Audit dei sistemi di posta elettronica



Documenti analoghi
Violazione dei dati aziendali

esales Forza Ordini per Abbigliamento

I dati in cassaforte 1

Turismo Virtual Turismo Virtual Turismo Virtual

Exchange Box Manuale. Operativo

Exchange Box Manuale. Operativo

Gestione in qualità degli strumenti di misura

Capire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati.

Guida Rapida di Syncronize Backup

Le Soluzioni Tango/04 per adempiere alla normativa sugli amministratori di sistema

Gartner Group definisce il Cloud

Si S curezza a sw w net Il c orr r e r tto design del t uo s istema i nform r atico una soluzione

Il Web Server e il protocollo HTTP

Una architettura peer-topeer per la visualizzazione 3D distribuita

CODICE PRIVACY PROCEDURA DI GESTIONE DEL BACKUP ED IL RESTORE DEI DATI

Hardware delle reti LAN

Consolidamento Server

VoipExperts.it SkyStone - Introduzione

Soluzioni per archiviazione sicura di log di accesso server Windows. PrivacyLOG

Software per Helpdesk

VMware. Gestione dello shutdown con UPS MetaSystem

Troppe Informazioni = Poca Sicurezza?

P A D. Private A Distanza.

IT Cloud Service. Semplice - accessibile - sicuro - economico

Introduzione al Cloud Computing

Guida di Pro Spam Remove

LA TUA SOFTWARE HOUSE IN CANTON TICINO IL CENTRALINO IN CLOUD E LA PIATTAFORMA CHE INTEGRA TUTTI I PROCESSI DI COMUNICAZIONE AZIENDALE

SICUREZZA INFORMATICA PER L UNIONE DI COMUNI LOMBARDA ASTA DEL SERIO

Vulnerability Assessment relativo al sistema Telecom Italia di autenticazione e autorizzazione basato sul protocollo Radius

LegalSystem CASS AFORENSE. In convenzione con:

Progettaz. e sviluppo Data Base

presenta Via Santa Sofia, Milano T.: Fax.: E.:

PRODOTTI E SISTEMI IT CON SERVIZI A SUPPORTO

Ci sono circa centralini in Italia

Gestione delle Cartelle dei Messaggi di Posta Elettronica

La reingegnerizzazione dei processi nella Pubblica Amministrazione

INFORMATION TECNOLOGY. a cura di Alessandro Padovani padoale@libero.it

INDICAZIONI GENERALI

Office Confronto tra le funzionalità di archiviazione dell White Paper di MailStore

Provincia Autonoma di Bolzano Disciplinare organizzativo per l utilizzo dei servizi informatici, in particolare di internet e della posta

Ogni documento digitalizzato, carta attivo o passivo, viene di infatti accompagnato identità da una sorta di elettron

Linee guida per il Comitato Tecnico Operativo 1

CLOUD LAB. Servizi IT innovativi per le aziende del territorio. Parma, 5 Dicembre 2012

PROFILO FORMATIVO Profilo professionale e percorso formativo

Servizio Organizzazione e Sistemi Informativi. Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio

Requisiti di controllo dei fornitori esterni

SICUREZZA INFORMATICA

RETI DI COMPUTER Reti Geografiche. (Sez. 9.8)

EasyCloud400. Il tuo AS/400. Come vuoi, quanto vuoi. Telecomunicazioni per l Emilia Romagna. Società del Gruppo Hera

Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali

Servizi ASP. ASP su Centro Servizi TeamSystem Contratto e SLA

Comprendere il Cloud Computing. Maggio, 2013

Office 2010 e Office 365: il tuo ufficio sempre con te

Stefano Mainetti Fondazione Politecnico di Milano

La posta elettronica in cloud

La soluzione più completa per la sicurezza della vostra azienda. Kaspersky. OpenSpaceSecurity

Fatturazione Elettronica PA Specifiche del Servizio

Social Media & Incident Handling

Dal Protocollo alla Conservazione Sostitutiva anorma

Concessione del servizio di comunicazione elettronica certificata tra pubblica amministrazione e cittadino- PostaCertificat@

Prodotto <ADAM DASHBOARD> Release <1.0> Gennaio 2015

enside

Clouditalia IMAIL. La posta elettronica senza investimenti e infrastruttura IT

REGIONE BASILICATA DIPARTIMENTO PRESIDENZA DELLA GIUNTA UFFICIO SOCIETÀ DELL INFORMAZIONE

La CASSAFORTE DIGITALE per

SEGNALAZIONE EVENTI SENTINELLA (ALIMENTAZIONE FLUSSO SIMES) UU.OO. AZIENDALI. A cura di: Responsabile Funzione Aziendale Gestione Rischio Clinico

L ACQUISIZIONE E LA GESTIONE DEI DOCUMENTI ELETTRONICI

DISPOSIZIONI DELL AUTORITA PER L ENERGIA ELETTRICA E IL GAS IN TEMA DI STANDARD DI COMUNICAZIONE

Scuola Digitale. Manuale utente. Copyright 2014, Axios Italia

LE RETI: STRUMENTO AZIENDALE

Software di sistema e software applicativo. I programmi che fanno funzionare il computer e quelli che gli permettono di svolgere attività specifiche

Il CRM nella rete camerale : la piattaforma integrata ed i risultati conseguiti

Allegato 13. Nomina Amministratore di Sistema

Il nuovo browser italiano dedicato alla navigazione e comunicazione sicura in internet per bambini

La Posta Certificata per la trasmissione dei documenti informatici. renzo ullucci

SCHEDA TECNICA. Disaster Recovery e Alta Affidabilità. Twin system architecture. Software IBM i Solution Editions

1. BASI DI DATI: GENERALITÀ

Condividi, Sincronizza e Collabora

IL SERVIZIO CLOUD BOX DELLA HALLEY CONSULTING s.p.a

LINEE GUIDA PER LO SCARICO PEC IN P.I.Tre

Overview SAP Workflow. ECORA Srl - Massimo Rastaldi m.rastaldi@eco-ra.it Cell

CONDIZIONI SPECIFICHE DI SERVIZIO PACCHETTO HUBILITAS SYNC-COMMERCE OFFERTO DA BLUPIXEL IT SRL

cin>>c8 s.r.l. Analisi del Dominio Pagina 1 di 7 Analisi del Dominio

Prospettive di sviluppo di servizi

I dati : patrimonio aziendale da proteggere

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

Chi siamo e le nostre aree di competenza

2 Giornata sul G Cloud Introduzione

Infrastruttura e servizi collegati

Ministero della Giustizia

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

GESTIONE DELLE TECNOLOGIE AMBIENTALI PER SCARICHI INDUSTRIALI ED EMISSIONI NOCIVE LEZIONE 10. Angelo Bonomi

FPf per Windows 3.1. Guida all uso

File, Modifica, Visualizza, Strumenti, Messaggio

CONDIZIONI GENERALI DI LAVORO PRESSO GLI STABILIMENTI AGUSTAWESTLAND ITALIA

La conservazione digitale tra obblighi e opportunità

Sicurezza informatica in azienda: solo un problema di costi?

PROGRAMMAZIONE E GESTIONE DI UN PROGETTO DI SERVIZIO SOCIALE

Collaborazione estesa delle supply chain

Wess.Net MESSENGER AZIENDALE 1

Transcript:

Audit dei sistemi di posta elettronica Presentazione per Danilo Massa GIAC GCIH, GCFA, GREM certified professional Torino 27 gennaio 2011

Agenda Introduzione Dominio dell audit Procedurale e legale Architetturale Sicurezza tecnica Soluzioni in house ed in the cloud Domande e risposte

Introduzione Nel 1971, Raymond Samuel Tomlinson, «inventava» la moderna posta elettronica inviando un messaggio tra due elaboratori DEC KA10 (PDP- 10), situati nello stesso ufficio, usando la rete ARPANET a cui erano connessi L inventore non ricorda il testo della prima mail, ma propende per qualcosa del tipo: QWERTYUIOP

Introduzione Oggi, si parla sempre più spesso dei sistemi di «collaboration», che integrano al loro interno: Posta elettronica Chat Video chiamate File sharing avanzato Su dispositivi sempre più «mobili».

Introduzione che utilizzano nuove piattaforme

Introduzione su cui operano piccoli e grandi nomi:

Dominio dell audit L audit di un sistema di posta può coprire ambiti diversi tra loro ma parzialmente sovrapposti, andando quindi ad analizzare diversi aspetti dei sistemi di mail o collaboration Procedurale e legale Architetturale Sicurezza tecnica

Procedurale e legale Oggetto dell audit: policy e procedure Le policy e le procedure devono indirizzare gli utenti e l azienda ad un uso corretto dello strumento, per evitare non solo problemi economici, ma anche legali, architetturali e di sicurezza. Uso consentito (privacy, peculato, ) Le informazioni che si possono inviare (data classification) Le modalità di accesso consentite Le modalità di archiviazione e backup (DRP, BCP, ) Le procedure per la gestione degli incidenti L adeguamento a norme e decreti (DPS, )

Procedurale e legale Rischi La mancanza di policy e procedure ben definite possibilmente sottoscritte/note agli utenti può portare a: Danni economici (hardware, gestione, ) Divulgazione di informazioni riservate Problemi legali (spam, stalking, ) Perdita delle informazioni (cancellazione, incidenti, ) Errori nell acquisizione delle evidenze digitali di reato

Architetturale Oggetto dell audit: le infrastrutture ed i servizi La posta elettronica ed in generale i sistemi di collaboration necessitano di una infrastruttura IT complessa in cui audit comporta l esame di molte componenti: Architettura alto livello (topologia, ruoli, ) Componenti server (cluster, bilanciatori, ) Client attended ed unattended Sistemi di backup per server (standard, inline, ) Sistemi di backup per client Sistemi di monitoring Capacity (dimensioni delle caselle, backup, ) Design e progettazione sistemi ed integrazioni

Architetturale Rischi Sistemi non perfettamente gestiti, configurati e manutenuti possono generare: Incremento dei costi di gestione Indisponibilità del servizio Integrazioni «fuzzy» (sicurezza ridotta) Perdita di informazioni (crash, errori di configurazione, ) Uso improprio dello strumento (database, EDI, )

Architetturale esempio Exchange 2007 2007 Microsoft Corporation - Authors: Martin McClean& Astrid McClean (Microsoft Australia)

Sicurezza tecnica Oggetto dell audit: configurazioni, protocolli, Con architetture complesse, la sicurezza diviene anch essa complessa e l auditor deve tenere conto di diversi aspetti: Sistemi anti-malware (virus, spam, ) Analisi tecniche (VA e/o PT) Sistemi di backup e loro implementazione (cifratura) Strumenti per il data leak/loss prevention Sistemi per la correlazione dei log (gestione incidenti) Sistemi per il digital forensic (acquisizione, )

Sicurezza tecnica Rischi La mancata implementazione di corrette procedure e di appositi strumenti per la sicurezza nei sistemi di mail e collaboration può portare a: Furto delle informazioni Intercettazioni «digitali» Danni economici Danni all immagine aziendale Furto di identità

Dominio dell audit Modalità di esecuzione dell audit L approccio più immediato per la progettazione e l esecuzione di un audit completo è il classico top down Procedurale e legale Architetturale Sicurezza tecnica Figure professionali: Auditor COBIT/ITIL/ISO Architetto sistemi di posta Auditor sicurezza tecnica Legale

Soluzioni in house e in the cloud Quando conviene mettere le applicazioni sul cloud? Ad oggi diverse aziende italiane hanno già spostato parte dei loro sistemi aziendali sul cloud e molte sono partite appunto dalla posta elettronica, implementando diversi scenari in cui il cloud è usato come: archivio di posta elettronica servizio di posta per consulenti/esterni unico servizio di posta e collaboration aziendale Questo è accaduto in aziende che non necessariamente avevano i propri sistemi in outsourcing

Soluzioni in house e in the cloud Pro e contro: caso in house I principali punti a favore di una soluzione in house sono: controllo totale dei sistemi/applicazioni/dati integrazione stretta con altri sistemi aziendali (VOIP) elevato livello di sicurezza (cifratura, DLP, ) possibilità di acquisizione evidenze digitali di reato monitoraggio efficace I principali punti a sfavore sono: costi elevati (hw, sw, energia, ) provisioning di nuove risorse non efficiente personale dedicato

Soluzioni in house e in the cloud Pro e contro: caso in the cloud I principali punti a favore di una soluzione cloud sono: costi ridotti provisioning di risorse efficiente I principali punti a sfavore sono: perdita di controllo (dove sono i miei dati?) integrazione con sistemi aziendali difficoltosa livello di sicurezza basso o non adeguato acquisizione evidenze di reato problematica «audit» basato solo su SLA/KPI a contratto

Conclusioni L esecuzione di un audit completo sotto tutti gli aspetti di un sistema di mail/collaboration è molto complesso, in quanto: i sistemi di collaboration sono sempre più integrati con media diversi (fax, telefono, video conferenza, ) la quantità di informazioni condivise su questi media è enorme non esistono strumenti tecnici integrati che diano una visione completa dei sistemi per la loro governance

Conclusioni E molto importante ricordare che lo scopo finale di un audit è quello di fornire le necessarie informazioni e linee guida per migliorare sistemi e processi. In questo caso è però forse più facile evidenziare la forte interrelazione che vi è tra le procedure, le architetture e la sicurezza, di cui è necessario tenere conto in ogni remediation plan.

Domande e risposte Domande e risposte

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back