<Insert Picture Here> Security Summit Identity Assurance Andrea Buzzi, Senior Manager

Transcript

1 <Insert Picture Here> Security Summit 2010 Identity Assurance Andrea Buzzi, Senior Manager

2 Contenuti La Divisione Sicurezza di Value Team IAM: ambiti di intervento Approccio Metodologico Case Studies Le nuove sfide

3 Il gruppo Value Partners: servizi ad alto valore aggiunto, dalla consulenza strategica alla consulenza e soluzioni IT VALUE PARTNERS GROUP 15 Offices in 12 Countries VALUE PARTNERS Management Consulting VALUE TEAM IT Consulting & Solution GOLDEN MOUSE High Tech Venture Capital VP FINANCE M&A and Corporate Finance DIVISIONE SECURITY Un attore internazionale. Headquarter a Milano e uffici in 12 Paesi, tra cui America Latina, India e Cina Un gruppo forte e coeso professionisti, di 25 nazionalità La capacità di integrare competenze di business e di tecnologia

4 La Divisione Sicurezza di Value Team Consultancy & Security Solution Start-up: Marzo 2001 Sedi: Milano Roma Cosenza Fatturato 2009: 32 Mil Il Team: 250+ professionisti di sicurezza Clienti: 30+ Certificazioni: ISO / BS25999 Certificata ISO 9001:2000 Missione Portare al mercato un offerta di servizi in ambito Security capace di coniugare aspetti consulenziali e tecnologici nel rispetto delle esigenze del cliente. Mercati Telco, Finance, Industry, Sanità, PAC/PAL R&D Forti legami con il mondo universitario e con centri di R&D nazionali e internazionali.

5 Contenuti La Divisione Sicurezza di Value Team IAM: ambiti di intervento Approccio Metodologico Case Studies Le nuove sfide

6 Il panorama normativo italiano: le principali direttive Le norme vigenti risultano molteplici e, ognuna per proprio conto, indirizza degli aspetti specifici. Analizzando le norme nel complesso, e riportandone i requisiti a fattor comune, se ne evincono alcuni (cardine) che un qualsiasi contesto IT in Italia dovrà soddisfare, altrimenti il mancato adempimento comporta l applicazioni di sanzioni giuridiche e/o amministrative, perdite finanziarie rilevanti e/o perdita di immagine.

7 La sicurezza dei dati presuppone il coinvolgimento di diverse funzioni con finalità ed obiettivi specifici BIA Regulatory Compliance Governance Antifraud Security Governance Obiettivi Processi Applicazioni Sistemi Dati Analisi del Rischio di Alto Livello Pianificazione degli di Interventi di security PdS Generale Integrato PdS 1 PdS 2 PdS 3 PdS 4 PdS n IT Security IT Security Linee di Sviluppo Attuazione delle contromisure Contromisure infrastrutturali Linee di Sviluppo Linee di Esercizio C 1 C 2 C 3 C 4 C n

8 Contenuti La Divisione Sicurezza di Value Team IAM: ambiti di intervento Approccio Metodologico Case Studies Le nuove sfide

9 Per una risposta efficace è necessario un approccio metodologico rigoroso correlato ad un framework tecnologico di riferimento L applicazione delle raccomandazioni del Garante riguarda sia l ambito organizzativo e di processo che l ambito tecnologico; ciò può avvenire secondo una metodologia specifica mutuabile dai principi canonici della gestione del rischio Layer dei processi e dell organizzazione Deliverable Definizione del dato critico pertinente all azienda Tassonomia e peso di rilevanza dei dati critici Definizione e classificazione dei dati critici trattati dall azienda book dei processi e delle applicazioni che trattano dati critici Censimento dei processi e dei sistemi di elaborazione che li trattano Lista delle funzioni / responsabili aziendali a cui è attribuito l owner dei processi / sistemi che trattano dati critici Verifica (ed eventuale assegnazione) dell ownership sui processi / applicazioni / sistemi coinvolti Matrice di rischio in relazione agli elementi coinvolti nel trattamento dei dati critici Analisi dei rischi correlati alle specifiche minacce ai requisiti di privacy sui dati critici Framework di riferimento per lo sviluppo delle contromisure Sviluppo del modello delle contromisure inquadrate in un framework di riferimento condiviso Layer infrastrutturale e tecnologico Componenti Implementazione del processo di assegnazione delle credenziali e dei privilegi per le utenze applicative e gli addetti IT Repository unico delle utenze per tutte le componenti tecnologiche coinvolte Workflow autoritativo generale Interventi sulle applicazioni per renderle conformi ai requisiti di identificazione, autorizzazione e tracciamento delle utenze Piani di sicurezza applicativi per la conformità ai requisiti: introduzione di tecniche di strong authentication, controllo privilegi sulle risorse, firma digitale delle transazioni, Interventi per la sicurezza di sistemi operativi e database per gestione accessi, controllo privilegi, riservatezza dei dati e tracciamento degli addetti IT Sistemi di controllo accessi sulle risorse sistemistiche e DB Cifratura dei dati Sistemi di tracciamento degli interventi sulle risorse Sviluppo di un sistema di auditing sui trattamenti operati sui dati critici Infrastruttura di log collection ed audit centralizzato

10 Value Team ha consolidato una metodologia per affrontare le tematiche legate allo IAM... L Identity and Access Management (IAM) è l insieme dei processi e delle tecnologie che consentono di gestire e proteggere l accesso alle informazioni e alle risorse aziendali, attraverso meccanismi di gestione delle utenze e di controllo dei privilegi con i quali le risorse stesse possono essere accedute. Project Management Definizione Obiettivi Progettazione Implementazione Validazione e Testing Gestione e Manutenzione Classificazione dei dati trattati dall Azienda Analisi dei Processi e delle soluzioni in essere Definizione dei processi Autorizzativi Progettazione del Modello dei Dati, dei flussi autoritativi e di provisioning Realizzazione piattaforma di Identity Management (Workflow autorizzativo, connettori per target e sorgenti autoritative, role management) Validazione piattaforma di Identity Management Validazione connettori verso i sistemi target Supporto Operativo Definizione dei modelli di gestione delle identità e dei dei ruoli Progettazione del Modello dei Ruoli / Regole per l assegnazione dei privilegi Identificazione flussi e ownership su processi / applicazioni / sistemi Def. requisiti. Scouting tecnologico. Valutazione impatti economici Progettazione del modello di controllo degli accessi (AAA, SSO ) Definizione delle funzionalità di audit e reporting Realizzazione soluzione di Access Management Realizzazione audit / reporting Validazione soluzione di Access Management Validazione audit / reportistica Bug Analysis & Improvement

11 ...basata su un modello logico architetturale di riferimento AUTHORITATIVE SOURCES HR DATABASE / DIRECTORIES ASSET MANAGEMENT IAM USERS SECURITY AUDIT HR ORGANIZATION HELP DESK MANAGEMENT GENERAL USERS IAM ADMINS IDENTITY SERVICES CENTRAL ADMINISTRATION DELEGATED ADMINISTRATION USER SELF SERVICE COMPLIANCE / REPORTING AUDIT / INVESTIGATION MONITORING / ALERTING IDENTITY & ROLE MANAGEMENT WORKFLOW ENGINE IDENTITY MANAGEMENT ENGINE ROLE MANAGEMENT ENGINE ENTITLEMENT MANAGEMENT ENGINE TARGET CONNECTORS Active Directory Windows Systems Web Applications TARGET PLATFORM LDAP Unix Systems Client/Server Applications Identity Repository Role Repository Policy Repository RACF Database Network & Securirty ACCESS CONTROL SERVICES WEB ACCESS CONTROL ENTERPRISE SINGLE SIGN-ON STRONG AUTHENTICATION FEDERATION NETWORK ACCESS CONTROL ADMINISTRATIVE ACCESS CONTROL PASSWORD SYNC TARGET SYSTEMS USERS EMPLOYEES CONSULTANT SYSTEM ADMINS OUTSOURCERS CUSTOMERS PRODOTTI UTILIZZATI NUMERO E TIPO DI UTENTI GESTITI NUMERO E TIPO DI PIATTAFORME TARGET Approccio Open e conoscenza di tutte le principali tecnologie di mercato Dalla piccole imprese alle grandi organizzazioni Competenze trasversali su tutte le architetture (Client/Server, Java, Host, SOA, etc.)

12 Contenuti La Divisione Sicurezza di Value Team IAM: ambiti di intervento Approccio Metodologico Case Studies Le nuove sfide

13 Case Study: Telco FUNZIONALITA REALIZZATE / IN REALIZZAZIONE Rule-based Provisioning Identity Central Delegated Help Desk / user self service Identity Assurance Compliance reporting Audit / Investigation Monitoring & Alerting HR Regole Identity Repository Fonti Autoritative Identity Management Service AD Sistemi Target DB Asset Mgnt Workflow Autorizzativo Identity Rule Engine Altri DB / Directory Target system connectors LDAP Applicazioni commerciali Role / privilege store Security policy store Altri Access Management Web Access Control Enterprise Single Sign On Garamte Amministratori Strong Authentication Federation NAC Log Collection and Signing Gestione Utenti Amministratori Privileged User Password Management Cross-domain authentication (Kerberos) E-SSO agentless OS e Database Workflow Autorizzativo e Reporting Activity Logging (EAS) Policy Enforcement centralizzato (SUDO) CARATTERISTICHE DEL CONTESTO TECNOLOGICO Soluzioni utilizzate: Oracle Identity Manager; IBM TIM; Sun Identity Manager; Microsoft ILM; sistema progettato e personalizzato usando tecnologie J2EE, Kerberos v5, LDAP v3 Numerosità utenze: circa , corrispondenti a oltre di account gestiti Numerosità sistemi integrati: target

14 Case Study: Finance HR Fonti Autoritative Asset Mgnt Altri DB / Directory FUNZIONALITA REALIZZATE / IN REALIZZAZIONE Rule-based Provisioning Password Propagation Identity Central Delegated Help Desk / user self service Identity Assurance Compliance reporting Audit / Investigation Monitoring & Alerting Regole Identity Repository Identity Management Service AD Sistemi Target DB Workflow Autorizzativo Identity Rule Engine Target system connectors LDAP Applicazioni commerciali Role / privilege store Security policy store Altri Access Management Web Access Control Enterprise Single Sign On Garante Amministratori Strong Authentication Federation NAC Gestione Utenti Amministratori Workflow approvativi per amministratori Reporting e Attestazione Role Mining (analisi bottom- Up) CARATTERISTICHE DEL CONTESTO TECNOLOGICO Soluzione utilizzata: Oracle Identity Manager e Oracle Role Manager Numerosità utenze: circa Numerosità sistemi integrati: 10

15 Case Study: Utilities FUNZIONALITA REALIZZATE / IN REALIZZAZIONE Rule-based Provisioning HR Fonti Autoritative Asset Mgnt Altri DB / Directory Log Collection and Signing Gestione Utenti Amministratori Privileged User Password Management Identity Central Delegated Help Desk / user self service Identity Assurance Compliance reporting Audit / Investigation Monitoring & Alerting Regole Identity Repository Identity Management Service AD Sistemi Target DB Workflow Autorizzativo Identity Rule Engine Target system connectors LDAP Applicazioni commerciali Role / privilege store Security policy store Altri Access Management Web Access Control Enterprise Single Sign On Amministratori Strong Authentication Federation NAC Cross-domain authentication (Kerberos) E-SSO agentless OS e Database Workflow Autorizzativo e Reporting Convergenza logico-fisica della sicurezza (OS,DB, Appl, Location, Rete) Network Access Control CARATTERISTICHE DEL CONTESTO TECNOLOGICO Soluzione utilizzata: Oracle Identity Manager Numerosità utenze: 5.000, corrispondenti a circa account gestiti Numerosità target integrati: circa 1000 server (SO), 100 DB, 100 applicazioni

16 Case Study: Public Fonti Autoritative FUNZIONALITA REALIZZATE / IN REALIZZAZIONE HR Asset Mgnt Altri DB / Directory Rule-based Provisioning Web Access Control Identity Central Delegated Help Desk / user self service Identity Assurance Compliance reporting Audit / Investigation Monitoring & Alerting Regole Identity Repository Identity Management Service AD Sistemi Target DB Workflow Autorizzativo Identity Rule Engine Target system connectors LDAP Applicazioni commerciali Role / privilege store Security policy store Altri Access Management Web Access Control Enterprise Single Sign On Garante Amministratori Strong Authentication Federation NAC Gestione Utenti Amministratori Self-Service Password Reset Cross-domain authentication (Kerberos) Reporting Federation & ICAR Network Access Control CARATTERISTICHE DEL CONTESTO TECNOLOGICO Soluzione utilizzata: Sun Oracle Identity Manager Numerosità utenze: circa Numerosità sistemi integrati: 15 sistemi target

17 Contenuti La Divisione Sicurezza di Value Team IAM: ambiti di intervento Approccio Metodologico Case Studies Le nuove sfide

18 Settore Finance & Telco: Role & Entitlement Management come ulteriore fattore di miglioramento dell efficienza operativa Un modello Role Based di controllo accessi è un modello basato sul concetto di ruolo. Un ruolo è un elemento di mediazione tra un insieme di utenti ed un insieme di entitlement e spesso viene identificato con i ruoli aziendali. La possibilità di raggruppare insiemi di entitlements in ruoli e basare i processi autorizzativi su questi garantisce uno snellimento dei processi autorizzativi ed amministrativi con indiscussi vantaggi sul TCO. La realizzazione di un efficace modello RBAC non è un sfida solo tecnologica (funzioni IT) o solo organizzativa (funzione HR): è il risultato di un effort congiunto e coordinato. Quando decine di ruoli sostituiscono migliaia di profili i vantaggi sono evidenti: Riduzione costi di gestione (amministrazione maggiormente granulare) Profili calibrati alle mansioni Migliore controllo degli Entitlements

19 Settore Pubblico: la federazione delle identità come strumento per sgravare la gestione operativa L invio di informazioni tra le varie entità richiede che venga istaurata una relazione di trust. Identity Provider Service Provider Registration Autority Authorization Management

20 La sfida della sicurezza fisica: la diffusione della tecnologia digitale come leva strategica Il contesto della sicurezza fisica Possibili strategie evolutive Efficienza - I servizi di vigilanza sono costosi e parcellizzati - Soluzioni tecnologiche spesso non integrate (es. gestione accessi) Introduzione di tecnologia che: - sostituisca la vigilanza fisica con un servizio di monitoraggio da remoto - Integri soluzioni di accesso fisico e logico Efficacia - Il servizio di vigilanza spesso non è un deterrente ai furti, vandalismi e rapine - Presenza di sistemi di video sorveglianza analogici a bassa risoluzione - Assenza di integrazione con tecnologie digitali che inviano segnali logici utili ai fini della sicurezza fisica: software integrati per la gestione degli accessi Introduzione di tecnologia che: - integri segnali da fonti logiche eterogenee - aumenti la probabilità di identificazione (telecamere, RFID ) - identifichi e correli segnali deboli (es. )

21 Conclusioni Riferimenti: