La cultura della sicurezza informatica nelle PMI fiorentine Ivano Greco Firenze Tecnologia Az Sp CCIAA Firenze Milano 10 feb 2005 Infosecurity 2005
Firenze Tecnologia Azienda Speciale della CCIAA Firenze Tecnologia Analisi Sicurezza Informatica OpenPrivacy
MISSIONE & VISIONE Firenze Tecnologia è l Azienda Speciale della Camera di Commercio di Firenze costituita nel 2001 con la missione di promuovere l innovazione tecnologica e organizzativa nelle imprese e nel sistema produttivo, facilitandone la competitività e la crescita Eroga servizi che rispondano ai bisogni di innovazione Facilita la diffusione dell informazione sulle tecnologie Intende divenire centro di eccellenza ed elemento di attrazione per le imprese in materia di innovazione per il valore aggiunto trasferito Far cogliere il cambiamento non come un problema ma come opportuntà
LA STRUTTURA ORGANIZZATIVA IMPRESA/ FABBISOGNO DI INNOVAZIONE ASSOCIAZIONI PROMOTORI DELL INNOVAZIONE SISTEMA DI IMPRESE LABORATORI SERVIZI QUALITA DI PRODOTTO AREA SUPPORTI ALLA INNOVAZIONE AREA PROGETTI DI INNOVAZIONE STRUTTURE RICERCA Prove certificazioni Metrologico Innovazione Ricerca metodologie PROGETTI DI RICERCA PROGETTI DI SISTEMA
ALCUNE AREE DI INTERVENTO SUPPORTO PER INNOVAZIONE RELATIVA AZIONI DI SISTEMA SERVIZI PER R&ST Monitoraggio Analisi aziendali brevettuale Certificazioni di prodotto Servizi metrologici Sicurezza informatica Servizi per le CCIAA (conciliazione) Servizi informatici per la PA (SITT) Collaborazione con le aziende e le strutture del territorio per l erogazione di servizi competitivi Interventi di filiera (domotica, pelletteria) Metodologie di partecipazione per sistemi territoriali Subfornitura Energie alternative (idrogeno) Marketing territoriale E-government Software Libero Finanziamenti alla R&ST Monitoraggio Brevettuale Ricerca Partner SPIRIT- portale ricerca Per un innovazione di processo, prodotto, organizzativa
Analisi Attivita' Sicurezza Informatica Firenze Tecnologia Analisi Sicurezza Informatica OpenPrivacy
IL PROGETTO SICUREZZA INFORMATICA Finanziamento Ente Cassa di Risparmio di Firenze e Camera di Commercio di Firenze Collaborazioni di Progetto con: CLUSIT, Associazione Industriali Firenze, CNA Firenze, CSIG (Centro Studi Informatica Giuridica)
INTERVENTO SICUREZZA Verso la relazione costante con l impresa 6 Oggi Coordinamento iniziative di innovazione e trasferimento alle PMI Servizi per le PMI in collaborazione con aziende esperte 5 Orientamento 1 Problematiche Pura gestione dell' emergenza, assenza di un' approccio di sistema 4 Interventi 50 interventi operativi presso PMI e PA del territorio in collaborazione con 37 aziende esperte 3 Seminari 2 Indagine Interlocutori affidabili che avessero gia' strutturato il proprio modo di intervenire Informazione e approfondimento dei modelli assessment individuati, 10 incontri
METODO DI INTERVENTO Il metodo di intervento per le PMI ha previsto: -erogazione di consulenza (non erano ammissibili spese di hardware o licenze software) - quota di adesione simbolica - la parte residua della consulenza veniva pagata dal finanziamento del progetto DIFFICOLTA NEL REPERIRE ADESIONI
AZIENDE CONSULENTI (1) Competenza Principale Sistemistica Consulenza Sicurezza Consulenza Direzione Consulenza Qualita' Studio Legale Ethical Hacking ISP Hardware Web Design 47% 17% 8% 8% 8% 6% 2% 2% 2% Sede a Firenze 67% 16% 33% 0% TOTALE Il 45% delle aziende conta meno di 10 dipendenti I dati riportati sono relativi alle aziende coinvolte attivamente nel progetto sicurezza informatica
AZIENDE CLIENTI (1) Manifatturiero Settore 16% Certificazione Qualita' 40% Sanita' Moda Software House Agricoltura Commercio Farmaceutico Sindacato Formazione 13% 12% 12% 9% 9% 9% 6% 6% 25% 75% 0% 0% 0% TOTALE
PMI e PA CLIENTI (1) Tipologia interventi Ass Privacy 34% Ass Sistemistico 31% Formazione 25% Ass BS7799 10% Gestione nel tempo 25% (45%) 75% () () 88% (63%) TOTALE in rosso la presenza di dati sensibili
PMI e PA CLIENTI (2) Tipologia interventi PMI PA Ass Privacy Ass Sistemistico Formazione Ass BS7799 29% 49% 0% 22% 35% 0% 59% 6% TOTALE
Attivita' Principali 2003 2004 wwwsicurinfoit: arricchimento dei contenuti con inserimento di informazioni tematiche e di contributi delle aziende esperte - Disaster Recovery Plan - Confronto fra ISO 9001: 2000 e BS 7799-2: 2002 - Il Processo di Analisi dei Rischi Questionario Autovalutazione PMI: conformita' al Dlgs 196/03 Pubblicazione libretto: La Sicurezza delle informazioni nelle PMI - Lo standard di riferimento ISO/BS17799 (descrizione sintetica del processo per SGSI) - L'approccio metodologico (semplificazione per le PMI) - La Sicurezza del Software (Software Libero e Software Proprietario a confronto con la ISO17799) OpenPrivacy: il Software Libero basato su Linux/Debian, Samba, LDAP, SQUID finalizzato a supportare le PMI nell'adeguamento alle Misure Minime di Sicurezza del Dlgs 196/03
OpenPrivacy sistema di supporto per l'adeguamento al Dlgs 196/03 Firenze MIU Tecnologia Promotori Attivita' dell innovazio Sicurezza Informatica ne Area OpenPrivacy progetti supporti
Metodologia Privacy 1) intervento di consulenza finalizzato alla produzione del Dpss confronto fra il modello privacy nella PA/PMI e il modello previsto dal dlgs 196/03 TUP - rilevazione organizzazione - ruoli e responsabilita' - sistemi informativi e banche dati - analisi dei rischi dati sensibili - etc etc 2) Piano di intervento MMS PROBLEMATICHE SIMILI
Problematiche simili (1) Ambito: trattamento elettronico banche dati - dispersione delle banche dati (ciascun utente crea banche dati sul proprio PC senza regolamentazioni) PC senza autenticazione/gestione politiche password se non inseriti in PDC (es win98) --> dati in locale facilmente accessibili Politiche di backup inesistenti Etc etc - gestione autenticazioni Internet (libero accesso al servizio anche se e' presente un PDC) - presenza di un sistema applicativo server (procedure centralizzate Unix, AS400, etcetc)
Problematiche simili (2) Problematiche di base: gestione delle autenticazioni gestione delle profilazioni gestione delle politiche di password gestione di uno spazio disco condivisibile (FileServer) gestione dell'elenco aggiornato degli utenti e dei privilegi gestione delle operazioni di backup estensione autenticazione/profilazione per le connessioni ad internet degli utenti altre problematiche: integrazione varie applicazioni Unix-like
Software Libero 4 Liberta' Fondamentali: Liberta' 0 di eseguire il programma per qualunque scopo, senza vincoli sul suo utilizzo Liberta' 1 di studiare il funzionamento del programma e di adattarlo alle proprie esigenze Liberta' 2 di redistribuire copie del programma Liberta' 3 di migliorare il programma e distribuirne i miglioramenti
Intervento OpenPrivacy 1) Definizione caratteristiche del sistema documento di confronto fra i requirements del TUP e le caratteristiche del sistema 2) Licenza d'uso del software 3) individuazione Gruppo di Lavoro Truelite srl: http://wwwtrueliteit/ Ing Francesco Leoncino Libersoft: http://wwwlibersoftit ComputerAssist: http://wwwcomputerassistit/ 4) Selezione dei pacchetti Linux Debian: http://wwwdebianorg/ Samba: http://wwwsambaorg/ Open LDAP: http://wwwopenldaporg/ Squid: http://wwwsquidorg/
Output OpenPrivacy Invito a Missione Sicurezza Pad 26 Fiera di Milano 1) download files di configurazione da wwwsicurinfoit - piu' di 600 da meta' dicembre 2) corso di formazione di 32 ore finanziato (richiesta voucher regione toscana) : INSTALLARE E UTILIZZARE OPENPRIVACY - 20 PMI interessate a partecipare 3) ampliamento del gruppo di aziende esperte e coordinamento attraverso mailing list
Per ulteriori informazioni: http://wwwsicurinfoit igreco@firenzetecnologiait Infosecurity 2005: Stand Missione Sicurezza Pad26 Grazie per l'attenzione!