Sicurezza dei Sistemi Informativi

Transcript

1 francesco moroncini

2

3 Sicurezza dei Sistemi Informativi Quanto è importante la sicurezza informatica in azienda? Quanto considerate importante il vostro sistema informativo? Si sono mai verificati incidenti? Sono mai andati persi dei documenti, delle informazioni, degli archivi? Che cosa faccio se smarrisco delle informazioni? E possibile garantire lo stesso livello di servizio senza poter accedere ai dati contenuti nel sistema informativo?

4 Chi protegge il Vostro Sistema Informativo?

5

6 Amministratore di Sistema: definizione D.P.R. 318/1999 (Abrogato dal 1/1/2004 ex D.Lgs. 196/2003 ) Definizioni elencate nell'articolo 1 della legge 31 dicembre 1996, n. 675, Misure minime di sicurezza Art. 1, comma 1, lett. c: soggetto al quale è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di banca dati e di consentirne l'utilizzazione

7 Amministratore di Sistema: definizione Provvedimento del Garante Privacy Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema 27 novembre 2008 (G.U. n. 300 del 24 dicembre 2008) figura professionale finalizzata alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti..sono considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, di reti e di apparati di sicurezza, di sistemi software complessi.

8

9 Misure minime Misure idonee Autenticazione informatica Password (8 car.- val. 3/6 mesi) Backup (almeno ogni 7 gg.) Ripristino (entro 7 gg.) Antivirus (ogni 6 mesi) Aggiornamenti Sistemi Operativi (ogni 6 mesi) Profili di autorizzazione (verifica annuale) DPS (redazione annuale)

10

11

12 Punti di vista Utente Il computer NON FUNZIONA!! La stampante NON FUNZIONA!! Il programma NON FUNZIONA!! Non ricordo come si fa.. Il computer è troppo lento!! Anche questo sito è bloccato!! Non posso neanche far vedere ai colleghi le foto dell ultima vacanza!! Non posso neanche comprare un oggetto su ebay!! Errore! : adesso chiamo l AdS.. Sys Admin PICNIC = "Problem In Chair Not In Computer" Verifica che sia accesa e collegata.. Inserisci il codice / valore esatto.. Leggi il manuale che ti ho dato! Perché non spegni la web radio? Ti serve veramente per lavorare? Ma non li puoi invitare a casa? un caffè, due pasticcini.. Ma è per l azienda? Paghi con la tua carta di credito?? PEBKAC = Problem Exists Between Keyboard And Chair

13

14 Garantire la Riservatezza Ridurre a livelli accettabili il rischio di accesso improprio e dell'utilizzazione dell'informazione da parte di soggetti non autorizzati. Solo gli autorizzati possono accedere alle informazioni necessarie.

15 Garantire l Integrit{ Ridurre a livelli accettabili il rischio di cancellazioni o modifiche di informazioni a seguito sia di fatti accidentali e/o naturali, che di atti dolosi di soggetti non autorizzati. Tutela dell'accuratezza e completezza dei dati.

16 Garantire la Disponibilità Ridurre a livelli accettabili il rischio di impedimento agli utenti autorizzati di fruire del sistema informativo e di accedere e utilizzare le informazioni, sia a seguito di fatti accidentali e/o naturali che di atti dolosi di soggetti non autorizzati. Le informazioni sono rese disponibili quando occorre e nell'ambito di un contesto pertinente.

17 Compiti dell Amministratore di Sistema 1. Monitorare l infrastruttura informatica di competenza attraverso l analisi dei log, identificando e prevenendo potenziali problemi 2. Introdurre ed integrare nuove tecnologie negli ambienti esistenti 3. Installare e configurare nuovo hardware o software sia lato client sia lato server 4. Applicare le patch e gli aggiornamenti necessari al software di base ed applicativo, modificare le configurazioni in base alle esigenze dell organizzazione 5. Gestire e tenere aggiornati gli account utente ed i relativi profili di autorizzazione

18 Compiti dell Amministratore di Sistema 6. Fornire risposte alle questioni tecniche sollevate dall utenza, porre rimedio ai problemi / guasti tramite tecniche di troubleshooting 7. Pianificare e verificare la corretta esecuzione dei backup e delle repliche 8. Documentare le operazioni effettuate (Logbook), le configurazioni, le modalità di backup e di ripristino dei dati e dei sistemi, gli eventi e le soluzioni ai problemi 9. Ottenere le migliori prestazioni possibili con l'hardware a disposizione 10. Operare secondo le prescrizioni di sicurezza e le procedure interne previste

19

20 Documentare - Documentare - Documentare Documento programmatico sulla sicurezza QUIS: Incaricati / AdS / Responsabili / Responsabili Esterni QUID: Archivi Cartacei / Informatici QUANDO: Sicurezza SEMPRE Adempimenti 1 volta all anno UBI: Sedi CUR: Natura incarico Profilo di autorizzazione QUANTUM: QUOMODO: QUIBUS AUXILIIS: Analisi del rischio Cartaceo / Informatico Interventi Formativi Continuità operativa Misure da adottare Dispositivi utilizzati PERCHE DOVE CHI DOCUMENTARE PER GOVERNARE QUANDO COSA

21 Documentare - Documentare - Documentare Autorizzazioni e profili Inventario informazioni, software e hardware (IT Asset Management) Documento di Backup e Recovery (Disaster Recovery Plan) Piano di continuità operativa (BCP) e Business Impact Analysis (BIA) Configurazioni dei sistemi e dei dispositivi Policy di sicurezza attive Daily Check List (evidenze)

22 Controllare - Controllare - Controllare Controllo operatività e performance dei sistemi (CPU, ram, disk, stato servizi, processi, ecc..) Controllo dispositivi di rete e prestazioni della connettività interna ed esterna Controllo e registrazione log eventi Controllo aggiornamenti antivirus, dei sistemi e dei software Controllo attività utente (nel rispetto della normativa vigente)

23 Regole del gioco Regolamento uso attrezzature e servizi informatici Regolamento navigazione web e posta elettronica Regolamento Amministratori di Sistema Procedura e modulistica di autorizzazione dell utente all accesso ai servizi informatici Procedura e modulistica di nomina dei responsabili esterni del trattamento e autorizzazione incaricati Attività di sensibilizzazione e formazione continua dell utenza

24 Miglioramento continuo del Sistema e dell AdS Disponibilità di risorse Formazione e autoformazione Approfondimento e applicazione della normativa vigente Aggiornamento continuo su sistemi e tecnologie Certificazioni (MS, Cisco, Oracle, Vmware, ecc.) Studio, sperimentazione, implementazione Condivisione delle conoscenze e delle competenze tra AdS Audit di sicurezza di terze parti ACT PLAN CHECK DO

25