approccio globale alla sicurezza - · e verifica modello di governo standard iso/iec 27001:...

Approccio Globale allaSicurezza

© 2008 IBM Corporation

ibm.com/services/it

Information Security Framework (ISF): Approccio Globale alla Sicurezza


Rispondere alle aspettative crescenti dei Clienti

Garantire Conformità a leggi e standard

Garantire la ContinuitàOperativa

Garantire Collaborazione e Cooperazione Crescente

Proteggere nel tempo il patrimonio di informazioni

Ottimizzare gli investimenti

Garantire la Sicurezza e la Privacy degli asset

Semplificare i processi Migliorare il livello dei

servizi

Garantire il Governo delle soluzioni di

sicurezza

Gestire crescenti volumi di dati

Applicare le nuove tecnologie in sicurezza

I punti di attenzione in ambito Sicurezza


Information Security Framework (ISF)Approccio globale basato su standard internazionali, esperienze progettuali e

best practices di settore

Standard Internazionali(ISO/IEC 27001,

ISO 25999)

Esperienza del team

globale IBM (Organizzativa/Tecnologica)

Best Practice

(Cobit, ITIL)

Enterprise Information Management & Privacy

IBM Information Security Framework

GovernanceGovernance

PrivacyPrivacy

Threat mitigationThreat mitigation Transaction and data integrityTransaction and data integrity

Identity andaccess management

Identity andaccess management Application securityApplication security

Physical securityPhysical security Personnel securityPersonnel security




PrivacyPrivacy

Threat mitigationThreat mitigation Transaction and data integrity

Transaction and data integrity




Information Security Framework (ISF)comprendere e migliorare i “livelli di maturità” per ciascuna tematica

Identificare i livelli di maturità per i diversi obiettivi di sicurezza:

Analizzare gli attributidelle tematiche di

sicurezza:


Information Security Framework (ISF)analisi degli attributi relativi alle tematiche di sicurezza

Security principles:Definizioni di valore che ilbusiness richiede per realizzare la sicurezza(incluso il trust model, e l’asset profile)

Security processes:Attività relative all’applicazionenell’organizzazione dipolicies e standards

Security procedures:Step operativi specificinecessari per raggiungere gli obiettiviindicati nelle policies

Security policy:Regole di sicurezza che devonoessere osservate (incluso risk analysis e risk management)

Security architecture:Specifica come integrare le tecnologie (incluso trust model, asset profile)

Security products:Prodotti specifici e tool di sicurezza

Security standards: Set di regole per applicare le policy. Gli standard forniscono indicazioni sutecnologie, metodologie, procedure operative ed altri elementi di dettaglio


Information Security Framework (ISF)fornisce il riferimento per la misurazione dei livelli di maturità (capability)

Level 5 Optimizing : capability cresce ed abilita il business

Level 4 Efficient : capability viene misurata e funziona efficacemente

Level 3 Capable : piena approvazione aziendale di principi, policies e processi

Level 2 Basic : impegno base per sviluppare la capability, confinato ad una parte del business

Level 1 Initial : capability non è presente o esiste ad un livello primitivo di sviluppo


Servizi consulenziali a supporto della conformità alle normative di legge / standard e verifica modello di governo

� Standard ISO/IEC 27001: Assessment impostazione del Sistema di Gestione della Sicurezza delle Informazioni (SGSI), supporto alla certificazione

� Assessment e Piano di Sviluppo della Sicurezza (basato su IBM ISF, Direttiva Stanca, Norme Unificate, Codice Amministrazione Digitale, etc.)

� Analisi e gestione dei rischi, Piano Strategico di Sicurezza, Organizzazione, Politiche e Procedure di sicurezza

� Sistemi di controllo e verifica della sicurezza (logging, monitoring e auditing system: TCIM, TSOM)

Information Security Framework (ISF): Governance



PrivacyPrivacy







Servizi consulenziali a supporto della Privacy Governance (Dlgs 196/03 – TU Privacy)

� Assessment adempimenti legali, organizzativi e di processo e sviluppo piano di adeguamento

� Analisi dei Rischi e Assessment Misure Minime e Idonee di Sicurezza e sviluppo piano di adeguamento

� Supporto allo sviluppo e compilazione del Documento Programmatico sulla Sicurezza

� Supporto specifico per videosorveglianza, biometria

Information Security Framework (ISF): Privacy



PrivacyPrivacy







� Disegno sicuro della rete

� Sistemi di sicurezza della rete: FW, IDS/IPS, VA, NIDS/HIDS - Soluzioni ISS

� Vulnerability assessment e penetration test

� Managed Security Services

� Security Operation Center ed integrazione con altri sistemi di sicurezza logica e di sicurezza fisica

� Processo e procedure di gestione delle anomalie e degli incidenti

Information Security Framework (ISF): Threat Mitigation



PrivacyPrivacy







� Disegno e Realizzazione di soluzioni per la gestione delle identità ed il controllo degli accessi su tutte le piattaforme elaborative del dominio dell’amministrazione (Soluzioni Tivoli, con certificazione ISO 15408 *)

� Single sign on e strong authentication

� Gestione del ciclo di vita delle credenziali di autenticazione e dei profili di autorizzazione

� Progettazione ed integrazione di sistemi di Federated IdentityManagement

� Modello di federazione per la cooperazione applicativa

ISF - Identity & Access Management



PrivacyPrivacy



Identity andAccess Management

Identity andAccess Management

Application securityApplication security


(*) www.commoncriteriaportal.org


� Site Security Assessment

� Progettazione e realizzazione di sistemi per la videosorveglianza, la gestione ed il controllo degli accessi fisici: biometria, varchi ad accesso controllato

� Attività di consulenza, disegno e integrazione dei vari componenti infrastrutturali per la gestione delle apparecchiature di controllo accessi fisico

� Progettazione e realizzazione di security control room con integrazione sicurezza fisica e sicurezza logica

Information Security Framework (ISF): PhysicalSecurity



PrivacyPrivacy







� Firewall applicativi (XML)

� Sistemi di crittografia per archiviazione dati (tape encryption)

� Sistemi di crittografia per mascheramento dati di test

�Soluzioni end-to-end protection

� Data Loss Prevention

Information Security Framework (ISF): Transaction and Data Integrity



PrivacyPrivacy

Threat mitigationThreat mitigationTransaction and

data integrityTransaction and

data integrity





� Analisi, disegno, ed implementazione di soluzioni e architetture di sicurezza integrate

� Metodologia SOA SecurityDevelopment Application

� Disegno del ciclo di vita di sviluppo del SW

�Vulnerability assessment applicazioni web

� DB security (std ISO 15408 *)

� WEB security

Information Security Framework (ISF): ApplicationSecurity



PrivacyPrivacy





Application security



(*) www.commoncriteriaportal.org


Servizi consulenziali per il supporto formativo di sicurezza professionale

� Formazione tecnica su aree specialistiche (prodotti e servizi)

� Gestione del ciclo di vita di awareness per utenti

� Formazione specialistica su Privacy e elementi normativi con impatto sull’ICT

� Formazione su politiche e codici di condotta interni

Information Security Framework (ISF): PersonnelSecurity



PrivacyPrivacy









Frequency

Event Class

Eve

nt C

lass

Domain

Frequency

Fre

quen

cy

Governare la sicurezza con il “cruscotto” Tivoli TSOM


Tivoli Compliance Insight Manager (TCIM)

TCIM


Tivoli Security Information and Event Manager (SIEM)

discovery

CCMDB

WorkflowService Desk

TSOMEvent aggregation

Real-time Correlation Security Ops Dashboard

Incident ManagementOperational reporting

ISS

Network

Infrastructure Mainframe

NetcoolOmnibus

Events

DataPowerSCM, TPM

GRC Dashboards

zSecure

Netcool Omnibus

UIs

TEC

IT Operationsescalation

TPM Automated Actions

KCIs, ReportsPortlets

KRIs, ReportsPortlets

TCIMCompliance dashboard

Regulatory reportingPrivileged user monitoring and audit (PUMA)

Database and application auditingOperating system and Mainframe auditing

Tivoli SIEM v 1.0

+

TIM

TAM

BSM Dashboards

Compliance Dashboard


Network Event SIM/SEM

SIM/SEMSecurity Compliance

Network,Systems,DB

Compliance Dashboards

RegulatoryReports

Log Management

Alerts

SecurityOperation

Level

SecurityManagement

Level

Compliance & AuditPUMALog ManagementDatabase Audit

CollectionCorrelationAnomaly DetectionAlerts

CollectionCorrelationAlerts

ReportsForensicsAlerts KPI

TableauTicket/RemedyExt.Systems

FieldLevel

Technology & Security Information/Events

Video & SiteSecurity

Security Governace

Mod

ello

Ope

rativ

oS

ecur

ity In

form

atio

n&

Eve

ntM

anag

emen

t

Operational Dashboard Reports


TJ Watson• Cryptographic foundations• Internet security & "ethical

hacking" • Secure systems and smart cards• IDS sensors & vulnerability

analysis• Secure payment systems• Antivirus• Privacy technology• Biometrics

Zurich• Cryptographic foundations• Java cryptography• Privacy technology• Multiparty protocols• IDS & alert correlation• Smart card systems and application

Almaden

• Cryptographic foundations

• Secure government workstation

Haifa

• PKI enablement

• Trust policies

New Dehli

• High-performance• Cryptographic

hardware & software

Tokyo• Digital

watermarking• XML security• VLSI for cryptoh

Laboratori e Centri di Ricerca

Roma

• eGovernment OSCPhysical Security CoC(Center of Competence)

• TivoliLab


Soluzione Identity & Access ManagementCliente Area Public, Italia

Esigenze del cliente:� Single sign-on e gestione unificata delle utenze

� Limitare gli accessi alle informazioni sensibili o personali e agli asset critici

� Proteggersi dagli attacchi alla sicurezza e dai rischi di perdita/violazione di informazioni confidenziali/critiche

Soluzione IBM:Disegno e implementazione di una soluzione integrata di Identity e Access Management basata su IBM Tivoli Access Manager for e-business

� Soluzione Web – based di Single Sign-on

� Soluzione Tivoli Access Manager for e-business

� Tivoli Directory Integrator

� Tivoli Director Server

Benefici:� Ambiente sicuro e personalizzato per accedere alle applicazioni business-critical

� Semplificata la gestione degli accessi del personale

� Protezione contro utilizzi o accessi non autorizzati

� Assegnazione delle credenziali digitali agli utenti

� Single Sign on per le varie applicazioni

� Migliorata l’efficienza dei processi di controllo accessi


Soluzione Governance della SicurezzaCliente Area Distribution e Logistica per la PA, Italia

Esigenze del cliente:� Migliorare i processi di sicurezza per contribuire ad un business in evoluzione

� Focus Sicurezza e Privacy

� Analizzare il livello di maturità del Gruppo, individuando le aree di miglioramento per la sicurezza

� Definire una roadmap di sicurezza per la gestione efficiente di futuri investimenti

Soluzione IBM:Servizi di consulenza integrata per l’analisi del livello di maturità del Sistema di Gestione della Sicurezza delle Informazioni e disegno di una soluzione evolutiva

� Standard ISO/IEC 27001: assessment di sicurezza

� Standard ISO/IEC 27001: indicazione roadmap di sicurezza

� Valutazione delle componenti tecnologiche ed organizzative

Benefici:� Metodologia basata su standard di sicurezza

� Analisi puntuale del livello di maturità e valorizzazione delle esigenze reali di sicurezza

� Identificate le aree critiche e le aree con una buona efficienza di gestione

� Estese le componenti di sicurezza efficienti alle altre funzioni del Gruppo (effetto leva delle aree efficienti)

� Fornite indicazioni puntuali per indirizzare con chiarezza gli investimenti futuri


Soluzione Personnel SecurityCliente Area Public, Italia

Esigenze del cliente:� Garantire l’uso consapevole di tecnologie Informatiche e di Telecomunicazione (ICT) dirette alla costituzione del sistema “a rete” tra i più avanzati, completi e capillari del Paese

Soluzione IBM:Disegno e implementazione di una soluzione integrata di formazione di sicurezza che consenta di:

� Aumentare la consapevolezza degli utenti finali

� Orientare i comportamenti verso la sicurezza ICT

� Trasmettere competenze specifiche in linea con standard architetturali, tecnologici e indirizzi strategici del Gruppo

Benefici:� Uso metodologia e strumenti progettuali misurabili per la didattica in aula

� Sensibilizzazione e approccio operativo alla sicurezza

� Migliorata la consapevolezza sul corretto uso di policy in materia di security per minimizzare impatto sul business

approccio globale alla sicurezza - · e verifica modello di governo standard iso/iec 27001:...

Documents