Sicurezza delle utenze privilegiate
Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Sicurezza delle utenze privilegiate"

Transcript

1 Sicurezza delle utenze privilegiate L esperienza Sogei Paolo Schintu Responsabile Sistemi e Standard di Sicurezza IT 26 novembre 2014

2 Sogei Sogei nasce nel 1976 per realizzare una moderna Anagrafe Tributaria e gestire in modo automatizzato le attività di controllo delle dichiarazioni e di monitoraggio del prelievo fiscale. Dal 2002, a seguito dell acquisizione dell intero capitale sociale da parte del Ministero dell Economia e delle Finanze, diventa partner tecnologico dell Amministrazione finanziaria. L automazione dell Anagrafe Tributaria Il web al servizio della collettività L incorporazione ramo IT Consip Nasce SOGEI La modernizzazione dell Amministrazione finanziaria L era e-government Da luglio 2013, con l incorporazione del Ramo IT della Consip SpA, è diventata partner tecnologico unico del MEF e sviluppa sistemi, applicazioni e servizi per tutte le esigenze di automazione e informatizzazione dei processi operativi e gestionali del Ministero, della Corte dei Conti, delle Agenzie fiscali e di altre pubbliche amministrazioni. 2

3 Contesto Asset strategici per l erogazione di servizi alle strutture organizzative del Ministero dell Economia e delle Finanze. Infrastruttura server IT interna: server Windows, Unix/Linux, Database Oracle. Le minacce di sicurezza hanno registrato un importante evoluzione negli ultimi anni, in linea con il progresso tecnologico (crescente disponibilità di banda e di risorse elaborative, introduzione di dispositivi mobili, ecc ), e sono sempre più mirate a violare l accesso a dati e sistemi aziendali. 3

4 Necessità Definire policy per la gestione delle password di utenze privilegiate. Razionalizzare il numero complessivo delle utenze amministrative. Mettere in sicurezza le identità tecniche utilizzate dalle applicazioni. Attivare funzioni di auditing e controllo sugli amministratori. Soddisfare richieste di report da parte del team di governance. Aderire alle normative e regolamenti (AdS) 4

5 Requisiti per la gestione delle Utenze Privilegiate Gestione Utenze Privilegiate Le Utenze Privilegiate sono presenti in tutte le tipologie di sistema/apparato Ogni sistema si avvale di utenze privilegiate predefinite che devono essere gestite in conformità con le normative vigenti. La numerosità di tali utenze in una organizzazione rende problematica, se non impossibile, una gestione manuale delle stesse. Ogni sistema e apparato si avvale di utenze privilegiate. Una soluzione di gestione deve operare senza interferire con i sistemi su cui opera. È necessario poter ricondurre al singolo utente le attività effettuate avvalendosi di Utenze Privilegiate Le credenziali relative a Utenze Privilegiate devono essere conservate in modalità sicura Non sempre le Utenze Privilegiate devono essere nella piena disponibilità degli operatori Le Utenze Privilegiate possono essere un blind spot per i sistemi di monitoraggio quando non è possibile ricondurne gli utilizzi a un singolo operatore. Deve essere assicurata la conservazione sicura delle credenziali. Tutti i prelevamenti devono essere tracciati e il personale incaricato della gestione della piattaforma di conservazione non deve avere accesso alle credenziali conservate. In numerosi contesti operativi è preferibile che il personale incaricato delle attività di manutenzione e controllo sui sistemi abbia accesso solo ad alcune specifiche funzionalità fra quelle disponibili tramite le Utenze Privilegiate. 5

6 Ambito di intervento 6

7 Risultati ottenuti GOVERNANCE Controllo dei fornitori: monitoraggio dell accesso ai sistemi da parte di fornitori esterni o terze parti. Segregation of duties : separazione tra il ruolo di utilizzatore delle utenze tecniche e privilegiate e il ruolo di controllore. Centralizzazione del controllo: costruzione di un servizio interno, di competenza della Security, per la gestione delle utenze privilegiate, mediante l utilizzo di un unica piattaforma. SICUREZZA Sicurezza dell accesso: credenziali mantenute centralmente in un repository cifrato con policy di accesso per il personale. Prevenzione delle frodi: autorizzazione all utilizzo delle utenze privilegiate e tracciatura delle azioni effettuate. COMPLIANCE Normativa e policy: raggiungimento della conformità alla normativa del Garante della Privacy e alle policy interne. Monitoraggio e reporting: monitoraggio dell utilizzo delle utenze e reporting per analisi di anomalie e alerting. 7

8 Sogei S.p.A. Via M. Carucci n Roma

Documenti analoghi
2026 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back