la governance della sicurezza nell’ agenzia spaziale...
TRANSCRIPT
La Governance della sicurezza nell’ Agenzia Spaziale Europea
Stefano ZattiESA Security Office ManagerEuropean Space Agency
Stefano Zatti ESA Unclassified-Releasable to the Public
Sommario
Programma· Introduzione all’ESA· Sicurezza all’ESA· Modello di maturitá ed evoluzione· Le quatto fasi dello sviluppo della sicurezza
aziendale· Il processo decisionale· La divisione dei ruoli e dei poteri· Lessons learned e conclusioni
A questo scopo l'ESA:
Organizzazione intergovernativa la cui missione è quella di garantire e promuovere, a fini esclusivamente pacifici:
Gli obiettivi dell'ESA
• la scienza, la ricerca e le tecnologie spaziali• le applicazioni spaziali
• svolge attività e programmi spaziali• conduce una politica spaziale a lungo termine• segue una politica industriale specifica• coordina i programmi spaziali europei con i programmi
nazionali
03/2005 - 2
Stati membri dell'ESAL'ESA ha 19 stati membri:
• Austria, Belgio, Danimarca, Germania, Finlandia, Francia, Grecia, Italia, Irlanda, Lussemburgo, Norvegia, Paesi Bassi, Portogallo, Regno Unito, Rep Ceca, Romania,Spagna, Svezia e Svizzera.
• Il Canada partecipa ad alcuni progetti nel quadro di un accordo di cooperazione.
Ultima ad aderire nel 2010 la Romania. Prossimi alcuni membri EU dell’est (Ungheria, Polonia…)
Stefano Zatti ESA Unclassified-Releasable to the Public
Le missioni spaziali hanno un valore per tutti i cittadini dell’Europa
La vita dei cittadini puó essere migliorata dai contributi dello spazio -> nuove esigenze di sicurezza post 9/11
Gli elementi di sicurezza del Frame Program 7 e la European Security and Defense Policy dell’Unione Europea possono essere supportate da specifiche missioni spaziali:
European Space Policy (ESP)
Sinergia fra attivitá civili e militari, terrestri e spaziali, con dati di diversa classificazione di sicurezza
Le infrastrutture chiave che forniscono accesso allo e dati dallo spazio devono essere protette
Nella direttiva EPCIP, lo spazio e‘ considerato una infrastruttura critica per l‘ Europa.
Lo Spazio come elemento per la sicurezza dei cittadini Europei
Stefano Zatti ESA Unclassified-Releasable to the Public
Alcune missioni attuali dell’ESA
Mars Express
Stazione Spaziale (ISS) :
ATV & Columbus
Rosetta
Venus Express
ENVISAT
ERS-1/2
UsandoUsando il radar per il radar per osservareosservare la Terra: ERS e la Terra: ERS e ENVISATENVISAT
ERS
Un nuovo programma chesviluppa servizi operatividi osservazione della Terra, per domini nuovi quali:
•Gestione delle emergenze•Monitoraggio di:
• qualitá dell’aria• territorio• colture• oceani e ghiacci
•Movimenti di popolazioni navi e oggetti•Possibili implicazioni di sicurezza
GMES : Global Monitoring for the GMES : Global Monitoring for the EnvironemntEnvironemnt and Securityand Security
Stefano Zatti ESA Unclassified-Releasable to the Public
ESA GSC (GMES SPACE COMPONENT) MISSION
L’ ESA sta sviluppando tre satelliti “Sentinels”, in supporto ciascuno di una missione dedicata:– Sentinel 1 – SAR imaging
• Con ogni tempo, applicazioni giorno/notte, interferometria
– Sentinel 2 – Immagini multispettrali• Applicazioni sul territorio: urbanizzazione, foreste, agricoltura,
– Sentinel 3 – Monitoraggio degli oceani e delle terre emerse
• Colore degli oceani, vegetazione, mare/terra, temperature, altimetria
Le Le missionimissioni per la per la sicurezzasicurezzaGalileo: Galileo: navigazionenavigazione satellitaresatellitare"Made in Europe""Made in Europe"
Un sistema di navigazione completo a controlloEuropeo, sviluppato dall’ ESA e dalla commissione EU con compartecipazioneparitaria
30 satelliti su tre orbite circolari, inclinate 56°
all’ Equatore, all’ altitudine di 23 222 km
Una volta che sará operativo, offrira’ all’ Europa e al mondo capacita’ di posizionamento accurate e sicure a vari livelli di precisione
Applicazioni supportate da Galileo: controllo delle strade, ferrovie, traffico aereo e marittimo, sincronizzazione della trasmissione dei dati
Benefici economici: ritorno sugli investimenti dei privati di un fattore 4.6 e creazione di 140 000 posti di lavoro
Stefano Zatti ESA Unclassified-Releasable to the Public
ESRIN come stabilimento dell’ESA in Italia
Visitatori all’anno 30000 +
Di cui circa 10000 in conferenze Internazionali
Fondato nel 1966
21.000sqm (costruiti)
Personale sul sito: 600 in
media
Stefano Zatti ESA Unclassified-Releasable to the Public
ESRIN: il centro di supporto multi- missione per le missioni EO
Fornisce direzione e gestione delle missioni, sfruttamento dei dati, sviluppo di applicazioni, ingegneria del segmento di terra per missioni di Osservazione della Terra, in particolare ERS, ENVISAT, Cryosat, Goce, e GMES
Stefano Zatti ESA Unclassified-Releasable to the Public
Centro di sviluppo del piccolo lanciatore VEGA, in un team integrato ESA/ASI/Industria del polo di Colleferro
ESRIN: il centro di supporto multi- missione
Stefano Zatti ESA Unclassified-Releasable to the Public
ESRIN ospita il sistema informativo dell ’ ESA, gestito dal Dipartimento di Informatica, che fornisce: – Corporate Business Applications
ERP; Gestione progetti, sistemi finanziari, del personale, dei contratti e per gli acquisti
Intranet Information Management, basi di dati aziendali– Corporate Information Technology Infrastructure
ESACOM, connettivitá locale e verso il mondo
Produttivitá (desktop e back-end)
Infrastruttura base di Web hosting
Sicurezza (firewall, desktop, e-mail, web, etc…)
ESRIN é coinvolto nell’utilizzazione della tecnologia GRID – ora Cloud Computing - per l ’ osservazione della terra, usando connettivitá a larga banda (via GARR) verso altri centri di ricerca
ESRIN: Il centro di competenza dei sistemi informativi
Stefano Zatti ESA Unclassified-Releasable to the Public
ESA ha siti in tutto il mondo, ma con maggiore concentrazione in Europa. Caratteristiche del sistema informativo dell’ESA
– 30 siti interconnessi dalla ESACOM Wide Area Network– 4000+ utenti collegati in rete– Alta variabilitá di utilizzo: manager, ricercatori, tecnici, amministrativi, visitatori, astronauti
Alto grado di interazione con partner esterni: – Agenzie Spaziali Nazionali Europee (CNES, DLR, ASI, etc,..)– Industria Spaziale Europea (EADS, Thales Alenia, etc..)– Altre Agenzie Spaziali (NASA, CSA, RK, JAXA)
Alto grado di diversitá dei requisiti di sicurezza– Missioni scientifiche – integritá, autenticitá di origine dei dati– Missioni abitate – protezione vita umana– Osservazione della terra – integrità, autenticità, qualità– Navigazione – confidenzialitá – autenticitá
ESA Il sistema informativo
Sicurezza: A Matter of Balance
C’é una relazione inversa fra la convenienza (facilitá di utilizzo) e la sicurezza.
Aumentando la sicurezza, si perde convenienza.
Come bilanciarle?
Convenience
Security
Stefano Zatti ESA Unclassified-Releasable to the Public
SICUREZZA = Le 3 P
Persone (people) Il fattore umano– Consapevolezza, conoscenza, comportamento …
Processi Organizzazione– Embedding, procedure & management
Prodotti
Infrastrutture– Risorse, tecnologia, controllo
Politica di sicurezza = un “trade off”SICUREZZA 100 0USABILITA’ 0 100
La sicurezza come un concetto nuovo per l’Agenzia
Necessità e consapevolezza in aumento per fattori esterni
Far capire il messaggio
DIMOSTRARE I BISOGNI FORNIRE SOLUZIONI
Governance della sicurezza in ESACapire i processi 1/4
Stefano Zatti ESA Unclassified-Releasable to the Public
Governance della sicurezza in ESA Fattori di influenza 2/4
Fattori esterni:– Evoluzione dell’ Internet (o Rivoluzione)– Minacce che crescono esponenzialmente– Partecipazione a missioni dual-use
Fattori interni:– Apertura al mondo esterno (dati missione) – Collaborazione con partner esterni– Protezione dai danni possibili – valore per il
contribuente Europeo– Classificazione formale delle informazioni
Stefano Zatti ESA Unclassified-Releasable to the Public
Quali sono i requisiti degli utenti?
Proteggere l’ ESA e le sue missioni:– Reputazione– Immagine pubblica– Risorse (Sistemi, Reti, Personale)– Dati ( C I A )
Proteggere gli Utenti e i Clienti:– Risorse (Sistemi, Reti, Personale)– Dati ( C I A )
Pur lasciando la massima libertá possibile di contatti e scambio di informazioni
Governance della sicurezza in ESARequisiti 3/4
Stefano Zatti ESA Unclassified-Releasable to the Public
Chi fa che cosa ? Con che fondi? Opzioni:
Resposabilità centrale
Responsabilità periferiche– Siti– Missioni
Governance della sicurezza in ESADeterminare le responsabilità 4/4
Stefano Zatti ESA Unclassified-Releasable to the Public
Modello di maturita’del processo di sicurezza
Proposto da Van Mien - Gartner Ricalca le fasi di sviluppo della civiltá umana
– Fase 1: Cacciatori-raccoglitori– Fase 2: Feudale– Fase 3: Rinascimento– Fase 4: Industriale
Stefano Zatti ESA Unclassified-Releasable to the Public
Elementi caratterizzanti il grado di sviluppo
Tecnologie di sicurezzaPercezione della sicurezza all’interno
dell’impresaOrigine del budget Definzione delle responsabilitáGovernanceMaturitá della organizzazione della
sicurezza
Stefano Zatti ESA Unclassified-Releasable to the Public
Fase 1 Cacciatori-raccoglitori all’ESA: 1993-1995
Sistemi protetti individualmente, con i loro profili di accesso: password e ACLs
Sicurezza specifica ai progetti (ERS, ISO, etc…)
Minacce molto limitate: anche gli hackers stanno imparando. Ma NON sono zero!!
Accessi ad Internet separati e gestiti localmente via Internet accademica locale (NREN)
Nessuna percezione dei rischi
Nessun budget specializzato
Nessuna analisi degli incidenti- reazioni
Stefano Zatti ESA Unclassified-Releasable to the Public
Fase 2 Il Feudalesimo all’ESA: 1995-1999 - misure tecniche
Accessi ad Internet separati e gestiti localmente via NREN nazionali (backbone EuropaNet)
Firewall locali installati e gestiti localmente
Back-doors e by-pass dappertutto
Sicurezza specifica ai progetti: sistemi
Identificazione degli utenti in registri locali
Mail server autonomi senza immagine comune: [email protected]
Minacce in aumento: anche gli hackers stanno imparando
Stefano Zatti ESA Unclassified-Releasable to the Public
Scarsa percezione dei rischi - ingenuità
Nessun budget specializzato -> corsa individuale agli acquisti di soluzioni offerte localmente – shelfware
Frammentazione delle responsabilitá
Nessun allineamento fra l’IT e il business process
Scarsa visibilitá: tutto é tenuto segreto
Fase 2 Il Feudalesimo all’ESA: 1995-1999 - misure organizzative
Stefano Zatti ESA Unclassified-Releasable to the Public
Perimetro sicuro ?
I primi firewall ESA sono single-homed!
Filtro a livello applicativo via proxy
Il rispetto della policy é un optional
Corridor engineering
2400+ regole fra firewall e routers
RetiInterne
RetiEsterne
Firewall
The ESA network security policy: 1999
Prima regola ufficiale di sicurezza in ESA
23 interazioni coi clienti per farla approvare
Nessun mandato ufficiale per farla rispettare
Accompagnata da un documento di implementazione basato sulla tecnologia del momento
External Networks
ESARestrictedNetworks
ESA External Services Networks
ESA Internal Services Networks
ESAFirewall
ESAFirewall
Stefano Zatti ESA Unclassified-Releasable to the Public
Fase 3 Il Rinascimento dell’ESA: 1999-2003 - misure tecniche
Re-engineering dei firewall secondo regole comuni
Tecnologia: proxy a livello applicativo
Amministrazione centralizzata dei firewall
Lotus Notes come strumento di produttivitá aziendale– sicurezza della posta (all’interno)– Sicurezza della gestione documentale
Applicazione delle norme piú restrittive di crittografia (US rilassa restrizioni-Wassenaar)
Il primo antivirus comune (McAfee)
Il primo accesso remoto comune (SNK)
Stefano Zatti ESA Unclassified-Releasable to the Public
Fase 3 Il Rinascimento dell’ESA: 1999-2003 - governance
Responsabilitá identificate (informatica) e federate
Nascita del Dipartimento di Informatica
Gli esperti sono organizzati nell’ ESACERT
Processo di IT Integrato col business
Budget di sicurezza identificato (ma limitato!)
Contributi dei clienti per servizi specifici
Approccio sistematico alle policy
SLA per controllare i livelli di sicurezza ed i costi (TCO)
Security Officer per definire le policy e coordinare i dettagli implementativi in rapporto ai requisiti aziendali
Stefano Zatti ESA Unclassified-Releasable to the Public
La sicurezza del sistema informativo ESA - 1/3
Sicurezza della Distributed Computing Infrastructure (PC): – McAfee Anti-Virus con aggiornamenti automatici obbligatori
(Console in-house)– Dati sul disco dei PC visibili solo al proprietario, con possibilitá di
criptarli (obbligatorio in alcuni casi) – Autenticazione degli utenti centralizzata con Active Directory – Personal firewall quando un portatile é collegato fuori sede– Accesso ubiquo wireless all’ Intranet aziendale, autenticato e criptato
via meccanismi standard – Tutte le vulnerabilitá e gli allarmi sono pre-valutati dall’ ESACERT
e gli aggiornamenti approvati sono forzati sui PC da un sistema di gestione centralizzato
Stefano Zatti ESA Unclassified-Releasable to the Public
La sicurezza del sistema informativo ESA - 2/3
Sicurezza dei sistemi di produttivitá– Lotus Notes é lo strumento comune per lo scambio e la gestione di
documenti ed informazioni e la gestione dei flussi di lavoro– Un indirizzo uguale per tutti: [email protected]– Firme digitali e confidenzialitá forniti da Lotus Notes: firma digitale
(X509) e criptazione– Anti-Virus obbligatorio su tutte le le gateway di posta interne e sui
database di Lotus Notes (Symantech)– Gestione delle liste di posta (annunci controllati)– Filtraggio anti-virus sulle gateway di posta esterne– Filtraggio anti-spam sulle gateway di posta esterne– Certification Authority e generatore / gestore delle chiavi– Meccanismi per lo scambio sicuro di messaggi con l’esterno (PKI-S-
MIME) (pilota)
Stefano Zatti ESA Unclassified-Releasable to the Public
La sicurezza del sistema informativo ESA oggi - 3/3
Sicurezza della rete ESACOM– Cablaggio strutturato e LAN virtuali (IEEE 802.1q)– Autenticazione degli utenti ad ogni accesso di rete, integrata con
login dal PC via Active Directory (IEEE 802.1x)– Accessi ad Internet locali in alcuni dei 30 siti, forniti e gestiti
centralmente dal fornitore del servizio di rete– Firewall presenti a tutti i siti con accesso Internet, gestiti
centralmente dal fornitore di rete, con supporto 24/7 – Demilitarized Zones (DMZ) dove la policy é definita dal cliente– Accesso remoto per utenti mobili e residenziali via Virtual Private
Network e gateway di autenticazione comune
Stefano Zatti ESA Unclassified-Releasable to the Public
ESACERT
Il centro operativo della sicurezza ICT in ESA
Dimensioni:– Centro di Coordinazione– Centro di Servizio– Centro di Competenza
Punto focale in ESA per tuttala sicurezza delle informazioni
Interfaccia interna e esterna
Produce advisories e allarmi verso i responsabili
Produce guideline e best practices
Alimenta una cultura di sicurezza attraverso l’ESA
Approvato internationalmente (FIRST, Terena)
Stefano Zatti ESA Unclassified-Releasable to the Public
Fase 4 L’ albore della societa industriale all’ESA: misure tecniche
Sicurezza come un processo globale: quattro pilastri, una unica Policy
Outsourcing dei Firewall: servizi gestitiAccesso remoto: i Mobility PacksAccesso alla rete Intranet: controllo al loginProtezione dei messaggi di posta entrante:
Anti-spam e anti-virus
I quattro pilastri della sicurezza
Sicurezza FisicaPrevenire accessi fisici non autorizzati a luoghi e risorse dell’ESA
Protezione delle informazioniPreparazione, distribuzione, trasmissione, storage e distruzione di informazioni propietarie, sensitive o classificate dell’ESA o dei suoi partner
Sicurezza del PersonaleGestione del processo che associa la fiducia agli individui
Sicurezza dell’IT e delle comunicazioni (Infosec) Protezione da accessi non autorizzati, dalla perdita di integritá e di disponibilitá, di informazioni conservate in forma elettronica
INFOSEC Il firewall come un servizio gestito (managed service)
Analisi indipendente della configurazione
Tecnologia-stateful inspection
Revisione della precedente implementazione dovuta alla nuova tecnologia
Nuove regole e nuovo processo di approvazione
Evoluzione verso la deep- packet inspection
L’evoluzione della policy: le DMZ
DMZ: sotto-reti limitate la cui politica di accesso é definita dal clienti
Protette dal firewall
Protette anche una dall’altra
Per web server, sistemi gestiti remotamente, file repository, dati di missione, etc…
Stefano Zatti ESA Unclassified-Releasable to the Public
L’ albore della societa industriale all’ESA: Governance
Responsabilità specifiche per la sicurezza per policy e implementazione
Definizione della Policy a livello globale
Definizione dei principi e delle interfacce
Allineamento con standard e best-practice
Definizione dei ruoli e delle responsabilitá
Collezione di misure e dati quantitativi
Un budget corporate per la sicurezza
Collegamento della strategia di sicurezza con gli obiettivi corporate dell’azienda
Gestione delle crisi e della continuitá del servizio
Stefano Zatti ESA Unclassified-Releasable to the Public
La Policy La Policy didi SicurezzaSicurezza delldell’’ ESA (1/3)ESA (1/3)
ESA Security Regulations
Mem
ber
Stat
es +ES
A
ESA
Cor
pora
te
Leve
l
GeneralDirectives
PhysicalSecurity
Directives
P O
L I
C Y
P O
L I
C Y
Specific Security Procedures
Esta
blis
hmen
ts+
Info
rmat
ion
Syst
ems
+ Pr
ojec
ts
IMPL
EMEN
TATI
ON
IMPL
EMEN
TATI
ON
Information Protection Directives
PersonnelSecurity
Directives
InfoSecDirectives
ESA Security Directives
SecOP SecOP SecOPSecOP
ESA Security Agreement
Mem
ber
Stat
es(S
EC)
Stefano Zatti ESA Unclassified-Releasable to the Public
ESA SECURITY POLICY = ESA Security Agreement+ ESA Security Regulations + ESA Security Directives
ESA Security Agreement - 2002– Trattato Internazionale fra l’ ESA e gli Stati membri– Ratificato dal Consiglio ESA e dai parlamenti nazionali
ESA Security Regulations - 2003– Raccomandate dal Security Committee– Approvate dal Consiglio dell’ ESA– Definiscono un quadro normativo per la produzione,
conservazione e disseminazione di informazioni classificate– 4 livelly di sensitivitá e corrispondente protezione:
Restricted, Confidential, Secret, Top Secret– Definiscono il ruolo dell’Ufficio di Sicurezza– Definiscono le relazioni fra l’Ufficio di Sicurezza e gliuffici rispettivi degli stati membri (NSA)
La Policy La Policy didi SicurezzaSicurezza delldell’’ ESA (2/3)ESA (2/3)
Stefano Zatti ESA Unclassified-Releasable to the Public
Le Security Directives interpretano le Regulations e assistono lo Staff nella loro implementazione.– Sviluppate dall’ufficio di Sicurezza in ambito di Security Committee– Ampiamente discusse internamente con le organizzazioni responsabili
per l’ implementazione– Approvate dal Direttore Generale e pubblicate agli Staff – Il loro utilizzo:
• Traducono le Security Regulations in un “manuale di cucina”• Assorbono tutti i frammentati documenti di Policy pre-esistenti• Sviluppano i concetti aggiuntivi necessari per gestire le
informazioni classificate• Infine, le Security Operational Procedures (SecOps), basate
sulle Directives, regolano la sicurezza al livello locale e dei singoli sistemi (e.g., ITC, Progetti, ISS, etc…)
La Policy La Policy didi SicurezzaSicurezza delldell’’ ESA (2/3)ESA (2/3)
Stefano Zatti ESA Unclassified-Releasable to the Public
Principi (1/2)
Definizione di sicurezza: (Encycolpedia Britannica) Any of various means or devices designed to guard persons and property (+information) against a broad range of hazards, including crime, fire, accidents, espionage, sabotage, subversion, and attack.
Sinergia: Un sistema di sicurezza consiste di una base operativa di protezione con una capacitá aggiuntiva opzionale di trattare informazioni sotto un sistema di classificazione formale
Copertura “olistica”: Lo stesso processo deve coprire i quattro pilastri della sicurezza: Fisica, Personale, Gestione Documentale, Informazioni e Comunicazioni (INFOSEC)
Stefano Zatti ESA Unclassified-Releasable to the Public
Necessitá (rasoio di Occam): L’implementazione deve essere mantenuta al livello minimo necessario per contrastare i rischi (non tutti i Clienti richiedono lo stesso livello di sicurezza, non tutte le soluzioni si applicano a tutti i sistemi -> E’ necessario un risk assessment)
Separazione dei poteri: La responsabilitá per la definizione della security policy (legislativa) e il controllo della sua corretta implementazione (giudiziaria) deve essere separata e independenzte dalla implementazione della sicurezza entro un sistema specifico (esecutivo)
Certificazione: La conformitá di un sistema con la policy aziendale e con i suoi propri requisiti deve essere certificata da un’ istituzione indipendente (> l’ ufficio di sicurezza)
Accreditazione (omologazione): E’ richiesta per i sistemi che trattano informazioni classificate
Principi (2/2)
Stefano Zatti ESA Unclassified-Releasable to the Public
La gestione della sicurezza: standard e best practice
ITIL Best practice for Security Management– La gestione della sicurezza delle informazioni é il processo
di gestione di un livello di sicurezza pre-definito su tutti i servizi IT
– Basato su un Service Level Agreement specifico sulla sicurezza (Security SLA)
– Partendo dall’ SLA, la gestione dell sicurezza (Security Management) ci assicura che:
• Misure appropriate sono implementate e mantenute• Esiste la capacitá di reagire prontamente agli incidenti• Verifiche periodiche dimostrano che le misure prese sono adeguate• Rapporti periodici vengono prodotti per ritrarre lo stato della
sicurezza
Stefano Zatti ESA Unclassified-Releasable to the Public
BS 7799 – ISO 17799 – ISO 27001: Code of practice for information security management
Molto comprensivo– Organizational security– Asset classification and control– Personnel security– Physical and environmental – Communications and Operations management – Access control – Systems development and maintenance– Business continuity management – Compliance
Valutare i rischi
Selezionare e monitorare i parametri di controllo
La gestione della sicurezza: standard e best practice
Il processo di sicurezza del sistema informativo
Information Security Policy
Risk analysis
Planning
Operational measures
Evaluation and audit
Business drivers and external influences
Il processo di gestione della sicurezza IT
Act
Control
Check Do
Plan
IT Service ProviderImplements SLA
CustomerDefines requirements based on business needs
Report Security SLAAudit
Stefano Zatti ESA Unclassified-Releasable to the Public
Security manager vs. Security Officer
Security manager (IT NSM)– Responsabile per il processo di gestione della sicurezza– Parte della funzione di fornitore (provider): controlla la
corretta fornitura del servizio e le prestazioni dell’SLA della sicurezza
– Ogni parametro é collegato a specifiche misure di sicurezza per sistema e per unitá di conto nella organizzazione del fornitore del servizio
– E’ coinvolto nella gestione di incidenti specifici– La implementazione e le operazioni sono (possono
essere) delegate al fornitore del servizio industriale (in caso di outsourcing)
– Ha/controlla il budget per la sicurezza del suo sistema
Stefano Zatti ESA Unclassified-Releasable to the Public
Security manager vs Security Officer
Security Officer – Funzione a livello corporate: Intermediario fra il
security manager e gli interessi dell’Azienda– Definisce ed interpreta la policy dell’ azienda– Coordinatore dell’ escalation in caso di incidenti che
investono diversi sistemi– Coordinatore degli obblighi di sicurezza dal lato cliente
(autorizzationi, procedure, linee-guida (passwords), …)– Consulente per la definizione dei requisiti di sicurezza
da specificare nell’ SLA – Coordina la valutazione dei rischi globali di impresa– Ha accesso diretto al management esecutivo (ESA DG)
Stefano Zatti ESA Unclassified-Releasable to the Public
La separazione dei ruoli
Il security officer – legislativo e giudiziario– Riporta direttamente all’esecutivo– Fa le regole– Autorizza richieste ed eccezioni alle regole– Controlla la loro corretta applicazione > Ispezioni
Il security manager - esecutivo– Riporta all’organizzazione operativa– Esegue le funzioni di sicurezza– Ha il budget– Controlla l’esecuzione dei contratti operativi– Risponde ai clienti
Stefano Zatti ESA Unclassified-Releasable to the Public
Fattore di complessità in ESA
L’ESA é basata su progetti/missioni
Rispettare l’ autonomia dei progetti e dei sistemi indipendenti (EO, Scienza, ISS)
Ciascuna missione definisce un security manager
Analisi dei requisiti e dei rischi (ISO 27001)
SSRS e SECOPS per progetto/sistema
Coordinamento a livello agenzia di tutti i security manager da parte del security officer
Stefano Zatti ESA Unclassified-Releasable to the Public
Gestione delle crisi
Gli eventi critici devono essere gestiti end-to-end
L’ ESACERT agisce come punto focale per la gestione delle crisi per quanto riguarda il sistema informativo
L’ ESACERT definisce una procedura per la gestione degli incidenti, che coinvolge i vari security manager e il security office
L’ ESACERT classifica gli incidenti, correlandoli alle categorie di crisi piú generali se necessario
Le azioni dirette sugli apparati vengono effettuate dalle organizzaioni responsabili per la loro gestione (operatori)
Il security office analizza le esperienze e valuta l’impatto sulla, per una possibile retroazione, e gestisce I rapporti con le Autorità
Stefano Zatti ESA Unclassified-Releasable to the Public
Conclusioni 1: Lezioni da imparare
La sicurezza puó nascere dalle radici e crescere coi requisiti, ma deve essere sanzionata dall’alto
Gli incidenti aiutano ad aumentare il grado di sensibilitá (grazie, Hackers!!)
Il rapporto (buy-in) con gli utenti é fondamentale per assicurare la conformitá alle regole
La cultura della sicurezza é parte integrante della cultura aziendale (training & awareness)
Il budget della sicurezza deve essere identificato esplicitamente all’interno del budget operativo di un sistema e dimensionato rispetto ai rischi
Stefano Zatti ESA Unclassified-Releasable to the Public
Conclusioni 2: Condizioni per il successo
Condizioni fondamentali da realizzare, su cui concentare gli sforzi:– Supporto del top management – Organizzazione indipendente, con accesso diretto al
CEO, simile e parallela a quella della Qualitá– Supporto degli utenti: campagne di informazione,
senzibilizzazione, training, gruppi utenza, delega– Percezione utente di protezione, non di imposizione
(good guy vs bad guy)– Non esagerare con le misure: commisurarle ai rischi!
(metodologie per la valutazione rischi)