19/06/2006 Template Documentation 1
La gestione e il controllo dei rischi operativi richiede un approccio multidisciplinare, che comprende i temi della sicurezza e della business continuity. GESTIONE E CONTROLLO DEI RISCHI OPERATIVI CONTINUITÀ OPERATIVA BUSINESS CONTINUITY SECURITY DISASTER RECOVERY 19/06/2006 Template Documentation 2
Agenda Le problematiche di sicurezza: l approccio integrato Le esperienze progettuali: Strong Authentication Identity Management Site Security 19/06/2006 Template Documentation 3
Agenda Le problematiche di sicurezza: l approccio integrato Le esperienze progettuali: Strong Authentication Identity Management Site Security 19/06/2006 Template Documentation 4
La sicurezza e gli impatti sul Business Problemi di Sicurezza Protezione dati sensibili di dipendenti, clienti, partners Gestione molteplici passwords Garanzia conformità a normative e audits Attacchi di sicurezza a siti web, utenti, reti Molteplici processi di sicurezza inconsistenti, spesso manuali ; ogni nuova applicazione richiede un nuovo processo di sicurezza e di accesso Protezione sedi/aree aziendali da intrusioni e accessi non autorizzati Impatti sul Business Relazione indebolita con partner e dipendenti; perdita clienti; esposizioni legali e normative Bassa produttività e soddisfazione degli utenti; alti costi di supporto Esposizioni legali e finanziarie; workload aggiuntivo per il gruppo di security Interruzione dei processi di Business, riduzione delle vendite, dipendenti improduttivi, immagine danneggiata Scarsa flessibilità e velocità del business; ciclo di sviluppo delle applicazioni più lungo, complesso e costoso Danneggiamento beni/asset aziendali La strategia e le competenze di sicurezza potrebbero non essere adeguate 19/06/2006 Template Documentation 5 alle crescenti aspettative del cliente e del business
I problemi di sicurezza si affrontano con una metodologia per fasi, capace di comprendere e gestire gli asset rilevanti per il business aziendale Capire Capire l azienda l azienda ee ilil suo suo ambiente ambiente di di Business Business Identificare Identificare ii business business asset asset critici critici Valutare Valutare ee identificare identificare le le minacce minacce Identificare Identificare gli gli impatti impatti sul sul business business Determinare Determinare le le implicazioni implicazioni didi non-compliance non-compliance Valutare Valutare le le alternative alternative Gestire Gestire rinforzare rinforzare ee automatizzare automatizzare Proteggere Proteggere ii sistemi sistemi Gestire Gestire le le utenze utenze Stabilire Stabilire relazioni relazioni didi fiducia fiducia ee compliance compliance Gestire Gestire le le minacce minacce 19/06/2006 Mitigare Mitigare anticipare anticipare ee pianificare pianificare Stabilire Stabilire ee implementare implementare la la governance governance Definire Definire standards, standards, principi principi ee politiche politiche efficaci efficaci Definire processi gestionali e prassi integrate Definire processi gestionali e prassi integrate Definire Definire strategie strategie didi compliance compliance Garantire Garantire un un ambito ambito dei dei piani piani didi intervento intervento adeguato adeguato agli agli obiettivi obiettivi Scegliere Scegliere ee implementare implementare architetture architetture IT, IT, strumenti strumenti tecnologici tecnologici ee aspetti aspetti organizzativi organizzativi appropriati appropriati Template Documentation 6
Gli elementi fondamentali della value proposition di IBM: le esperienze progettuali Identity & Access Management Processi e soluzioni per migliorare la gestione delle identità digitali, governare centralmente i processi di provisioning e assegnare diritti di accesso agli asset aziendali in funzione di regole/modelli definiti Control room & Digital videosurveillance La soluzione comprende il disegno e l integrazione dei vari elementi infrastrutturali, quali storage, reti, apparati di controllo accessi, videocamere, e applicazioni avanzate di processo delle immagini 19/06/2006 Template Documentation 7
Agenda Le problematiche di sicurezza: l approccio integrato Le esperienze progettuali: Strong Authentication Identity Management Site Security 19/06/2006 Template Documentation 8
Access Management:l esperienza progettuale di Strong Authentication per una azienda bancaria Esigenze del cliente: Sicurezza e qualità del sistema di controllo accessi per i clienti del servizio di online-banking e multicanalita : contrasto di frodi, furti d identità e phishing maggiore livello di sicurezza per servizi di tipo dispositivo (transazioni finanziarie e trading online) + fiducia e tutela per i Clienti dei servizi di online Soluzioni di sicurezza innovative come elemento di differenziazione sul mercato dei servizi bancari Promozione di nuove iniziative di business e servizi per la Clientela (es. telephonebanking) Anticipazione di eventuali normative che impongano l adozione di meccanismi di sicurezza basati su autenticazione forte o a due fattori On October 12th, 2005 the Federal Financial Institutions Examination Council (FFIEC) issued guidance for Strong Authentication/Two Factor Authentication in the Internet banking environment. Financial institutions are expected to achieve compliance by year-end 2006 19/06/2006 Template Documentation 9
Access Management:l esperienza progettuale di Strong Authentication per una azienda bancaria La soluzione: Fasi progettuali Analisi dei requisiti funzionali, operativi e di business e valutazione dell impatto sul cliente Valutazione, sia dal punto di vista economico che tecnologico, delle possibili soluzioni Consolidamento architettura di sicurezza Internet e disegno architettura servizi phone-banking, realizzazione soluzione Criteri per la Solution selection : Integrabilità e interoperabilita con l attuale infrastruttura di sicurezza del sito di online-banking (basata sul prodotto Tivoli Access Manager for ebusiness ) Disponibilita di servizi di strong authentication in ambiente z/os Scalabilità della soluzione e utilizzo dei suoi componenti anche in ambiente multicanale Rispetto degli investimenti già fatti, ridotta invasività (tecnologia/costi/gestione) e coesistenza di diverse modalita di accesso Riutilizzo di componenti già presenti in architettura quali la directory LDAP Tecnologie considerate per realizzare la strong authentication Sistemi Token basati sul meccanismo One Time Password/OTP Vasco Digipass Token (+ modulo SecurIT) RSA SecureID (necessità di un nuovo componente server ACE da aggiungere all infrastruttura) Opzione selezionata Certificati digitali su smart-card o chiavi USB (complessità di gestione, necessità di un lettore o di una porta USB e difficoltà di integrazione) 19/06/2006 Template Documentation 10
Access Management:l esperienza progettuale di Strong Authentication per una azienda bancaria La soluzione e-banking: + OTP + OTP TAM = Tivoli Access Manager 19/06/2006 Template Documentation CDAS = Cross Domain Authentication Service 11 LDAP = Lightweight Directory Access Protocol
Access Management:l esperienza progettuale di Strong Authentication per una azienda bancaria I benefici per il cliente Minimizzare i rischi e migliorare la fiducia dei propri Clienti Semplicità d uso del Token device facilita l adozione anche da parte dell utente inesperto Possibilita di attivare logiche di sicurezza e controllo accessi proporzionali al tipo di servizio e transazione richiesta Integrazione con l infrastruttura di sicurezza esistente senza la necessità di hardware aggiuntivo, riducendone la complessità di gestione e i costi Disponibilita del software per la validazione della OTP ( One Time Password ) anche per il mainframe IBM Architettura di sicurezza e di strong authentication comune e condivisa per le diverse applicazioni in ambito multicanale I bassi costi del Token e la sua semplice gestione minimizzano i costi di adozione 19/06/2006 Template Documentation 12
Identity Management: l esperienza progettuale per una primaria azienda di telecomunicazioni Esigenze del cliente Produttività e qualità del servizio ottimizzare processo di gestione account servizi per l utente (Password Mgmt., Single Sign On) Amministrazione controllata e delegabile consolidamento delle credenziali dell utente all interno di un unico repository centralizzato (LDAP) Sicurezza Rafforzare le Politiche di sicurezza Costi Amministrazione della sicurezza Audit e controllo Help desk Time to market Risposta dinamica al business Linee guida per lo sviluppo di nuove 19/06/2006 applicazioni Template Documentation 13
Identity Management: l esperienza progettuale per una primaria azienda di telecomunicazioni La soluzione Fasi progettuali: Analisi della struttura organizzativa aziendale (Sede, Filiali, ecc...) e della struttura operativa (ruoli, mansioni, ecc...) Analisi delle politiche e dei processi di gestione dell identità e delle password Analisi dell ambiente e dei flussi IT ed identificazione delle piattaforme target Disegno e realizzazione dell Architettura in 3 Ambienti (sviluppo, collaudo ed esercizio) Connessione con gli ambienti target Processo di change management per la gestione delle configurazioni e degli eventuali problemi in ambiente di esercizio Selezione dei prodotti individuati in funzione dei requirements di progetto e della esistente configurazione tecnologica del cliente 19/06/2006 Template Documentation 14
Identity Management: l esperienza progettuale per una primaria azienda di telecomunicazioni La soluzione 50.000 utenze gestite Circa 1000 sistemi Unix gestiti in esercizio Access Control (TAMOS) HR Database Flusso Identità Digitali Identity Data Feed Audit (Risk Manager/TEC Server) Security Policies User Identity Repository (cluster Server) Identity Management (ITIM cluster Server) Sistemi Operativi (AIX, SunOS, HP-UX, Tru64) SAP, Siebel, LDAP, Access Control Systems Custom Applications Active Directory 19/06/2006 Template Documentation 15
Identity Management: l esperienza progettuale per una primaria azienda di telecomunicazioni I benefici per il cliente Infrastruttura unica e integrata per la centralizzazione della gestione utenze e del controllo accessi ai sistemi e alle applicazioni critiche Provisioning automatico delle utenze a partire da dati provenienti dal database HR e sulla base di ruoli predefiniti durante la fase di assessment e analisi preliminare Centralizzazione delle politiche di controllo accessi (Politiche di Sicurezza) e realizzazione di un Repository unico e centralizzato Monitoraggio in real time delle violazioni delle politiche di accesso Raccolta e correlazione dei dati di Audit relativi all accesso ai sistemi e agli applicativi integrati nell ambito della soluzione Inserimento industrializzato, secondo un processo predefinito e controllabile, delle nuove applicazioni all interno dell infrastruttura di Identity and Access Management Reportistica efficace e completa 19/06/2006 Template Documentation 16
Sicurezza fisica integrata: l esperienza progettuale per una primaria azienda di spedizioni Le esigenze del Cliente Ridurre furti, manomissioni e danneggiamenti della merce Consentire il controllo sia a livello locale che centrale Gestione centralizzata di immagini video, controlli accesso, rilevatori fumo/gas e dei vari device utilizzati per la rilevazione delle anomalie Integrazione/riutilizzo delle tecnologie già esistenti Ottimizzazione delle risorse dedicate alla security e il miglioramento delle condizioni di lavoro per i responsabili della Security Aumento della reattività del personale di vigilanza e riduzione del tempo d intervento Monitoring degli incidenti Aumento del livello di collaborazione tra l azienda e le forze dell ordine 19/06/2006 Template Documentation 17
Sicurezza fisica integrata: l esperienza progettuale per una primaria azienda di spedizioni La soluzione a livello centrale un unico disegno architetturale in Over IP integrante le varie componenti della protezione ambientale e personale 19/06/2006 Template Documentation 18
Sicurezza fisica integrata: l esperienza progettuale per una primaria azienda di spedizioni La soluzione a livello centrale un unico disegno architetturale in Over IP integrante le varie componenti della protezione ambientale e personale 19/06/2006 Template Documentation 19
Sicurezza fisica integrata: l esperienza progettuale per una primaria azienda di spedizioni La soluzione: i componenti Supervisione d impianto 19/06/2006 Template Documentation 20
Sicurezza fisica integrata: l esperienza progettuale per una primaria azienda di spedizioni La soluzione: i componenti Security Control Room TCP/IP Remote Network Supervisione d impianto Controllo intrusivo Controllo transiti Videosorveglianza VIDEO SORVEGLIANZA 19/06/2006 Template DocumentationINTRUSION / SMOKE / ACCESS 21 CONTROL - Local HUB Sub-System Rilevamento Fumi LOCAL SECURITY WS
Sicurezza fisica integrata: l esperienza progettuale per una primaria azienda di spedizioni I benefici per il Cliente Migliorare il livello di servizio all utente finale Maggiore protezione della sede centrale e delle sedi periferiche (10 Hubs) attraverso un sistema di controllo centralizzato e locale per singola sede Maggiore sicurezza globale con l integrazione nativa degli allarmi sia di security che di safety Più efficiente gestione degli accessi alle informazioni di security, restringendo le viste agli utenti per aree o dipartimenti. Capacità del sistema di consentire l accesso alle immagini video ad utenti autorizzati senza limitazione geografiche. Strumenti flessibili di analisi degli eventi sull intero sistema e sulle singole sedi periferiche. Riduzione polizze assicurative a fronte di un sensibile calo dei furti e danneggiamento delle merci 19/06/2006 Template Documentation 22
Affrontare la sicurezza in azienda richiede specifiche competenze ed interventi da integrare e indirizzare nella medesima direzione Approccio end-to-end Valutazione dei rischi e delle esigenze Realizzazione contromisure Gestione e monitoraggio (Security Governance) Approccio integrato Politiche, processi, organizzazione, persone Infrastrutture e applicazioni Sedi e aree aziendali Innovazione Best practice nelle aree della security strategy e delle tecnologie di sicurezza Competenze A livello di consulenza organizzativa, architettura, tecnologie, standard e regolamenti Aggiornamento continuo attraverso laboratori di ricerca e 19/06/2006 sviluppo ed esperienze a livello mondiale Template Documentation 23
Aree strategiche e di innovazione Laboratori e Centri di Ricerca IBM dedicati a soluzioni innovative Watson (US) & Zurich Research Lab Smart Videosurveillance Analisi delle scene Analisi contenuti video Indagini statistiche sugli eventi video raccolti Cancelable biometrics Sistemi di riconoscimento di firma personale basati su scrittura e pressione della mano Crittografia Intrusion detection & prevention RFID SOA Security Entity Analitic solution Tecnologia sviluppata a LasVegas Fornisce relazioni tra le diverse identità associate ad una persona Fornisce relazioni tra le diverse identità (gruppi affini non dichiarati) e tra le informazioni anonime 19/06/2006 Template Documentation 24