Cyber Security Architecture in Sogei

Transcript

1 Cyber Security Architecture in Sogei P. Schintu 20 Maggio 2015 Cybersecurity Sogei S.p.A. Summit - Sede - Legale Roma, Via 20 M. maggio Carucci n Roma 1

2 SOGEI, infrastruttura IT critica per la PA Dimensionamento e complessità dell infrastruttura di sicurezza logica ed informatica: Controllo accessi - Circa 7,5 milioni di utenti interni ed esterni gestiti - Federazione utenti - Cornice di sicurezza per servizi - Circa 300 Amministratori di Sistema - Certification Authority per un totale di circa certificati gestiti Sicurezza di rete - Oltre 600 Firewall gestiti - Circa 10 Sistemi anti-intrusione (IPS) - Oltre 10 infrastrutture di Virtual Private Network Sistemi di protezione per circa end-point (client e server) Sistemi di gestione centralizzati della sicurezza - Computer Emergency Response Team - Security Operation Center Sistemi di analisi e correlazione eventi - Security Information and Event Management Forensic Lab Cybersecurity Summit - Roma, 20 maggio

3 Le nuove frontiere della Cyber Security Il Sistema di informazione per la sicurezza della Repubblica, indica: «Il cyberspace, oggi, non è più una dimensione altra rispetto alla vita reale e alle attività quotidiane. Ne è parte integrante e, sempre più spesso, ne determina la sua natura. Per questo la sua protezione è diventata una priorità nazionale che il Sistema di informazione per la sicurezza della Repubblica è chiamata, insieme a tutti coloro che operano in questo ambito, a garantire.» Come Infrastruttura Critica e come gestore di sistemi costantemente connessi e attivi H24, Sogei si riferisce ai punti programmatici della Cyber Strategy Italiana, espressa nel DPCM 27/01/2014 «Strategia Nazionale per la Sicurezza Cibernetica» e seguendo le linee previste dal Piano Nazionale per la Protezione Cibernetica e la Sicurezza Informatica; e dal Quadro Strategico Nazionale per la Sicurezza dello Spazio Cibernetico. Cybersecurity Summit - Roma, 20 maggio

4 Il Sistema di Governo della Sicurezza Informatica: gli obiettivi SOGEI ha sviluppato un proprio modello di information security governance per rispondere in modo più efficiente ai nuovi fattori di rischio informatico con i seguenti obiettivi Definire, mantenere ed aggiornare un sistema strutturato che fornisca le strategie e l indirizzo della Sicurezza Informatica garantendo: il supporto degli obiettivi di business la conformità alle normative vigenti la soddisfazione delle esigenze degli stakeholder Governare, valutare e contrastare il rischio inerente la Sicurezza informatica ottimizzandone i costi di gestione Identificare, in base alla valutazione del rischio, le contromisure idonee a supportare il business a fronte di potenziali minacce, gestendo la sicurezza informatica come un fattore abilitante al business: Continuità del business Sicurezza delle informazioni Efficienza del servizio Cybersecurity Summit - Roma, 20 maggio

5 Il modello di Governo della Sicurezza Informatica Processi Primari Governo del Rischio Rischi Piano di Governo del Rischio Piano Esecutivo degli Interventi di sicurezza Controlli di Sicurezza Allineamento al Business Piano Programmatico degli Interventi di sicurezza Ottimizzazione delle Risorse Costi di Sicurezza Processi di Supporto Trasparenza Stakeholder ISG System Management Cybersecurity Summit - Roma, 20 maggio

6 Il modello di Governo della Sicurezza Informatica: i benefici Il modello di Governo della Sicurezza è stato sviluppato con una struttura modulare per essere integrato ed esteso nel tempo in modo flessibile secondo i seguenti criteri: criterio di priorità, per consentire di individuare le aree di rischio più critiche da verificare in fase di assessment/audit e di selezionare gli interventi correttivi. criterio di ciclicità, in modo da essere applicato iterativamente, prima sui requisiti ed interventi di sicurezza prioritari, poi progressivamente su quelli meno critici, in una azione di miglioramento graduale e continua Il target è riportare in modo efficiente al Vertice aziendale i rischi, i criteri di valutazione, le opzioni di intervento ed il controllo/coordinamento del programma aziendale dei progetti di sicurezza strategici. Sono quindi coordinate le iniziative strategiche di evoluzione ed investimento tecnologico-organizzativo, (programma integrato di cyber security) per l ottimizzazione e il miglioramento delle fasi di: Prevention (Formazione, Progettazione e sviluppo del codice - Security by design) Detection (SIEM, Threat intelligence) Response (SOC, CERT) Cybersecurity Summit - Roma, 20 maggio

7 Prevention - Prevenire è meglio che curare La prevenzione in ottica della protezione delle informazioni aziendali si definisce e si muove su 3 fondamentali direttrici: Formazione e Aggiornamento Progettazione e di sviluppo del codice L implementazione della Security by design Cybersecurity Summit - Roma, 20 maggio

8 Prevention - Formazione La scelta effettuata da Sogei riguardo la formazione in ambito di sicurezza si sviluppa tramite : Formazione base lessico comune, formazione avanzata certificazioni in ambito tecnologico e metodologico. Aggiornamento continuo Security awareness Seminari periodici sulla consapevolezza «esterna» (trend, case, ecc.) ed «interna» (nuove soluzioni, architetture, analisi della situazione, ecc.) Progettazione dei seminari con attenzione all ambito lavorativo interno (parlare ad ognuno nel proprio linguaggio) Il risultato deve essere una «diffusione della cultura della sicurezza informatica e promozione di metodologie e tecnologie che siano in grado di aumentare il livello di security dell esperienza». Cybersecurity Summit - Roma, 20 maggio

9 Prevention - Gestione del Processo di progettazione e di sviluppo del codice Definizioni (domande) Identificazione degli stakeholders coinvolti nel processo (cliente, fornitore, analista, sviluppatore) Presentazione e formalismi dei requisiti Fasi del processo da attraversare (Progettazione, Sviluppo, Deploy, Redeploy, Manuntenzione Evolutiva) Ambiente di sviluppo, tecnologie impiegate, impatti possibili (coesistenza, con che cosa?) Applicazione dei framework/pattern di sicurezza certificati dall azienda Analisi statica e dinamica del codice nei vari step del suo ciclo di vita. Best practices OWASP Risultati attesi Caratterizzazione della security a livello di processo Inserimento nelle diverse fasi del processo stesso Minimo impatto sugli ambienti di sviluppo e sui linguaggi. Nessun (o minimo) overhead. Gestione della security centralizzata Implementazioni della sicurezza «automatizzate» Cybersecurity Summit - Roma, 20 maggio

10 Prevention - Threat Intelligence Fonti disponibili da cui Sogei riceve informazioni di intelligence Chiuse: CERT-PA, CNAIPIC, altri Enti. - Maggiore efficacia. - Informazioni già prelavorate e pronte all uso - Maggiore dipendenza da enti esterni, minore efficacia delle verifiche interne - Possibilità di un quadro non completo della situazione esterna Aperte: social network, chat, forum, ecc. - Grande quantità di informazioni (in particolare hacktivism e black market) - Grande «rumore di fondo» derivante dalla quantità di informazioni - Necessità di filtri ad hoc, motori di analisi semantica, consulenze specialistiche (ma si torna verso gli aspetti delle fonti chiuse) In ogni caso non è possibile prescindere dalla figura dell analista che è l interprete delle informazioni e su cui, in particolare nel caso di uso di fonti aperte, vanno indirizzate politiche di formazione continua. Cybersecurity Summit - Roma, 20 maggio

11 Prevention - Gestione del Processo di progettazione e di sviluppo del codice Nato nel 2009, con l obiettivo di migliorare la qualità dei servizi del Sistema Informativo della Fiscalità, BGI Business Governance Improvement si propone di: attuare azioni di recupero di efficacia ed efficienza nella filiera produttiva del core business, idonee a conseguire il miglioramento complessivo dei servizi; avviare attività di controllo in grado di assicurare livelli di qualità dei servizi, commisurati alla loro rilevanza/criticità; certificare il passaggio in produzione della componente software dei servizi (kit) La certificazione C 3 - Control Creation Compliance Ambito Individuazione della Classe di criticità dell applicazione Redazione del documento architetturale del servizio Progettazione dei controlli previsti per la classe Esecuzione dei controlli Verifica dei controlli effettuati (Certificazione C 3 ) Rilascio del servizio Cybersecurity Summit - Roma, 20 maggio

12 Prevention Security by design La Sicurezza by design in realtà complesse va vista come una soluzione architetturale messa a fattor comune fra più di un progetto Approccio di tipo sistemico definizione del contesto definizione degli attori coinvolti disegno dell architettura integrazione delle conoscenze mediazione tra regole di business e politiche di sicurezza. Non si può approcciare la sicurezza solo alla fine cercando di chiudere le falle Cybersecurity Summit - Roma, 20 maggio

13 Prevention Security by design I controlli da fare nelle varie fasi del progetto debbono essere pochi, mirati e chiari: Protezione dei dati Controllo degli accessi Applicazione delle policy Provisioning e deprovisioning Risposte agli incidenti e disaster recovery Conformità Accesso remoto sicuro ed efficiente Uno strumento di cui Sogei si è dotata fin dal 2009, con l obiettivo di migliorare la qualità dei servizi del Sistema Informativo della Fiscalità, è il BGI Business Governance Improvement. Cybersecurity Summit - Roma, 20 maggio

14 Prevention - Gestione del Processo di progettazione e di sviluppo del codice Il processo di Business Governance Improvement si propone di: attuare azioni di recupero di efficacia ed efficienza nella filiera produttiva del core business, idonee a conseguire il miglioramento complessivo dei servizi; avviare attività di controllo in grado di assicurare livelli di qualità dei servizi, commisurati alla loro rilevanza/criticità; certificare il passaggio in produzione della componente software dei servizi (kit) La certificazione C 3 - Control Creation Compliance Ambito Individuazione della Classe di criticità dell applicazione Redazione del documento architetturale del servizio Progettazione dei controlli previsti per la classe Esecuzione dei controlli Verifica dei controlli effettuati (Certificazione C 3 ) Rilascio del servizio Cybersecurity Summit - Roma, 20 maggio

15 Detection - Security Information and Event Management Threat Intelligence Analisi e Correlazione Eventi Controllo Centralizzato Accessi Logici Cybersecurity Summit - Roma, 20 maggio

16 Detection - Security Information and Event Management AS IS Conservazione e gestione dei log Correlazione di eventi infrastrutturali e/o applicativi Allarmistica «a consuntivo» TO BE Individuazione e adozione di modelli adattativi (Data Center Automation) Progettazione e implementazione di modelli «predittivi» (Threat Intelligence) Individuazione di finestre temporali di maggiore criticità assoluta o relativa HOW TO Ricerca e sviluppo Collaborazione con i vendor Collaborazione con Enti ed Università Cybersecurity Summit - Roma, 20 maggio

17 Response - Computer Emergency Response Team e Security Operation Center Studi e rapporti Relazioni esterne Awareness e Formazione Policy e Best Practice CERT MEF CERT SOGEI Audit Security Governance CERT Nazionale Endpoint Operations Tiger Team Technology watch Forensics React Detect Monitor SOC SOGEI Esercitazioni Early Warning Incident Handling Cybersecurity Summit - Roma, 20 maggio

18 Sogei S.p.A Sede Legale Via M. Carucci n Roma Cybersecurity Sogei S.p.A. Summit - Sede Legale - Roma, Via M. Carucci 20 maggio n Roma 18