Raz-Lee Security Ltd. for IBM System i. isecurity. Nicola Fusco Southern Europe Area Manager Sales & Business Development

Transcript

1 Raz-Lee Security Ltd. for IBM System i isecurity TM Nicola Fusco nicola.fusco@razlee.com Southern Europe Area Manager Sales & Business Development

2 Presentazione di Raz-Lee Security Ltd. Multinazionale israeliana fondata nel 1983 dal Sig. Shmuel Zailer, che è anche il CTO; Focalizzata 100% sulla piattaforma AS400 >> iseries >> System i Ha sviluppato più di 20 tool, con funzionalità esclusive per l AS400 Dal 2000 si occupa della Sicurezza, per la piattaforma AS400 Rete di Distribuzione e Reselling in oltre 50 paesi, in tutto il globo Uffici diretti a Tel Aviv (HQ + R&D) e USA (Sales) luglio 2007: 1mo Ufficio diretto in Europa a Cusano M.no (Avnet) 1 x Sales & Business Development 1 x Product Manager (Eva Dosi - Avnet) 1 x Technical Presales support (Alessandro Cassani - IBM) 2 x Technical Postsales support (Nord e Centro Sud) 2

3 isecurity Customers (partial list) 3

4 Raz-Lee & IBM (RILE : IBM Siebel BP s s Opportunities ID Number) IBM s Business Compliances 1. L unica soluzione ai clienti della piattaforma IBM System I perchè completamente sviluppata in ambiente nativo OS400; l alternativa è una soluzione MS windows server based..! 2. Consente un ulteriore prospettiva della strategia di Server Consolidation 3. Riduce I termini di trattativa della vendita di prodotti e soluzioni proposte da IBM aumentando il livello di considerazione della Value Proposition (CPU, Storage, Maintenance Soluzioni Software che coinvolgono l ambiente WEB) 4. Assicurare la protezione dei dati elaborati dal System i, per I quali isecurity dovrebbe essere considerata un applicazione integrata nell ambito del Business Risk Assessment 1. La soluzione isecurity è nel catalogo delle soluzioni scelte da IBM GTU (Global Technology Unit) 2. isecurity è una soluzione IBM Server Proven 3. FY2007: La Partnership con IBM passa da Advanced Business Partner a PREMIER Business Partner 4

5 Le obiezioni dei clienti per la paura di comprare La sicurezza nelle Aziende 5

6 Le obiezioni dei clienti per la paura di comprare Il nostro System i e configurato per bloccare gli accessi dall esterno, per questo motivo non ci sono minacce alla security. Il nostro System i non e connesso ad Internet, dunque non c e nulla da temere. Ho fiducia nei nostri utenti. Non hanno competenze tali da causare problemi. La nostra rete fornisce un livello di sicurezza eccellente. Il livello di sicurezza nativo di System i e affidabile. Gli utenti di terminali Green-Screen non costituiscono una seria minaccia. I software di sicurezza sono difficili da utilizzare e rallentano le prestazioni del sistema. L AUDIT journal di i5/os fornisce una buona tracciabilita della security. 6

7 Le leggi nazionali ed Internazionali D Lgs 196/2003 (Privacy) Sanzioni civili e penali (carcere) Legge 23 dicembre 1993 n. 547 Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica Decreto legislativo n. 231 del 8 giugno 2001 Al netto del giudizio di merito, AD e presidente Unipol sono inquisiti per l assenza dei sistemi di controllo resi obbligatori dalla l. 231 Sarbanes Oxley (aziende nel listino delle borse USA) La Legge di Sarbanes-Oxley (SOX) richiede la certificazione diretta dei rapporti periodici e dei rendiconti finanziari aziendali da parte del Direttore Generale (CEO) e del Direttore Finanziario. HIPAA (sanità) GLBA (istituzioni finanziarie) PCI (Payment Card Industry Data Security ) Basel 2 7

8 Lo Standard ISO Dal momento in cui è chiaro che l'informazione è un bene che aggiunge valore all' impresa, e che ormai la maggior parte delle informazioni sono custodite su supporti informatici, ogni organizzazione deve essere in grado di garantire la sicurezza dei propri dati. La Sicurezza informatica non è un prodotto ma quel ramo dell'informatica che si occupa della salvaguardia dei sistemi informatici da potenziali rischi e/o violazioni perseguendo precise regolamentazioni. Lo Standard ISO 27001:2005 è una norma internazionale che fornisce i requisiti di un Sistema di Gestione della Sicurezza nelle tecnologie dell'informazione (Information Security Management System - ISMS) al fine di assicurarne l'integrità,, la riservatezza e la disponibilità. Volendo essere più precisi, lo standard comprende 2 normative : ISO prescrive le modalità di conservazione e difesa delle risorse informative di un'impresa; ISO 27001:05 è il documento normativo di certificazione al quale un'azienda deve fare riferimento 8

9 Responsabili Aziendali della Sicurezza IT Top Management, verso l azienda ed all esterno verso terzi EDP Management, all interno verso il Top Management Obiettivo della nostra azione Diminuire tali responsabilità mediante l introduzione di 5 regole Produrre un analisi ed una valutazione del rischio di Gestione Segnalare al Top Management gli obiettivi ed i controlli da realizzare Definire una politica di sicurezza dell uso del System i Delimitare l'ambito di competenza degli Utenti Redigere una relazione sull applicabilità ed il mantenimento delle normative 9

10 isecurity General Overview isecurity è la soluzione modulare sviluppata in ambiente System i per fornire ai Clienti un sistema di protezione, controllo e difesa dei dati aziendali, dell'alterazione non autorizzata di dati, dell'intrusione nel vostro sistema e dell'esposizione dei dati corporativi sensibili. Comprehensive, end-to-end Security for the iseries 10

11 Assessment Tool & Reporting Il tool di Assessment è un potentissimo strumento di poichè presenta al cliente, in maniera comprensiva, l situazione della sicurezza del sistema informativo L approccio sarà pertanto assolutamente consulenzia L attività è venduta da Raz-Lee a 1.200,00 euro ed ha la durata di una giornata Esempio di Report Analisi completa del System i a. Individuazione delle aree di rischio b. Classificazione di ogni valore di sistema di sicurezza c. Generazione del Report con descrizione dei rischi 11

12 User Environment User Management (P10 700,00) Assicura che un utente non identificato non possa cambiare autonomamente i paramentri di Accounting per l accesso al System/i Abilita e disabilita gli Utenti Gestisce automaticamente tutti i periodi di non lavoro degli utenti Password Management (P10 700,00) Gestisce e crea report inerenti a tutti gli aspetti legati alla sicurezza dell Accounting degli utenti sul System/i Integra ed espande le funzionalità native di OS/400 12

13 Terminal Environment Screen (P ,00) Blocco della sessione aperta previenendo l uso non autorizzato del terminale Capture (P ,00) Nuova funzionalità in conformità alle regolamentazioni di sicurezza per l antifrode. Silenziosamente cattura e registra tutte attività di terminale degli utenti, riproduce le registrazioni e consente la ricerca a video. Visualizer (P10 700,00) Tool di Business Intelligence con informazioni dal dataware house interno ed interfacciato con I moduli Firewall, Journal e Audit Visualizza le informazioni filtrate, mediante diagrammi grafici, in orizzontale e verticale, che possono essere stampati in formati HTML. 13

14 Firewall Environment Firewall (P ,00) IPS (Intrusion Prevention System). L unica soluzione per System i che copre al 100% tutti gli exit points legati alla sicurezza (ODBC, Telnet, TCP/IP, FRP, remote command, and more) Protezione del sistem dal livello User al livello Object, mediante adeguati ambienti di security s defintion Protezione dagli indirizzi IP sia in entrata che in uscita, mediante la funzionalità port-blocking 14

15 iseries Platform Environment Anti-Virus (P ,00) Previene e protegge la partizione IFS, previene ogni forma di codice infetto, protegge il sistema dal degrado delle risorse, scanning delle System Control (P10 700,00) Aumenta la stabilità del sistema a livello di prestazioni della CPU e disponibilità di memoria 15

16 Database Environment View (P ,00) Nasconde a video campi di applicazioni, senza alcuna modifica del codice Journal (P ,00) E integrabile con il modulo Audit registrando tutti i cambiamenti del database, così come è in grado di consolidare i dati dagli altri giornali 16

17 Audit Environment Audit (P ,00) E il modulo di verifica di tutte le impostazioni inerenti alla Sicurezza del System/i rispetto alle leggi di conformità aziendale. Genera rapidamente ed in maniera grafica i risultati (chi/cosa/quando/come) delle attività di sistema e di inviarli via dal System/i in formato HTML e PDF. Include un potente generatore di report con oltre 100 modelli predefiniti 17

18 Actions and Results Action (P ,00) E un sofisticato tool IDS (Intrusion Detection System) che include allarmi ed operatori automatici di difesa Acquisisce informazioni dagli altri moduli di isecurity e agisce per difendere il sistema (sms, , Capture,..) 18

19 Configurazione dei moduli di isecurity TM isecurity TM è attualmente la soluzione più completa per la piattaforma IBM System i Modules User Management Password Manager Silver Gold Plat Single GUI Screen Capture Visualizer Firewall Anti-Virus System Control Assessment Costi delle Suite sempre riferiti ai modelli P10 View Application Journal Audit Action

20 isecurity Unique modules/unique features Compared with local competition (Confidential-internal internal use) Module Unique Module or Features Password Unique (Tango04) Authentication Screen Capture Visualizer Firewall Anti-Virus System Control Assessment View Application Journal Audit Action Unique Unique (Powerlock) Unique: Summary data (Bsafe : current) Unique: Wizard, Object level, All exit points, Performance Unique Patent Pending Patent Pending Unique: real-time, report generator Unique: CL commands (Tango04) (Powerlock, Bsafe) 20

21 Competitive Analysis isecurity vs Tango04 isecurity vs BSafe 21