IBM Business Consulting ServicesLa sicurezza informatica nella Pubblica Amministrazione: da reazione a prevenzioneMariangela FagnaniRoma, 9.05.2005
2 © Copyright IBM Corporation 2005
IBM Business Consulting Services
Agenda
Security: l'approccio necessario
La metodologia
Strumenti e progetti
Le competenze
3 © Copyright IBM Corporation 2005
IBM Business Consulting Services
L’approccio alla Sicurezza si è evoluto negli ultimi anni verso il concetto di “Enterprise Security”, ovvero la protezione degli asset realmente critici per i servizi forniti dalle Pubbliche Amministrazioni
Fonte: IBM su dati IDC/Bull 2003
.. da problema tecnico a problema aziendale…
prevenzione
reazione
Esposizioni di sicurezza fisicaConfidenzialità dei datiMinacce dall’esterno
Asset fisici
Esposizioni di sicurezza logicaIntegrità e disponibilità dei datiMinacce dall’esterno e dall’interno
Asset informatici
Analisi dei rischi e delle vulnerabilitàMonitoraggio attivo (rete, sistemi,etc.)Gestione degli incidentiGestione degli utentiAmministrazione della sicurezza
Asset informativi
1980’s 2000’s1990’s 1995’s 2003’s
proattivitàMonitoraggio della sicurezza territorialeGestione dell’interazione col territorioGestione delle variabili socioeconomiche Compliance con le normative
Business Asset
++
++
++
4 © Copyright IBM Corporation 2005
IBM Business Consulting Services
territorio
ENTEENTE
Istituti FinanziariIstituti Finanziari
Erogatori di utilitiesErogatori di utilities
Pubblica Amm.ne LocalePubblica Amm.ne Locale
Pubblica Amm.ne CentralePubblica Amm.ne Centrale
Operatori TelcoOperatori Telco
Enti controllo infrastruttureEnti controllo infrastrutture
FornitoriFornitori
DipendentiiDipendentii
PubblicoPubblicoAziende collegateAziende collegate
ClientiClienti
Forze di PoliziaForze di Polizia
Operatori sanitariOperatori sanitari
Operatori ambientaliOperatori ambientali
Impianti delocalizatiiImpianti delocalizatii
La consapevolezza del proprio “Territorio” permette all’amministrazione di individuare correttamente gli Asset da proteggere
ASSETS
Beni
Informazioni
Infrastrutture
Immagine
Servizi
Processi
Locations
Persone
Territoriol’insieme dei soggetti, delle relazioni, dello spazio fisico e delle
condizioni economiche che rendono possibile alle aziende il raggiungimento dei propri obiettivi economici e sociali
5 © Copyright IBM Corporation 2005
IBM Business Consulting Services
La capacità di proteggere gli Asset dipende dalla corretta comprensione delle minacce e dei requisiti cui è sottoposto il “Territorio” in cui le Pubbliche Amministrazioni stesse operano…
Requisiti di Riservatezza
Requisiti diIntegrità
Requisiti diDisponibilità
Requisiti di Pubblico servizio
Requisiti Legali
RequisitiContrattuali
Minacce Fisiche
Minacce Territoriali
Minacce Logiche
ENTE
6 © Copyright IBM Corporation 2005
IBM Business Consulting Services
ResilienceDisegno di un’architettura di business che supporta ed estende la flessibilità strategica e l’adattabilità operativa diminuendo il rischio aziendale
…e richiede alle Pubbliche Amministrazioni di adottare un’architettura di “business resilient”, coerente con il proprio modello di Business
Condizioni fondamentali per la realizzazione di un’azienda “resilient” sono:• La continuità del business• La gestione del rischio
Business Continuity Planning,Programmi di Security e Safety,
Capacity planningguidati dalla tecnologia
BusinessResilienceBusinessResilience
Organizational Resilience
Business Process Resilience
Enterprise Risk Management
Resilient Infrastr.
Assicurazione
Bus
ines
s C
ontin
uity
Sec
urity
/S
afet
y
Per
f. &
Cap
acity
Dis
aste
r R
ecov
ery
L’Enterprise Risk Management è un concetto noto basato sull’assicurazione
Processi di business e amministrativi integrati a livello operativo
Cultura aziendale, governance, policy e procedure
7 © Copyright IBM Corporation 2005
IBM Business Consulting Services
Il programma di sicurezza si affronta adottando una metodologia per fasi, capace di comprendere e gestire gli asset rilevanti per la missione aziendale e per la sua tutela
Comprensione del “Territorio operativo”
Individuazione delle scoperture di sicurezza (organizzative e tecnologiche)
Prioritizzazione degli interventi
Individuazione e disegno delle contromisure adeguate
Implementazione delle soluzioni e dei prodotti
Gestione del rischio (Certificazione di Sicurezza delle informazioni BS7799:2 2002)
Business Assets
Security
Business Assets
Security
8 © Copyright IBM Corporation 2005
IBM Business Consulting Services
Un esempio di Component Business Model per un ente della difesa
Control
Direct
Execute
Coalition/Combined Coalition/Combined Capabilities planningCapabilities planning
National Security/National Security/Defence StrategyDefence Strategy
Advanced Technical Advanced Technical Research PlanningResearch Planning
Force Posture Force Posture PlanningPlanning
Strategic PlanningStrategic Planning
Establish Coherent Establish Coherent Coalition Network Coalition Network
EnvironmentEnvironment
Establish Coalition Establish Coalition Spectrum AgreementsSpectrum Agreements
Advanced Research Advanced Research and Developmentand Development
Quality Requirements Quality Requirements Assessment and Assessment and
ControlControl
Modeling and Modeling and Simulation Simulation
Test and Evaluate Test and Evaluate Concepts and Concepts and
PrototypesPrototypes
Integrated Command Integrated Command and Controland Control
Force DeploymentForce Deployment
Maintain Secure Battle Maintain Secure Battle space Networksspace Networks
Integrated Mission Integrated Mission ExecutionExecution
Situational Situational awareness/ OOTWawareness/ OOTW
Monitor Security Monitor Security Assistance Assistance AgreementsAgreements
Prioritization and Prioritization and Evaluation of Evaluation of
Capability Capability Opportunities (ROI)Opportunities (ROI)
Manage Industrial Manage Industrial Collaboration Collaboration
(Defense Integrators (Defense Integrators and Contractors)and Contractors)
Operational Readiness Operational Readiness Performance Performance ManagementManagement
Operational Operational Performance Performance ManagementManagement
Force Re-DeploymentForce Re-Deployment
Trade and Trade and Collaboration Control Collaboration Control
StrategyStrategy
Acquisition StrategyAcquisition Strategy
Contract ManagementContract Management
Program ManagementProgram Management
Monitoring and Monitoring and Management of Management of
Acquisition Acquisition PerformancePerformance
Acquisition and Acquisition and Deployment into Deployment into
service of Material service of Material Assets Assets
Programme Programme Specification and Specification and
DesignDesign
Scenario Planning and Outcome Based StrategyScenario Planning and Outcome Based Strategy
Force Package Force Package Material Capability Material Capability
RequirementsRequirements
Personnel Capability Personnel Capability PlanningPlanning
Personnel Education, Personnel Education, Training and Training and DevelopmentDevelopment
Personnel Personnel RecruitmentRecruitment
Personnel Personnel Performance Performance ManagementManagement
Education, Training Education, Training and Development and Development
ManagementManagement
Corporate PlanningCorporate Planning
Human Capital Policy Human Capital Policy and Workforce and Workforce
PlanningPlanning
Budget and Cost Budget and Cost ManagementManagement
Human Resource Human Resource Management and Management and AdministrationAdministration
Facilities and Facilities and Infrastructure Infrastructure ManagementManagement
Cost ControllingCost Controlling
Base ManagementBase Management
Policy DevelopmentPolicy Development
Regulatory and Regulatory and Statutory AgreementsStatutory Agreements
Legislative and Public Legislative and Public AffairsAffairs
Manage SalesManage Sales
Manage Health, Manage Health, Environment and Environment and
SafetySafety
Corporate Corporate Performance Performance ManagementManagement
Life Cycle Tradeoff Life Cycle Tradeoff Analysis Analysis
Global Security/ Defense
Environment
Develop Material Capabilities
Develop Personnel
Capabilities Acquisition Operations Sustainment Enablement
Lifecycle Planning Lifecycle Planning
Integrated Demand Integrated Demand and Supply Planningand Supply Planning
Demand and Supply Demand and Supply ManagementManagement
Inventory Inventory ManagementManagement
Out of Service Out of Service Maintenance Planning Maintenance Planning
and Executionand Execution
Transportation Transportation Distributions and Distributions and
DispositionDisposition
Asset Visibility and Asset Visibility and ManagementManagement
Sustainment Sustainment Management and Management and
Performance Performance Monitoring Monitoring
Configuration Configuration ManagementManagement
Demand and Supply Demand and Supply AnalysisAnalysis
Supply Chain StrategySupply Chain Strategy
In Service In Service Maintenance Planning Maintenance Planning
and Executionand Execution
Vendor ManagementVendor Management
PurchasingPurchasingForce PreparationForce Preparation
Coalition/Combined Coalition/Combined Forces Course Of Forces Course Of
Actions & DoctrineActions & Doctrine
Intelligence Synthesis Intelligence Synthesis and Forecastingand Forecasting
Monitor Coalition and Monitor Coalition and Spectrum AgreementsSpectrum Agreements Technology Technology
Innovation Infusion Innovation Infusion and Controland Control
Force Package Force Package Personnel Capability Personnel Capability
RequirementsRequirements
Operational PlanningOperational Planning
Deliberate PlanningDeliberate Planning
Common Operational Common Operational Picture MaintenancePicture Maintenance
ISR Tasking and ISR Tasking and CollectionCollection
Financial accounting Financial accounting and GLand GL
9 © Copyright IBM Corporation 2005
IBM Business Consulting Services
Information Security
Information Security
La scomposizione dei componenti permette di identificare i punti critici dei processi e individuare le modalita’ per la loro sicurezza…
Minacce di tipo fisico
Furti, Manomissioni, Attacchi
Minacce di tipo logico
Indisponibilita’ delle risorse IT (rete, sistemi, dati)
Virus, hacking
Violazione privacy dati personali
Accessi non autorizzati
Perdita Integrita’ e disallineamento delle informazioni
Minacce territoriali
Leggi e normative
Mancanza servizi generali (rete, energia elettrica, etc.)
Disastri naturali
Indisponibilita’ personale Customer Services
E X
A M
P L
E
Fo
r illustratio
n o
nly
Fleet
Management
Profile Management
Asset Availability
User Profile
Location Information
Asset visibility management
Asset Availability
Reserve Asset
Check assignement
Check-In asset
Check-Out asset
User Profile
Location Information
Asset assignement
Offered Service
Consumed Service
Rfid per memorizzazione informazioni, tracciatura e localizzazione
Copertura Assicurativa
Protezione passiva ed attiva
Soluzioni in alta affidabilita’ , procdure di backup e di continuita’
Protezione della rete , sistemi e dei dati
Sistema di autorizzazione accessi
Strong authentication per accesso ai dati
Soluzioni di business continuity e disaster recovery
Fornitura servizi generali duplicata e diversificata
Dislocare personale Customer Services in sedi diverse
Minacce Contromisure
10 © Copyright IBM Corporation 2005
IBM Business Consulting Services
… e definire gli elementi (Goals & Security KPIs) di misurazione e di governance del processo anche dal punto di vista della sicurezza
Goal
(Security target)
KPI
(Key Performance Indicators - Measurable Objectives)
Migliorare la velocita’ di risposta e soluzione dei problemi di sicurezza
Ridurre il tempo di investigazione
Migliorare la velocita’ di risposta e soluzione dei problemi da parte Help Desk
Tempo richiesto per investigare in merito a incidenti di sicurezza
Tempo impiegato fra ricezione/report/ azione
Tempo fra il primo contatto all’Help Desk e la soluzione del problema
Migliorare l’efficacia delle misure di protezione della rete Numero delle infezioni da virus per settimana/mese
Numero dei componenti infetti per incidenti da virus
Numero tentativi di intrusione nella rete per settimana/mese
Aumentare il livello di Servizio del 10% Numero delle interruzioni di servizio causate da incidenti di sicurezza
Numero delle interruzioni di servizio causate da interventi di tipo amministrativo in ambito sicurezza
Migliorare l’efficacia degli strumenti di controllo accessi dall’esterno
Numero di tentativi di accesso non autorizzati
E X
A M
P L
E
Fo
r illustratio
n o
nly
Information Security
Information Security
11 © Copyright IBM Corporation 2005
IBM Business Consulting Services
Il disegno e l’implementazione delle soluzioni di sicurezza pone le Amministrazioni in grado di tutelarsi da ogni tipologia di minaccia
Information Security
Information Security
Soluzioni per Minacce Fisiche
• Videocontrollo digitale
• Videoregistrazione (radar - telecamere infrarosso);
• Controllo del transito di personale (badge, lettori biometrici, smart card…)
• Controllo dei mezzi operativi (lettura targhe, telepass, ..)
• Controllo merci in transito (tracking, localizzazione e identificazione ottica)
• Sistemi Antincendio• …
Soluzioni per Minacce Logiche
• Controllo degli accessi (persistent password, digital signature, biometric, …)
• Sicurezza della rete (monitoraggio, IDS, firewall, …)
• Continuità delle operazioni (redundancy, Fault Tolerance, backup/recovery)
• Protezione dei dati (classificazione, data handling procedures, ..)
• …
Soluzioni per Minacce Territoriali
• Sistemi di monitoraggio (telerilevamento, elaborazione dati gestione sicurezza ed efficienza degli impianti di produzione)
• Sistemi telematici di collegamento con terze parti (organi di sicurezza, pronto intervento, …)
• Soluzioni di Disaster Recovery e Business continuity
• Certificazione ambientale
• Rfid per il tracking delle merci/prodotti
Soluzioni per Minacce Territoriali
(cont.)
Innovazione dei processi
Infrastrutture on demand
Innovazione delle competenze
Esternalizzazione dei rischi / attività
12 © Copyright IBM Corporation 2005
IBM Business Consulting Services
La realizzazione di un Sistema di Security Governance permette di ottimizzare gli altri strumenti di governance a disposizione dell’amministrazione
Controllo di gestione
Controllo di Qualità
Controllo Ambientale
Controllo Sicurezza Lavoro
Enterprise governanceEnterprise governance
BusinessGovernance
(Performance)
Value Creation
CorporateGovernance
(Conformance)
CorporateGovernance
(Conformance)
Accountability
Controlli di
Sicurezza
Security governanceSecurity governance
Ottimizzazione dei controlli
Diminuzione dei costi
13 © Copyright IBM Corporation 2005
IBM Business Consulting Services
Solamente attraverso un’adeguata organizzazione delle attività di sicurezza è possibile garantire il funzionamento del sistema di governance aziendale
Information Security
Information Security
QUADRO OPERATIVOQUADRO OPERATIVO
Ricognizione misure di sicurezza
QUADRO ORGANIZZATIVO
QUADRO ORGANIZZATIVO
1
ProcedureProcedure
IstruzioniIstruzioni
PolitichePolitiche
StandardStandard Ridisegno dei Processi
Ridisegno dei Processi
Evidenza dei Task operativiEvidenza dei
Task operativi
Mappatura Processi
Mappatura Processi
2
3
Organizz. Di Sicurezza
Organizz. Di Sicurezza
Job Description
Job Description
QUADRO NORMATIVO
QUADRO NORMATIVO
Workshop di formazione
Workshop di formazione
Evidenza Gap da colmare
Evidenza Gap da colmare
14 © Copyright IBM Corporation 2005
IBM Business Consulting Services
Best Practice Risk Governance Conformita’ con leggi/regolamenti
AssetAsset
Politiche e Architetture di sicurezza
Sicurezza delle
infrastrutture tecnologiche
Protezione delle
infrastrutture critiche
Amministrazione della
Sicurezza
Business Continuity
Confidenzialità e protezione della proprietà intellettuale
Sicurezza applicazioni di business Architetture di sicurezza
Firewall IDS Antivirus & content
filtering Mobile & wireless
security Crittografia IT Security Management
WEB svc Infrastruttura a Chiave Pubblica Gestione delle Vulnerabilità Configurazione di sicurezza e
gestione del fixing/patching Gestione delle Identità e degli
Accessi Single Sign on Gestione delle Identità Federate
Strategie & best practice Business Impact Analysis Tecnologia e strumenti Servizi
Best practice Protezione fisica dei
sistemi Controllo e Protezione
Territorio Protezione Infrastrutture vs
tecnologie web-based
L’offerta di sicurezza di IBM si sviluppa attraverso cinque aree che indirizzano i vari aspetti della sicurezza
Sources: Gartner Group 2004
15 © Copyright IBM Corporation 2005
IBM Business Consulting Services
Il Sistema di Gestione della Sicurezza e’ fondamentale per garantire il controllo del livello di sicurezza e l’aderenza a standard (es. BS7799 già standard ISO), legislazioni (es. D.Lgs. 196/03) e Linee Guida Cnipa
BS7799-1
Utilizzare un framework condiviso da tutti per…
sviluppare, implementare e monitorare le modalità di gestione della sicurezza per… migliorare la fiducia nelle relazioni interaziendali
BS7799-2
Indica i requisiti per la certificazione di un..
… sistema di gestione per la sicurezza delle informazioni
10. Compliance
1. Politica di sicurezza
2. Organizzazione di sicurezza
3. Controllo e classificazione asset
9. Business Continuity Management
4. Sicurezza personale
5. Sicurezza fisica
6. Operations and communication
7. Controllo accessi
8. Sviluppo e manutenzione sistemi
ISMSISMSISMSISMS
Pianificazione
Verifica
ImplementazioneValutazione
Codice Data Privacy
regolamentare le modalità di gestione e la custodia dei dati che riguardano sia le caratteristiche della persona (dati personali) che le abitudini, scelte ed opinioni (dati sensibili) per proteggere la sfera privata e la dignità delle persone fisiche e di quelle giuridiche.
Codice Data Privacy
regolamentare le modalità di gestione e la custodia dei dati che riguardano sia le caratteristiche della persona (dati personali) che le abitudini, scelte ed opinioni (dati sensibili) per proteggere la sfera privata e la dignità delle persone fisiche e di quelle giuridiche.
16 © Copyright IBM Corporation 2005
IBM Business Consulting Services
Il Security Compliance Management consente di controllare la sicurezza e la conformita’ dei server e delle stazioni di lavoro con le politiche prestabilite
Sistemi Operativi
Applicazioni
WorkstationsDB
IT securityCxO
IT Environment
Problematiche di Business:
normative, standards
Problematiche lato IT:
Slammer, MSBlaster, OS patches,
violazione di password, ecc
Utenti
Controllo sistemi e piattaforme
Vulnerabilita’ e violazioni verso le policy di
sicurezza
Principali benefici per I clienti:
Aiuta a rendere sicuri ed integri i dati
dell’amministrazione
Identifica le vulnerabilita’ di sicurezza del
software
Riduce i costi IT attraverso l’automazione, la
centralizzazione e la separazione delle
responsabilita’
Aiuta nella conformita’ con standard e leggi
17 © Copyright IBM Corporation 2005
IBM Business Consulting Services
La strategia di integrazione di IBM & Cisco offre una soluzione proattiva che rileva e rimuove gli attacchi alla rete
Gestione delle Identità e degli AccessiIdentifica e gestisce in maniera efficace i profili-utente
Condiziona l’accesso alla rete in funzione dei requisiti di sicurezza dei diversi device
Gestione delle Identità e degli AccessiIdentifica e gestisce in maniera efficace i profili-utente
Condiziona l’accesso alla rete in funzione dei requisiti di sicurezza dei diversi device
Compliance & RemediationIdentificazione, contenimento e sanitizzazione delle infezioni
Policy enforcement
Compliance & RemediationIdentificazione, contenimento e sanitizzazione delle infezioni
Policy enforcement
EndpointProtected clientTrusted identity
EndpointProtected clientTrusted identity
EndpointProtected servers
EndpointProtected servers
Cisco Self-Defending NetworksIdentifica, previene e si adatta alle minacceLimita i danni provocati da virus e worms
Unisce funzionalità di Identity Mgmt ad un sistema di protezione dalle minacce a livello di sistema
Cisco Self-Defending NetworksIdentifica, previene e si adatta alle minacceLimita i danni provocati da virus e worms
Unisce funzionalità di Identity Mgmt ad un sistema di protezione dalle minacce a livello di sistema
18 © Copyright IBM Corporation 2005
IBM Business Consulting Services
Il valore e l’evoluzione delle soluzioni di Identity ManagementId
en
tity
Man
ag
em
en
t V
al u
e
Single Web Application
Security
Security for
Corporate Enterprise
Portals
Secure Business to
Business Integration
Web Security Extranet, Intranet
Middleware
Web SingleSign-On
Identity Managementfor e-business
Secure Platformfor Applications
Federated IdentityManagement
Secure WebServices for SOA
User Administration
Single Web Application
Security
Security for
Corporate Enterprise
Portals
Secure Business to
Business Integration
Web Security Extranet, Intranet
Middleware
19 © Copyright IBM Corporation 2005
IBM Business Consulting Services
Le soluzioni di Single Sign On migliorano l’operativita’ degli utenti e la sicurezza degli accessi alle applicazioni Web
Access Manager
Servizi di Gestione delle Identità Digitali
WebSphere MQ
Portali, CRM, ERP Web Solutions
BroadVision, mySAP, and more . . .
Web Application ServersAny other via J2EE, JAAS, and/or aznAPI
Domino, iNotes, Sametime, Team Workplace
Secure ClientsBiometric, Proximity Tokens
Messaging
Linux, UNIX, RACF Systems
Desktop SSOActive Directory integration
• Layered authentication• Enforce user entitlements • Web single sign-on
ID
Please enter your ID and password
Login
PasswordC139576
SECURID
IBM Directory ServerSun ONE DirectoryNovell eDirectoryActive DirectoryLotus Domino DirectoryTivoli Identity Manager
One Password
One Login
One Audit Trail
Autenticazione Flessibile
20 © Copyright IBM Corporation 2005
IBM Business Consulting Services
Le soluzioni di Single Sign On e di strong authentication possono essere estese anche alle applicazioni di tipo legacy
Tivoli Access Manager for e-Business
La soluzione utilizza il Thinkpad T42 o ActivCard per la strong authentication e il login ai sistemi aziendali
Tivoli Identity Manager
21 © Copyright IBM Corporation 2005
IBM Business Consulting Services
Attraverso soluzioni di “Integrated Identity Management” si centralizza la gestione delle identita’ e si introducono funzionalita’ di provisioning e sincronizzazione password
DirectoryServicesLDAP V3
Audit & Reporting Connettività remota
Mappatura Organizzativa
Gestione delle politiche di provisiong
Gestione politiche RBAC ( Role Based Access Control )
Funzionalità/servizi futuri
Controllo Accessi
Servizi gestione dei dati
Sistemi e Applicazioni target
Flusso dati (input)
Flusso dati (output)
Engine User Provisiong e Metadirectory Servizi di Work-Flow
Servizi distribuiti
22 © Copyright IBM Corporation 2005
IBM Business Consulting Services
Organizzazione logica dell’Azienda
Organizzazione fisica sistemi IT
Politiche di controllo accessi / abilitazioni a servizi
2
1
W2K AD
Politiche Servizi Target Sistemi fisici
NT PDC
RACF
Policy 1
W2K AD
RACF
Policy 2
W2K AD
RACF
Exchange
Exchange 1
P2
P1
( Attachements )0,N --- 0,N 0,N --- 0,N 1 --- 1
XProcesso di validazione
Px Priorità x
PersoneFisiche (utenti)
Ruoli/Mansioni
Role 1Role 1
RACF
Exchange
Exchange 1
Role 2Role 2
Role 3Role 3
Scelta Servizio
NomUnitàRuoloEmailAliases…
L’applicazione delle regole di “provisioning” nel modello
NomeUtilizzatoreDescrizioneRuolo dinamico : •Regola
NomeDescrizione•priorità•membership•attachements
NomeServizio•Tipo (manuale/automatico)•Gestione degli attributi• Workflow (Processi di validazione)
Exchange
Exchange
23 © Copyright IBM Corporation 2005
IBM Business Consulting Services
Portale/LDAP
RACFActiveDirectory
Exchange
HR
Data feed
DB2
LDAPLDAP AuditAudit
Super Admin
Admin Applicativo
Admin HR
Target Admin
Gestione Centralizzata
Data Reconc.
XML over SSL
L’architettura di riferimento di una soluzione di Integrated Identity Management
24 © Copyright IBM Corporation 2005
IBM Business Consulting Services
Nell’ambito di un modello di cooperazione applicativa uno dei problemi chiave e’ la gestione delle identita’
1. Non esistono meccanismi standard per il “trust” delle identita’ da Partners & Terze Parti
2. La mancanza di fiducia implica la replica delle informazioni degli utenti
3. Gestione degli utenti costosa e inefficiente
4. Esposizione di sicurezza, conformita’ e privacy
ServiceProvider/
Aggregator
Partners
Business Clients
Suppliers
Outsourced Providers
Distributors,Brokers
25 © Copyright IBM Corporation 2005
IBM Business Consulting Services
La soluzione di Federated Identity Management, basata sui Web Services, indirizza il problema di gestione delle identita’
Riduce i costi di gestione delle identita’
Migliora l’operativita’ dell’utente
Semplifica l’integrazione
Migliora la Governance
Company C
Insurance ProviderPension
Holder
Company A
Stock Options
Company B
End User
Partner
Third PartyUtente Terza Parte
Una federazione e’ un gruppo di 2 o piu’ “trusted” partners che, tramite
accordi contrattuali e tecnici, consentono ad un utente di un partner
della federazione di accedere alle risorse di un altro partner in modo
sicuro e fidato
26 © Copyright IBM Corporation 2005
IBM Business Consulting Services
I ruoli in un modello federato: Fornitore delle Identità e Fornitore dei Servizi
1. Fornisce le credenziali (Network / Login)
2. Gestisce gli Utenti ed i rispettivi ID
3. Autentica gli utenti
4. “Garantisce” circa l’identità degli utenti
1. Controlla l’accesso ai servizi
2. Gli utenti delle Terze Parti mantengono l’abilitazione ad accedere ai servizi esclusivamente per la durata del rapporto di “federazione”
3. Gestisce direttamente i soli attributi-utente relativi alla corretta fruizione del servizio offerto.
Fornitoredelle
Identità
Parte “Garante” della transazione Parte “Validante” della transazione
Fornitore dei Servizi
Mutua FIDUCIA
27 © Copyright IBM Corporation 2005
IBM Business Consulting Services
Le tecnologie e gli standard in ambito di Federated Identity Management
SAML(Passivo)
Liberty(Passivo)
WS-Federation(Passivo, Attivo)
HTTP SSO(SAML protocol)
Gestione delle Identità Federate
(SAML protocol)
Gesteionde delle Identità perWeb Services Federati
(HTTP e SOAP-based SSO)
Supporto per vari protocolli Web Services
HTTP Federation
28 © Copyright IBM Corporation 2005
IBM Business Consulting Services
La protezione fisica delle infrastrutture critiche sfrutta tecnologie all’avanguardia e consente la gestione integrata delle identita’ fisiche e logiche
Cruscotto Centralizzato•Modulare•Flessibile•Gestione e selezione delle informazioni
•Gestione identita’ accesso logico e fisico
•Assistenza decisionale
•Configurabile sull’utente
29 © Copyright IBM Corporation 2005
IBM Business Consulting Services
Inno
vation
Valu
e
La realizzazione di processi “sicuri” si basa sul concetto di creazione del valore ed è realizzabile unicamente attraverso un approccio globale End-To-End
Technology Group
Business
Value
Business
Value
ServicesServices
FinancingFinancing
Infrastructure
Value
Infrastructure
Value
HardwareHardware
SoftwareSoftware
ServicesServices
Component
Value
Component
ValueTechnologyTechnology
ResearchResearch
IBM Business Consulting ServicesIBM Global Financing
IBM Global ServicesPersonal and Printing Systems Group Server GroupSoftware GroupStorage Systems Group
InformationSecurity
30 © Copyright IBM Corporation 2005
IBM Business Consulting Services
..... e richiede l’utilizzo di numerose e specifiche competenze da integrare e indirizzare nella medesima direzione
Competenze specifiche, esperienze multisettoriali e risorse a disposizione, nel mondo e in EMEA, costituiscono i principali punti di forza dei team di lavoro IBM, la più grande comunità sulla sicurezza a livello mondiale, 3.000 specialisti di sicurezza che lavorano come un unico team e in maniera globale
Americas Security Center of Competence PKI Center of Competence Managed Security Services
Delivery Center Business Innovation Center/
Ethical Hacking Lab Security & Privacy Practice Research Labs
EMEA Wireless Center of Competence Managed Security Services
Delivery Center Security & Privacy Practice Research Labs
Asia Pacific Managed Security Services
Delivery Center Business Innovation Center/
Ethical Hacking Lab Security & Privacy Practice Research Labs
EMEA Labs & CoC• Copenaghen• Hursley• Zurich• La Gaude• Rome• Haifa
BCRS – DR Centers• 140 centers worldwide• 71 in Europe• 2 in Italy
IBM Business Consulting Services