Sicurezza le competenze Le oche selvatiche volano in formazione a V, lo fanno perché al battere delle loro ali l aria produce un movimento che aiuta l oca che sta dietro. Volando così, le oche selvatiche aumentano la loro forza di volo rispetto ad un oca che vola da sola. Le persone che lavorano in Syncpoint condividono una direzione comune ed hanno il senso della comunità. La nostra comunità aziendale pensa, lavora, si misura, e si impegna con l obiettivo di fornire un servizio di qualità al Cliente. Tutti questi sforzi sono sincronizzati, come il volo delle oche selvatiche, per impostare la giusta direzione, per valorizzare la collaborazione, per sostenersi nei momenti difficili, condividendo i problemi e le difficoltà, con il fine di raggiungere più facilmente la meta prefissata. TUTTI I DIRITTI SONO RISERVATI Questo documento é di proprietà esclusiva di SYNCPOINT S.r.l. sul quale essa si riserva ogni diritto. Pertanto questo documento non può essere copiato, riprodotto, comunicato o divulgato ad altri o usato in qualsiasi maniera, nemmeno per fini sperimentali, senza autorizzazione scritta di SYNCPOINT S.r.l. e su richiesta dovrà essere prontamente rinviato ad SYNCPOINT S.r.l., Via Don Brovero, 4/20 10090 - Castiglione Torinese (TO) Italia.
SICUREZZA - LA NOSTRA VISIONE La sicurezza e uno stato emozionale che consiste nella consapevolezza derivante dalla conoscenza che l evoluzione di un contesto osservato non produrrà eventi, situazioni e stati indesiderati; in sostanza la sicurezza si concretizza nella consapevolezza che quello che faremo non provocherà danni. Il presupposto della conoscenza è fondamentale, ma non sufficiente per poter definire un contesto sicuro. Solo una conoscenza di tipo scientifico, quindi basata su osservazioni continue e ripetute, può garantire una valutazione reale della sicurezza. Le nostre osservazioni per far acquisirire e diffondere la conoscenza sono basate su strumenti e metodi collaudati, condivisi e basati su comportamenti certificati dagli standards e dalle best practice internazionali. 18/04/2013 Per le condizioni di utilizzo del presente documento si rimanda alla pagina di copertina 2
SICUREZZA - LA METODOLOGIA La metodologia utilizzata dalla nostra azienda e basata su un concetto di integrazione e sincronizzazione degli aspetti strategici di posizionamento, delle scelte tecnologiche e delle architetture per calare dette scelte nel contesto del sistema informativo. IMPOSTAZIONE DELLE STRATEGIE La sicurezza aziendale è conseguenza di una strategia organica che imposta un unica visione delle tecnologie, delle impostazioni (processi) e delle azioni da intraprendere per attuare un efficace governance dei rischi di sicurezza. IMPOSTAZIONE TECNOLOGICA Le soluzioni tecnologiche per la gestione della sicurezza coprono gli aspetti relativi a tutti gli asset da proteggere: Security operation center Security system management Gestione eventi e correlazioni Tracciatura delle operazioni Reporting Assessment dei rischi Gestione degli accessi IMPOSTAZIONE ARCHITETTURALE La sicurezza è un processo che governa gli altri processi aziendali. Per questo il presidio della governance di sicurezza deve essere un processo continuo di allineamento all evoluzione del business, dell organizzazione e delle tecnologie. Piano di trattamento del rischio Gestione del cambiamento Gestione degli incidenti Gestione della continuita operativa Gestione delle identita e dei profili di accesso 18/04/2013 Per le condizioni di utilizzo del presente documento si rimanda alla pagina di copertina 3
SICUREZZA - LA METODOLOGIA I contesti osservati sono ambienti dinamici e in evoluzione, e quindi soggetti a variabilità nel tempo. Il monitoraggio continuo e sistematico della loro evoluzione è un presupposto fondamentale per garantire una valutazione della sicurezza allineata alla realtà. Il percorso La sicurezza è un processo attraverso il quale per ogni contesto analizzato sono definite : le politiche «policy» di sicurezza per la rilevazione, l analisi, la misurazione e la valutazione dei rischi; le responsabilità e i ruoli per la gestione della sicurezza; le procedure e le linee guida per l applicazione della sicurezza; la struttura dei processi su cui attuare il sistema di sicurezza; le tecnologie a supporto del sistema di sicurezza. DIFESE FISICHE E PERIMETRALI DIFESA DELLE RETI DIFESA DEGLI ELABORATORI DIFESA DELLE INFORMAZIONI DIFESA DELLE APPLICAZIONI con l osservanza delle: nel rispetto delle: con orientamento alle: con riferimento agli: POLICY COMPLIANCE BEST PRACTICE STANDARD 18/04/2013 Per le condizioni di utilizzo del presente documento si rimanda alla pagina di copertina 4
SICUREZZA - I NOSTRI STANDARD DI RIFERIMENTO Per la definizione di un sistema di gestione della sicurezza delle informazioni. Per implementare modalità di gestione complessiva della sicurezza. Quale riferimento per la gestione della sicurezza delle informazioni. Per il controllo dell informazione dal punto di vista del business. PROPRIETA DELL INFORMAZIONE Criteri di business Criteri di Sicurezza Disponibilità Integrità Riservatezza Affidabilità Conformità Efficacia Efficienza COBIT COBIT + ISO27001 Processi di controllo 34 Processi di controllo 61 Obiettivi di Controllo 291 Obiettivi di Controllo 160 18/04/2013 Per le condizioni di utilizzo del presente documento si rimanda alla pagina di copertina 5
L OFFERTA DI SICUREZZA Piani di Sicurezza Security Assessment Vulnerability Assessment e Penetration Test Privacy on site Policy di sicurezza informatica Content & security information event management Business Continuity & Disaster Recovery Project Management Standard ISO27001 e certificazioni Identity and access management 18/04/2013 Per le condizioni di utilizzo del presente documento si rimanda alla pagina di copertina 6
PIANI DI SICUREZZA Le competenze che Syncpoint offre garantiscono al cliente la redazione di un piano di sicurezza originato dalle seguenti azioni: Analisi del Rischio: per acquisire visibilità sul livello di esposizione al rischio del patrimonio informativo ed avere una mappa preliminare dell insieme delle possibili contromisure di sicurezza da realizzare.; Definizione delle Politiche di Sicurezza delle Informazioni per stabilire: Le strategie per la sicurezza delle informazioni; Le linee guida generali in materia di sicurezza; Realizzazione di un «Piano Operativo» per definire: gli obiettivi specifici di Sicurezza delle Informazioni in termini di elementi di rischio da mitigare e il rischio residuo ritenuto accettabile; le contromisure da attuare per la mitigazione delle componenti di rischio secondo le indicazioni dell Analisi del Rischio. 18/04/2013 Per le condizioni di utilizzo del presente documento si rimanda alla pagina di copertina 7
PIANI DI SICUREZZA Syncpoint fornisce alle aziende un supporto nella gestione della sicurezza occupandosi di tutti quegli aspetti della vita aziendale che nell esercizio quotidiano possono portare, se non regolamentati, a gravi conseguenze in termini di rischi informatici e legali, con pregiudizievoli impatti sulla continuità del business e sull immagine aziendale. Il nostro obiettivo è quello di fornire consulenza, servizi e soluzioni agendo come «security system integrator», in modo indipendente da prodotti e tecnologie di mercato. Syncpoint è in grado di aiutare i suoi clienti nella gestione del processo della sicurezza fornendo servizi qualificati per i diversi contesti: La competenza maturata nello svolgimento di progetti in contesti aziendali di grandi dimensioni consentono ai nostri consulenti di essere un punto di riferimento per la conduzione di progetti complessi quali: LA REALIZZAZIONE DI SISTEMI DI SICUREZZA ALLINEATI ALLE PIÙ MODERNE TECNOLOGIE Tecnologico Le più avanzate tecnologie in ambito di sicurezza. Organizzazione L esperienza in ambito organizzativo volta alla sicurezza globale. LA REALIZZAZIONE DI SISTEMI DI INTEGRAZIONE TRA SICUREZZA LOGICA E FISICA; LA REALIZZAZIONE DI CONTESTI PER LA GESTIONE OPERATIVA DELLA SICUREZZA QUALI IL S.O.C. (SECURITY OPERATION CENTER) E IL N.O.C. (NETWORK OPERATION CENTER). Legislatura Una profonda conoscenza della legislatura in termini di sicurezza. 18/04/2013 Per le condizioni di utilizzo del presente documento si rimanda alla pagina di copertina 8
SECURITY ASSESSEMENT Verifica del livello di protezione del sistema informativo del Cliente relativamente agli aspetti di Sicurezza Informatica ed alla conformità nei confronti degli adempimenti normativi, con particolare riferimento al D.lgs 196/2003 (Privacy) e allo standard ISO 27001:2005 (ex BS 7799). Produzione di un REPORT che evidenzia le maggiori criticità riscontrate e propone gli eventuali opportuni interventi correttivi. Web Assessment L attività è finalizzata all analisi sulle applicazioni web in ogni sua componente per identificare eventuali punti di vulnerabilità. WIFI Assessment Analisi mirata ad identificare le vulnerabilità nelle reti Wireless. (RAS Assessment) Analisi accessi Analisi mirata ad identificare le vulnerabilità nelle reti ad accesso remoto e il rispetto da parte degli utenti delle policy di accesso. 18/04/2013 Per le condizioni di utilizzo del presente documento si rimanda alla pagina di copertina 9
VULNERABILITY ASSESSEMENT E PENETRATION TEST Questo servizio consente di analizzare periodicamente lo stato di vulnerabilità del sistema informativo evidenziando le criticità e suggerendo le idonee contromisure da adottare. Inoltre il servizio può essere integrato mediante prove dirette di sfruttamento delle debolezze evidenziate (penetration test) svolte sia remotamente sia presso il Cliente. Errori nella configuraz. dei principali servizi in esecuzione Punti deboli negli script dei webserver Problemi relativi l accesso fisico alle macchine VULNERABILITY ASSESSMENT & PENETRATION TEST Bugs, vulnerabilities e security holes nel software presente Punti deboli di firewall e router Punti deboli nella progettazione della rete 18/04/2013 Per le condizioni di utilizzo del presente documento si rimanda alla pagina di copertina 10
Per il settore finance e bancario Per tutti i settori PRIVACY ON SITE Per Aziende di medie-grandi dimensioni è previsto un servizio di consulenza direttamente presso la sede del Cliente. Vengono raccolte, mediante colloqui di tipo informativo presso le diverse funzioni aziendali, tutte le informazioni necessarie alla preparazione della documentazione prevista dalla normativa in vigore. Il servizio può essere svolto sia direttamente sia tramite aziende convenzionate (premier partners). Redazione DPS Censimento dei rischi aziendali e delle misure di sicurezza. Formazione e normativa Privacy Definizione dei contenuti e dell articolazione del corso per i dipendenti in materia di Privacy. Evoluzioni su segnalazioni di vigilanza Evoluzioni su segnalazioni di vigilanza e interventi su estrattori SAP/ODS. Dichiarazione Bankit Revisione e formalizzazione della Dichiarazione annuale a Banca d Italia. 18/04/2013 Per le condizioni di utilizzo del presente documento si rimanda alla pagina di copertina 11
POLICY DI SICUREZZA Questo servizio consente alle Aziende di dotarsi della base documentale relativa alle Policy di Sicurezza Informatica, che costituiscono le regole comportamentali per l utilizzo corretto e consapevole del sistema informativo. Esempio POLICY Controllo accessi fisici Controllo accessi logici Sicurezza della Rete Sicurezza organizzativa Supporti di memorizzazione Gestione operativa Servizi di outsourcing Sviluppo e manutenzione del software Change management Gestione incidenti Portali Per il personale esterno Per il personale interno 18/04/2013 Per le condizioni di utilizzo del presente documento si rimanda alla pagina di copertina 12
CONTENT SECURITY MANAGEMENT Il Content Security Management viene offerto con l obiettivo di proteggere da possibili attacchi informatici attraverso un sistema di identificazione e bloccaggio degli elementi potenzialmente pericolosi o non desiderati in base a criteri personalizzati sulle esigenze del cliente. Inoltre consente la salvaguardia di tutti gli aspetti di sicurezza, legali e normativi richiesti. Gli elementi oferti sono: Antispam management Content Filtering management Antivirus management 18/04/2013 Per le condizioni di utilizzo del presente documento si rimanda alla pagina di copertina 13
BUSINESS CONTINUITY E DISATER RECOVERY L offerta consente di definire, previa analisi preventiva dei processi aziendali, gli interventi di tipo tecnologico ed organizzativo volti a garantire la continuità operativa aziendale a fronte di emergenze o eventi imprevedibili di una certa gravità. Revisione del Piano di Continuità Operativa Aziendale (BCP) Il BCP ha come scopo fondamentale la stesura di uno strumento volto alla gestione di eventuali situazioni di crisi aziendale mediante appropriate attività di contrasto a situazioni di emergenza, finalizzate a consentire la prosecuzione dell operatività aziendale e ad attivare i presupposti per il ritorno alla normalità. Disaster Recovery per i processi aziendali critici Verifica delle soluzioni tecniche/organizzative per consentire l erogazione dei servizi dei processi critici durante situazioni di emergenza. 18/04/2013 Per le condizioni di utilizzo del presente documento si rimanda alla pagina di copertina 14
PROJECT MANAGEMENT Con il termine Project management ci riferiamo a quell'insieme di attività, strumenti e tecniche volti alla realizzazione di un progetto, inteso come insieme di processi coordinati, di durata finita nel tempo per il raggiungimento di risultati definiti. La nostra attività di project management mette a disposizione un insieme multi-disciplinare di conoscenze, tecniche e strumenti che opportunamente integrati consentono una gestione efficace del contenuto, nel rispetto: dei tempi; dei costi ; della qualità, ponendo attenzione: all'impiego delle risorse; al controllo dei rischi; alla cura delle comunicazioni ; delle fonti di approvvigionamento. 18/04/2013 Per le condizioni di utilizzo del presente documento si rimanda alla pagina di copertina 15
Gestione identità digitali Gestione delle autorizzazioni e dei permessi in scala gerarchica per ogni utente. IDENTITY AND ACCESS MANAGEMENT La nostra offerta per l amministrazione integrate delle identita, dei privilegi dell utente e delle autorizzazioni fornisce un singolo punto di gestione dei ciclo di vita delle utenze del sistema informativo e dei profili di accesso secondo il seguente schema. Risorse Server/ Applicazioni PC Database Reti (es. Internet) Telefoni Identificazione: associazione di un identità elettronica univoca ad un soggetto Autenticazione: verifica che l'utente sia effettivamente chi sostiene di essere, mediante comparazione tra le credenziali fornite dallo stesso e quelle presenti nel sistema informatico aziendale Autorizzazione: verifica che un utente, una volta autenticato attraverso la verifica delle credenziali, abbia i necessari diritti di accesso alla risorsa informatica richiesta Amministrazione: gestione dell identificazione, autenticazione e autorizzazione dell utente all utilizzo delle risorse Controllo: verifica e monitoraggio del corretto funzionamento dei controlli di accesso Utenti Interni Esterni Clienti 18/04/2013 Per le condizioni di utilizzo del presente documento si rimanda alla pagina di copertina 16
AUDITING Gestione identità digitali Gestione delle autorizzazioni e dei permessi in scala gerarchica per ogni utente. IDENTITY AND ACCESS MANAGEMENT Nella definizione degli accessi al sistema vengono tenuti presenti I seguenti aspetti: Non tutti devono poter accedere a qualsiasi applicazione La normativa richiede il rispetto del principio di sicurezza del Least Privilege ( autorizzativi (profili In quanto il governo degli accessi implica: La creazione di un account, la sua associazione al soggetto e la gestione dell'associazione (provisioning) Verifica dell'identità del soggetto (autenticazione) e dei suoi privilegi di accesso (autorizzazione). Le policy descrivono le associazioni utente-privilegi. Soggetto Ruoli Identità elettronica ( account ) Identity Management AuthN Policy AuthZ Access Management Activity Auditing Risorsa 18/04/2013 Per le condizioni di utilizzo del presente documento si rimanda alla pagina di copertina 17
LE NOSTRE REFERENZE 18/04/2013 Per le condizioni di utilizzo del presente documento si rimanda alla pagina di copertina 18
LE NOSTRE COLLABORAZIONI 18/04/2013 Per le condizioni di utilizzo del presente documento si rimanda alla pagina di copertina 19
SyncPoint s.r.l GRAZIE PER L ATTENZIONE Partita i.v..a. :10181660019 Sede legale MONCALIERI (TO) Via Golto,9-10024 Sede operativa CASTIGLIONE TORINESE (TO) Via Don Brovero, 4/a 10090 Piergiorgio Cresto Mobile +39 392 9955497 p.cresto@syncpoint.it Amministrazione@Syncpoint.it 18/04/2013 20 20