Tracciamento delle operazioni bancarie: il concetto di Power User e il trade-off tra norme, standard ed esigenze di produttività

Transcript

1 Tracciamento delle operazioni bancarie: il concetto di Power User e il trade-off tra norme, standard ed esigenze di produttività AIEA, Milano 18 Maggio 2011 Paolo Capozucca Advisory & Alliance Manager Gruppo Terasystem paolo.capozucca@gruppoterasystem.it

2 B.U. SECURITY: CHI SIAMO Security Team operante dal 1998, in Italia, Europa, Medio Oriente 8 Principal Sec. Consultant 6 Sec. Program Manager 28 Security Consultant Oltre 80 certificazioni ICT SECURITY AUDITING & COMPLIANCE (DL 196, SOX, DL. 231, L.262,..) ORGANIZZAZIONE, RUOLI, PROCESSI ANALISI DEL RISCHIO IDENTITA DIGITALI FEDERATE DATA LOSS & LEAKAGE PREVENTION DAM: DB ACTIVITY MONITORING CLOUD SECURITY e SECURITY per il CLOUD

3 DIGITAL IDENTITY IN ITALIA: INPDAP

4 DIGITAL IDENTITY IN ITALIA: SPARKLE

5 REFERENZE SECURITY FINANCE & TELCO ALL ESTERO ABN AMRO UK Progetto Risk Assessment ICT Sarbanes-Oxley ALPHA BANK (Grecia): Identità digitali e Role Mgmt EUROBANK (Grecia, Romania, Bulgaria): Identità digitali e Role Mgmt HALK BANK Banca Turca : Role Management e Identità Digitali TCMB - Banca Centrale Turchia : Identità digitali federate UNICREDIT TIRIAC BANK (Romania): Identità digitali e Role Management ASTELIT MOBILE (Ucraina): Identità digitali VODAFONE (Albania e Romania): Identità digitali federate per adeguamento Sarbanes-Oxley

6 INFORMATION SECURITY: COSA E CAMBIATO TRA XIII E XXI SECOLO?

7 SECURITY: MOLTO SEMBRA FATTO MA.

8 FORSE NON ANCORA PROPRIO TUTTO!

9 XXI SECOLO: ANDREW CHAPMAN E IL DATA LOSS Andrew Chapman con l hard disk comprato su ebay e che conteneva informazioni bancarie private di più di un milione di persone* * Articolo pubblicato su DailyMail.co.uk nel mese di Agosto 2008

10 INFORMATION SECURITY AL TEMPO DEL CLOUD COMPUTING Le informazioni digitalizzate da proteggere: un asset che ogni anno raddoppia di volume. 10

11 INFORMATION SECURITY AL TEMPO DEL CLOUD COMPUTING - 2 In un contesto normativo internazionale e italiano sempre più capillare e complesso: (SOX, BASEL III, D.Lgs 231/01, L.262/2005, D.Lgs 196/2003) 11

12 TERASYSTEM NELLA CLOUD SECURITY ALLIANCE 12

13 INFRASTRUCTURE MGMT OBIETTIVI: CONVERGENZA, UNIFICAZIONE, SEMPLIFICAZIONE INFORMATION CENTRIC SECURITY PLAN: definizione ISMS ambito ISMS, obiettivi ISMS (Policy), individuazione rischi, Controlli, preparazione di un SoA: Statement of Applicability Area delle Regole POLICY MGMT DO: implementazione ed attivazione ISMS definizione Piano di Risk Management, implementazione Piano di Risk Management, implementazione dei Controlli ACT: manutenzione e adeguamento (miglioramento ) ISMS implementazione migliorie, attivazione azioni correttive e preventive, comunicazione azioni e risultati, controllo raggiungimento obiettivi Area della Infrastruttura INFORMAZIONI CONTROL MGMT Area del cosa può accadere e del cosa accade IDENTITY MGMT Area di Chi Opera CHECK: monitoraggio e revisione ISMS attivazione procedure di monitoraggio, revisione periodica efficacia ISMS, revisione periodica Livello di Rischio residuo, auditing periodico

14 OBIETTIVI: CONVERGENZA, UNIFICAZIONE, SEMPLIFICAZIONE Spunti importanti dal ROSI 2.0 Pattern DLP, DAM, ROLE MANAGEMENT 5.10: DLP 5.11: DAM 5.12: ROLE MANAGEMENT

15 DOPO LA SECURITY: E LA DATA PROTECTION? Sicurezza Data Eradication Business Continuity Data Protection Disaster Recovery Backup Archiving

16 PRINCIPALI CAUSE DI PERDITA DATI

17 Principali cause di perdita dati Fonte: KPMG

18 Principali cause di perdita dati Fonte: KPMG

19 Perdite dati per settore Fonte: KPMG

20 Sicurezza del dato Enterpise Policy Management Policy Configurazioni Access Control Management Data Security Identity & Access Management Identità Eventi Security Informations & Event Management Information Integrity Management Integrità

21 CLASSIFICAZIONE DEI DATI

22 Classificazione dei dati La classificazione dei dati e delle informazioni degli Enti ha una duplice valenza, da un lato discende di fatto dagli obblighi di legge connessi, in particolare, alla normativa sulla privacy (D. Lgs. 196/2003 e Provvedimenti del Garante), dall altro è necessario al fine di attribuire a ciascuna informazione l adeguato livello di protezione, rispetto alla criticità del dato per la missione dell Ente (secondo gli standard internazionali di sicurezza, per esempio, ISO 27001). In entrambi i casi, il livello di protezione dei dati e delle informazioni classificate, in termini di controlli di sicurezza tecnici, organizzativi o fisici, deve essere determinato attraverso un procedimento di analisi dei rischi cui le informazioni medesime sono esposte.

23 I POWER USER AL LAVORO (FINO A IERI) Audit & Monitor Net Admin L amministrazione delle applicazioni, dei server e degli apparati avviene direttamente sugli ambienti target. I privilegi di accesso sono generalmente di livello elevato Le tracce e le evidenze delle operazioni ICT sono a cura dei sistemi gestiti e quindi esse stesse soggette ad azioni da parte dei Power User Log Managed Zone Log Sys Admin La unica forma di reale deterrenza dalle manipolazioni è la Separation of Duties tra i Power User User Zone Log Non costituisce però una prova forense in caso di contestazione Mail Admin

24 I POWER USER da OGGI: Una rivoluzione silenziosa Net Admin Audit & Monitor COME? 1. Disaccoppiare i Power User dai Sistemi Gestiti 2. Fornire un logging autonomo, indipendente, inalterabile Log Managed Zone Log Sys Admin Log User Zone NOOS Admin Mail Admin

25 DAM: DB Activity Monitoring Protezione in tempo reale dei database ed aderenza alle esigenze di Compliance e Data Protection

26 DAM: Le componenti necessarie Tracciabilita dell accesso degli utenti ai database in ambienti WAN e LAN strumenti di Vulnerability assessment per DB Oracle, SQL Server, MySQL, DB2 Strumenti per la gestione ed il reporting delle attivia di auditing Prevenzione delle intrusioni dall interno del DB, con pieno controllo dei POWER USER Intrusion Prevention Virtual Patching Virtual patching basati sulle vulnerabilità note dei DB con azione 0 day protections.

27 ILM: INDIPENDENZA DAI VENDOR! Su tutto il ciclo di Information LifeCycle Management Business Needs Collect / Organize Delete / Destroy Replicate/ Monitor Migrate / Archive Access / Share Protect / Recover

28 GRAZIE! Vi aspettiamo al SECURITY SUMMIT DI ROMA Paolo Capozucca Advisory & Alliance Manager Gruppo Terasystem