Il governo della sicurezza ICT in Ferrovie dello Stato La Governance della Sicurezza delle Informazioni In Italia: stato dell arte e nuove prospettive Genova, 18 febbraio 2011 Alessandro Musumeci Direttore Centrale Sistemi Informativi
1927: gli albori Nel 1927 le Ferrovie dello Stato installano, prime in Italia e seconde in Europa, macchine IBM a schede perforate per la contabilità di magazzino, la revisione generale delle giacenze e l analisi delle scorte inutilizzate. Qualche anno più tardi la meccanizzazione viene estesa alla contabilità introiti (passeggeri e merci) e alle statistiche sul traffico ferroviario 2
1927: gli albori Gli impianti meccanografici delle Ferrovie dello Stato installati al Servizio Materiali e Trazione di Firenze e al Controllo Merci di Torino. 3
1954: i primi passi I più importanti Servizi delle Ferrovie dello Stato (Approvvigionamenti, Lavori e Costruzioni, Materiale e Trazione, Commerciale e del Traffico, Ragioneria e Contabilità Generale, Personale e Affari Generali) adottano l'impostazione meccanografica per risolvere diversi problemi dal controllo delle scorte giacenti nei magazzini all'analisi del trasporto merci (carri caricati, tonnellaggio, tonnellate-chilometro, introiti), dal calcolo di paghe e stipendi alla valutazione del consumo di combustibile e lubrificanti nelle locomotive 4
1957: i primi passi Quasi un milione di schede perforate vengono elaborate mensilmente dal Servizio Materiale e Trazione delle Ferrovie dello Stato per determinare le competenze accessorie di lavoro al personale di macchina, basate su numerosi elementi variabili (dal consumo di combustibile delle locomotive ai chilometri di percorrenza). 5
Altre tappe tecnologiche significative Installazione del primo elaboratore elettronico IBM presso la Ragioneria (inizio anni 70) Piattaforma commerciale TPN-Siemens (dal 1970 al 2000) Controllo Centralizzato Rotabili-CCR (anni 70) Controllo Centralizzato Linee-CCL-Siemens Roma-Napoli (anni 75/80) Controllo Centralizzato Linee-CCL-Unisys Milano-Bologna (anni 75/80) Rete Hermes a livello europeo (1985) 6
L evoluzione dei processi di outsourcing in Ferrovie Luglio 1988: ipotesi di costituzione della società Fersystems fra Ferrovie dello Stato e Cap Gemini Geda 1992: ipotesi di costituzione della società Datasint (Ferrovie 51%, BNC 4%, Finsiel 15%, IBM 15%, Olivetti 15%) Agosto 1996: aggiudicazione tramite gara dell outsourcing dei sistemi informativi Ferrovie alla società TSF Novembre 2010: aggiudicazione, tramite gara, della gestione e sviluppo sistemi informativi ad un RTI formato da Almaviva, Ansaldo STS, Engineering e Telecom Italia 7
Il Gruppo FS oggi Dipendenti: 77.000 Treni/giorno: 9.600 Linee: 16.537 km Stazioni e fermate: 2400 Passeggeri/anno 500 milioni Merci/anno 80 milioni Tonnellate 8000 km di fibra ottica Accordi internazionali con -Francia (Veolia) -Germania (Arriva) Presenza internazionale in: -Repubblica Ceca -Polonia -Egitto -Algeria -Venezuela -Arabia Saudita -Turchia -Brasile -Uruguay 2009 8
Il Piano d Impresa di Ferrovie dello Stato Il Piano Industriale di Ferrovie dello Stato conferma l obiettivo del raggiungimento dell equilibrio economico e finanziario dell azienda ed individua i seguenti elementi chiave: Leadership nel mercato domestico Mantenimento della leadership del mercato passeggeri domestico, in particolare per il servizio AV e merci Concentrazione e specializzazione Concentrazione della produzione nelle aree a maggior valore e specializzazione delle società del Gruppo lungo la filiera produttiva Eccellenza Operativa Miglioramento degli indicatori di puntualità, leadership europea nella sicurezza, miglioramento dei livelli di pulizia dei rotabili, gestione più efficace delle informazioni ai clienti Sviluppo Internazionale Sviluppo dell offerta di servizi passeggeri e merci sul mercato internazionale Miglioramento tecnologico continuo Perseguimento dei programmi d innovazione tecnologica (SCC, SCMT, SSC, GSM-R, ETCS) 9
Obiettivi 2011 dell ICT nel Gruppo Ferrovie Assicurare l indirizzo e il governo del sistema ICT di Gruppo garantendo il costante allineamento delle strategie ICT con le strategie e le priorità di business del Gruppo attraverso il presidio dell evoluzione tecnologica, della pianificazione dei Sistemi del Gruppo, dell ottimizzazione delle risorse e lo sviluppo e l implementazione di una idonea strategia di sourcing, utilizzando il nuovo contratto settennale di servizi. Sistemi di Ferrovie dello Stato SPA Indirizzo e Governo ICT di Gruppo 10
Il ruolo della sicurezza informatica in Ferrovie Il sistema ICT di Ferrovie dello Stato è un sistema complesso, eterogeneo, distribuito, con più di 77.000 utenti interni e con, potenzialmente, milioni di utenti esterni Il Piano strategico di Ferrovie dello Stato considera l ICT lo strumento abilitante ai servizi per i diversi interlocutori: Il ruolo dei sistemi ICT e della DCSI richiede quindi una profonda evoluzione nel passaggio da centro di costo e da parziale gestore dell ICT di Ferrovie nell unico fornitore di servizi ICT e di centro di competenze ICT La sicurezza ICT deve essere pervasiva a tutti i livelli ed in tutti i dispositivi, ed essere ben bilanciata La sicurezza ICT non è un insieme di prodotti-soluzioni, ma un processo continuo che deve essere gestito day-by day e che deve evolvere in funzione delle nuove esigenze, dell evoluzione tecnologica e dei nuovi rischi L attuazione della sicurezza ICT dev essere normata attraverso l uso di opportune policy (come quella per tutto il personale dell agosto 2009 o quella per l uso delle reti Wi-Fi) 11
L orientamento della DCSI a fornitore di servizi e competenze ICT Utenti interni & Interlocutori esterni Ferrovie SLA DC 1 Fornitore ICT 1 Fornitore ICT 2 SLA SLA DCSI SISTEMI ICT S E R V I Z I DC 2.. DC n Fornitore ICT n SLA SLA I C T Interlocutore 1 Interlocutore 2.. Interlocutore n Includono anche indicatori di sicurezza 12
La sicurezza ICT nella visione concettuale dell ICT Governance Ferrovie dello Stato processi, organizzazione, strategie, business Principali elementi per la sicurezza ICT Gestione strategica Ambiente di produzione ICT Strumenti decisionali Gestione Infrastruttura ICT Gestione applicativi ICT Gestione Sicurezza ICT Gestione Richieste ICT ICT EA test e controllo delle prestazioni Ambiente di pre- produzione (staging) Ambienti di sviluppo (IDE, RAD, ecc.) test e controllo delle funzionalità, della qualità e delle prestazioni Ambiente di sviluppo 13
Dal piano strategico alle policy ed agli interventi per la sicurezza ICT Piano Strategico di Ferrovie dello Stato Piano Strategico ICT ICT Enterprise Architecture Aspetti tecnici Piano DCSI sicurezza ICT Progetto architettura e definizione standard Progetto soluzione Progetto soluzione Compliance a leggi e normative Messa in produzione Messa in produzione Aspetti organizzativi Linee di indirizzo (strategia) Policy (il cosa Policy operativo) (il cosa operativo) Procedure (il come operativo) Procedure (il come operativo) 14
Linee di indirizzo, Policy e Procedure Linee di indirizzo Descrivono gli indirizzi a più alto livello, con una vista strategica e pluriennale nell ambito dell eviluzione dell EA Policy di Sicurezza Indica un insieme di regole e norme che specificano o regolamentano le modalità con cui un sistema o un'organizzazione fornisce servizi di sicurezza per proteggere risorse critiche o riservate. Procedura di Sicurezza Cosa Finalità: far prendere coscienza all Ente dei propri asset e del loro valore, prescrivendo un livello di sicurezza applicabile, misurabile e verificabile. Indica lo scopo di un attività, ciò che deve essere fatto e chi lo deve fare, quando e/o come deve essere fatto, quali strumenti e attrezzature devono essere utilizzati e come dovranno essere controllati e registrati. Come Finalità: documentare con accuratezza le istruzioni e le prassi operative vigenti all interno dell Ente. 15
Passato, presente e futuro di minacce ICT Infrastruttura globale Obiettivo e scopo del danno Le velocità di attacco attuali non sono più gestibili a livello umano La prevenzione e l analisi dei dati deve essere il più possibile automatizzata Secondi Impatto a livello regionale Reti multiple Singola rete Singolo sistema Settimane 1 a generazione Boot virus Giorni 2 a generazione Macro virus E-mail DoS Packing limitati Minuti 3 a generazione DoS e DDoS Attacchi multipli (worm + virus + Trojan) Turbo worms Attacchi su più sistemi 4 a generazione Minacce istantanee Flash threats Attacchi worm massicci Virus e worm offensivi sul carico utile Attacchi alle infrastrutture Virus per cellulari e palmari 1980s 1990s 2000 Odierni e futuri 16 Fonte: La sicurezza digitale di M. Bozzetti
Dal costo della sicurezza ICT al costo della non sicurezza Il costo della sicurezza deve essere paragonato al costo della non sicurezza, ossia ai danni diretti ed indiretti che possono essere causati Analisi del Rischio Nel costo complessivo, la quota maggiore è per gli aspetti organizzativi (chi fa che cosa, chi controlla il controllore, formazione, sensibilizzazione, addestramento, ) più che per gli aspetti tecnici I costi assicurativi sul rischio residuo diminuiscono al crescere del livello di sicurezza in atto Forte e crescente l impatto dell adeguamento per la conformità alle diverse normative e leggi che impattano sulla sicurezza e sulla gestioni dei sistemi informatici Se non si ha e non si implementa una idonea policy per la sicurezza ICT: si incorre in sanzioni amministrative e/o penali: Legge 196 sulla privacy, Legge 231 sulla Governance, IAS, non si possono produrre e vendere prodotti e servizi, oltre a non poter essere quotati in determinate Borse: IAS, SOX, HPPI,... 17
Gli obiettivi del piano della sicurezza ICT per il 2011 1. Incrementare in maniera bilanciata il livello di sicurezza sia fisico che logico dell intero sistema informativo di Ferrovie dello Stato, facendo riferimento alle più consolidate best practice e standard ed utilizzando il nuovo contratto di outsourcing: In particolare tempestiva ed automatica rilevazione di eventuali incidenti di sicurezza; 2. Definizione architettura sicurezza ICT, definendo gli standard relativi da specificare nei Capitolati emessi da Ferrovie dello Stato, in particolare per garantire l idonea sicurezza intrinseca della nuove applicazioni 3. Effettuare l analisi del rischio per taluni ambiti applicativi ed infrastrutturali considerati più critici per le attività/servizi di Ferrovie dello Stato 4. Mettere in esercizio gli idonei strumenti per una effettiva gestione della sicurezza ICT sia in termini tecnici che organizzativi: Chiara definizione dei ruoli e delle responsabilità della sicurezza ICT Definizione e pubblicazione (anche via Intranet) delle policy e delle procedure Monitoraggio delle primarie funzionalità di tutti i server Definizione e monitoraggio SLA sicurezza (anche verso fornitori) Creazione del comune ed unico CMDB via strumenti automatici open source di discovery ed inventory Gestire in maniera omogenea l identificazione e l autenticazione degli utenti e delle deleghe, in particolare per gli amministratori di sistema, sia dei server che dei PC 18
Gli obiettivi del piano per gli anni successivi Arco temporale 2012-13: Consolidamento e messa a punto degli strumenti tecnici ed organizzativi introdotti a partire dal 2009 e consolidati con il nuovo contratto di outsourcing Definizione, attuazione e gestione delle SLA di sicurezza per i servizi ICT Ampliamento dell analisi del rischio Sensibilizzazione, formazione ed addestramento utenza alla sicurezza informatica (piano security awareness da concordare con FS Formazione) Introduzione strumenti di identificazione biometrica per accessi ad aree riservate del CED o per uso di programmi molto critici Attuazione piano di Disaster Recovery Arco temporale 2014-15 Introduzione logiche di risk management e mitigazion nell ambito della securirity governance, parte dell ICT Governance Consolidamento e messa a punto degli strumenti tecnici ed organizzativi introdotti in precedenza 19
Grazie per l attenzione! a.musumeci@ferroviedellostato.it 20