IBM Security & Privacy Services Leader, Southwest Europe · confini fisici (laptop, mobile device,...
Transcript of IBM Security & Privacy Services Leader, Southwest Europe · confini fisici (laptop, mobile device,...
Il valore della sicurezza integrata
Paolo Tripodi
IBM Security & Privacy Services Leader,
Southwest Europe
Convegno ICT Security Day 2008
Agenda
• Conoscere, gestire, evolvere
• Sicurezza: garantire il governo degli asset, anche di quelli che non si hannohanno
• Evoluzione: modelli di governo e strumenti a supportog pp
• IBM: la Visione completa per la Sicurezza consapevole
© 2008 IBM CorporationIl rischio del terzo millennio: sure informations and data protection
Convegno ICT Security Day 2008
• Ottimizzare gli investimenti • Governare le• Applicare le nuove
Conoscere, gestire, evolvere
• Favorire Collaborazione e
Cooperazione
investimenti Governare le soluzioni di sicurezza
• Applicare le nuove tecnologie in sicurezza
• Garantire Conformità a leggi
e standard
• Proteggere nel tempo il patrimonio
di informazioni
• Rispondere alle aspettative crescenti dei
• Semplificare i processi
• Migliorare il livello d i i ip
Clienti
• Garantire la Continuità Operativa
• Garantire la Sicurezza e la Privacy degli asset
dei servizi
• Gestire crescenti
© 2008 IBM CorporationIl rischio del terzo millennio: sure informations and data protection
Continuità Operativa y g crescenti volumi di dati
Convegno ICT Security Day 2008
Conoscere, gestire, evolvere: Drivers e Inibitori di Sicurezza
1. Difficoltà nella definizione di una strategia completa di sicurezza
1. Richieste crescenti di conformità a normative vigenti e policy aziendali/di Gruppo completa di sicurezza
2. Business ed IT non allineati 3. Preoccupazione che la protezione dei Dati
possa limitare la fruibilità dei dati
Gruppo2. Nuove e diversificate minacce di
sicurezza3. Volumi crescenti di dati diversificati da p
4. Approccio alla sicurezza spesso focalizzato sulla infrastruttura, non sui dati Li i i di b d
trattare
“Le iniziative realizzate per finalità di compliance, hanno consentito di creare un programma strutturato per gestire il rischio in un modo 5. Limiti di budgetstrutturato per gestire il rischio in un modo consistente. Questo ha portato grandi benefici sul modello di gestione dei dati.” –Primaria azienda di Servizi Finanziari
“Il problema è che non c’è molta consapevolezza sul bisogno reale di sicurezza: spesso il focus sul profitto distoglie dalla gestione delle priorità che
“Gli articoli in prima pagina, spesso hanno suscitato grandi preoccupazioni: cosa accadrebbe se un impiegato riuscisse ad accedere e usare impropriamenti I dati dei
p g g pdovrebbe includere anche la sicurezza per poter proteggere al meglio il business. – Primaria azienda di produzione Farmaceutica
© 2008 IBM CorporationIl rischio del terzo millennio: sure informations and data protection
Clienti?” – Primaria azienda di Assicurazione
Convegno ICT Security Day 2008
Sicurezza: garantire il governo degli asset, anche di quelli che non si hanno
Qual è il perimetro dell’azienda? Sono aumentati gli interlocutori ed ampliati
i confini aziendali Gli asset risiedono sempre meno nei
confini fisici (laptop, mobile device, CED terze parti, etc.), ma appartengono al
Outsourcers
DipendentiPartnerp , ), pp g
patrimonio aziendale L’approccio classico di tipo pezzo-per-
pezzo non funziona più, occorre un modello integrato
AziendaVisitatoriFornitoriStakeholder
modello integrato L’azienda deve aver una visione
completa, data dall’analisi dei suoi processi e servizi, per poter definire un modello target che garantisca un adeguato
Autorità giudiziarie Clienti
modello target che garantisca un adeguato livello di efficienza per il proprio business Aziende collegate
© 2008 IBM CorporationIl rischio del terzo millennio: sure informations and data protection
Convegno ICT Security Day 2008
Modelli di governo e strumenti a supporto: parla il mercatoGlobal Innovation Outlook per la Società e la Sicurezza
• Il Global Innovation Outlook del 2008, ha individuato le principali prossime sfide per la sicurezza Le organizzazioni rappresentate includevano: Unicredit Gas Naturalsicurezza. Le organizzazioni rappresentate includevano: Unicredit, Gas Natural(produttore di energia spagnolo), Syntetics (fornitore di CCTV in U.K.), Aeroflot, la Banca Centrale Russa.
• Il 21mo secolo ha portato ad una ridefinizione della nozione di sicurezza. Sia che si tratti di furto delle identità, sicurezza delle frontiere o spionaggio industriale, la sicurezza di ogni nazione, business, organizzazione, sta mutando rapidamente anche in relazione a t l i iù fi ti t t i t di d i itecnologie sempre più sofisticate e crescente interdipendenza nei processi.
• Le organizzazioni sono alla ricerca di soluzioni innovative per proteggere al meglio i propri asset, sia fisici che digitali, e al contempo proteggere gli interessi dei propripropri asset, sia fisici che digitali, e al contempo proteggere gli interessi dei propri Clienti. L’obiettivo globale è cercare il giusto equilibrio tra crescita socio-economica e mitigazione dei rischi intervenendo direttamente con strumenti integrati per difendersi dalle nuove minacce. La sicurezza entra in uno scenario sempre più globale.
© 2008 IBM CorporationIl rischio del terzo millennio: sure informations and data protection
Convegno ICT Security Day 2008
Modelli di governo e strumenti a supporto: la visione IBM
ComplianceManagement
Focus: AuditorVerificare la compliance con
le normative vigenti e le policy interne
Promuovere l’integrazione tra
b i t l i
interne
Focus: Minaccebusiness e tecnologia
Prima di tutto il business, poi la tecnologia
Ottimizzare la sicurezza in linea con obiettivi di business / rischio sia
interni che esterni
Security RiskManagement
- Chiudere il gap tra business e IT
- Costruire competenze ibride nella community IT Focus: OperationsSecure Infrastructureibride nella community IT
- Promuovere un nuovo modello di governance
- Riunire la leadership di
pFornire un supporto
operativo che sia integrato e semplice
Secu e ast uctu e
Technology ProcessInformationPeople
© 2008 IBM CorporationIl rischio del terzo millennio: sure informations and data protection
pbusiness e IT
Convegno ICT Security Day 2008
IBM: la Visione completa per la Sicurezza consapevoleStandardStandard
Internazionali enormative
Esperienza del team globale IBM
Best Practices IBM
Business Business Business
The IBM Security FrameworkThe IBM Security Framework
Security Governance, Risk Management Security Governance Risk Management
Security
Process Level
OrganizationLevel
Security
Process Level
Security
Process Level
OrganizationLevel
OrganizationLevel
y , gand Compliance
Security Governance, Risk Management and Compliance
People and Identity
D t d I f tiSecurity
SolutionsLevel
Business
IT
Business
IT
SecuritySecurity
SolutionsLevel
Business
IT
Business
IT
Business
IT
BusinessBusiness
ITIT
Business
IT
BusinessBusiness
ITITNetwork, Server, and End-point
Data and Information
Application and Process
Security
Security
InfrastructureLevel
Security
Security
InfrastructureLevel
Network, Server, and End point
Physical Infrastructure
© 2008 IBM CorporationIl rischio del terzo millennio: sure informations and data protection
SecuritySecurityCommon Policy, Event Handling and ReportingCommon Policy, Event Handling and Reporting
Convegno ICT Security Day 2008
IBM: la Visione completa per la Sicurezza consapevole
The IBM Security FrameworkThe IBM Security Framework
Security Governance, Risk Management Security Governance Risk Management
• SECURITY COMPLIANCE• Consente di allineare le policy con normative,
regolamenti, standard, accordi (PCI, SOX, Privacy, FISMA t )and Compliance
Security Governance, Risk Management and Compliance
People and Identity
FISMA, etc.).
• IDENTITY & ACCESS• Consente una collaborazione sicura con utenti
interni ed esterni attraverso accessi a datiData and Information
Application and Process
interni ed esterni, attraverso accessi a dati, applicazioni e asset, controllati e sicuri.
• DATA SECURITY• Protegge i dati e gli asset informativi.
Network, Server, and End-point
Physical Infrastructure
• APPLICATION SECURITY• Gestisce, monitora e audita ininterrottamente, la
sicurezza applicativa.
Common Policy, Event Handling and ReportingCommon Policy, Event Handling and Reporting
• INFRASTRUCTURE SECURITY• Gestisce in modo completo le minacce e
vulnerabilità, per la rete, per i server, e per tutti gli end point
© 2008 IBM CorporationIl rischio del terzo millennio: sure informations and data protection
end-point.
Convegno ICT Security Day 2008
IBM: la Visione completa per la Sicurezza consapevole
ValutareIl livello di sicurezza
ProteggereGli asset di valore
DifendereDalle minacce
MonitorareL’ambiente IBM / OEM Security IBM Security Hardware and
ControllareIl rischio
yHardware and
Software
IBM Security Hardware and Software
© 2008 IBM CorporationIl rischio del terzo millennio: sure informations and data protection
Convegno ICT Security Day 2008
IBM: la Visione completa per la Sicurezza consapevole
Professional nce
s utio
ns
ss
nsons
Security services
Gov
erna
non
s
Thre
at
Solu
tion
curit
y So
l
and
Acc
et S
olut
ion
ity S
olut
io
Managed Security Services
Secu
rity
GSo
luti
IBM
TM
itiga
tion
ysic
al S
ec
Iden
tity
ana
gem
ent
ata
Secu
ri
Hardware and Software
IBM
S M
IBM
Phy
IBM
M
an
IBM
Da
Obiettivo: fornire una difesa integrata e completa, Logica + Fisica
© 2008 IBM CorporationIl rischio del terzo millennio: sure informations and data protection
g p , g
Convegno ICT Security Day 2008
IBM: la Visione completa per la Sicurezza consapevole• IBM sta rafforzando nel tempo la sua leadership nell’area Sicurezza, con un modello sempre piùIBM sta rafforzando nel tempo la sua leadership nell area Sicurezza, con un modello sempre più
completo che include: sicurezza fisica, logica e di processo, componenti di tecnologia e aspetti gestionali.
• Portfolio di sicurezza rafforzato: acquisite Consul Risk Management, Watchfire, Encentuate,Micromuse, Internet Security Systems (con i prodotti di Threat Management, la specializzazione deilaboratori X-force, i Security Operation Centers ed i Managed Security Services) .
• Investimenti costanti in Ricerca e Sviluppo: IBM é una delle aziende che maggiormente investe inricerca e sviluppo di soluzioni e tecnologie innovative di sicurezza (Smart Surveillance System, Zurichg ( yLab, Watson Research Center, Haifa Lab, Tivoli Lab).
• IBM é partner dei principali player tecnologici, sia in ambito sicurezza logica (Cisco, Juniper,Checkpoint, RSA, ..) che per la sicurezza fisica (Genetec, March Networks, GE, CNL, Lenel, Axis,p , , ) p ( , , , , , ,Anixter, Pelco, …)
• IBM nell’area dei servizi di sicurezza ha una Practice dedicata, “Security & Privacy Services” chemette a disposizione dei suoi Clienti soluzioni specializzate attraverso il lavoro di 3500 persone a livellomette a disposizione dei suoi Clienti soluzioni specializzate attraverso il lavoro di 3500 persone a livelloglobale.
• IBM Italia vanta il Competence Center per la sicurezza fisica e il Security Demo Center IntegratoMilano – Roma
© 2008 IBM CorporationIl rischio del terzo millennio: sure informations and data protection
Milano – Roma.
Convegno ICT Security Day 2008
TJ Watson Zurich
IBM: la Visione completa per la Sicurezza consapevole – Labs & Centri Ricerca
TJ Watson• Cryptographic foundations• Internet security & "ethical
hacking" • Secure systems and smart cards
Zurich• Cryptographic foundations• Java cryptography• Privacy technology• Multiparty protocols• Secure systems and smart cards
• IDS sensors & vulnerability analysis
• Secure payment systems• Antivirus
Multiparty protocols• IDS & alert correlation• Smart card systems and application
• Privacy technology• Biometrics
Tokyo
Roma• eGovernment OSC
Physical Security CoC (Center of Competence)
Almaden• Cryptographic Haifa
Tokyo• Digital
watermarking• XML security• VLSI for cryptoh
(Center of Competence)• TivoliLab
yp g pfoundations
• Secure government workstation
• PKI enablement
• Trust policies
New Dehli• High-performance• Cryptographic
h d &
yp
© 2008 IBM CorporationIl rischio del terzo millennio: sure informations and data protection
hardware & software
Convegno ICT Security Day 2008
Conclusioni: la Visione completa per la Sicurezza consapevole
• L’approccio integrato alla sicurezza richiede un forte coinvolgimento del management per :management per : gestire i rischi e scegliere le priorità
di intervento, ti il i l i t d il garantire il coinvolgimento ed il
committment (impegno) di tutta la struttura organizzativa.
• L’efficace applicazione di misure di sicurezza non solo tecnologiche masicurezza non solo tecnologiche, ma organizzative e normative, dipende dal comportamento di tutti gli utenti.
© 2008 IBM CorporationIl rischio del terzo millennio: sure informations and data protection
Convegno ICT Security Day 2008
Conclusioni: la Visione completa per la Sicurezza consapevole
• Proteggere gli asset aziendali dal cattivo uso e abuso
– Soprattutto l’asset mobile,
– In qualunque fase del ciclo di vita delle informazioni,In qualunque fase del ciclo di vita delle informazioni,
– Praticamente a prescindere dalla ubicazione fisica.
• Ridurre la complessità / rischio di perdite finanziarie e di quota mercato
• Rendere le informazioni disponibili agli utenti autorizzati, aiutandoli ad essere più produttivi, senza sacrificare la sicurezza.
• Incoraggiare ed applicare l’uso responsabile dei dati aziendali.
• Sostenere la conformità alle leggi, regolamenti e policy aziendali
DL 196/03 P i L 48/2008 C b i– DLgs 196/03 Privacy, L. 48/2008 Cyber crime,
– PCI DSS, HIPAA, Sarbanes-Oxley (SOX).
• Guadagnare e mantenere la fiducia dei Clienti, partner, e dipendenti.
© 2008 IBM CorporationIl rischio del terzo millennio: sure informations and data protection
g , p , p
Convegno ICT Security Day 2008
Grazie,
© 2008 IBM CorporationIl rischio del terzo millennio: sure informations and data protection
Convegno ICT Security Day 2008
BackupBackup
© 2008 IBM CorporationIl rischio del terzo millennio: sure informations and data protection
Convegno ICT Security Day 2008
IBM: la Visione completa per la Sicurezza consapevole –soluzioni per la Security Governance
IBM Security Governance Services
Professional services
Security Risk Management - analisi degli asset informativi, minacce associate e identificazione dei relativi rischi di sicurezza.
Security Program Design and Managementservices
Managed security
Security Program Design and Management –supportare lo sviluppo e il disegno operativo di un programma di sicurezza che soddisfi le esigenze IT e di business.
Regulatory and Standard Compliance - analizzare, Managed security services
egu ato y a d Sta da d Co p a ce a a a e,valutare e quindi sviluppare i processi ed il modello operativo di business, al fine di realizzare, gestire e monitorare una efficiente soluzione di IT security per la Compliance.
S it P i t i Cli ti l ff
Hardware and software
Security Privacy – supportare i Clienti nel rafforzare la sensibilità/consapevolezza sui temi privacy, realizzare “privacy assessment” e implementare la corretta strategia.
IBM Security Education & Training Services –
© 2008 IBM CorporationIl rischio del terzo millennio: sure informations and data protection
IBM Security Education & Training Servicesofferta di corsi di formazione, in aula e web-based.
Convegno ICT Security Day 2008
IBM: la Visione completa per la Sicurezza consapevole –soluzioni per la Threat Mitigation
IBM Infrastructure Threat Mitigation Services
Professional services
Network Protection - Fornisce una completa prevenzione e individuazione delle minacce di rete.
services
Managed security
Endpoint System Protection – Fornisce vigilanza continua per tutti gli endpoints e soluzioni per l’accesso remoto sicuro.
Application Security – Gestisce il traffico Managed security services
pp ydi rete e utilizza best practices per migliorare la sicurezza delle applicazioni a favore di una Security Postureaziendale completa e conforme alle linee guida dell’organizzazione
Hardware and software
guida dell organizzazione.
Security Enablement and Vulnerability Management – Identifica e gestisce proattivamente la Security Posture
i d l l C li
© 2008 IBM CorporationIl rischio del terzo millennio: sure informations and data protection
aziendale e la Compliance.
Convegno ICT Security Day 2008
IBM: la Visione completa per la Sicurezza consapevole –soluzioni per la Data Security
IBM Data Sec rit Ser ices
Professional services
IBM Data Security Services
Activity Compliance Monitoring and Enforcement monitora gli utentiservices
M d it
Enforcement – monitora gli utenti “privileged” e i relativi database amministrati, include la gestione delle vulnerabilità (V-Mgmt).
Managed security services
Enterprise Content Protection –monitora i dati non appena escono dalla rete (IP, sensitive data); extrusion -Include Awareness Education Service
Hardware and software
Endpoint Data Protection – protegge i nastri, laptop, PDA, e supporti rimovibili, attraverso l’encryption e il port control.
© 2008 IBM CorporationIl rischio del terzo millennio: sure informations and data protection
Convegno ICT Security Day 2008
IBM: la Visione completa per la Sicurezza consapevole –soluzioni per IAM (Identity and Access Management)
IBM Identity and Access Management Services
Professional services
g
Identity Assessment and Strategy – analizza l’ambiente di identity management e sviluppa una strategia per migliorare l’efficacia della gestione delle identitiàservices
Managed security
Identity Proofing – supporta la definizione e la verifica delle identità, e realizza uno screening degli utenti.
Managed security services
Identity Lifecycle Management – fornisce la gestione delle credenziali utente e lo user provisioning.
Directory Services - fornisce assessment, di i l t i d ll di t
Hardware and software
disegno e implementazione delle directory organizzative.
Strong Authentication Solutions - fornisce soluzioni per l’autenticazione multi-fattore, inclusa la biometria smartcard token etc
© 2008 IBM CorporationIl rischio del terzo millennio: sure informations and data protection
la biometria, smartcard, token, etc.
Convegno ICT Security Day 2008
IBM: la Visione completa per la Sicurezza consapevole –soluzioni per la Physical Security
IBM Physical Security Services
Professional services
Site Security – fornisce un esame approfondito dei controlli di sicurezza eservices
Managed security
approfondito dei controlli di sicurezza e dei processi relativi al site o all’intera azienda.
Digital Video Surveillance – fornisce l i i t t di id liManaged security
servicessoluzione integrata di video sorveglianza e sicurezza che consente di vedere, monitorare e registrare digitalmente le attività relative a tutto l’ambiente.
Hardware and software
Smart Surveillance Solution – sistema avanzato di sorveglianza(videoanalisi) che monitora lo spazio fisico in tempo reale e abilita allarmi in tempo reale e
© 2008 IBM CorporationIl rischio del terzo millennio: sure informations and data protection
ricerche “content based”.
Convegno ICT Security Day 2008
Soluzione Identity & Access ManagementCliente Area Public, Italia
Esigenze del cliente: Single sign-on e gestione unificata delle utenze Single sign on e gestione unificata delle utenze Limitare gli accessi alle informazioni sensibili o personali e agli asset critici Proteggersi dagli attacchi alla sicurezza e dai rischi di perdita/violazione di informazioni confidenziali/critiche
Soluzione IBM: Benefici:A bi t i li t d llDisegno e implementazione di una soluzione
integrata di Identity e Access Management basata su IBM Tivoli Access Manager for e-business
Ambiente sicuro e personalizzato per accedere alle applicazioni business-critical Semplificata la gestione degli accessi del personale P t i t tili i i t i ti
Soluzione Web – based di Single Sign-on Soluzione Tivoli Access Manager for e-business Tivoli Directory Integrator
Protezione contro utilizzi o accessi non autorizzati Assegnazione delle credenziali digitali agli utenti Single Sign on per le varie applicazioni Migliorata l’efficienza dei processi di controllo
© 2008 IBM CorporationIl rischio del terzo millennio: sure informations and data protection
Tivoli Director Server Migliorata l efficienza dei processi di controllo accessi
Convegno ICT Security Day 2008
Soluzione Governance di SicurezzaCliente Area Distribution e Logistica, Italia
The IBM Security FrameworkThe IBM Security Framework
Security Governance, Risk Management and Compliance
Security Governance, Risk Management and Compliance
People and Identity
Data and Information
Application and Process
Esigenze del cliente:Common Policy, Event Handling and ReportingCommon Policy, Event Handling and Reporting
Network, Server, and End-point
Physical Infrastructure
Migliorare i processi di sicurezza per contribuire ad un business in rapida evoluzione Focus Sicurezza e Privacy Analizzare il livello di maturità del Gruppo, individuando le aree di miglioramento per la sicurezza Definire una roadmap di sicurezza per la gestione efficiente di futuri investimenti
Soluzione IBM: Benefici:Servizi di consulenza integrata per l’analisi del livello di maturità del Sistema di Gestione della Sicurezza delle Informazioni e disegno di una soluzione evolutiva
Benefici:Metodologia basata su standard di sicurezza Analisi puntuale del livello di maturità e valorizzazione delle esigenze reali di sicurezza Identificate le aree critiche e le aree con una Standard ISO/IEC 27002-27001: assessment di
sicurezza Standard ISO/IEC 27002-27001: indicazione roadmap di sicurezza V l i d ll i l i h d
Identificate le aree critiche e le aree con una buona efficienza di gestione Estese le componenti di sicurezza efficienti alle altre funzioni del Gruppo (effetto leva delle aree efficienti) F it i di i i t li i di i
© 2008 IBM CorporationIl rischio del terzo millennio: sure informations and data protection
Valutazione delle componenti tecnologiche ed organizzative
Fornite indicazioni puntuali per indirizzare con chiarezza gli investimenti futuri
Convegno ICT Security Day 2008
Soluzione Governance, per Education & TrainingCliente Area Public, Italia
Esigenze del cliente:Esigenze del cliente: Garantire l’uso consapevole di tecnologie Informatiche e di Telecomunicazione (ICT) nel rispetto delle policy aziendali
Soluzione IBM: Benefici:Disegno e implementazione di una soluzione integrata di formazione di sicurezza al fine di:
Aumentare la consapevolezza degli utenti finali
Benefici: Uso metodologia e strumenti progettuali misurabili per la didattica in aula
Sensibilizzazione e approccio operativo alla Orientare i comportamenti verso la sicurezza ICT
Trasmettere competenze specifiche in linea con standard architetturali, tecnologici e indirizzi
Sensibilizzazione e approccio operativo alla sicurezza
Migliorata la consapevolezza sul corretto uso di policy in materia di security
© 2008 IBM CorporationIl rischio del terzo millennio: sure informations and data protection
strategici del Gruppo