Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
Privacy, reati informatici ed impatto della 231/01 nelle aziende pubbliche. Tante tematiche un’unica soluzione
Luca De AngelisProduct Marketing Manager
UNA VISTA GLOBALE DEI RISCHI
Malicious Software Removal Tool ™ :Running on 450
million computers worldwide
each month.
Forefront ™ Client Security, Windows Live OneCare ™ &
Windows Defender ™ : Operating on 100 million + computers
worldwide.
Forefront ™ Online Protection for Exchange:
Scanning billionsof emails yearly.
Bing™ : Billions of Web-page scans per year.
SIRv7: Dati raccolti da 212 regioni nel mondo.
http://www.microsoft.com/security/portal/Threat/SIR.aspx
Dato di fatto #3: l’impatto dellacrisi economica
Regolamentazioni e norme in aumento (e diconseguenza le richiestedi adeguamento)
Gli “stakeholder” della compliance oltre l’IT Manager
With increased focus on corporate governance and enterprise risk management, firms need governance, risk and compliance (GRC) software platforms to drive sustainability, efficiency, and consistency in managing enterprise risk and compliance.
(Source: Forrester August 7, 2006, Overcoming Risk And Compliance Miopia)
“Devo assicurarmi che le personeseguano le policy e le procedure senza troppo impatto sulleperformance.”
Risk Manager
CFO
Persone
“Vorrei un sistema facile da utilizzareche mi indichi i task da eseguire, traccii risultati e mi permetta di essere in linea con le richieste di policy e compliance senza aumentare il caricodi lavoro”
CEO
“Devo ridurre i rischi del mio business, ho bisogno di verificare lo stato dell’arte deicontrolli, ma non posso spendere troppo per questi sistemi e fare perdere tempo alle miepersone” “Devo comunicare con i miei
colleghi e assicurarmi che tuttosia in linea con i requisiti di legge.”
CIO“Mi serve una metodologia e delletecnologie per garantire compliance dei nostri sistemi anche a fronte di un audit.”
Governance, Risk e Compliance: un nuovo approccio
GovernanceManagement accountability
Policy creation, Identity management, Security
safeguards, Role-based access to data, Policy enforcement,
RiskAddresses
system threats, system vulnerability, protection of
IT assets, and risks to management objectives
ComplianceAddresses adherence to
laws, regulations, policies, standards,
Auditing and reporting
Decisioni legate al rischio(how they were made)
Impatto del mancatoadeguamento
Decisioni legate airischi
Conformità allenormative
Regole ditolleranza
ai rischi
Chi decide e quali sono I
processidecisionali
Il nuovo approccio alla Compliance
Legislation
Policies
Procedures
Physical Controls
Application Features
Inherent System
Capabilities
Approccio che esula dalla sola
tecnologia: l’automazione
dell’infrastrutura è l’ultima parte (ma
importantissima!) dell’intero processo
di compliance
Norma Prodotto
La tecnologia da sola non può
garantire la compliance
L’approccio corretto
NormaRegole di
governanceControlli IT
Perché le tecnologie Microsoft
Semplici Processi di Governance Risk e Compliance integrati neglistrumenti usati abitualmente
Vengono indirizzati diversi requisiti di conformitàusando gli stessi strumenti aumentandol’efficienza e diminuendo I costi complessivi
Soluzioni personalizzabili ed estendibili
Processi più efficienti
Gestione sicura delle informazioni
Migliore visibilità delle operazioni
Riduzione dei costi per il recupero delle informazioni, e audit
Flessibili
Interoperabili
Cosa accade nel Datacenter?
Misura e gestione delle performance dei sistemi
Automzione del deployment e della gestionedei server
Supporto alla conformità dellenormative e la gestione dei
cambiamenti
Datacenter Business Continuity
Consolidamento dei server grazie alla virtualizzazione
Costi del lavoro nella gestione
delle applicazioni
Costidell’hardware
Costi deilocali
Costi del lavoro nella gestione
dell’infrastruttura
Costi diimplementazione
Costi del software
Imp
atto
su
i co
sti
IT
La gestione della conformità nel datacenter
I controlli devono essere diffusi a tutti i server
La virtualizzazione aumenta la flessibilità ma può rendere piùdifficile il controllo
La centralizzazione dei server all’interno del datacenter aumental’esigenza di un adeguamento
La collezione degli eventi disicurezza deve essere efficiente
Il volume dei dati aumenta in maniera esponenziale
Numero crescente di richieste, interne e esterne per la raccoltadi queste informazioni
La gestione della sicurezzadiminuisce I rischi
L’accesso ai dati e alle applicazionirichiede interventimultidisciplinari
La conformità alle normative richiede degli interventi generali
Le soluzioni per la conformità grazie ai prodottiSystem Center Server
Gestione delleconfigurazionidesiderate
Reporting sugli assett
Verifica dellevulnerabilità presenti
Controlli di
configurazione e
reportistica
Raccolta degli eventi disicurezza
Reportistica per soddisfare I requisitidella normativa
Report presentati in modo standard e personalizzabili
Auditing di sicurezza
centralizzato
Gestione completadell’infrastruttura server
Chiara visibilità dello statodi salute dei server
Distribuzione automaticadegli aggiornamenti disicurezza
Gestione delle identità
e degli accessi
Gestione della conformità dei server
Security compliance reporting
• Configuration Pack dedicati• Best practice per la pianificazione, impostazioni,
monitoraggio e risoluzione di problemi disicurezza
Impegno di risorse ridotto per la gestionedei rischi nel datacenter
• Verifica automatica delle condizioni diconfigurazione di sicurezza
• Automazione della gestione dei cambiamenti delleimpostazioni di sicurezza
Audit centralizzato degli eventi di sicurezza
Collezione e consolidamento delleinformazioni di sicurezza legate agliaccessi
• Raccolta in tempo reale delle informazioni disicurezza legate agli accessi
• Reporting esteso e dettagliato delleinformazioni raccolte
Report standard e personalizzabili• Account management• Access violation• Policy changes• System integrity
Gestione delle identità e degli accessi
Approccio integrato alla gestione
delle identità e degli accessi
• Gestione dei certificati digitali,• Password policy enforcement• User provisioning
Gestione del ciclo di vita
dell’identità
• Integrazione nativa in Active directory• Gestione dei privilegi degli utenti,
segregation of duties ecc.• Identificazione e rimozione di account
non più necessari
Compliance in praticaAlcuni esempi
• La metodologia e i processi• I servizi erogati dal supporto e consulenza Microsoft per
l’attuazione del regolamento sugli amministratori di sistema
• Un esempio di soluzione su tecnologia Microsoft di un partner italiano
Gov, Risk & Compliance MOF – Approccio pratico
Garante Privacy: “Amministratori di Sistema”… altre misure di sicurezza(Allegato B):
Norme & Compliance Premier Center for Operations Portfolio
16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615- Strumenti e processo di Patch management.
17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale.
• Definizione e implementazione di un processo di
Patch Management (Change Management).
Definizione nuovo servizio IT “Patch
Management”
IT Service Catalog
Business / IT Services impacted(Business/IT alignment)
Define the process (activities, workflow, roles & responsbilities)
Identify KPIs & CSF (Critical Successfactors)
Service Health
IT Service Operationalpractices
Business Continuity
Monitor KPIs
Configuration & Security Baselines
Service efficiency & effectiveness
Automation
Check for configuration and security baseline compliance.
Measure availability ofimpacted services & systems.
Audit & Review (KPIs, CSFs)
Regolamento Privacy Amministratori di SistemaLa risposta con Soluzione Microsoft
Soluzione formata da pacchetti autoconsistenti e modulari che soddisfano
le diverse esigenze del cliente
Indirizza le tre richieste del regolamento che richiedono l’adozione
tecnologie o attività specifiche di documentazione e verifica dei permessi
assegnati agli amministratori:
Attività
Intervento Security Advisory per confronto sul provvedimentoElenco amministratori di sistemaAbilitazione Auditing Active Directory
Active DirectorySQL File ServerExchangeISAFTP IIS, Sharepoint
Implementazionedi AFS providers base (SQL, Exchange inclusi) e custom
Implementazione architetturaSCOM/ACS
Gestione processi e metodologie (MOF)
Advisory e Assessment
AuditingAudit
ForwarderSystem
Log Collection Operations
Le soluzioni dei nostri partnerProgel srl - Strumenti per la compliance
Gestione dei dati raccolti SecureVantage Audit Collection Archiver Gestione e archiviazione dei database ACS
Compliance all’allegato B legge 196/2003 System Center Operations Manager 2007 Management pack
196 (MP196) Controllo sul cambio password art.5 Controllo account inutilizzati art. 7 Controllo sulle patch applicate art. 17 altro ancora
Versione free disponibile presso www.progel.it
1. Includere nelle attività quotidiane la Governance, gestione dei Rischi la conformità alle normative
2. Soluzioni efficaci e semplici da usare
3. Garantire l’accesso alle informazioniin modo sicuro, nel formato corretto e alle persone che ne hannoveramente bisogno
Visione complessiva