Le Politiche di Sicurezza. Angelo BIANCHI

Transcript

1 Le Politiche di Sicurezza Angelo BIANCHI

2 Argomenti La Sicurezza Logica I Concetti Lo scenario attuale L infrastruttura di ogni ambiente Cosa Fare per considerarsi Sicuri Considerazioni Generali sulle Politiche di Sicurezza Esempio di Realizzazione

3 La Sicurezza Logica I Concetti Identificazione Autenticazione Autorizzazione Controllo d Accesso Riservatezza Integrità dei Dati Non Ricusazione Interruzione del Servizio

4 Lo scenario attuale

5 L infrastruttura di ogni ambiente Security Infrastructure Authorization Authentication Firewall / VPN Security Application Security Intrusion Detection Systems (IDS) PKI Biometrics Anti-Virus

6 Cosa Fare per considerarsi Sicuri Risk Analisys & Assessment Definire le Politiche di Sicurezza Report di verifica Analisi/Censimenti periodici La Sicurezza deve essere un Processo Continuo

7 Considerazioni Generali sulle Politiche di Sicurezza Cosa sono e perché le Politiche di Sicurezza sono così importanti Come sono strutturate Su cosa impattano Chi sono gli attori Quando definirle Come applicarle Come ci possono aiutare gli strumenti Le Attention Rules Controllo in RealTime o a posteriori Cosa fare quando non sono applicate

8 Cosa sono e perché le Politiche di Sicurezza sono così importanti Sono la definizione del nostro Ambiente di Lavoro Determinano i limiti di azione di ciascun individuo Sono le regole di base per il controllore

9 Come sono strutturate Politica di Gestione Politica di controllo d Accesso Politica della Riservatezza dei Dati Politica dell Integrità dei Dati Politica di Gestione dei Dati Dati Amministrativi Dati di Sicurezza Dati di Gestione del Sistema

10 Come sono strutturate Su due livelli: Norme Generali (la costituzione della nostra azienda) Regole tecniche specializzate per ogni ambiente (le leggi dettagliate da applicare)

11 Su cosa impattano Aree di protezione dell Informazione Risorse Tutti gli attori Ambienti Sistemi Operativi Applicazioni e loro proprietà Fasi di ogni singola applicazione Standard di nomenclatura Tutti i particolari tecnici, specifici per ambiente (Windows, Unix, Linux, OS/390, )

12 Chi sono gli attori Chi le definisce Chi le applica Ufficio della Sicurezza Auditors Gli utenti finali Chi le controlla

13 Quando Definirle Prima possibile Non possiamo definirci Sicuri se non abbiamo espresso cosa può fare ognuno, oltre a chi e quando può lavorare.

14 Come Applicarle 1/2 Security Event Management Security Policies Security Security Infrastructure Infrastructure Security Infrastructure Authorization Authentication Firewall / VPN Security Application Security PKI Biometrics Intrusion Detection Systems (IDS) Anti-Virus

15 Come Applicarle 2/2 Politiche di Sicurezza Tecnologia Persone

16 Come ci possono aiutare gli Strumenti Raccogliendo le informazioni sugli eventi Correlando le Informazioni Confrontandole con le nostre Politiche di Sicurezza Segnalandoci le violazioni avvenute Evidenziando le anomalie che noi riteniamo più importanti

17 Le Attention Rules Infrazioni previste alle Politiche di Sicurezza Quali sono (implementazione continua) Chi notificare Cosa fare Quando intervenire

18 Controllo in RealTime o a Posteriori Gli Attacchi che producono modifiche al nostro ambiente (Introduzione di Virus, modifiche ai nostri dati, ) devono essere controllati immediatamente per potere essere fermati. Tutte le violazioni, compreso le azioni tentate ma non riuscite, possono essere viste a posteriori per elaborare nuove regole di prevenzione ed eventuali modifiche alle Politiche di Sicurezza.

19 Cosa fare quando non sono applicate Controllare se l evento è successo più volte anche nel passato Segnalare al violatore la Presa Visione Comunicare il fatto all Ufficio di Sicurezza (se non lo conosce già) Prendere nota per ricontrollarlo nelle prossime analisi Rivedere le Politiche di Sicurezza

20 Politiche di Sicurezza - Esempio Norme Generali Responsabilità dell utente Protezione dell Hardware Antivirus Utilizzo di Internet e dell Accesso Remoto Password Gestione dei Backup e previsione di Disaster Recovery Legislazione sulla tutela dei Dati Software installati Clean-desk policy

21 Esempio OS/390 Chiunque si presenta al Sistema Operativo deve essere identificato, sia esso un Job, un utente TSO, CICS, DB2, IMS o uno Started Task del Sistema. La password deve avere precise regole e restrizioni, deve esserne mantenuta storia L utente finale non deve mai accedere direttamente ai dati, può farlo solo attraverso tools o prodotti. Il passaggio in produzione di programmi e JCL deve essere controllato L accesso alla risorsa, anche se autorizzato, deve essere registrato e documentato Tutte le violazioni devono essere registrate e segnalate Valutare la possibilità di gestire la sicurezza in modo decentrato Potranno accedere al sistema Operativo anche Utenti Esterni solo se ben identificabili, tutte le attività degli utenti esterni devono essere soggetto di attenta attività di auditing L accesso ai cataloghi di sistema, ai dati di produzione, alle applicazioni di produzione, deve essere discriminato e continuamente soggetto a audit Deve essere previsto Backup dei dati critici ed un piano di Disaster Recovery per le applicazioni più a rischio

22 Grazie!!!