Presentazione di PowerPoint - PowerPoint PPT Presentation

1 / 30
About This Presentation
Title:

Presentazione di PowerPoint

Description:

Title: Presentazione di PowerPoint Author: scattoni Last modified by: scattoni Created Date: 9/30/2004 1:06:20 PM Document presentation format: Presentazione su schermo – PowerPoint PPT presentation

Number of Views:70
Avg rating:3.0/5.0
Slides: 31
Provided by: scattoni
Category:

less

Transcript and Presenter's Notes

Title: Presentazione di PowerPoint


1
Adempiere tecnologicamente al provvedimento del
Garante per gli Amministratori di Sistema
Massimo Cotta Marketing Presales Director
Redco Telematica S.p.A m.cotta_at_redco.it
20 Maggio 2009 Assago - Milanofiori
2
Agenda
  • Situazione ad oggi in merito alle misure
    richieste dal Garante
  • Un possibile approccio produttivo alla tematica
  • La soluzione tecnologica

3
Le misure richieste dal Garante
Di seguito sono indicati gli accorgimenti e le
misure che vengono prescritti ai sensi dell'art.
154, comma 1, lett. c) del Codice, a tutti i
titolari dei trattamenti di dati personali
effettuati con strumenti elettronici, esclusi,
allo stato, quelli effettuati in ambito pubblico
e privato a fini amministrativo-contabili, ovvero
4
Le misure richieste dal Garante
4.3 Elenco degli amministratori di sistemaGli
estremi identificativi delle persone fisiche
amministratori di sistema, con l'elenco delle
funzioni ad essi attribuite, devono essere
riportati nel documento programmatico sulla
sicurezza,
Nel caso di servizi di amministrazione di sistema
affidati in outsourcing il titolare deve
conservare direttamente e specificamente, per
ogni eventuale evenienza, gli estremi
identificativi delle persone fisiche preposte
quali amministratori di sistema.
4.4 Verifica delle attivitàL'operato degli
amministratori di sistema deve essere oggetto,
con cadenza almeno annuale, di un'attività di
verifica da parte dei titolari del trattamento,
in modo da controllare la sua rispondenza alle
misure organizzative, tecniche e di sicurezza
rispetto ai trattamenti dei dati personali
previste dalle norme vigenti.
5
Le misure richieste dal Garante
4.5 Registrazione degli accessiDevono essere
adottati sistemi idonei alla registrazione degli
accessi logici (autenticazione informatica) ai
sistemi di elaborazione e agli archivi
elettronici da parte degli amministratori di
sistema. Le registrazioni (access log) devono
avere caratteristiche di completezza,
inalterabilità e possibilità di verifica della
loro integrità adeguate al raggiungimento dello
scopo di verifica per cui sono richieste. Le
registrazioni devono comprendere i riferimenti
temporali e la descrizione dell'evento che le ha
generate e devono essere conservate per un
congruo periodo, non inferiore a sei mesi.
  • Fonte http//www.garanteprivacy.it/garante/doc.js
    p?ID1577499

6
Bene, e adesso?
  • Il quadro normativo da tenere presente è ben più
    ampio (es. Art. 4 Statuto Lavoratori)
  • La Normativa è assolutamente soggetta ad
    interpretazione
  • Ogni Azienda dovrà scegliere lapproccio più
    adeguato alla Normativa e definire la propria
    risposta
  • E fortemente consigliato valutare lopportunità
    di una consulenza in ambito privacy / legale
  • La soluzione tecnologica sarà solo una parte del
    sistema globale che porterà al raggiungimento
    della compliance aziendale alla normativa
  • Non per ultimo, tutti sperano in una
    provvidenziale proroga.ma ciò ritarderà solo la
    reale risoluzione del problema che deve invece
    essere risolto quanto prima

7
Chi ha letto la normativa si è certamente chiesto
1 Quali figure sono identificabili nel ruolo
appartenente agli Amministratori di Sistema
2 Quali sono gli eventi da collezionare
3 Se occorre solo tracciare il login ed il
logout dellamministratore o anche lattività
svolta
4 Quanto spazio sullo storage servirà per
collezionare tutti log
5 Come è possibile farsì che gli amministratori
non cancellino le loro tracce informatiche
  • 6 Come poter garantire e provare che il dato
    memorizzato non sia stato alterato

8
Ecco le uniche risposte certe
  • Per amministratore di sistema si individuano
    generalmente, in ambito informatico, figure
    professionali finalizzate alla gestione e alla
    manutenzione di un impianto di elaborazione o di
    sue componenti.

Ai fini del presente provvedimento vengono però
considerate tali anche altre figure equiparabili
dal punto di vista dei rischi relativi alla
protezione dei dati, quali
  • Amministratore di base dati
  • Amministratori di reti e di apparati di
    sicurezza amministratori di sistemi software
    complessi
  • Amministratori di sistemi di backup/restore e
    manutenzione hardware

Avendo molte associazioni di categoria (Asstel,
ABI, Confindustria) esposto i propri dubbi in
merito ad alcuni aspetti del provvedimento, il 21
Aprile, il Garante ha aperto una consultazione
pubblica (http//www.garanteprivacy.it/garante/doc
.jsp?ID1611986) per chiarire definitivamente i
punti controversi. Tutti coloro che vogliano
inoltrare suggerimenti, osservazioni o commenti
avranno tempo fino al 31 maggio p.v.
Non resta, quindi, che attendere il
pronunciamento dellAutorità Garante Privacy e
sperare che possa finalmente fornire i
chiarimenti richiesti.
9
Un possibile approccio trifase
Considerando che, prima o poi, il provvedimento
entrerà in vigore, valutiamo allora un possibile
approccio organico alla problematica
Assessment
Progetto
Implementazione
Tuning
10
Fase 1
11
Fase 2
12
Fase 3
13
Il processo più corretto
NO
OK?
SI
14
Requisiti della soluzione tecnologica
  • La soluzione tecnologica dovrà, come minimo,
    consentire
  • La piena soddisfazione dei requisiti delle
    normative
  • Unanalisi efficace e veloce, a fronte di
    richieste ed incidenti
  • La gestione pro-attiva e reattiva di violazioni,
    mediante reporting ed alerting dedicato
  • Lenforcement delle policy di accesso
  • La correlazione degli eventi
  • L integrabilità verso sistemi proprietari/legacy
  • La certificazione dellinalterabilità dei dati
    memorizzati
  • Una gestione semplificata e multi-livello delle
    attività operative

15
Una comune architettura aziendale

16
La razionalizzazione degli asset
17
Il vendor di riferimento RSA enVision
18
Larchitettura della soluzione - Collection
  • Raccolta di eventi RAW
  • Collezionamento completo (no prefiltering)
  • Sorgenti di tipologia eterogenea
  • Soluzione concepita per il Real-Time
  • Flessibilità per analisi future di diverse
    tipologie
  • Supporto ad elevati carichi in ricezione
  • Disaccoppiamento tra Raccolta ed
    Analisi/Reportistica
  • Possibilità di sviluppo a supporto di sorgenti
    dati sconosciute
  • Possibilità di approccio incrementale
  • Raccolta RealTime ed Agentless
  • Singolo punto di raccolta

19
Larchitettura della soluzione - Storage
  • Archivio WORM (Write Once Read Many) applicativo
  • Inalterabilità NON esistono funzioni di modifica
    dei dati
  • Integrità Hashing
  • Marcatura temporale interna
  • Conservazione su IPDB, NON su RDBMS (Relational
    Database Management System)
  • Differenziazione degli storage per rispettare le
    policy di ridondanza
  • Compressione dei dati archiviati
  • Possibilità di aumentare la protezione dei dati
    mediante funzionalità aggiuntive dei sistemi di
    storage supportati

20
Larchitettura della soluzione Analisi / Data
Management
  • Self-Auditing
  • Separazione Ruoli (funzionalità e visibilità
    dati)
  • Reporting (schedulabile)
  • Correlation Alerting
  • Disponibilità di oggetti predefiniti e più di
    1200 report e correlazioni
  • Singolo punto di accesso ai dati raccolti
  • Client per analisi forense

21
Interfaccia grafica semplificata
22
Interfaccia grafica semplificata
23
I vantaggi Semplicità di integrazione
I logfile possono essere raccolti tramite
  • Syslog, Syslog NG
  • SNMP
  • Formatted log files
  • Comma/tab/space delimited
  • ODBC connection to remote databases
  • Push/pull XML files via HTTP
  • Windows event logging API
  • CheckPoint OPSEC interface
  • Cisco IDS POP/RDEP/SDEE
  • Oltre 150 device già noti (www.rsasecured.com)
  • Universal Device Support (linguaggio XML-like)

B-2
24
I vantaggi Ottimizzazione dello storage
25
I vantaggi Scalabilità
Analyze
Manage
Collect
UDS
Legacy
RSA enVision Supported Devices
26
Le marce in più della soluzione tecnologica
  • Raccolta, gestione ed analisi di qualsiasi
    tipologia di logfile
  • - Da qualsiasi device IP
  • - Eventi di ogni tipo
  • - Nel loro formato nativo (nessuna alterazione o
    normalizzazione)
  • Supporto di tutti i device
  • - Centinaia già noti e disponibili nel DB
    dellapparato
  • - Espandibilità flessibile (Universal Device
    Support, xml-like)
  • Punto di osservazione centrale e globale
  • Accesso unico a tutte le informazioni su tutta
    linfrastruttura
  • Rispetto dei profili e dei ruoli (con accesso
    protetto)
  • Installazione non invasiva
  • - Impatto nullo/minimo sullinfrastuttura
    monitorata (no agent)
  • - Facile integrazione

27
Le marce in più della soluzione tecnologica
  • Funzionalità avanzate
  • - Alert e Reporting fortemente personalizzabili
  • Abilita ILM (Information Lifecycle Management)
  • - Uso ottimale dello Storage (compressione di
    dati raw)
  • - Consente lapplicazione di policy di
    Conservazione dei Dati
  • Implementa Scalabilità ed Alta Disponibilità
  • - Architettura di Raccolta non-stop
  • - Hot StandBy e Fault Tolerance
  • - Scalabile a caldo (anche per lo storage)
  • Performance elevate con TCO contenuto
  • - Referenze attive di 100.000 Eventi Per Secondo
    (EPS) e 10.000 device monitorati in tempo reale
  • - Impiego di appliance ad alte prestazioni anche
    nelle versioni entry level
  • - Scalabilità locale e geografica
  • - Nessuna competenza di DBA necessaria

28
Riassumendo
  • Ladozione di un DPS strutturato e realmente
    conforme, semplificherebbe moltissimo ladozione
    dei nuovi processi richiesti dal Garante
  • La nuova normativa non deve essere considerata
    un problema, ma un punto di partenza per il
    miglioramento delle procedure e
    dellinfrastruttura tecnologica aziendale
  • La scelta della soluzione tecnologica non deve
    essere dettata solo dagli obblighi dalla
    normativa in oggetto, ma deve essere valutata
    approfonditamente e considerata come una reale
    innovazione tecnologica per lAzienda

Dietro ogni problema, cè una opportunità
29
Redco Telematica S.p.a
Redco Telematica S.p.A , grazie ai suoi 24 anni
di esperienza maturata sul mercato e alle
referenze sino ad oggi maturate, è un partner
qualificato in grado di proporre soluzioni
professionali alle problematiche esposte.
30
Grazie dellattenzione!
Massimo Cotta - Marketing Director - Redco
Telematica Spa Via Alba 18/A - 21052 Busto
Arsizio VA ? www.redco.it - _at_ m.cotta_at_redco.it
Tel 39-0331-397600
Write a Comment
User Comments (0)
About PowerShow.com