Privacy, reati informatici ed impatto della 231/01 nelle aziende pubbliche. Tante tematiche un unica soluzione

Transcript

1 Privacy, reati informatici ed impatto della 231/01 nelle aziende pubbliche. Tante tematiche un unica soluzione Luca De Angelis Product Marketing Manager

2 Dato di fatto #1: Flessibilità

3 Dato di fatto #2: Cybercrime: dalla dimostrazione

4 Dato di fatto #2: Cybercrime: ai soldi

5 UNA VISTA GLOBALE DEI RISCHI SIRv7: Dati raccolti da 212 regioni nel mondo. Bing : Billions of Webpage scans per year. Forefront Client Security, Windows Live OneCare & Windows Defender : Operating on 100 million + computers worldwide. Forefront Online Protection for Exchange: Scanning billions of s yearly. Malicious Software Removal Tool : Running on 450 million computers worldwide each month.

6 Dato di fatto #3: l impatto della crisi economica Regolamentazioni e norme in aumento (e di conseguenza le richieste di adeguamento)

7 Gli stakeholder della compliance oltre l IT Manager CEO Devo ridurre i rischi del mio business, ho bisogno di verificare lo stato dell arte dei controlli, ma non posso spendere troppo per questi sistemi e fare perdere tempo alle mie persone With increased focus on corporate governance and enterprise risk management, firms need governance, risk and compliance (GRC) software platforms to drive sustainability, efficiency, and consistency in managing enterprise risk and compliance. CFO Risk Manager CIO Mi serve una metodologia e delle tecnologie per garantire compliance dei nostri sistemi anche a fronte di un audit. Devo assicurarmi che le persone seguano le policy e le procedure senza troppo impatto sulle performance. Persone Devo comunicare con i miei colleghi e assicurarmi che tutto sia in linea con i requisiti di legge. (Source: Forrester August 7, 2006, Overcoming Risk And Compliance Miopia) Vorrei un sistema facile da utilizzare che mi indichi i task da eseguire, tracci i risultati e mi permetta di essere in linea con le richieste di policy e compliance senza aumentare il carico di lavoro

8 Governance, Risk e Compliance: un nuovo approccio Regole di tolleranza ai rischi Decisioni legate ai rischi Governance Management accountability Policy creation, Identity management, Security safeguards, Role-based access to data, Policy enforcement, Conformità alle normative Chi decide e quali sono I processi decisionali Risk Addresses system threats, system vulnerability, protection of IT assets, and risks to management objectives Decisioni legate al rischio (how they were made) Impatto del mancato adeguamento Compliance Addresses adherence to laws, regulations, policies, standards, Auditing and reporting

9 Il nuovo approccio alla Compliance Legislation Policies Procedures Physical Controls Application Features Inherent System Capabilities Approccio che esula dalla sola tecnologia: l automazione dell infrastrutura è l ultima parte (ma importantissima!) dell intero processo di compliance La tecnologia da sola non può garantire la compliance Norma Prodotto L approccio corretto Norma Regole di governance Controlli IT

10 Compliance e Controlli IT AUTOMAZIONE INFRASTRUTTURA

11 Tecnologie per la Governance, Risk & Compliance

12 Perché le tecnologie Microsoft Semplici Flessibili Interoperabili Processi di Governance Risk e Compliance integrati negli strumenti usati abitualmente Vengono indirizzati diversi requisiti di conformità usando gli stessi strumenti aumentando l efficienza e diminuendo I costi complessivi Soluzioni personalizzabili ed estendibili Processi più efficienti Gestione sicura delle informazioni Migliore visibilità delle operazioni Riduzione dei costi per il recupero delle informazioni, e audit

13 Cosa accade nel Datacenter? Costi dei locali Misura e gestione delle performance dei sistemi Impatto sui costi IT Costi del lavoro nella gestione dell infrastruttura Costi di implementazione Costi del lavoro nella gestione delle applicazioni Costi del software Automzione del deployment e della gestione dei server Supporto alla conformità delle normative e la gestione dei cambiamenti Consolidamento dei server grazie alla virtualizzazione Datacenter Business Continuity Costi dell hardware

14 La gestione della conformità nel datacenter I controlli devono essere diffusi a tutti i server La virtualizzazione aumenta la flessibilità ma può rendere più difficile il controllo La centralizzazione dei server all interno del datacenter aumenta l esigenza di un adeguamento La collezione degli eventi di sicurezza deve essere efficiente Il volume dei dati aumenta in maniera esponenziale Numero crescente di richieste, interne e esterne per la raccolta di queste informazioni La gestione della sicurezza diminuisce I rischi L accesso ai dati e alle applicazioni richiede interventi multidisciplinari La conformità alle normative richiede degli interventi generali

15 Le soluzioni per la conformità grazie ai prodotti System Center Server Controlli di configurazione e reportistica Auditing di sicurezza centralizzato Gestione delle identità e degli accessi Gestione delle configurazioni desiderate Reporting sugli assett Verifica delle vulnerabilità presenti Raccolta degli eventi di sicurezza Reportistica per soddisfare I requisiti della normativa Report presentati in modo standard e personalizzabili Gestione completa dell infrastruttura server Chiara visibilità dello stato di salute dei server Distribuzione automatica degli aggiornamenti di sicurezza

16 Gestione della conformità dei server Security compliance reporting Configuration Pack dedicati Best practice per la pianificazione, impostazioni, monitoraggio e risoluzione di problemi di sicurezza Impegno di risorse ridotto per la gestione dei rischi nel datacenter Verifica automatica delle condizioni di configurazione di sicurezza Automazione della gestione dei cambiamenti delle impostazioni di sicurezza

17 Audit centralizzato degli eventi di sicurezza Collezione e consolidamento delle informazioni di sicurezza legate agli accessi Raccolta in tempo reale delle informazioni di sicurezza legate agli accessi Reporting esteso e dettagliato delle informazioni raccolte Report standard e personalizzabili Account management Access violation Policy changes System integrity

18 Gestione delle identità e degli accessi Approccio integrato alla gestione delle identità e degli accessi Gestione dei certificati digitali, Password policy enforcement User provisioning Gestione del ciclo di vita dell identità Integrazione nativa in Active directory Gestione dei privilegi degli utenti, segregation of duties ecc. Identificazione e rimozione di account non più necessari

19 Compliance in pratica Alcuni esempi La metodologia e i processi I servizi erogati dal supporto e consulenza Microsoft per l attuazione del regolamento sugli amministratori di sistema Un esempio di soluzione su tecnologia Microsoft di un partner italiano

20 Gov, Risk & Compliance MOF Approccio pratico Garante Privacy: Amministratori di Sistema altre misure di sicurezza (Allegato B): Norme & Compliance 16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art Strumenti e processo di Patch management. 17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale. Premier Center for Operations Portfolio Definizione e implementazione di un processo di Patch Management (Change Management). Definizione nuovo servizio IT Patch Management IT Service Catalog Business / IT Services impacted (Business/IT alignment) Define the process (activities, workflow, roles & responsbilities) Identify KPIs & CSF (Critical Success factors) Service Health IT Service Operational practices Business Continuity Monitor KPIs Configuration & Security Baselines Service efficiency & effectiveness Automation Check for configuration and security baseline compliance. Measure availability of impacted services & systems. Audit & Review (KPIs, CSFs)

21 Regolamento Privacy Amministratori di Sistema La risposta con Soluzione Microsoft Soluzione formata da pacchetti autoconsistenti e modulari che soddisfano le diverse esigenze del cliente Indirizza le tre richieste del regolamento che richiedono l adozione tecnologie o attività specifiche di documentazione e verifica dei permessi assegnati agli amministratori: Advisory e Assessment Auditing Audit Forwarder System Log Collection Operations Attività Intervento Security Advisory per confronto sul provvedimento Elenco amministratori di sistema Abilitazione Auditing Active Directory Active Directory SQL File Server Exchange ISA FTP IIS, Sharepoint Implementazione di AFS providers base (SQL, Exchange inclusi) e custom Implementazion e architettura SCOM/ACS Gestione processi e metodologie (MOF)

22 Le soluzioni dei nostri partner Progel srl - Strumenti per la compliance Gestione dei dati raccolti SecureVantage Audit Collection Archiver Gestione e archiviazione dei database ACS Compliance all allegato B legge 196/2003 System Center Operations Manager 2007 Management pack 196 (MP196) Controllo sul cambio password art.5 Controllo account inutilizzati art. 7 Controllo sulle patch applicate art. 17 altro ancora Versione free disponibile presso

23 Visione complessiva 1. Includere nelle attività quotidiane la Governance, gestione dei Rischi la conformità alle normative 2. Soluzioni efficaci e semplici da usare 3. Garantire l accesso alle informazioni in modo sicuro, nel formato corretto e alle persone che ne hanno veramente bisogno

24