Università degli Studi di Parma Dipartimento di Fisica http://www.fis.unipr.it La sicurezza aziendale a 360 Il problema della sicurezza aziendale Giulio Destri http://www.eleusysgroup.com La sicurezza aziendale- 1 Argomenti Il sistema informativo nell organizzazione tipica odierna Le Tecnologie e le potenzialità I pericoli della complessità Regolamenti e tecnologia La sicurezza aziendale- 2 1
Composizione di un azienda Ufficio Marketing Ufficio Vendite Ufficio Acquisti Ufficio Tecnico Magazzino Produzione Controllo qualità Direzione Amministrazione La sicurezza aziendale- 3 Il flusso dei dati Insieme dei flussi di informazione ( dati ) gestiti all interno di una organizzazione La gestione dei dati comporta Generazione Memorizzazione Elaborazione Uso E si può fare in modo Automatico Manuale La sicurezza aziendale- 4 2
Il sistema informativo: definizione L insieme di persone, apparecchiature, procedure aziendali il cui compito è quello di produrre le informazioni che servono per operare nell impresa/organizzazione e gestirla. (M. De Marco) Corrisponde all inglese Information System La sicurezza aziendale- 5 I sistemi informativi: composizione Pertanto un sistema informativo si suddivide in: Risorse umane (con organizzazione, ruoli, esperienze, ecc ) Risorse tecnologiche (sistema informatico, inglese IT System ) Risorse organizzative (procedure, regolamenti, workflow, ecc ) La sicurezza aziendale- 6 3
Il sistema informatico Raccoglie, elabora, archivia, scambia informazione mediante l uso l delle tecnologie proprie dell Informazione e della Comunicazione (ICT): calcolatori, periferiche, mezzi di comunicazione, programmi La sicurezza aziendale- 7 L azienda On-Line servizi Intranet marketing Codesign Vendite Internet Extranet Clienti Intranet aziendale affidabile ed efficiente, quale prerequisito per la realizzazione di un sistema informatico integrato e la creazione di un modello di integrazione applicativa. Extranet, rete privata virtuale sicura, basata su tecnologia IP, per abilitare interazioni applicative dirette (e non semplicemente browser based) con fornitori, partner, terze parti, clienti business. Internet quale canale preferenziale di interazione con gli utenti consumer, che richiede ai sistemi aziendali la fornitura di informazioni in maniera immediata e accurata. La sicurezza aziendale- 8 4
L azienda e gli altri attori Sistema Bancario Pubblica Clienti Amministrazione Fornitori Gestione Logistica Attori Internet Sistemi informativi degli attori La sicurezza aziendale- 9 Strumenti IT nei sistemi informativi: scomposizione tecnologica Sistemi per l utente finale (workstation client, Office suite, e-mail, applicazioni client) Applicazioni Enterprise (ERP, business intelligence, supporto ai progetti ecc ) Database (RDBMS, archivi come Lotus Notes etc ) La sicurezza aziendale- 10 5
Strumenti IT nei sistemi informativi: infrastruttura tecnologica Sistemi Gestione Accessi/permessi (e.g. AD/LDAP, RACF ) Sistemi operativi Hardware (Computer e altri dispositivi) Infrastrutture di rete Software (librerie, configurazioni dei dispositivi ecc ) Hardware (cablaggi, router, hub ) La sicurezza aziendale- 11 Sistemi Operativi Vari in uso in azienda MS-DOS, DOS+Windows 3.x MacOS Windows95/98/ME/XP Home WindowsNT/2000/XP/2003 UNIX/Linux MVS, OS/390, Z/OS OS/400, I/OS VMS, OpenVMS La sicurezza aziendale- 12 6
Il sistema informatico: i dati Entro i sistemi informatici sono contenuti e viaggiano i dati Chi ha accesso ai dati? Personale interno all azienda Professionisti esterni Altri Hanno tutti diritto di vedere i dati? La sicurezza aziendale- 13 Esempio: PMI Italiana File server Print server Workstation utenti DB server Application server (ERP-lite) Domain server Router/ Gateway Firewall Internet La sicurezza aziendale- 14 7
Esempio 2: Banca (centro EDP) DB server(s) Per scopi dedicati come data warehouse Application Server(s) Mainframe(s) DB primario Applicazioni legacy Domain server Firewall Interno Workstation utente File server Print server Firewall Esterno Router/ Gateway Internet Alle filiali La sicurezza aziendale- 15 Il sistema informatico: evoluzione Spesso nuovi applicativi realizzati per rispondere alle mutate esigenze del business aziendale devono integrarsi con applicazioni ancora efficienti la cui architettura è però ormai datata La sicurezza aziendale- 16 8
Il sistema informatico: complessità si ha quindi la convivenza di applicazioni realizzate in epoche differenti su piattaforme molto eterogenee Che devono collaborare (e quindi comunicare fra loro) La sicurezza aziendale- 17 Politiche di gestione Il tipo di uso del sistema che si vuole proteggere condiziona la politica di gestione Analisi dei rischi Conivolgimento del management La sicurezza aziendale- 18 9
Regolamenti e leggi Devono essere stabilite regole interne ai sistemi informatici Che consentano un buon compromesso fra sicurezza ed uso Ma l uso della tecnologia sui dati va comunque regolato da leggi dello stato La sicurezza aziendale- 19 Proteggere i dati e le funzionalità La protezione dei dati La protezione degli strumenti che memorizzano i dati La protezione dei sistemi La protezione delle reti La sicurezza fisica e perimetrale La sicurezza aziendale- 20 10
Argomenti Il sistema informativo nell organizzazione tipica odierna Le Tecnologie e le potenzialità I pericoli della complessità Regolamenti e tecnologia La sicurezza aziendale- 21 11