Presentazione di PowerPoint

1
Adempiere tecnologicamente al provvedimento del
Garante per gli Amministratori di Sistema
Massimo Cotta Marketing Presales Director
Redco Telematica S.p.A m.cotta_at_redco.it
20 Maggio 2009 Assago - Milanofiori
2
Agenda

• Situazione ad oggi in merito alle misure
  richieste dal Garante

• Un possibile approccio produttivo alla tematica

• La soluzione tecnologica

3
Le misure richieste dal Garante
Di seguito sono indicati gli accorgimenti e le
misure che vengono prescritti ai sensi dell'art.
154, comma 1, lett. c) del Codice, a tutti i
titolari dei trattamenti di dati personali
effettuati con strumenti elettronici, esclusi,
allo stato, quelli effettuati in ambito pubblico
e privato a fini amministrativo-contabili, ovvero
4
Le misure richieste dal Garante
4.3 Elenco degli amministratori di sistemaGli
estremi identificativi delle persone fisiche
amministratori di sistema, con l'elenco delle
funzioni ad essi attribuite, devono essere
riportati nel documento programmatico sulla
sicurezza,
Nel caso di servizi di amministrazione di sistema
affidati in outsourcing il titolare deve
conservare direttamente e specificamente, per
ogni eventuale evenienza, gli estremi
identificativi delle persone fisiche preposte
quali amministratori di sistema.
4.4 Verifica delle attivitàL'operato degli
amministratori di sistema deve essere oggetto,
con cadenza almeno annuale, di un'attività di
verifica da parte dei titolari del trattamento,
in modo da controllare la sua rispondenza alle
misure organizzative, tecniche e di sicurezza
rispetto ai trattamenti dei dati personali
previste dalle norme vigenti.
5
Le misure richieste dal Garante
4.5 Registrazione degli accessiDevono essere
adottati sistemi idonei alla registrazione degli
accessi logici (autenticazione informatica) ai
sistemi di elaborazione e agli archivi
elettronici da parte degli amministratori di
sistema. Le registrazioni (access log) devono
avere caratteristiche di completezza,
inalterabilità e possibilità di verifica della
loro integrità adeguate al raggiungimento dello
scopo di verifica per cui sono richieste. Le
registrazioni devono comprendere i riferimenti
temporali e la descrizione dell'evento che le ha
generate e devono essere conservate per un
congruo periodo, non inferiore a sei mesi.

• Fonte http//www.garanteprivacy.it/garante/doc.js
  p?ID1577499

6
Bene, e adesso?

• Il quadro normativo da tenere presente è ben più
  ampio (es. Art. 4 Statuto Lavoratori)

• La Normativa è assolutamente soggetta ad
  interpretazione

• Ogni Azienda dovrà scegliere lapproccio più
  adeguato alla Normativa e definire la propria
  risposta

• E fortemente consigliato valutare lopportunità
  di una consulenza in ambito privacy / legale

• La soluzione tecnologica sarà solo una parte del
  sistema globale che porterà al raggiungimento
  della compliance aziendale alla normativa

• Non per ultimo, tutti sperano in una
  provvidenziale proroga.ma ciò ritarderà solo la
  reale risoluzione del problema che deve invece
  essere risolto quanto prima

7
Chi ha letto la normativa si è certamente chiesto
1 Quali figure sono identificabili nel ruolo
appartenente agli Amministratori di Sistema
2 Quali sono gli eventi da collezionare
3 Se occorre solo tracciare il login ed il
logout dellamministratore o anche lattività
svolta
4 Quanto spazio sullo storage servirà per
collezionare tutti log
5 Come è possibile farsì che gli amministratori
non cancellino le loro tracce informatiche

• 6 Come poter garantire e provare che il dato
  memorizzato non sia stato alterato

8
Ecco le uniche risposte certe

• Per amministratore di sistema si individuano
  generalmente, in ambito informatico, figure
  professionali finalizzate alla gestione e alla
  manutenzione di un impianto di elaborazione o di
  sue componenti.

Ai fini del presente provvedimento vengono però
considerate tali anche altre figure equiparabili
dal punto di vista dei rischi relativi alla
protezione dei dati, quali

• Amministratore di base dati

• Amministratori di reti e di apparati di
  sicurezza amministratori di sistemi software
  complessi

• Amministratori di sistemi di backup/restore e
  manutenzione hardware

Avendo molte associazioni di categoria (Asstel,
ABI, Confindustria) esposto i propri dubbi in
merito ad alcuni aspetti del provvedimento, il 21
Aprile, il Garante ha aperto una consultazione
pubblica (http//www.garanteprivacy.it/garante/doc
.jsp?ID1611986) per chiarire definitivamente i
punti controversi. Tutti coloro che vogliano
inoltrare suggerimenti, osservazioni o commenti
avranno tempo fino al 31 maggio p.v.
Non resta, quindi, che attendere il
pronunciamento dellAutorità Garante Privacy e
sperare che possa finalmente fornire i
chiarimenti richiesti.
9
Un possibile approccio trifase
Considerando che, prima o poi, il provvedimento
entrerà in vigore, valutiamo allora un possibile
approccio organico alla problematica
Assessment
Progetto
Implementazione
Tuning
10
Fase 1
11
Fase 2
12
Fase 3
13
Il processo più corretto
NO
OK?
SI
14
Requisiti della soluzione tecnologica

• La soluzione tecnologica dovrà, come minimo,
  consentire

• La piena soddisfazione dei requisiti delle
  normative

• Unanalisi efficace e veloce, a fronte di
  richieste ed incidenti

• La gestione pro-attiva e reattiva di violazioni,
  mediante reporting ed alerting dedicato

• Lenforcement delle policy di accesso

• La correlazione degli eventi

• L integrabilità verso sistemi proprietari/legacy

• La certificazione dellinalterabilità dei dati
  memorizzati

• Una gestione semplificata e multi-livello delle
  attività operative

15
Una comune architettura aziendale

16
La razionalizzazione degli asset
17
Il vendor di riferimento RSA enVision
18
Larchitettura della soluzione - Collection

• Raccolta di eventi RAW
• Collezionamento completo (no prefiltering)
• Sorgenti di tipologia eterogenea
• Soluzione concepita per il Real-Time
• Flessibilità per analisi future di diverse
  tipologie
• Supporto ad elevati carichi in ricezione

• Disaccoppiamento tra Raccolta ed
  Analisi/Reportistica
• Possibilità di sviluppo a supporto di sorgenti
  dati sconosciute
• Possibilità di approccio incrementale
• Raccolta RealTime ed Agentless
• Singolo punto di raccolta

19
Larchitettura della soluzione - Storage

• Archivio WORM (Write Once Read Many) applicativo
• Inalterabilità NON esistono funzioni di modifica
  dei dati
• Integrità Hashing
• Marcatura temporale interna
• Conservazione su IPDB, NON su RDBMS (Relational
  Database Management System)

• Differenziazione degli storage per rispettare le
  policy di ridondanza
• Compressione dei dati archiviati
• Possibilità di aumentare la protezione dei dati
  mediante funzionalità aggiuntive dei sistemi di
  storage supportati

20
Larchitettura della soluzione Analisi / Data
Management

• Self-Auditing
• Separazione Ruoli (funzionalità e visibilità
  dati)
• Reporting (schedulabile)

• Correlation Alerting
• Disponibilità di oggetti predefiniti e più di
  1200 report e correlazioni
• Singolo punto di accesso ai dati raccolti
• Client per analisi forense

21
Interfaccia grafica semplificata
22
Interfaccia grafica semplificata
23
I vantaggi Semplicità di integrazione
I logfile possono essere raccolti tramite

• Syslog, Syslog NG
• SNMP
• Formatted log files
• Comma/tab/space delimited
• ODBC connection to remote databases
• Push/pull XML files via HTTP
• Windows event logging API
• CheckPoint OPSEC interface
• Cisco IDS POP/RDEP/SDEE
• Oltre 150 device già noti (www.rsasecured.com)
• Universal Device Support (linguaggio XML-like)

B-2
24
I vantaggi Ottimizzazione dello storage
25
I vantaggi Scalabilità
Analyze
Manage
Collect
UDS
Legacy
RSA enVision Supported Devices
26
Le marce in più della soluzione tecnologica

• Raccolta, gestione ed analisi di qualsiasi
  tipologia di logfile
• - Da qualsiasi device IP
• - Eventi di ogni tipo
• - Nel loro formato nativo (nessuna alterazione o
  normalizzazione)

• Supporto di tutti i device
• - Centinaia già noti e disponibili nel DB
  dellapparato
• - Espandibilità flessibile (Universal Device
  Support, xml-like)

• Punto di osservazione centrale e globale
• Accesso unico a tutte le informazioni su tutta
  linfrastruttura
• Rispetto dei profili e dei ruoli (con accesso
  protetto)

• Installazione non invasiva
• - Impatto nullo/minimo sullinfrastuttura
  monitorata (no agent)
• - Facile integrazione

27
Le marce in più della soluzione tecnologica

• Funzionalità avanzate
• - Alert e Reporting fortemente personalizzabili

• Abilita ILM (Information Lifecycle Management)
• - Uso ottimale dello Storage (compressione di
  dati raw)
• - Consente lapplicazione di policy di
  Conservazione dei Dati

• Implementa Scalabilità ed Alta Disponibilità
• - Architettura di Raccolta non-stop
• - Hot StandBy e Fault Tolerance
• - Scalabile a caldo (anche per lo storage)

• Performance elevate con TCO contenuto
• - Referenze attive di 100.000 Eventi Per Secondo
  (EPS) e 10.000 device monitorati in tempo reale
• - Impiego di appliance ad alte prestazioni anche
  nelle versioni entry level
• - Scalabilità locale e geografica
• - Nessuna competenza di DBA necessaria

28
Riassumendo

• Ladozione di un DPS strutturato e realmente
  conforme, semplificherebbe moltissimo ladozione
  dei nuovi processi richiesti dal Garante

• La nuova normativa non deve essere considerata
  un problema, ma un punto di partenza per il
  miglioramento delle procedure e
  dellinfrastruttura tecnologica aziendale

• La scelta della soluzione tecnologica non deve
  essere dettata solo dagli obblighi dalla
  normativa in oggetto, ma deve essere valutata
  approfonditamente e considerata come una reale
  innovazione tecnologica per lAzienda

Dietro ogni problema, cè una opportunità
29
Redco Telematica S.p.a
Redco Telematica S.p.A , grazie ai suoi 24 anni
di esperienza maturata sul mercato e alle
referenze sino ad oggi maturate, è un partner
qualificato in grado di proporre soluzioni
professionali alle problematiche esposte.
30
Grazie dellattenzione!
Massimo Cotta - Marketing Director - Redco
Telematica Spa Via Alba 18/A - 21052 Busto
Arsizio VA ? www.redco.it - _at_ m.cotta_at_redco.it
Tel 39-0331-397600