Adempiere tecnologicamente al provvedimento del Garante per gli
Amministratori di Sistema Massimo Cotta Marketing & Presales
Director Redco Telematica S.p.A [email protected] 20 Maggio 2009
Assago - Milanofiori
Slide 2
ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Agenda
Situazione ad oggi in merito alle misure richieste dal Garante Un
possibile approccio produttivo alla tematica La soluzione
tecnologica
Slide 3
ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Le misure
richieste dal Garante Di seguito sono indicati gli accorgimenti e
le misure che vengono prescritti ai sensi dell'art. 154, comma 1,
lett. c) del Codice, a tutti i titolari dei trattamenti di dati
personali effettuati con strumenti elettronici, esclusi, allo
stato, quelli effettuati in ambito pubblico e privato a fini
amministrativo-contabili, ovvero:
Slide 4
ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI 4.4 Verifica
delle attivit L'operato degli amministratori di sistema deve essere
oggetto, con cadenza almeno annuale, di un'attivit di verifica da
parte dei titolari del trattamento, in modo da controllare la sua
rispondenza alle misure organizzative, tecniche e di sicurezza
rispetto ai trattamenti dei dati personali previste dalle norme
vigenti. 4.3 Elenco degli amministratori di sistema Gli estremi
identificativi delle persone fisiche amministratori di sistema, con
l'elenco delle funzioni ad essi attribuite, devono essere riportati
nel documento programmatico sulla sicurezza, Nel caso di servizi di
amministrazione di sistema affidati in outsourcing il titolare deve
conservare direttamente e specificamente, per ogni eventuale
evenienza, gli estremi identificativi delle persone fisiche
preposte quali amministratori di sistema. Le misure richieste dal
Garante
Slide 5
ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI 4.5
Registrazione degli accessi Devono essere adottati sistemi idonei
alla registrazione degli accessi logici (autenticazione
informatica) ai sistemi di elaborazione e agli archivi elettronici
da parte degli amministratori di sistema. Le registrazioni (access
log) devono avere caratteristiche di completezza, inalterabilit e
possibilit di verifica della loro integrit adeguate al
raggiungimento dello scopo di verifica per cui sono richieste. Le
registrazioni devono comprendere i riferimenti temporali e la
descrizione dell'evento che le ha generate e devono essere
conservate per un congruo periodo, non inferiore a sei mesi. Fonte:
http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499 Le misure
richieste dal Garante
Slide 6
ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Bene, e adesso?
Il quadro normativo da tenere presente ben pi ampio (es. Art. 4
Statuto Lavoratori) La Normativa assolutamente soggetta ad
interpretazione Ogni Azienda dovr scegliere lapproccio pi adeguato
alla Normativa e definire la propria risposta E fortemente
consigliato valutare lopportunit di una consulenza in ambito
privacy / legale Non per ultimo, tutti sperano in una
provvidenziale proroga.ma ci ritarder solo la reale risoluzione del
problema che deve invece essere risolto quanto prima La soluzione
tecnologica sar solo una parte del sistema globale che porter al
raggiungimento della compliance aziendale alla normativa
Slide 7
ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Chi ha letto la
normativa si certamente chiesto 6: Come poter garantire e provare
che il dato memorizzato non sia stato alterato 1: Quali figure sono
identificabili nel ruolo appartenente agliAmministratori di Sistema
2: Quali sono gli eventi da collezionare 3: Se occorre solo
tracciare il login ed il logout dellamministratore o anche lattivit
svolta 4: Quanto spazio sullo storage servir per collezionare tutti
log 5: Come possibile fars che gli amministratori non cancellino le
loro tracce informatiche
Slide 8
ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Ecco le uniche
risposte certe Per amministratore di sistema si individuano
generalmente, in ambito informatico, figure professionali
finalizzate alla gestione e alla manutenzione di un impianto di
elaborazione o di sue componenti. Ai fini del presente
provvedimento vengono per considerate tali anche altre figure
equiparabili dal punto di vista dei rischi relativi alla protezione
dei dati, quali: Amministratore di base dati Amministratori di reti
e di apparati di sicurezza amministratori di sistemi software
complessi Amministratori di sistemi di backup/restore e
manutenzione hardware Avendo molte associazioni di categoria
(Asstel, ABI, Confindustria) esposto i propri dubbi in merito ad
alcuni aspetti del provvedimento, il 21 Aprile, il Garante ha
aperto una consultazione pubblica
(http://www.garanteprivacy.it/garante/doc.jsp?ID=1611986) per
chiarire definitivamente i punti controversi. Tutti coloro che
vogliano inoltrare suggerimenti, osservazioni o commenti avranno
tempo fino al 31 maggio p.v. Non resta, quindi, che attendere il
pronunciamento dellAutorit Garante Privacy e sperare che possa
finalmente fornire i chiarimenti richiesti.
Slide 9
ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Un possibile
approccio trifase AssessmentProgettoImplementazioneTuning Fase1
Fase2Fase3 Considerando che, prima o poi, il provvedimento entrer
in vigore, valutiamo allora un possibile approccio organico alla
problematica:
Slide 10
ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Fase 1 Che Cosa
Chi - Come Definizione delle procedure per identificare e gestire
gli accessi fisico / logici ai sistemi ed alla rete Individuazione
degli Amministratori di Sistema, di rete e delle banche dati, al
fine della regolamentazione delle procedure elencate nella
normativa del Garante Definizione delle procedure per definire le
modalit di raccolta, analisi e conservazione dei log di sistema
Individuazione degli apparati e dei sistemi che dovranno essere
soggetti alla regolamentazione di raccolta ed analisi dei log
Assessment
Slide 11
ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Fase 2 A
conclusione dellassessment procedurale e tecnologico potr essere
proposta ladozione di sistemi idonei alla registrazione degli
accessi logici ai sistemi di elaborazione e agli archivi
elettronici da parte degli amministratori di sistema. In questa
fase si identificher larchitettura tecnologicamente pi adatta a
soddisfare i prerequisiti tecnici e normativi identificati.
Progetto
Slide 12
ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Fase 3 Questa
fase riguarder limplementazione ed il tuning del sistema
tecnologico proposto. Lobiettivo finale sar la definizione di
policy minimali e funzionali, che possano validare il percorso
normativo / procedurale definito nella Fase 1. Tuning
Implementazione
Slide 13
ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Esigenze
Aziendali Disposizioni Garante Obiettivi progetto Assessment per
identificazione sorgente dati Policy Aziendale Ufficio Legale
(risultati analisi) Funzione Compliance (DPS) (risultati analisi)
Amministratori di Sistema Procedure OK? NO Soluzione tecnologica SI
Il processo pi corretto
Slide 14
ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Requisiti della
soluzione tecnologica La soluzione tecnologica dovr, come minimo,
consentire: La piena soddisfazione dei requisiti delle normative
Unanalisi efficace e veloce, a fronte di richieste ed incidenti La
gestione pro-attiva e reattiva di violazioni, mediante reporting ed
alerting dedicato Lenforcement delle policy di accesso La
correlazione degli eventi L integrabilit verso sistemi
proprietari/legacy La certificazione dellinalterabilit dei dati
memorizzati Una gestione semplificata e multi-livello delle attivit
operative
Slide 15
ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Una comune
architettura aziendale Router logs IDS/IDP logs VPN logs Firewall
logs Windows logs Client & file server logs Wireless access
logs Windows domain logins Oracle Financial Logs San File Access
Logs VLAN Access & Control logs DHCP logs Linux, Unix, Windows
OS logs Mainframe logs Database Logs Web server activity Content
management logs Web cache & proxy logs VA Scan logs Switch
logs
Slide 16
ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI La
razionalizzazione degli asset IDS/IDP logs VPN logs Firewall logs
Client & file server logs Windows domain logins Oracle
Financial Logs SAN file Access Logs Mainframe logs Database Logs VA
Scan logs Switch logs
Slide 17
ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Il vendor di
riferimento: RSA enVision
Slide 18
ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Larchitettura
della soluzione - Collection Disaccoppiamento tra Raccolta ed
Analisi/Reportistica Possibilit di sviluppo a supporto di sorgenti
dati sconosciute Possibilit di approccio incrementale Raccolta
RealTime ed Agentless Singolo punto di raccolta Raccolta di eventi
RAW Collezionamento completo (no prefiltering) Sorgenti di
tipologia eterogenea Soluzione concepita per il Real-Time
Flessibilit per analisi future di diverse tipologie Supporto ad
elevati carichi in ricezione
Slide 19
ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI
Differenziazione degli storage per rispettare le policy di
ridondanza Compressione dei dati archiviati Possibilit di aumentare
la protezione dei dati mediante funzionalit aggiuntive dei sistemi
di storage supportati Archivio WORM (Write Once Read Many)
applicativo Inalterabilit: NON esistono funzioni di modifica dei
dati Integrit: Hashing Marcatura temporale interna Conservazione su
IPDB, NON su RDBMS (Relational Database Management System)
Larchitettura della soluzione - Storage
Slide 20
ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Correlation
& Alerting Disponibilit di oggetti predefiniti e pi di 1200
report e correlazioni Singolo punto di accesso ai dati raccolti
Client per analisi forense Self-Auditing Separazione Ruoli
(funzionalit e visibilit dati) Reporting (schedulabile)
Larchitettura della soluzione Analisi / Data Management
Slide 21
ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Interfaccia
grafica semplificata
Slide 22
ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Interfaccia
grafica semplificata
Slide 23
ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI I vantaggi
Semplicit di integrazione B-2 Syslog, Syslog NG SNMP Formatted log
files Comma/tab/space delimited ODBC connection to remote databases
Push/pull XML files via HTTP Windows event logging API CheckPoint
OPSEC interface Cisco IDS POP/RDEP/SDEE Oltre 150 device gi noti
(www.rsasecured.com)www.rsasecured.com Universal Device Support
(linguaggio XML-like) I logfile possono essere raccolti
tramite:
Slide 24
ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI - 65% - 80% I
vantaggi Ottimizzazione dello storage
Slide 25
ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Collect
Baseline Report Forensics Manage Device Trend Micro Antivirus
Microsoft ISS Juniper IDP Cisco IPS Netscreen Firewall Windows
Server Correlated Alerts Realtime Analysis LegacyRSA enVision
Supported Devices Integrated Incident Mgmt. Analyze Event Explorer
UDS Interactive Query I vantaggi Scalabilit
Slide 26
ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Le marce in pi
della soluzione tecnologica Raccolta, gestione ed analisi di
qualsiasi tipologia di logfile - Da qualsiasi device IP - Eventi di
ogni tipo - Nel loro formato nativo (nessuna alterazione o
normalizzazione) Supporto di tutti i device - Centinaia gi noti e
disponibili nel DB dellapparato - Espandibilit flessibile
(Universal Device Support, xml-like) Punto di osservazione centrale
e globale -Accesso unico a tutte le informazioni su tutta
linfrastruttura - Rispetto dei profili e dei ruoli (con accesso
protetto) Installazione non invasiva - Impatto nullo/minimo
sullinfrastuttura monitorata (no agent) - Facile integrazione
Slide 27
ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Funzionalit
avanzate - Alert e Reporting fortemente personalizzabili Abilita
ILM (Information Lifecycle Management) - Uso ottimale dello Storage
(compressione di dati raw) - Consente lapplicazione di policy di
Conservazione dei Dati Implementa Scalabilit ed Alta Disponibilit -
Architettura di Raccolta non-stop - Hot StandBy e Fault Tolerance -
Scalabile a caldo (anche per lo storage) Performance elevate con
TCO contenuto - Referenze attive di 100.000 Eventi Per Secondo
(EPS) e 10.000 device monitorati in tempo reale - Impiego di
appliance ad alte prestazioni anche nelle versioni entry level -
Scalabilit locale e geografica - Nessuna competenza di DBA
necessaria Le marce in pi della soluzione tecnologica
Slide 28
ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Riassumendo La
nuova normativa non deve essere considerata un problema, ma un
punto di partenza per il miglioramento delle procedure e
dellinfrastruttura tecnologica aziendale Ladozione di un DPS
strutturato e realmente conforme, semplificherebbe moltissimo
ladozione dei nuovi processi richiesti dal Garante La scelta della
soluzione tecnologica non deve essere dettata solo dagli obblighi
dalla normativa in oggetto, ma deve essere valutata
approfonditamente e considerata come una reale innovazione
tecnologica per lAzienda Dietro ogni problema, c una
opportunit
Slide 29
ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Redco
Telematica S.p.A, grazie ai suoi 24 anni di esperienza maturata sul
mercato e alle referenze sino ad oggi maturate, un partner
qualificato in grado di proporre soluzioni professionali alle
problematiche esposte. Redco Telematica S.p.a
Slide 30
ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Grazie
dellattenzione! Massimo Cotta - Marketing Director - Redco
Telematica Spa Via Alba 18/A - 21052 Busto Arsizio VA :
www.redco.it - @: [email protected] Tel: +39-0331-397600