Le tecnologie e la sicurezza in rete

Transcript

1 Sicurezza e Privacy per la rete e i social network Workshop Gruppo di Lavoro Enterprise 2.0 Assolombrda, 24 settembre 2012 Le tecnologie e la sicurezza in rete Marco R.A. Bozzetti Malabo Srl Past President ClubTI FidaInform Founder OAI

2 Sicurezza e privacy

3 Sistemi informativi aziendali e delle PA Servizi Servizi ICT ICT in in cloud cloud Social network Sicurezza vò cercando. Consumerizzazione Ambiente lavoro Internet Ambiente personale Fisso + mobile La sicurezza ICT assoluta non esiste ed è sempre più complesso gestirla

4 Le misure idonee di sicurezza per la privacy..?? Ma nel mondo digitale esiste la privacy? La privacy è normata da varie leggi, cambiate e parzialmente modificate nel tempo: D.Lgs. 675/1996 Codice Unico Garante Privacy misure minime e misure idonee DPS, Documento Programmatico Sicurezza sanzioni civili e penali D.Lgs. 196/2003 miglior inquadramento, eliminazione di alcuni errori, inasprimento sanzioni civili e penali semplificazioni 2012 non è più obbligatorio il DPS La normativa sulla privacy ha sicuramente contribuito alla cultura della sicurezza informatica e all adozione di misure di sicurezza tecniche ed organizzative

5 Sicurezza e budget ICT La sicurezza ICT rappresenta un costo continuo nel budget ICT sistematica riduzione aggravata dalla crisi Al vertice aziendale occorre presentare proposte di progetti e di spesa in termini di business, non tecnici Il costo della sicurezza deve essere paragonato al costo della non sicurezza, Analisi del Rischio I costi assicurativi sul rischio residuo diminuiscono al crescere del livello di sicurezza in atto Con una visione a medio lungo termine ma con risultati entro l anno Interventi ben bilanciati e che tengano conto degli aspetti organizzativi Una debole e non misurabile sicurezza ICT può far incorrere in sanzioni amministrative e/o penali: Legge 196 sulla privacy, Legge 231 sulla Governance, IAS preclude al finanziamento dalle Banche: Basilea 2-3, IAS non si possono produrre e vendere prodotti e servizi, oltre a non poter essere quotati in determinate Borse: IAS, SOX, HPPI...

6 Sicurezza informatica è solo un problema tecnico? La sicurezza dell ICT è un elemento chiave per: garantire la continuità operativa dell Azienda o dell Ente La Business continuity è un problema di business le informazioni e le risorse ICT che li trattano sono un asset aziendale e come tali vanno protette garantire la compliance alle varie normative e certificazioni La sicurezza dell ICT va trattata dal vertice dell azienda/ente

7 Le minacce

8 Le crescenti minacce Vulnerabilità software di base e applicativo siti web e piattaforme collaborative Smartphone e tablette mobilità malware Posta elettronica Virtualizzazione: nuove vulnerabilità Circa il 40% o più delle vulnerabilità non ha patch di correzione Codici maligni multi attacco, iperveloci (minacce istantanee) o relativamente lenti per individuare vulnerabilità ed estendersi Perdita o furto di informazioni critiche e riservate via chiavette USB e CD-DVD, o per perdita/furto intero dispositivo Saturazione risorse (DoS, DDoS) Social Engineering Utilizzo a livello aziendale dei social network Frodi e ricatti

9 Mappa principali attacchi e relativi impatti nel 2011

10 I trend per gli attacchi Motivazioni: Hactivism: aspetti di protesta e politici, soprattutto per i paesi con governi dittatoriali o autoritari (Sud mediterraneo, Paesi arabi, ecc.) Timori per una crescita di attacchi ICT di tipo terroristico (blocco e/o malfunzionamento infrastrutture critiche ) Crescita attacchi per spionaggio (anche industriale) Consolidamento crescita attacchi per frodi (ordine di B $, /anno) ROI attacchi > 750%/mese Crescita rischi e vulnerabilità nei sistemi mobili APT, Advanced Persistent Threat da Aurora all attacco a RSA Offuscamento (Obfuscation) delle attività dell attaccante Proxy anonimi Sottrazione dati focalizzazione sui contenuti Crescita dei siti buoni (affidabili) con collegamenti a siti maligni Frodi e ricatti Disponibilità DIY Kit per la creazione di codici maligni e botnet sempre più facili da usare e poco costosi

11 Rapporto OAI : tipologia attacchi subiti Il grafico indica la rilevazione delle prime 5 tipologie di attacchi subiti.

12 Rapporto OAI tipologia degli attacchi maggiormente temuti nel prossimo futuro Il grafico indica la rilevazione delle prime 5 tipologie di attacchi temuti.

13 Strumenti di sicurezza tecnici ed organizzativi

14 I principali strumenti di difesa di prevenzione Crittografia, Stenografia Periodiche analisi del rischio vs processi ed organizzazione Sicurezza fisica: controlli perimetrali, controlli accessi fisici, videosorveglianza, sistemi antintrusione, UPS, anti-incendio, fumo, gas Sicurezza delle reti: Firewall, IPS/IDS, DMZ, IPsec, IPv6, antispamming, Identificazione: user-id + pwd, token, biometria autenticazione, controllo degli accessi ai sistemi ed agli applicativi: ACL, controller di dominio (LDAP, Active Directory,..), SSO, controlli federati, PKI e certificati digitali, Sicurezza intrinseca sw (check list, code inspection,..) e anti-malware (antivirus, antispyware, ) Architetture hw e sw in alta affidabilità RAID, cloud, di ripristino Back-up Disaster Recovery di gestione Tecnica: monitoraggio, verifica SLA, gestione delle patch e delle release del software ( licenze) Organizzativa: formazione e addestramento, operation (ITIL v3), helpdesk/contact center, ERT,.. da approccio reattivo a proattivo approccio architetturale ben bilanciato riferimento ai principali standard e alle best practicesben consolidate: OSA, ITIL v3, Cobit, ISO 27000, NIST SP,

15 SMS, System Management System e gestione centralizzata sicurezza ICT (esempio) Data Center Repliche- Disaster Recovery Sede 1 Data Center router Firewal l L A N P C router Firewal l P L C A N SMS SLA SMS Centralizzato Reti NMS SMS Cloud Computing ISMS Information Security Management Sys Sicurezza perimetrale e fisica Sicurezza infrastrutture Sicurezza logica Protezione dei dati Disaster Recovery Consolle SMS Report SMS SMS Sede X Fonte: dal volume Sicurezza Digitale di Marco Bozzetti

16 L effettiva sicurezza ICT dipende da come viene gestita Sia dal punto di vista tecnico Può essere terziarizzata Sia dal punto di vista organizzativo e del personale Deve essere gestita internamente Forte commitment dal vertice aziendale Fondamentale avere strumenti di misura e controllo, usati sistematicamente Fare riferimento agli standard ed alle best practices consolidate: ISO 27000, Cobit 4.1- DS5, Itil v.3, ecc.

17 La terziarizzazione dell ICT e la sua sicurezza Terziarizzazione: outsourcing, insourcing, cosourcing Right Sourcing housing hosting da Internet Privider ad ASP, Application Service Provider a XaaS ( Infrastructure/Platform/ /Software as a Service) cloud computing Come posso assicurarmi che il Fornitore della terziarizzazione eroghi la sicurezza ICT concordata e adeguata? Specifiche dettagliate a livello contrattuale SLA, Service Level Agreement, e KPI, Key Performance Indicator, misurabili e misurate sistematicamente (periodici report) Audit e supervisioni (eventualmente di terze parti competenti e fidate)

18 Sponsor e con la collaborazione di Patrocinatori

19 Questionario OAI 2012: Totalmente anonimo minuti per compilarlo completamente

20 La rubrica mensile OAI sulla rivista Office Automation Da marzo 2010 sulla rivista Office Automation tengo una rubrica fissa mensile per OAI sugli attacchi informatici, con un taglio più manageriale che tecnico. disponibili in formato elettronico su : Gruppo Open su LinkedIn di OAI

21 In arrivo per la fine del 2012 la nuova edizione del libro sulla sicurezza ICT per manager e tecnici

22 Riferimenti