Privacy, reati informatici ed impatto della 231/01 nelle aziende pubbliche. Tante tematiche un’unica soluzione

Luca De AngelisProduct Marketing Manager

Dato di fatto #1: Flessibilità

Dato di fatto #2: Cybercrime: dalla dimostrazione…

Dato di fatto #2: Cybercrime: ai soldi …

UNA VISTA GLOBALE DEI RISCHI

Malicious Software Removal Tool ™ :Running on 450

million computers worldwide

each month.

Forefront ™ Client Security, Windows Live OneCare ™ &

Windows Defender ™ : Operating on 100 million + computers

worldwide.

Forefront ™ Online Protection for Exchange:

Scanning billionsof emails yearly.

Bing™ : Billions of Web-page scans per year.

SIRv7: Dati raccolti da 212 regioni nel mondo.

http://www.microsoft.com/security/portal/Threat/SIR.aspx

Dato di fatto #3: l’impatto dellacrisi economica

Regolamentazioni e norme in aumento (e diconseguenza le richiestedi adeguamento)

Gli “stakeholder” della compliance oltre l’IT Manager

With increased focus on corporate governance and enterprise risk management, firms need governance, risk and compliance (GRC) software platforms to drive sustainability, efficiency, and consistency in managing enterprise risk and compliance.

(Source: Forrester August 7, 2006, Overcoming Risk And Compliance Miopia)

“Devo assicurarmi che le personeseguano le policy e le procedure senza troppo impatto sulleperformance.”

Risk Manager

CFO

Persone

“Vorrei un sistema facile da utilizzareche mi indichi i task da eseguire, traccii risultati e mi permetta di essere in linea con le richieste di policy e compliance senza aumentare il caricodi lavoro”

CEO

“Devo ridurre i rischi del mio business, ho bisogno di verificare lo stato dell’arte deicontrolli, ma non posso spendere troppo per questi sistemi e fare perdere tempo alle miepersone” “Devo comunicare con i miei

colleghi e assicurarmi che tuttosia in linea con i requisiti di legge.”

CIO“Mi serve una metodologia e delletecnologie per garantire compliance dei nostri sistemi anche a fronte di un audit.”

Governance, Risk e Compliance: un nuovo approccio

GovernanceManagement accountability

Policy creation, Identity management, Security

safeguards, Role-based access to data, Policy enforcement,

RiskAddresses

system threats, system vulnerability, protection of

IT assets, and risks to management objectives

ComplianceAddresses adherence to

laws, regulations, policies, standards,

Auditing and reporting

Decisioni legate al rischio(how they were made)

Impatto del mancatoadeguamento

Decisioni legate airischi

Conformità allenormative

Regole ditolleranza

ai rischi

Chi decide e quali sono I

processidecisionali

Il nuovo approccio alla Compliance

Legislation

Policies

Procedures

Physical Controls

Application Features

Inherent System

Capabilities

Approccio che esula dalla sola

tecnologia: l’automazione

dell’infrastrutura è l’ultima parte (ma

importantissima!) dell’intero processo

di compliance

Norma Prodotto

La tecnologia da sola non può

garantire la compliance

L’approccio corretto

NormaRegole di

governanceControlli IT

Compliance e Controlli IT

AUTOMAZIONE INFRASTRUTTURA

Tecnologie per la Governance, Risk & Compliance

Perché le tecnologie Microsoft

Semplici Processi di Governance Risk e Compliance integrati neglistrumenti usati abitualmente

Vengono indirizzati diversi requisiti di conformitàusando gli stessi strumenti aumentandol’efficienza e diminuendo I costi complessivi

Soluzioni personalizzabili ed estendibili

Processi più efficienti

Gestione sicura delle informazioni

Migliore visibilità delle operazioni

Riduzione dei costi per il recupero delle informazioni, e audit

Flessibili

Interoperabili

Cosa accade nel Datacenter?

Misura e gestione delle performance dei sistemi

Automzione del deployment e della gestionedei server

Supporto alla conformità dellenormative e la gestione dei

cambiamenti

Datacenter Business Continuity

Consolidamento dei server grazie alla virtualizzazione

Costi del lavoro nella gestione

delle applicazioni

Costidell’hardware

Costi deilocali

Costi del lavoro nella gestione

dell’infrastruttura

Costi diimplementazione

Costi del software

Imp

atto

su

i co

sti

IT

La gestione della conformità nel datacenter

I controlli devono essere diffusi a tutti i server

La virtualizzazione aumenta la flessibilità ma può rendere piùdifficile il controllo

La centralizzazione dei server all’interno del datacenter aumental’esigenza di un adeguamento

La collezione degli eventi disicurezza deve essere efficiente

Il volume dei dati aumenta in maniera esponenziale

Numero crescente di richieste, interne e esterne per la raccoltadi queste informazioni

La gestione della sicurezzadiminuisce I rischi

L’accesso ai dati e alle applicazionirichiede interventimultidisciplinari

La conformità alle normative richiede degli interventi generali

Le soluzioni per la conformità grazie ai prodottiSystem Center Server

Gestione delleconfigurazionidesiderate

Reporting sugli assett

Verifica dellevulnerabilità presenti

Controlli di

configurazione e

reportistica

Raccolta degli eventi disicurezza

Reportistica per soddisfare I requisitidella normativa

Report presentati in modo standard e personalizzabili

Auditing di sicurezza

centralizzato

Gestione completadell’infrastruttura server

Chiara visibilità dello statodi salute dei server

Distribuzione automaticadegli aggiornamenti disicurezza

Gestione delle identità

e degli accessi

Gestione della conformità dei server

Security compliance reporting

• Configuration Pack dedicati• Best practice per la pianificazione, impostazioni,

monitoraggio e risoluzione di problemi disicurezza

Impegno di risorse ridotto per la gestionedei rischi nel datacenter

• Verifica automatica delle condizioni diconfigurazione di sicurezza

• Automazione della gestione dei cambiamenti delleimpostazioni di sicurezza

Audit centralizzato degli eventi di sicurezza

Collezione e consolidamento delleinformazioni di sicurezza legate agliaccessi

• Raccolta in tempo reale delle informazioni disicurezza legate agli accessi

• Reporting esteso e dettagliato delleinformazioni raccolte

Report standard e personalizzabili• Account management• Access violation• Policy changes• System integrity

Gestione delle identità e degli accessi

Approccio integrato alla gestione

delle identità e degli accessi

• Gestione dei certificati digitali,• Password policy enforcement• User provisioning

Gestione del ciclo di vita

dell’identità

• Integrazione nativa in Active directory• Gestione dei privilegi degli utenti,

segregation of duties ecc.• Identificazione e rimozione di account

non più necessari

Compliance in praticaAlcuni esempi

• La metodologia e i processi• I servizi erogati dal supporto e consulenza Microsoft per

l’attuazione del regolamento sugli amministratori di sistema

• Un esempio di soluzione su tecnologia Microsoft di un partner italiano

Gov, Risk & Compliance MOF – Approccio pratico

Garante Privacy: “Amministratori di Sistema”… altre misure di sicurezza(Allegato B):

Norme & Compliance Premier Center for Operations Portfolio

16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615- Strumenti e processo di Patch management.

17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale.

• Definizione e implementazione di un processo di

Patch Management (Change Management).

Definizione nuovo servizio IT “Patch

Management”

IT Service Catalog

Business / IT Services impacted(Business/IT alignment)

Define the process (activities, workflow, roles & responsbilities)

Identify KPIs & CSF (Critical Successfactors)

Service Health

IT Service Operationalpractices

Business Continuity

Monitor KPIs

Configuration & Security Baselines

Service efficiency & effectiveness

Automation

Check for configuration and security baseline compliance.

Measure availability ofimpacted services & systems.

Audit & Review (KPIs, CSFs)

Regolamento Privacy Amministratori di SistemaLa risposta con Soluzione Microsoft

Soluzione formata da pacchetti autoconsistenti e modulari che soddisfano

le diverse esigenze del cliente

Indirizza le tre richieste del regolamento che richiedono l’adozione

tecnologie o attività specifiche di documentazione e verifica dei permessi

assegnati agli amministratori:

Attività

Intervento Security Advisory per confronto sul provvedimentoElenco amministratori di sistemaAbilitazione Auditing Active Directory

Active DirectorySQL File ServerExchangeISAFTP IIS, Sharepoint

Implementazionedi AFS providers base (SQL, Exchange inclusi) e custom

Implementazione architetturaSCOM/ACS

Gestione processi e metodologie (MOF)

Advisory e Assessment

AuditingAudit

ForwarderSystem

Log Collection Operations

Le soluzioni dei nostri partnerProgel srl - Strumenti per la compliance

Gestione dei dati raccolti SecureVantage Audit Collection Archiver Gestione e archiviazione dei database ACS

Compliance all’allegato B legge 196/2003 System Center Operations Manager 2007 Management pack

196 (MP196) Controllo sul cambio password art.5 Controllo account inutilizzati art. 7 Controllo sulle patch applicate art. 17 altro ancora

Versione free disponibile presso www.progel.it

1. Includere nelle attività quotidiane la Governance, gestione dei Rischi la conformità alle normative

2. Soluzioni efficaci e semplici da usare

3. Garantire l’accesso alle informazioniin modo sicuro, nel formato corretto e alle persone che ne hannoveramente bisogno

Visione complessiva