Embed Size (px)
Citation preview
Tracciamento delle operazioni bancarie:
il concetto di Power User
e il trade-off tra norme, standard
ed esigenze di produttività
AIEA, Milano 18 Maggio 2011
Paolo CapozuccaAdvisory & Alliance Manager
Gruppo [email protected]
B.U. SECURITY: CHI SIAMO
8 Principal Sec. Consultant 6 Sec. Program Manager 28 Security Consultant
Oltre 80 certificazioni
ICT SECURITY AUDITING & COMPLIANCE
(DL 196, SOX, DL. 231, L.262,..)
ORGANIZZAZIONE, RUOLI, PROCESSI
ANALISI DEL RISCHIO
IDENTITA’ DIGITALI FEDERATE
DATA LOSS & LEAKAGE PREVENTION
DAM: DB ACTIVITY MONITORING
CLOUD SECURITY e SECURITY per il CLOUD
Security Team operante dal 1998, in Italia, Europa, Medio Oriente
DIGITAL IDENTITY IN ITALIA: INPDAP
DIGITAL IDENTITY IN ITALIA: SPARKLE
ABN AMRO UK – Progetto Risk Assessment ICT Sarbanes-Oxley
ALPHA BANK (Grecia): Identità digitali e Role Mgmt
EUROBANK (Grecia, Romania, Bulgaria): Identità digitali e Role Mgmt
HALK BANK – Banca Turca : Role Management e Identità Digitali
TCMB - Banca Centrale Turchia : Identità digitali federate
UNICREDIT TIRIAC BANK (Romania): Identità digitali e Role Management
ASTELIT MOBILE (Ucraina): Identità digitali
VODAFONE (Albania e Romania): Identità digitali federate per adeguamentoSarbanes-Oxley
REFERENZE SECURITY FINANCE & TELCO ALL’ESTERO
INFORMATION SECURITY: COSA E’ CAMBIATO TRA XIII E XXI SECOLO?
SECURITY: MOLTO SEMBRA FATTO MA….
… FORSE NON ANCORA PROPRIO TUTTO!
* Articolo pubblicato su DailyMail.co.uk nel mese di Agosto 2008
XXI SECOLO: ANDREW CHAPMAN E IL DATA LOSS
Andrew Chapman con l’hard disk comprato su eBay
e che conteneva informazioni bancarie private di più
di un milione di persone*
10
INFORMATION SECURITY AL TEMPO DEL CLOUD COMPUTING
Le informazioni digitalizzate da proteggere: un asset che ogni anno raddoppia di volume.
11
INFORMATION SECURITY AL TEMPO DEL CLOUD COMPUTING - 2
In un contesto normativo internazionale e italiano sempre più capillare e complesso: (SOX, BASEL III, D.Lgs 231/01, L.262/2005, D.Lgs 196/2003)
12
TERASYSTEM NELLA CLOUD SECURITY ALLIANCE
OBIETTIVI: CONVERGENZA, UNIFICAZIONE, SEMPLIFICAZIONE
Area delle Regole
Area della Infrastruttura
Area di
Chi Opera
Area del cosa può accadere e del cosa accade
INFORMAZIONI
POLICY MGMT
IDE
NT
ITY
MG
MT
CONTROLMGMT
INFR
AST
RU
CT
UR
EM
GM
T
PLAN: definizione ISMS
ambito ISMS, obiettivi ISMS (Policy), individuazione rischi, Controlli, preparazione di un SoA: Statement of Applicability
DO: implementazione
ed attivazione ISMSdefinizione Piano di Risk Management, implementazione Piano di Risk Management, implementazione dei Controlli
CHECK: monitoraggio e revisione ISMS attivazione procedure di monitoraggio, revisione periodica efficacia ISMS, revisione periodica Livello di Rischio residuo, auditing periodico
ACT: manutenzione e
adeguamento (miglioramento ) ISMS implementazione migliorie, attivazione azioni correttive e preventive, comunicazione azioni e risultati, controllo raggiungimento obiettivi
INFORMATION CENTRIC SECURITY
OBIETTIVI: CONVERGENZA, UNIFICAZIONE, SEMPLIFICAZIONE
Spunti importanti dal ROSI 2.0
Pattern DLP, DAM, ROLE MANAGEMENT
5.10: DLP
5.11: DAM
5.12: ROLE MANAGEMENT
DOPO LA SECURITY: E LA DATA PROTECTION ?
Data Protection
Sicurezza
Backup
Archiving
Disaster Recovery
Business Continuity
Data Eradication
PRINCIPALI CAUSE DI PERDITA DATI
Fonte: KPMG
Principali cause di perdita dati
Fonte: KPMG
Principali cause di perdita dati
Perdite dati per settore
Fonte: KPMG
Sicurezza del dato
Data Security
Enterpise Policy Management
Identity & Access
Management
Information Integrity
Management
Security Informations &
Event Management
Access Control Management
Policy
Identità
IntegritàEventi
Configurazioni
CLASSIFICAZIONE DEI DATI
Classificazione dei dati
La classificazione dei dati e delle informazioni degli Enti ha una duplice valenza, da unlato discende di fatto dagli obblighi di legge connessi, in particolare, alla normativasulla privacy (D. Lgs. 196/2003 e Provvedimenti del Garante), dall’altro è necessario alfine di attribuire a ciascuna informazione l’adeguato livello di protezione, rispettoalla criticità del dato per la missione dell’Ente (secondo gli standard internazionali disicurezza, per esempio, ISO 27001).
In entrambi i casi, il livello di protezione dei dati e delle informazioni classificate, intermini di controlli di sicurezza tecnici, organizzativi o fisici, deve essere determinatoattraverso un procedimento di analisi dei rischi cui le informazioni medesime sonoesposte.
I POWER USER AL LAVORO (FINO A IERI)
Sys Admin
Net Admin
Mail Admin
Audit & Monitor
Log
Log
Log
ManagedZone
User
Zone
L’amministrazione delle applicazioni, dei server e degli apparati avviene direttamente
sugli ambienti target.
I privilegi di accesso sono generalmente di livello
elevato
La unica forma di reale deterrenza dalle
manipolazioni è la Separation of Duties
tra i Power User
Non costituisce però una “prova” forense
in caso di contestazione
Le tracce e le evidenze delle operazioni ICT sono a cura dei sistemi gestiti e quindi
esse stesse soggette ad azioni da parte dei
Power User
User
Zone
ManagedZone
Sys Admin
Net Admin
Mail Admin
Audit & Monitor
NOOSAdmin
Log
Log
Log
Log
Log
Log
COME?
1. Disaccoppiare i Power User
dai Sistemi Gestiti
2. Fornire un logging
autonomo, indipendente,
inalterabile
I POWER USER da OGGI: Una rivoluzione silenziosa
Protezione in tempo reale dei database ed aderenza alle
esigenze di Compliance e Data Protection
DAM: DB Activity Monitoring
DAM: Le componenti necessarie
IntrusionPrevention
VirtualPatching
Tracciabilita dell’accesso degli
utenti ai database in ambienti
WAN e LAN
strumenti di Vulnerability
assessment per DB Oracle,
SQL Server, MySQL, DB2
Strumenti per la
gestione ed
il reporting
delle attivia’
di auditing
Virtual patching
basati sulle
vulnerabilità
note dei DB
con azione
“0” day
protections
Prevenzione
delle
intrusioni
dall’interno
del DB, con
pieno
controllo dei
POWER USER
.
ILM: INDIPENDENZA DAI VENDOR!
Su tutto il ciclo di Information LifeCycle Management
Collect /
Organize
Replicate/
Monitor
Access /
Share
Protect / Recover
Migrate /
Archive
Delete /
Destroy
Business Needs
GRAZIE!
Vi aspettiamo al
SECURITY SUMMIT DI ROMA
Paolo CapozuccaAdvisory & Alliance Manager
Gruppo [email protected]
