<Insert Picture Here> Security Summit 2010. Identity Assurance Andrea Buzzi, Senior Manager

Documenti analoghi
<Insert Picture Here> Il contributo dei sistemi di Identity nella mitigazione del rischio legato all esternalizzazione di servizi Stefano Vaglietti

System & Network Integrator. Rap 3 : suite di Identity & Access Management

LA TEMATICA. Questa situazione si traduce facilmente:

OGGETTO DELLA FORNITURA...4

Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS

Tracciabilità degli utenti in applicazioni multipiattaforma

Audit & Sicurezza Informatica. Linee di servizio

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

1- Corso di IT Strategy

Mobile Security Suite

Politica per la Sicurezza

Sistemi informativi secondo prospettive combinate

Vulnerability Assessment relativo al sistema Telecom Italia di autenticazione e autorizzazione basato sul protocollo Radius

Direzione Centrale Sistemi Informativi

Stefano Bucci Technology Director Sales Consulting. Roma, 23 Maggio 2007

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

Identità ed Accessi Logici un nuovo modello di governo

I tuoi viaggi di lavoro a portata di click

Soluzioni di business per le imprese

Sicurezza, Rischio e Business Continuity Quali sinergie?

ZenProject. Soluzione: Web Project Management Solution. Brief Tour. Intro Features Tecnologia Requisiti Portfolio

ManageEngine ITSM: HelpDesk ITIL, gestione degli asset IT e MDM. Andrea Mannara Business Unit Manager

Sicurezza delle utenze privilegiate

PROFILO AZIENDALE 2011

ICT SECURITY SERVICE LINE La gestione delle utenze amministrative e tecniche: il caso Unicredit Group

Incentive & La soluzione per informatizzare e gestire il processo di. Performance Management

e-documents per l identity management

Chi fa cosa? L'autenticazione e l'autorizzazione nelle infrastrutture di sicurezza complessa

Case study Accenture Finance Solution Delivery Center di Milano: soluzione di Identity Management & Provisioning per il progetto Data Privacy

Migliorare le prestazioni delle PMI collaborando con clienti e fornitori Sviluppo di nuove abilità e strumenti ICT di supporto

Gestione degli Access Log degli Amministratori di Sistema La soluzione per ottemperare agli obblighi del Garante Privacy

Sicurezza informatica in azienda: solo un problema di costi?

Progetto Atipico. Partners

Intarsio IAM Identity & Access Management

Intesa Spa Ottobre 2015

Laurea Specialistica in Informatica Struttura e Configurazione di Sistemi Liberi. [Presentazione del Corso]

Professional Planner 2008

<Insert Picture Here> Il Successo nel Cloud Computing con Oracle Advanced Customer Services (ACS)

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Stefano Leofreddi Senior Vice President Risk Management Integrato. 1 Ottobre 2014, Roma

consulenza e soluzioni applicative al servizio dei Confidi

soluzioni di e-business knowledge management

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010

HR Human Resouces. Lo strumento innovativo e completo per la gestione del personale. ZUCCHETTI CENTRO SISTEMI SPA

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

Progetto di Information Security

L approccio alla gestione integrata dei processi e dei controlli in BPB

Il Nuovo Sistema Professionale ICT

AD Solutions - Gestione e Audit di Active Directory & Exchange. Stefano Arduini Senior Product Specialist

SISTEMA DI LOG MANAGEMENT

Associazione Italiana Information Systems Auditors

Le Soluzioni Tango/04 per adempiere alla normativa sugli amministratori di sistema

La reingegnerizzazione dei processi nella Pubblica Amministrazione

L INTERNAL AUDIT SULLA ROTTA DI MARCO POLO

L'infrastruttura tecnologica Oracle Workflow alla base del progetto di Valutazione di Impatto Ambientale

I livelli di Sicurezza

Company overview. *stimato

PAWSN. Wireless social networking

Le nuove soluzioni in risposta alle esigenze delle imprese

MANDATO DI AUDIT DI GRUPPO

Ridurre i rischi. Ridurre i costi. Migliorare i risultati.

SERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP)

Cloud Computing - Soluzioni IBM per. Giovanni De Paola IBM Senior Consultant 17 Maggio 2010

GESTIONE AZIENDALE AMMINISTRAZIONE

La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità

E 2 T 2 ENTERPRISE ENGINE FOR TROUBLE TICKETING

Sommario IX. Indice analitico 331

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO e ISO 22301

IDENTITÀ GIOVANE. Nata nel 2006 con l intento di diventare leader nel settore IT, Easytech cresce con una solida competenza in tre divisioni:

REALIZZAZIONE DEL SISTEMA DEI CONTROLLI INTERNI IN AGOS ITAFINCO SPA

L unica soluzione completa per registrare e conservare i Log degli Amministratori di Sistema

ABICS 2.0: l implementazione in azienda del sistema di servizi progettato dall Associazione

Identity Management: dalla gestione degli utenti all'autenticazione in un contesto di integrazione globale

SIRED Sistema informativo di raccolta ed elaborazione dati sul movimento turistico

I tuoi viaggi di lavoro a portata di click

MANUALE PER IL CONTROLLO STRATEGICO E GESTIONALE

PROFILO AZIENDALE NET STUDIO 2015

Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management

Service Control Room «Il monitoraggio integrato dei Servizi Digitali» 04/12/2014

Supporto attivo alla conduzione dei progetti, pianificazione, esposizione dei risultati. Group

PROGRAMMA DIDATTICO I MODULI DEL PERCORSO MODULO 1

Identità certa nei processi online Identity & Service Provider SPID

VIDEOSORVEGLIANZA E CERTIFICAZIONE

Aladdin etoken. la tecnologia per la strong authentication. Claudio Vettoretto COMPUTERLINKS Italia

IT Service e Asset Management

Le Piattaforme Tecnologiche per l erogazione dei servizi On Line

La sicurezza in banca: un assicurazione sul business aziendale

Chi è Adiuto. Cultura e tecnologia nella gestione documentale

La sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione

LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0

RRF Reply Reporting Framework

Il modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali. Roma, 6 giugno

SISTEMA UNICO E CENTRALIZZATO

IL MONITORAGGIO DEI COSTI DI FUNZIONAMENTO

EyesLog The log management system for your server farm. Soluzioni Informatiche

PARTNER DI PROGETTO. Università degli Studi di Palermo Dipartimento di Ingegneria Industriale

Presentazione dell Azienda

Cos è ARXIVAR. Un sistema integrato per la Gestione dei documenti DESTRUTTURATI e di provenienza ERP.

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

Transcript:

<Insert Picture Here> Security Summit 2010 Identity Assurance Andrea Buzzi, Senior Manager

Contenuti La Divisione Sicurezza di Value Team IAM: ambiti di intervento Approccio Metodologico Case Studies Le nuove sfide

Il gruppo Value Partners: servizi ad alto valore aggiunto, dalla consulenza strategica alla consulenza e soluzioni IT VALUE PARTNERS GROUP 15 Offices in 12 Countries VALUE PARTNERS Management Consulting VALUE TEAM IT Consulting & Solution GOLDEN MOUSE High Tech Venture Capital VP FINANCE M&A and Corporate Finance DIVISIONE SECURITY Un attore internazionale. Headquarter a Milano e uffici in 12 Paesi, tra cui America Latina, India e Cina Un gruppo forte e coeso. 3000 professionisti, di 25 nazionalità La capacità di integrare competenze di business e di tecnologia

La Divisione Sicurezza di Value Team Consultancy & Security Solution Start-up: Marzo 2001 Sedi: Milano Roma Cosenza Fatturato 2009: 32 Mil Il Team: 250+ professionisti di sicurezza Clienti: 30+ Certificazioni: ISO 270001 / BS25999 Certificata ISO 9001:2000 Missione Portare al mercato un offerta di servizi in ambito Security capace di coniugare aspetti consulenziali e tecnologici nel rispetto delle esigenze del cliente. Mercati Telco, Finance, Industry, Sanità, PAC/PAL R&D Forti legami con il mondo universitario e con centri di R&D nazionali e internazionali.

Contenuti La Divisione Sicurezza di Value Team IAM: ambiti di intervento Approccio Metodologico Case Studies Le nuove sfide

Il panorama normativo italiano: le principali direttive Le norme vigenti risultano molteplici e, ognuna per proprio conto, indirizza degli aspetti specifici. Analizzando le norme nel complesso, e riportandone i requisiti a fattor comune, se ne evincono alcuni (cardine) che un qualsiasi contesto IT in Italia dovrà soddisfare, altrimenti il mancato adempimento comporta l applicazioni di sanzioni giuridiche e/o amministrative, perdite finanziarie rilevanti e/o perdita di immagine.

La sicurezza dei dati presuppone il coinvolgimento di diverse funzioni con finalità ed obiettivi specifici BIA Regulatory Compliance Governance Antifraud Security Governance Obiettivi Processi Applicazioni Sistemi Dati Analisi del Rischio di Alto Livello Pianificazione degli di Interventi di security PdS Generale Integrato PdS 1 PdS 2 PdS 3 PdS 4 PdS n IT Security IT Security Linee di Sviluppo Attuazione delle contromisure Contromisure infrastrutturali Linee di Sviluppo Linee di Esercizio C 1 C 2 C 3 C 4 C n

Contenuti La Divisione Sicurezza di Value Team IAM: ambiti di intervento Approccio Metodologico Case Studies Le nuove sfide

Per una risposta efficace è necessario un approccio metodologico rigoroso correlato ad un framework tecnologico di riferimento L applicazione delle raccomandazioni del Garante riguarda sia l ambito organizzativo e di processo che l ambito tecnologico; ciò può avvenire secondo una metodologia specifica mutuabile dai principi canonici della gestione del rischio Layer dei processi e dell organizzazione Deliverable Definizione del dato critico pertinente all azienda Tassonomia e peso di rilevanza dei dati critici Definizione e classificazione dei dati critici trattati dall azienda book dei processi e delle applicazioni che trattano dati critici Censimento dei processi e dei sistemi di elaborazione che li trattano Lista delle funzioni / responsabili aziendali a cui è attribuito l owner dei processi / sistemi che trattano dati critici Verifica (ed eventuale assegnazione) dell ownership sui processi / applicazioni / sistemi coinvolti Matrice di rischio in relazione agli elementi coinvolti nel trattamento dei dati critici Analisi dei rischi correlati alle specifiche minacce ai requisiti di privacy sui dati critici Framework di riferimento per lo sviluppo delle contromisure Sviluppo del modello delle contromisure inquadrate in un framework di riferimento condiviso Layer infrastrutturale e tecnologico Componenti Implementazione del processo di assegnazione delle credenziali e dei privilegi per le utenze applicative e gli addetti IT Repository unico delle utenze per tutte le componenti tecnologiche coinvolte Workflow autoritativo generale Interventi sulle applicazioni per renderle conformi ai requisiti di identificazione, autorizzazione e tracciamento delle utenze Piani di sicurezza applicativi per la conformità ai requisiti: introduzione di tecniche di strong authentication, controllo privilegi sulle risorse, firma digitale delle transazioni, Interventi per la sicurezza di sistemi operativi e database per gestione accessi, controllo privilegi, riservatezza dei dati e tracciamento degli addetti IT Sistemi di controllo accessi sulle risorse sistemistiche e DB Cifratura dei dati Sistemi di tracciamento degli interventi sulle risorse Sviluppo di un sistema di auditing sui trattamenti operati sui dati critici Infrastruttura di log collection ed audit centralizzato

Value Team ha consolidato una metodologia per affrontare le tematiche legate allo IAM... L Identity and Access Management (IAM) è l insieme dei processi e delle tecnologie che consentono di gestire e proteggere l accesso alle informazioni e alle risorse aziendali, attraverso meccanismi di gestione delle utenze e di controllo dei privilegi con i quali le risorse stesse possono essere accedute. Project Management Definizione Obiettivi Progettazione Implementazione Validazione e Testing Gestione e Manutenzione Classificazione dei dati trattati dall Azienda Analisi dei Processi e delle soluzioni in essere Definizione dei processi Autorizzativi Progettazione del Modello dei Dati, dei flussi autoritativi e di provisioning Realizzazione piattaforma di Identity Management (Workflow autorizzativo, connettori per target e sorgenti autoritative, role management) Validazione piattaforma di Identity Management Validazione connettori verso i sistemi target Supporto Operativo Definizione dei modelli di gestione delle identità e dei dei ruoli Progettazione del Modello dei Ruoli / Regole per l assegnazione dei privilegi Identificazione flussi e ownership su processi / applicazioni / sistemi Def. requisiti. Scouting tecnologico. Valutazione impatti economici Progettazione del modello di controllo degli accessi (AAA, SSO ) Definizione delle funzionalità di audit e reporting Realizzazione soluzione di Access Management Realizzazione audit / reporting Validazione soluzione di Access Management Validazione audit / reportistica Bug Analysis & Improvement

...basata su un modello logico architetturale di riferimento AUTHORITATIVE SOURCES HR DATABASE / DIRECTORIES ASSET MANAGEMENT IAM USERS SECURITY AUDIT HR ORGANIZATION HELP DESK MANAGEMENT GENERAL USERS IAM ADMINS IDENTITY SERVICES CENTRAL ADMINISTRATION DELEGATED ADMINISTRATION USER SELF SERVICE COMPLIANCE / REPORTING AUDIT / INVESTIGATION MONITORING / ALERTING IDENTITY & ROLE MANAGEMENT WORKFLOW ENGINE IDENTITY MANAGEMENT ENGINE ROLE MANAGEMENT ENGINE ENTITLEMENT MANAGEMENT ENGINE TARGET CONNECTORS Active Directory Windows Systems Web Applications TARGET PLATFORM LDAP Unix Systems Client/Server Applications Identity Repository Role Repository Policy Repository RACF Database Network & Securirty ACCESS CONTROL SERVICES WEB ACCESS CONTROL ENTERPRISE SINGLE SIGN-ON STRONG AUTHENTICATION FEDERATION NETWORK ACCESS CONTROL ADMINISTRATIVE ACCESS CONTROL PASSWORD SYNC TARGET SYSTEMS USERS EMPLOYEES CONSULTANT SYSTEM ADMINS OUTSOURCERS CUSTOMERS PRODOTTI UTILIZZATI NUMERO E TIPO DI UTENTI GESTITI NUMERO E TIPO DI PIATTAFORME TARGET Approccio Open e conoscenza di tutte le principali tecnologie di mercato Dalla piccole imprese alle grandi organizzazioni Competenze trasversali su tutte le architetture (Client/Server, Java, Host, SOA, etc.)

Contenuti La Divisione Sicurezza di Value Team IAM: ambiti di intervento Approccio Metodologico Case Studies Le nuove sfide

Case Study: Telco FUNZIONALITA REALIZZATE / IN REALIZZAZIONE Rule-based Provisioning Identity Central Delegated Help Desk / user self service Identity Assurance Compliance reporting Audit / Investigation Monitoring & Alerting HR Regole Identity Repository Fonti Autoritative Identity Management Service AD Sistemi Target DB Asset Mgnt Workflow Autorizzativo Identity Rule Engine Altri DB / Directory Target system connectors LDAP Applicazioni commerciali Role / privilege store Security policy store Altri Access Management Web Access Control Enterprise Single Sign On Garamte Amministratori Strong Authentication Federation NAC Log Collection and Signing Gestione Utenti Amministratori Privileged User Password Management Cross-domain authentication (Kerberos) E-SSO agentless OS e Database Workflow Autorizzativo e Reporting Activity Logging (EAS) Policy Enforcement centralizzato (SUDO) CARATTERISTICHE DEL CONTESTO TECNOLOGICO Soluzioni utilizzate: Oracle Identity Manager; IBM TIM; Sun Identity Manager; Microsoft ILM; sistema progettato e personalizzato usando tecnologie J2EE, Kerberos v5, LDAP v3 Numerosità utenze: circa 150.000, corrispondenti a oltre 1.000.000 di account gestiti Numerosità sistemi integrati: 5.000 target

Case Study: Finance HR Fonti Autoritative Asset Mgnt Altri DB / Directory FUNZIONALITA REALIZZATE / IN REALIZZAZIONE Rule-based Provisioning Password Propagation Identity Central Delegated Help Desk / user self service Identity Assurance Compliance reporting Audit / Investigation Monitoring & Alerting Regole Identity Repository Identity Management Service AD Sistemi Target DB Workflow Autorizzativo Identity Rule Engine Target system connectors LDAP Applicazioni commerciali Role / privilege store Security policy store Altri Access Management Web Access Control Enterprise Single Sign On Garante Amministratori Strong Authentication Federation NAC Gestione Utenti Amministratori Workflow approvativi per amministratori Reporting e Attestazione Role Mining (analisi bottom- Up) CARATTERISTICHE DEL CONTESTO TECNOLOGICO Soluzione utilizzata: Oracle Identity Manager e Oracle Role Manager Numerosità utenze: circa 40.000 Numerosità sistemi integrati: 10

Case Study: Utilities FUNZIONALITA REALIZZATE / IN REALIZZAZIONE Rule-based Provisioning HR Fonti Autoritative Asset Mgnt Altri DB / Directory Log Collection and Signing Gestione Utenti Amministratori Privileged User Password Management Identity Central Delegated Help Desk / user self service Identity Assurance Compliance reporting Audit / Investigation Monitoring & Alerting Regole Identity Repository Identity Management Service AD Sistemi Target DB Workflow Autorizzativo Identity Rule Engine Target system connectors LDAP Applicazioni commerciali Role / privilege store Security policy store Altri Access Management Web Access Control Enterprise Single Sign On Amministratori Strong Authentication Federation NAC Cross-domain authentication (Kerberos) E-SSO agentless OS e Database Workflow Autorizzativo e Reporting Convergenza logico-fisica della sicurezza (OS,DB, Appl, Location, Rete) Network Access Control CARATTERISTICHE DEL CONTESTO TECNOLOGICO Soluzione utilizzata: Oracle Identity Manager Numerosità utenze: 5.000, corrispondenti a circa 15.000 account gestiti Numerosità target integrati: circa 1000 server (SO), 100 DB, 100 applicazioni

Case Study: Public Fonti Autoritative FUNZIONALITA REALIZZATE / IN REALIZZAZIONE HR Asset Mgnt Altri DB / Directory Rule-based Provisioning Web Access Control Identity Central Delegated Help Desk / user self service Identity Assurance Compliance reporting Audit / Investigation Monitoring & Alerting Regole Identity Repository Identity Management Service AD Sistemi Target DB Workflow Autorizzativo Identity Rule Engine Target system connectors LDAP Applicazioni commerciali Role / privilege store Security policy store Altri Access Management Web Access Control Enterprise Single Sign On Garante Amministratori Strong Authentication Federation NAC Gestione Utenti Amministratori Self-Service Password Reset Cross-domain authentication (Kerberos) Reporting Federation & ICAR Network Access Control CARATTERISTICHE DEL CONTESTO TECNOLOGICO Soluzione utilizzata: Sun Oracle Identity Manager Numerosità utenze: circa 15.000 Numerosità sistemi integrati: 15 sistemi target

Contenuti La Divisione Sicurezza di Value Team IAM: ambiti di intervento Approccio Metodologico Case Studies Le nuove sfide

Settore Finance & Telco: Role & Entitlement Management come ulteriore fattore di miglioramento dell efficienza operativa Un modello Role Based di controllo accessi è un modello basato sul concetto di ruolo. Un ruolo è un elemento di mediazione tra un insieme di utenti ed un insieme di entitlement e spesso viene identificato con i ruoli aziendali. La possibilità di raggruppare insiemi di entitlements in ruoli e basare i processi autorizzativi su questi garantisce uno snellimento dei processi autorizzativi ed amministrativi con indiscussi vantaggi sul TCO. La realizzazione di un efficace modello RBAC non è un sfida solo tecnologica (funzioni IT) o solo organizzativa (funzione HR): è il risultato di un effort congiunto e coordinato. Quando decine di ruoli sostituiscono migliaia di profili i vantaggi sono evidenti: Riduzione costi di gestione (amministrazione maggiormente granulare) Profili calibrati alle mansioni Migliore controllo degli Entitlements

Settore Pubblico: la federazione delle identità come strumento per sgravare la gestione operativa L invio di informazioni tra le varie entità richiede che venga istaurata una relazione di trust. Identity Provider Service Provider Registration Autority Authorization Management

La sfida della sicurezza fisica: la diffusione della tecnologia digitale come leva strategica Il contesto della sicurezza fisica Possibili strategie evolutive Efficienza - I servizi di vigilanza sono costosi e parcellizzati - Soluzioni tecnologiche spesso non integrate (es. gestione accessi) Introduzione di tecnologia che: - sostituisca la vigilanza fisica con un servizio di monitoraggio da remoto - Integri soluzioni di accesso fisico e logico Efficacia - Il servizio di vigilanza spesso non è un deterrente ai furti, vandalismi e rapine - Presenza di sistemi di video sorveglianza analogici a bassa risoluzione - Assenza di integrazione con tecnologie digitali che inviano segnali logici utili ai fini della sicurezza fisica: software integrati per la gestione degli accessi Introduzione di tecnologia che: - integri segnali da fonti logiche eterogenee - aumenti la probabilità di identificazione (telecamere, RFID ) - identifichi e correli segnali deboli (es. )

Conclusioni Riferimenti: andrea.buzzi@valueteam.com +39 335 5799526

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back