Slide 1

Adempiere tecnologicamente al provvedimento del Garante per gli Amministratori di Sistema Massimo Cotta Marketing & Presales Director Redco Telematica S.p.A m.cotta@redco.it 20 Maggio 2009 Assago - Milanofiori

Slide 2

ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Agenda Situazione ad oggi in merito alle misure richieste dal Garante Un possibile approccio produttivo alla tematica La soluzione tecnologica

Slide 3

ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Le misure richieste dal Garante Di seguito sono indicati gli accorgimenti e le misure che vengono prescritti ai sensi dell'art. 154, comma 1, lett. c) del Codice, a tutti i titolari dei trattamenti di dati personali effettuati con strumenti elettronici, esclusi, allo stato, quelli effettuati in ambito pubblico e privato a fini amministrativo-contabili, ovvero:

Slide 4

ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI 4.4 Verifica delle attivit L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attivit di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti. 4.3 Elenco degli amministratori di sistema Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza, Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema. Le misure richieste dal Garante

Slide 5

ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI 4.5 Registrazione degli accessi Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilit e possibilit di verifica della loro integrit adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi. Fonte: http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499 Le misure richieste dal Garante

Slide 6

ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Bene, e adesso? Il quadro normativo da tenere presente ben pi ampio (es. Art. 4 Statuto Lavoratori) La Normativa assolutamente soggetta ad interpretazione Ogni Azienda dovr scegliere lapproccio pi adeguato alla Normativa e definire la propria risposta E fortemente consigliato valutare lopportunit di una consulenza in ambito privacy / legale Non per ultimo, tutti sperano in una provvidenziale proroga.ma ci ritarder solo la reale risoluzione del problema che deve invece essere risolto quanto prima La soluzione tecnologica sar solo una parte del sistema globale che porter al raggiungimento della compliance aziendale alla normativa

Slide 7

ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Chi ha letto la normativa si certamente chiesto 6: Come poter garantire e provare che il dato memorizzato non sia stato alterato 1: Quali figure sono identificabili nel ruolo appartenente agliAmministratori di Sistema 2: Quali sono gli eventi da collezionare 3: Se occorre solo tracciare il login ed il logout dellamministratore o anche lattivit svolta 4: Quanto spazio sullo storage servir per collezionare tutti log 5: Come possibile fars che gli amministratori non cancellino le loro tracce informatiche

Slide 8

ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Ecco le uniche risposte certe Per amministratore di sistema si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono per considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali: Amministratore di base dati Amministratori di reti e di apparati di sicurezza amministratori di sistemi software complessi Amministratori di sistemi di backup/restore e manutenzione hardware Avendo molte associazioni di categoria (Asstel, ABI, Confindustria) esposto i propri dubbi in merito ad alcuni aspetti del provvedimento, il 21 Aprile, il Garante ha aperto una consultazione pubblica (http://www.garanteprivacy.it/garante/doc.jsp?ID=1611986) per chiarire definitivamente i punti controversi. Tutti coloro che vogliano inoltrare suggerimenti, osservazioni o commenti avranno tempo fino al 31 maggio p.v. Non resta, quindi, che attendere il pronunciamento dellAutorit Garante Privacy e sperare che possa finalmente fornire i chiarimenti richiesti.

Slide 9

ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Un possibile approccio trifase AssessmentProgettoImplementazioneTuning Fase1 Fase2Fase3 Considerando che, prima o poi, il provvedimento entrer in vigore, valutiamo allora un possibile approccio organico alla problematica:

Slide 10

ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Fase 1 Che Cosa Chi - Come Definizione delle procedure per identificare e gestire gli accessi fisico / logici ai sistemi ed alla rete Individuazione degli Amministratori di Sistema, di rete e delle banche dati, al fine della regolamentazione delle procedure elencate nella normativa del Garante Definizione delle procedure per definire le modalit di raccolta, analisi e conservazione dei log di sistema Individuazione degli apparati e dei sistemi che dovranno essere soggetti alla regolamentazione di raccolta ed analisi dei log Assessment

Slide 11

ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Fase 2 A conclusione dellassessment procedurale e tecnologico potr essere proposta ladozione di sistemi idonei alla registrazione degli accessi logici ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. In questa fase si identificher larchitettura tecnologicamente pi adatta a soddisfare i prerequisiti tecnici e normativi identificati. Progetto

Slide 12

ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Fase 3 Questa fase riguarder limplementazione ed il tuning del sistema tecnologico proposto. Lobiettivo finale sar la definizione di policy minimali e funzionali, che possano validare il percorso normativo / procedurale definito nella Fase 1. Tuning Implementazione

Slide 13

ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Esigenze Aziendali Disposizioni Garante Obiettivi progetto Assessment per identificazione sorgente dati Policy Aziendale Ufficio Legale (risultati analisi) Funzione Compliance (DPS) (risultati analisi) Amministratori di Sistema Procedure OK? NO Soluzione tecnologica SI Il processo pi corretto

Slide 14

ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Requisiti della soluzione tecnologica La soluzione tecnologica dovr, come minimo, consentire: La piena soddisfazione dei requisiti delle normative Unanalisi efficace e veloce, a fronte di richieste ed incidenti La gestione pro-attiva e reattiva di violazioni, mediante reporting ed alerting dedicato Lenforcement delle policy di accesso La correlazione degli eventi L integrabilit verso sistemi proprietari/legacy La certificazione dellinalterabilit dei dati memorizzati Una gestione semplificata e multi-livello delle attivit operative

Slide 15

ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Una comune architettura aziendale Router logs IDS/IDP logs VPN logs Firewall logs Windows logs Client & file server logs Wireless access logs Windows domain logins Oracle Financial Logs San File Access Logs VLAN Access & Control logs DHCP logs Linux, Unix, Windows OS logs Mainframe logs Database Logs Web server activity Content management logs Web cache & proxy logs VA Scan logs Switch logs

Slide 16

ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI La razionalizzazione degli asset IDS/IDP logs VPN logs Firewall logs Client & file server logs Windows domain logins Oracle Financial Logs SAN file Access Logs Mainframe logs Database Logs VA Scan logs Switch logs

Slide 17

ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Il vendor di riferimento: RSA enVision

Slide 18

ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Larchitettura della soluzione - Collection Disaccoppiamento tra Raccolta ed Analisi/Reportistica Possibilit di sviluppo a supporto di sorgenti dati sconosciute Possibilit di approccio incrementale Raccolta RealTime ed Agentless Singolo punto di raccolta Raccolta di eventi RAW Collezionamento completo (no prefiltering) Sorgenti di tipologia eterogenea Soluzione concepita per il Real-Time Flessibilit per analisi future di diverse tipologie Supporto ad elevati carichi in ricezione

Slide 19

ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Differenziazione degli storage per rispettare le policy di ridondanza Compressione dei dati archiviati Possibilit di aumentare la protezione dei dati mediante funzionalit aggiuntive dei sistemi di storage supportati Archivio WORM (Write Once Read Many) applicativo Inalterabilit: NON esistono funzioni di modifica dei dati Integrit: Hashing Marcatura temporale interna Conservazione su IPDB, NON su RDBMS (Relational Database Management System) Larchitettura della soluzione - Storage

Slide 20

ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Correlation & Alerting Disponibilit di oggetti predefiniti e pi di 1200 report e correlazioni Singolo punto di accesso ai dati raccolti Client per analisi forense Self-Auditing Separazione Ruoli (funzionalit e visibilit dati) Reporting (schedulabile) Larchitettura della soluzione Analisi / Data Management

Slide 21

ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Interfaccia grafica semplificata

Slide 22

ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Interfaccia grafica semplificata

Slide 23

ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI I vantaggi Semplicit di integrazione B-2 Syslog, Syslog NG SNMP Formatted log files Comma/tab/space delimited ODBC connection to remote databases Push/pull XML files via HTTP Windows event logging API CheckPoint OPSEC interface Cisco IDS POP/RDEP/SDEE Oltre 150 device gi noti (www.rsasecured.com)www.rsasecured.com Universal Device Support (linguaggio XML-like) I logfile possono essere raccolti tramite:

Slide 24

ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI - 65% - 80% I vantaggi Ottimizzazione dello storage

Slide 25

ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Collect Baseline Report Forensics Manage Device Trend Micro Antivirus Microsoft ISS Juniper IDP Cisco IPS Netscreen Firewall Windows Server Correlated Alerts Realtime Analysis LegacyRSA enVision Supported Devices Integrated Incident Mgmt. Analyze Event Explorer UDS Interactive Query I vantaggi Scalabilit

Slide 26

ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Le marce in pi della soluzione tecnologica Raccolta, gestione ed analisi di qualsiasi tipologia di logfile - Da qualsiasi device IP - Eventi di ogni tipo - Nel loro formato nativo (nessuna alterazione o normalizzazione) Supporto di tutti i device - Centinaia gi noti e disponibili nel DB dellapparato - Espandibilit flessibile (Universal Device Support, xml-like) Punto di osservazione centrale e globale -Accesso unico a tutte le informazioni su tutta linfrastruttura - Rispetto dei profili e dei ruoli (con accesso protetto) Installazione non invasiva - Impatto nullo/minimo sullinfrastuttura monitorata (no agent) - Facile integrazione

Slide 27

ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Funzionalit avanzate - Alert e Reporting fortemente personalizzabili Abilita ILM (Information Lifecycle Management) - Uso ottimale dello Storage (compressione di dati raw) - Consente lapplicazione di policy di Conservazione dei Dati Implementa Scalabilit ed Alta Disponibilit - Architettura di Raccolta non-stop - Hot StandBy e Fault Tolerance - Scalabile a caldo (anche per lo storage) Performance elevate con TCO contenuto - Referenze attive di 100.000 Eventi Per Secondo (EPS) e 10.000 device monitorati in tempo reale - Impiego di appliance ad alte prestazioni anche nelle versioni entry level - Scalabilit locale e geografica - Nessuna competenza di DBA necessaria Le marce in pi della soluzione tecnologica

Slide 28

ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Riassumendo La nuova normativa non deve essere considerata un problema, ma un punto di partenza per il miglioramento delle procedure e dellinfrastruttura tecnologica aziendale Ladozione di un DPS strutturato e realmente conforme, semplificherebbe moltissimo ladozione dei nuovi processi richiesti dal Garante La scelta della soluzione tecnologica non deve essere dettata solo dagli obblighi dalla normativa in oggetto, ma deve essere valutata approfonditamente e considerata come una reale innovazione tecnologica per lAzienda Dietro ogni problema, c una opportunit

Slide 29

ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Redco Telematica S.p.A, grazie ai suoi 24 anni di esperienza maturata sul mercato e alle referenze sino ad oggi maturate, un partner qualificato in grado di proporre soluzioni professionali alle problematiche esposte. Redco Telematica S.p.a

Slide 30

ONC SPRING 2009 LA PRIMAVERA DELLE COMUNCAZIONI Grazie dellattenzione! Massimo Cotta - Marketing Director - Redco Telematica Spa Via Alba 18/A - 21052 Busto Arsizio VA : www.redco.it - @: m.cotta@redco.it Tel: +39-0331-397600