicurezza e dai rischi di perdita/violazione di informazioni confidenziali/critiche Soluzione IBM: Disegno e implementazione di una soluzione integrata di Identity e Access Management basata su IBM Tivoli Access Manager for e-business Soluzione Web based di Single Sign-on Soluzione Tivoli Access Manager for e-business Tivoli Directory Integrator Tivoli Director Server Benefici: Ambiente sicuro e personalizzato per accedere alle applicazioni business-critical Semplificata la gestione degli accessi del personale Protezione contro utilizzi o accessi non autorizzati Assegnazione delle credenziali digitali agli utenti Single Sign on per le varie applicazioni Migliorata l efficienza dei processi di controllo accessi

18 Soluzione Governance di Sicurezza Cliente Area Distribution e Logistica, Italia The IBM Security Framework The IBM Security Framework Security Governance, Risk Management Security Governance, Risk Management and Compliance and Compliance People and Identity Data and Information Application and Process Network, Server, and End-point Physical Infrastructure Esigenze del cliente: Migliorare i processi di sicurezza per contribuire ad un business in rapida evoluzione Focus Sicurezza e Privacy Analizzare il livello di maturità del Gruppo, individuando le aree di miglioramento per la sicurezza Definire una roadmap di sicurezza per la gestione efficiente di futuri investimenti Common Policy, Event Handling and Reporting Common Policy, Event Handling and Reporting Soluzione IBM: Servizi di consulenza integrata per l analisi del livello di maturità del Sistema di Gestione della Sicurezza delle Informazioni e disegno di una soluzione evolutiva Standard ISO/IEC : assessment di sicurezza Standard ISO/IEC : indicazione roadmap di sicurezza Valutazione delle componenti tecnologiche ed organizzative Benefici: Metodologia basata su standard di sicurezza Analisi puntuale del livello di maturità e valorizzazione delle esigenze reali di sicurezza Identificate le aree critiche e le aree con una buona efficienza di gestione Estese le componenti di sicurezza efficienti alle altre funzioni del Gruppo (effetto leva delle aree efficienti) Fornite indicazioni puntuali per indirizzare con chiarezza gli investimenti futuri

19 Soluzione Governance, per Education & Training Cliente Area Public, Italia Esigenze del cliente: Garantire l uso consapevole di tecnologie Informatiche e di Telecomunicazione (ICT) nel rispetto delle policy aziendali Soluzione IBM: Disegno e implementazione di una soluzione integrata di formazione di sicurezza al fine di: Aumentare la consapevolezza degli utenti finali Orientare i comportamenti verso la sicurezza ICT Trasmettere competenze specifiche in linea con standard architetturali, tecnologici e indirizzi strategici del Gruppo Benefici: Uso metodologia e strumenti progettuali misurabili per la didattica in aula Sensibilizzazione e approccio operativo alla sicurezza Migliorata la consapevolezza sul corretto uso di policy in materia di security

20 Conclusioni: la Visione completa per la Sicurezza consapevole The The IBM IBM Security Security Framework Framework Security Governance, Risk Management Security Governance, Risk Management and and Compliance Compliance People and Identity Data and Information Application and Process Network, Server, and End-point Physical Infrastructure Common Policy, Event Handling and Reporting Common Policy, Event Handling and Reporting SECURITY COMPLIANCE Consente di allineare le policy con normative, regolamenti, standard, accordi (PCI, SOX, Privacy, FISMA, etc.). IDENTITY & ACCESS Consente una collaborazione sicura con utenti interni ed esterni, attraverso accessi a dati, applicazioni e asset, controllati e sicuri. DATA SECURITY Protegge i dati e gli asset informativi. APPLICATION SECURITY Gestisce, monitora e audita ininterrottamente, la sicurezza applicativa. INFRASTRUCTURE SECURITY Gestisce in modo completo le minacce e vulnerabilità, per la rete, per i server, e per tutti gli end-point.

21 Conclusioni: la Visione completa per la Sicurezza consapevole Proteggere gli asset aziendali dal cattivo uso e abuso Soprattutto l asset mobile, In qualunque fase del ciclo di vita delle informazioni, Praticamente a prescindere dalla ubicazione fisica. Ridurre la complessità / rischio di perdite finanziarie e di quota mercato Rendere le informazioni disponibili agli utenti autorizzati, aiutandoli ad essere più produttivi, senza sacrificare la sicurezza. Incoraggiare ed applicare l uso responsabile dei dati aziendali. Sostenere la conformità alle leggi, regolamenti e policy aziendali DLgs 196/03 Privacy, L. 48/2008 Cyber crime, PCI DSS, HIPAA, Sarbanes-Oxley (SOX). Guadagnare e mantenere la fiducia dei Clienti, partner, e dipendenti.

22 Grazie,