La sicurezza in banca: un assicurazione sul business aziendale

Transcript

1 Convegno Sicurezza 2003 Roma, ABI - Palazzo Altieri 28 maggio La sicurezza in banca: un assicurazione sul business aziendale Elio Molteni, CISSP-BS7799 Bussiness Technologist, Security Computer Associates elio.molteni@ca.com

2 Agenda Lo scenario Cosa fare La proposta Computer Associates Conclusioni

3 Lo scenario La situazione Differenti sistemi Acquisizioni, fusioni Normative Italiane ed europee Turnover dei collaboratori Crescita degli utenti Internet

4 La necessità di garantire il SLA Gestori Sicurezza Servizi HR Trading Help Altri Sicurezza Utenti

5 Le minacce volontarie

6 Gli errori interni Siete protetti da Virus ed attacchi esterni! Siete protetti dalla Sig.ra Rossi del personale?

7 In sintesi! Cambiamenti nel business Nuove minacce Incidenti Cambiamenti di sistema

8 Il risultato Nuove minacce Molte e nuove vulnerabilità

9 Cosa fare! Quale approccio? Un approccio basato sulla sola reattività oggi non può più garantire il livello di sicurezza appropriato! Serve un nuovo approccio!

10 Come proteggersi Minacce e vulnerabilità CALAMITA NATURALI ERRORI INCIDENTI Attività ATTI DOLOSI SOFTWARE BUG MISURE PREVENTIVE Risorse umane Security Sistemi Applicativi Tecnologia Infrastrutture Dati MISURE CORRETTIVE IMPATTO SUL BUSINESS MISURE DI EARLY DETECTION

11 Quanto tempo ci vuole per rendere operativo un utente? Abbiamo una valanga di eventi di sicurezza. Come faccio a capire i comportamenti anomali? Quale modello? Come traccio gli asset IT e il loro accesso? Best Practice IT Security Management Requirements Come blocco gli accessi indesiderati e le potenziali intrusioni? Business Security Gap Come faccio a garantire la disponibilità e il ripristino dei dati? IT Infrastructure Abbiamo molti User DB! Vogliamo avere un unico DB! Come possiamo integrare l IT security come parte del processo di business? Ogni giorno ho nuove patch da considerare. Chi mi avverte?

12 ..da dove partiamo? Quali sono i miei asset? Che valore hanno? Cosa succede in caso di perdita o furto?..... Cosa gli può succedere? Come, dove e quando? Perché? Con quale danno? Cosa intendo fare?..... Chi deve accedere a cosa? Con quali diritti? Da dove? Quando?..... Chi accede a cosa? Cosa è stato acceduto? Come e quando? Cosa è successo?..... I dati sono salvati? Entro quanto tempo devo ripristinarli? Ho fatto i test di disater recovery?.....

13 ..la sfida... Tutto questo rappresenta una grossa sfida!

14 E3SM: (End to End Enterprise Security Management)...un modello per la sicurezza IT... Aspetti organizzativi Rischi e gestione della sicurezza IT Asset Management Policy Setting User Provisioning Security Monitoring and Auditing Incident Response Business Continuity Plan Server & Desktop Mgt IT Security Management Technologies Data & Service Protection Discovery & Monitoring Change Management Firewalls and VPNs Antivirus & Vulnerability Mgt Intrusion Detection and Prevention User Access Mgt Service High Availability Backup and Recovery

15 Gestione degli asset Asset Management Server & Desktop Mgt Discovery & Monitoring Change Management...l analisi dei rischi presuppone un inventario continuo degli asset!

16 Gestione della sicurezza IT Gestione della sicurezza IT Policy Setting User Provisioning Security Monitoring and Auditing Incident Response IT Assets Security Technologies Web Servers Database Systems Application Servers Distributed Platforms Mainframe Servers

17 Gestione della sicurezza IT Policy Setting User Provisioning Security Monitoring and Auditing Incident Response Identificazione/autenticazione Autorizzazione Controllo..tutto parte dall identificazione!

18 Piano di business continuity Data & Service Protection Service High Availability Business Continuity Plan Backup and Recovery Data Protection SAN & NAS Storage Mgmt. Storage Resource Mgmt. Media Mgmt...l importanza della disponibilità e del ripristino dei dati!

19 ...la necessità di una gestione globale Centro di amministrazione e controllo Asset Management Policy Setting User Provisioning Security Monitoring and Auditing Incident Response Business Continuity Plan

20 ...la proposta tecnologica di Computer Associates Server & Desktop Mgt IT Security Management Technologies Data & Service Protection Discovery & Monitoring Change Management Firewalls and VPNs Antivirus & Vulnerability Intrusion Detection and User Access Service High Backup and Mgt Prevention Mgt Availability Recovery

21 ...il nostro approccio globale! Metodologia: Dall analisi dei requisiti alla realizzazione del progetto con l ausilio degli standard di mercato (es. BS7799)! Tecnologia: Unicenter, etrust, Brighstor Una soluzione modulare, completa per la risposta ai problemi di sicurezza ICT Integrazione con la sicurezza fisica e prodotti terze parti! Gestione efficiente della sicurezza Realizzazione del progetto: Una disponibilità di know-how a supporto delle Vostre esigenze grazie a: Servizi interni: C.A. Technology Service Partner qualificati

22 Conclusione Per vincere la sfida della sicurezza serve una gestione globale a garanzia del business! La tecnologia è disponibile L approccio metodologico esiste Computer Associates può darvi una mano!

23 Convegno Sicurezza 2003 Roma, ABI - Palazzo Altieri 28 maggio La sicurezza in banca: un assicurazione sul business aziendale Grazie! Elio Molteni, CISSP-BS7799 Bussiness Technologist, Security Computer Associates elio.molteni@ca.com