IDENTITY AS A SERVICE

Похожие документы
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi

C Cloud computing Cloud storage. Prof. Maurizio Naldi

Cloud computing: aspetti giuridici

Gartner Group definisce il Cloud

Cloud Service Broker

Cloud Computing....una scelta migliore. ICT Information & Communication Technology

Data protection. Cos è

Mobile Security Suite

I sistemi virtuali nella PA. Il caso della Biblioteca del Consiglio Regionale della Puglia

Condividi, Sincronizza e Collabora

IT Cloud Service. Semplice - accessibile - sicuro - economico

System & Network Integrator. Rap 3 : suite di Identity & Access Management

22 Ottobre #CloudConferenceItalia

Sicurezza delle informazioni

Introduzione al Cloud Computing

Docebo: la tua piattaforma E-Learning Google Ready.

Sicurezza informatica in azienda: solo un problema di costi?

I benefici di una infrastruttura IT sicura e ben gestita: come fare di più con meno

I tuoi viaggi di lavoro a portata di click

Cloud Computing: alcuni punti fermi per non smarrirsi fra le nuvole

Problematiche correlate alla sicurezza informatica nel commercio elettronico

Gestione in qualità degli strumenti di misura

Il Cloud e la Trasformazione delle Imprese

CHI È TWT SERVIZI OFFERTI

Data Center Telecom Italia

Che cos'è il cloud computing? e cosa può fare per la mia azienda

Stefano Mainetti Fondazione Politecnico di Milano

Chi fa cosa? L'autenticazione e l'autorizzazione nelle infrastrutture di sicurezza complessa

SOLUZIONI INFORMATICHE PER LO STUDIO LEGALE

Posteitaliane. Grandi Imprese e Pubbliche Amministrazioni. Giuseppe G. Pavone. Ottobre 2013

SISTEMI INFORMATIVI E POLITICHE DI OUTSOURCING

Modelli architetturali di infrastruttura. Diego Feruglio Direzione Progettazione Infrastrutture CSI-Piemonte

Telex telecomunicazioni. Soluzioni per le telecomunicazioni e le infrastrutture tecnologiche aziendali

Protezione delle informazioni in SMart esolutions

LA FORZA DELLA SEMPLICITÀ. Business Suite

Audit & Sicurezza Informatica. Linee di servizio

IL CLOUD COMPUTING DALLE PMI ALLE ENTERPRISE. Salvatore Giannetto Presidente Salvix S.r.l

Virtualization. Strutturare per semplificare la gestione. ICT Information & Communication Technology

Informatica per la comunicazione" - lezione 13 -

Le sfide del Mobile computing

Security by example. Alessandro `jekil` Tanasi LUG Trieste. Alessandro Tanasi - alessandro@tanasi.

Innovazioni organizzative e tecnologiche

<Insert Picture Here> Il contributo dei sistemi di Identity nella mitigazione del rischio legato all esternalizzazione di servizi Stefano Vaglietti

Protezione integrale per la vostra azienda PROTECTION SERVICE FOR BUSINESS

Tracciabilità degli utenti in applicazioni multipiattaforma

UNIDATA S.P.A. Per la Pubblica Amministrazione. Compatibile con. giovedì 23 febbraio 12

Apps4Law: Riflessioni sul Cloud Computing. Roma 21 marzo 2013 Sala Seminari UNIRIZ. Alessandro Graziani, Avvocato

Tecnologie, processi e servizi per la sicurezza del sistema informativo

Active Directory. Installatore LAN. Progetto per le classi V del corso di Informatica

Allegato. Servizio Hosting Virtual DataCenter di Regione Lombardia. per l ENTE UCL Asta del Serio

Protocolli di autenticazione ione per la connessione alle reti sociali. Le tecnologie del Web 2.0

Smart Cities and Communities and Social Innovation Bando MIUR D.D. 391/Ric. del 5 luglio Monitoring e Billing in OCP

Violazione dei dati aziendali

CATALOGO SERVIZI

La platea dopo la lettura del titolo del mio intervento

Caratteristiche e funzionalità del cloud computing. Marco Barbi Flavio Bonfatti Laboratorio Softech ICT Università di Modena e Reggio Emilia

LOGICAL Con i dati tra le nuvole Presentazione della piattaforma informatica di servizi logistici Business Workshop

La Guida per l Organizzazione degli Studi professionali

Introduzione alla famiglia di soluzioni Windows Small Business Server

Presentazione di KASPERSKY ENDPOINT SECURITY FOR BUSINESS

La posta elettronica in cloud

Vodafone Device Manager. La soluzione Vodafone per gestire Smartphone e Tablet aziendali in modo semplice e sicuro

Chi siamo e le nostre aree di competenza

International Insurance Brokers Since Quando Il Vostro Cliente Ha Esposizioni Al Rischio Negli Stati Uniti

Identità certa nei processi online Identity & Service Provider SPID

<Insert Picture Here> Il Successo nel Cloud Computing con Oracle Advanced Customer Services (ACS)

Vulnerability Assessment relativo al sistema Telecom Italia di autenticazione e autorizzazione basato sul protocollo Radius

Software per Helpdesk

Linux Day /10/09. Cloud Computing. Diego Feruglio

Gestione degli Access Log degli Amministratori di Sistema La soluzione per ottemperare agli obblighi del Garante Privacy

UComm CONNECT TO THE CLOUD

EasyCloud400. Il tuo AS/400. Come vuoi, quanto vuoi. Telecomunicazioni per l Emilia Romagna. Società del Gruppo Hera

Offre da più di 40 anni soluzioni in settori critici come quello governativo, finanziario e della difesa.

È evidente dunque l'abbattimento dei costi che le soluzioni ASP permettono in quanto:

LE RETI: STRUMENTO AZIENDALE

Il mio ufficio è sempre con me, il tuo? Brian Turnbow Network Manager TWT

Ottimizzazione dell infrastruttura per la trasformazione dei data center verso il Cloud Computing

L ergonomia dei sistemi informativi

Office e Applicativi sw

Intarsio IAM Identity & Access Management

DEMATERIALIZZAZIONE CLOUD COMPUTING

COME SVILUPPARE UN EFFICACE PIANO DI INTERNET MARKETING

per la sicurezza della vostra azienda Be ready for what s next! Kaspersky Open Space Security

Транскрипт:

IDENTITY AS A SERVICE Identità digitale e sicurezza nell impresa Riccardo Paterna SUPSI, 18 SETTEMBRE 2013

LA MIA IDENTITA DIGITALE La mia identità: Riccardo Paterna Riccardo Paterna Solution Architect GARL, la Banca Svizzera dietro il servizio SecurePass Università di Pisa, facoltà di Informatica @System, associazione no profit per la diffusione della sicurezza informatica Organizzatore convegno NetSystem Security Partecipazione a progetti Open: Clamvav e Ntop.

La mia identità: Riccardo Paterna GARL Banca dei dati digitali

IL CLOUD Il Cloud, questo sconosciuto! Questo sconosciuto! IaaS SaaS PaaS

IL CLOUD Cosa si intende per Cloud Si intende un insieme di servizi, solitamente affittati da un service provider o interni (per grosse aziende) che diano: Flessibilità: la possibilità di espandere o contrarre la propria infrastruttura a seconda dei bisogni dell IT. Resilienza: Alta affidabilità e disponibilità dei propri servizi IT, assicurando la continuità di servizio Accessibilità: Servizi fruibili da qualsiasi punto del pianeta con una semplice connessione ad Internet Ottimizzazione dei costi: si paga realmente quanto si usa la propria infrastruttura IT, evitando gli sprechi.

IL CLOUD IaaS = Infrastructure as a Service L affitto di una infrastruttura virtuale presso un service provider composta principalmente da server virtuali e reti virtuali Esempio: Amazon Web Services, Moresi.Com, ecc... Rischio di sicurezza: esposizione del pannello di controllo a Internet e controllo totale dell infrastruttura da parte di un attaccante

IL CLOUD L affitto di un applicativo qualsiasi, solitamente web-based, erogato in alta affidabilita e accessibile dovunque SaaS = Software as a Service Esempio: SalesForce.com, Office 360, ecc... Rischio di sicurezza: esposizione dei dati aziendali su Internet e data leaking da un potenziale attaccante o concorrente

IL CLOUD PaaS = Platform as a Service L affitto di un ambiente operativo che ospita il PROPRIO applicativo. A differenza dello IaaS, il PaaS non si occupa del sistema operativo, ma di operare l ambiente applicativo (linguaggi, framework, database, ecc...) Esempio: Microsoft Azure, Google App Engine, CloudFoundry, ecc... Rischio di sicurezza: esposizione del pannello di controllo a Internet, controllo totale dell infrastruttura da parte di un attaccante, esposizione dei dati aziendali su Internet e data leaking da un potenziale attaccante o concorrente

BYOD Complicazione: BYOD Complicazione Yet another marketing buzzword :) BYOD = Bring Your Own Device Usare il proprio device consumer all interno della realta aziendale: ipad/ iphone/android/... Rischio di sicurezza: la perdita del device comporta accesso a dati sensibili. Molte app per ios/android hanno una chiave statica che elimina la procedura di identificazione.

FURTO D IDENTITA Le vittime famose... e molti altri!

IL FURTO D IDENTITA I furti di identità in cifre Le cifre 12 221 5840 35 2 milioni di vittime di furti di identità solamente negli USA nel 2008 (Javelin Strategy and Research, 2012) miliardi di dollari all anno la perdita economica mondiale relativa al furto di identità (Aberdeen Group) ore di lavoro per correggere i problemi relativi ai furti di identità, ovvero l equivalente di due anni di lavoro di una persona (ITRC Aftermath Study, 2004). milioni di dati compromessi tra le aziende e agenzie governative nel solo 2008 (ITRC) miliardi di euro di danni alle aziende nella sola Italia nel 2009(Ricerca ABI)

IL FATTORE UMANO Il fattore umano nella sicurezza IT Nell Information Technology Il fattore umano è la causa primaria delle intrusioni da parte di hacker, governi stranieri o della concorrenza. Si possono suddividere in due problemi principali: Password troppo facili Social Engineering Hope is not a strategy!

BEST PRACTICES Best practices, quando non funzionano Quando non funzionano La più quotata probabilmente è la BS/ISO 17799, divenuta ISO 27001 Molte delle best practices coprono la parte di accesso fisico e accesso di rete: non hanno più senso in un ambito Cloud possono essere di aiuto per selezionare il fornitore Ha senso la parte di controllo di accessi: identificazione sicura dell utente (identity management) necessario controllare chi sta facendo cosa (auditing) permessi/diritti di accesso al singolo dato (policy management)

Un esempio di BAD Practice BAD PRACTICES Un esempio

RIMEDI Rimedi ai furti di identità ai furti di identità La sicurezza deve essere semplice e trasparente, altrimenti nessuno le implementa! Autenticazione forte (strong autentication) Riconoscere da quali paesi l utente si sta collegando (GeoIP) Patch, patch e patch! Programmazione sicura degli applicativi

INTRANET VS. THE CLOUD Intranet vs the Cloud and Trusted third party La terza parte affidabile Nel mondo tradizionale il ruolo di identity management, auditing e policy è affidato tipicamente a Microsoft Active Directory AD non è stato ideato per un ambito Cloud distribuito al di fuori dei confini della propria azienda E necessario un sistema di identity management distribuito con strong autentication che funga da Microsoft Active Directory per gli ambienti Cloud che sia in grado di ridurre gli errori umani tramite strong authentication e che sia affidato a una terza parte di fiducia

UN POSSIBILE RIMEDIO Un possibile rimedio: SecurePass SecurePass è un sistema di Unified Secure Access per gli ambienti Cloud, web applications e devices di sicurezza Strong authentication, tramite token hardware o su dispositivi mobili (ios/android/blackberry) Identity Management, contiene informazioni sul proprio personale Web seamless Single Sign-On, per semplificare l accesso agli utenti Basato su protocolli aperti: LDAP, RADIUS e CAS Facile da integrare, in pochi minuti e possibile proteggere infrastrutture e applicazioni Garantito dalla Banca Svizzera dei dati digitali

L ACTIVE DIRECTORY DEL CLOUD L Active Directory del Cloud Intranet vs. the cloud SecurePass gestisce l accesso a tutti i servizi aziendali nel cloud come Active Directory per la rete Intranet

ESEMPIO Esempio: Cloud provider Cloud provider Hosting/housing provider che si stanno evolvendo come Cloud provider IaaS Clienti selezionati, tra le quali banche (DR) e grossi clienti internazionali Ogni cliente ha un accesso al proprio vdatacenter che puo orchestrare a piacimento Obiettivo: fornire un accesso sicuro ai propri virtual datacenters

ESEMPIO Assicurazione multinazionale La seconda piu grande assicurazione mutinazionale, 48 aziende nel mondo, ognuna con il proprio consiglio di amministrazione e direttore generale Tutti i membri del consiglio di amministrazione accedono a documenti riservati attraverso vari dispositivi (laptop, tablet, smartphone) con alto rischio di furto di dati Obiettivo: fornire un accesso sicuro ai documenti riservati ai membri del consiglio di amministrazione ed evitare fughe i informazioni

ESEMPIO Archiviazione documentale Secure ArchiNews Sviluppato da Bluebaytech, Archinews è l applicazione per archiviazione e gestione documentale alternativa a complessi software proprietari, selezionata al Technology Biz 2011 Italia. Archinews serve sia l'ottimizzazione negli uffici secondo il modello senza carta che applicazioni di archivistica avanzata per documenti di pregio. L integrazione con SecurePass garantisce che siano solo gli utenti autorizzati ad accedere all archivio Obiettivo: proteggere l accesso all archivio aziendale senza sviluppare soluzioni ad hoc

Q&A Riccardo Paterna paterna@garl.ch

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back