IBM Security & Privacy Services Leader, Southwest Europe · confini fisici (laptop, mobile device,...

Il valore della sicurezza integrata

Paolo Tripodi

IBM Security & Privacy Services Leader,

Southwest Europe

Convegno ICT Security Day 2008

Agenda

• Conoscere, gestire, evolvere

• Sicurezza: garantire il governo degli asset, anche di quelli che non si hannohanno

• Evoluzione: modelli di governo e strumenti a supportog pp

• IBM: la Visione completa per la Sicurezza consapevole

© 2008 IBM CorporationIl rischio del terzo millennio: sure informations and data protection


• Ottimizzare gli investimenti • Governare le• Applicare le nuove

Conoscere, gestire, evolvere

• Favorire Collaborazione e

Cooperazione

investimenti Governare le soluzioni di sicurezza

• Applicare le nuove tecnologie in sicurezza

• Garantire Conformità a leggi

e standard

• Proteggere nel tempo il patrimonio

di informazioni

• Rispondere alle aspettative crescenti dei

• Semplificare i processi

• Migliorare il livello d i i ip

Clienti

• Garantire la Continuità Operativa

• Garantire la Sicurezza e la Privacy degli asset

dei servizi

• Gestire crescenti


Continuità Operativa y g crescenti volumi di dati


Conoscere, gestire, evolvere: Drivers e Inibitori di Sicurezza

1. Difficoltà nella definizione di una strategia completa di sicurezza

1. Richieste crescenti di conformità a normative vigenti e policy aziendali/di Gruppo completa di sicurezza

2. Business ed IT non allineati 3. Preoccupazione che la protezione dei Dati

possa limitare la fruibilità dei dati

Gruppo2. Nuove e diversificate minacce di

sicurezza3. Volumi crescenti di dati diversificati da p

4. Approccio alla sicurezza spesso focalizzato sulla infrastruttura, non sui dati Li i i di b d

trattare

“Le iniziative realizzate per finalità di compliance, hanno consentito di creare un programma strutturato per gestire il rischio in un modo 5. Limiti di budgetstrutturato per gestire il rischio in un modo consistente. Questo ha portato grandi benefici sul modello di gestione dei dati.” –Primaria azienda di Servizi Finanziari

“Il problema è che non c’è molta consapevolezza sul bisogno reale di sicurezza: spesso il focus sul profitto distoglie dalla gestione delle priorità che

“Gli articoli in prima pagina, spesso hanno suscitato grandi preoccupazioni: cosa accadrebbe se un impiegato riuscisse ad accedere e usare impropriamenti I dati dei

p g g pdovrebbe includere anche la sicurezza per poter proteggere al meglio il business. – Primaria azienda di produzione Farmaceutica


Clienti?” – Primaria azienda di Assicurazione


Sicurezza: garantire il governo degli asset, anche di quelli che non si hanno

Qual è il perimetro dell’azienda? Sono aumentati gli interlocutori ed ampliati

i confini aziendali Gli asset risiedono sempre meno nei

confini fisici (laptop, mobile device, CED terze parti, etc.), ma appartengono al

Outsourcers

DipendentiPartnerp , ), pp g

patrimonio aziendale L’approccio classico di tipo pezzo-per-

pezzo non funziona più, occorre un modello integrato

AziendaVisitatoriFornitoriStakeholder

modello integrato L’azienda deve aver una visione

completa, data dall’analisi dei suoi processi e servizi, per poter definire un modello target che garantisca un adeguato

Autorità giudiziarie Clienti

modello target che garantisca un adeguato livello di efficienza per il proprio business Aziende collegate



Modelli di governo e strumenti a supporto: parla il mercatoGlobal Innovation Outlook per la Società e la Sicurezza

• Il Global Innovation Outlook del 2008, ha individuato le principali prossime sfide per la sicurezza Le organizzazioni rappresentate includevano: Unicredit Gas Naturalsicurezza. Le organizzazioni rappresentate includevano: Unicredit, Gas Natural(produttore di energia spagnolo), Syntetics (fornitore di CCTV in U.K.), Aeroflot, la Banca Centrale Russa.

• Il 21mo secolo ha portato ad una ridefinizione della nozione di sicurezza. Sia che si tratti di furto delle identità, sicurezza delle frontiere o spionaggio industriale, la sicurezza di ogni nazione, business, organizzazione, sta mutando rapidamente anche in relazione a t l i iù fi ti t t i t di d i itecnologie sempre più sofisticate e crescente interdipendenza nei processi.

• Le organizzazioni sono alla ricerca di soluzioni innovative per proteggere al meglio i propri asset, sia fisici che digitali, e al contempo proteggere gli interessi dei propripropri asset, sia fisici che digitali, e al contempo proteggere gli interessi dei propri Clienti. L’obiettivo globale è cercare il giusto equilibrio tra crescita socio-economica e mitigazione dei rischi intervenendo direttamente con strumenti integrati per difendersi dalle nuove minacce. La sicurezza entra in uno scenario sempre più globale.



Modelli di governo e strumenti a supporto: la visione IBM

ComplianceManagement

Focus: AuditorVerificare la compliance con

le normative vigenti e le policy interne

Promuovere l’integrazione tra

b i t l i

interne

Focus: Minaccebusiness e tecnologia

Prima di tutto il business, poi la tecnologia

Ottimizzare la sicurezza in linea con obiettivi di business / rischio sia

interni che esterni

Security RiskManagement

- Chiudere il gap tra business e IT

- Costruire competenze ibride nella community IT Focus: OperationsSecure Infrastructureibride nella community IT

- Promuovere un nuovo modello di governance

- Riunire la leadership di

pFornire un supporto

operativo che sia integrato e semplice

Secu e ast uctu e

Technology ProcessInformationPeople


pbusiness e IT


IBM: la Visione completa per la Sicurezza consapevoleStandardStandard

Internazionali enormative

Esperienza del team globale IBM

Best Practices IBM

Business Business Business

The IBM Security FrameworkThe IBM Security Framework

Security Governance, Risk Management Security Governance Risk Management

Security

Process Level

OrganizationLevel

Security

Process Level

Security

Process Level

OrganizationLevel

OrganizationLevel

y , gand Compliance

Security Governance, Risk Management and Compliance

People and Identity

D t d I f tiSecurity

SolutionsLevel

Business

IT

Business

IT

SecuritySecurity

SolutionsLevel

Business

IT

Business

IT

Business

IT

BusinessBusiness

ITIT

Business

IT

BusinessBusiness

ITITNetwork, Server, and End-point

Data and Information

Application and Process

Security

Security

InfrastructureLevel

Security

Security

InfrastructureLevel

Network, Server, and End point

Physical Infrastructure


SecuritySecurityCommon Policy, Event Handling and ReportingCommon Policy, Event Handling and Reporting


IBM: la Visione completa per la Sicurezza consapevole


Security Governance, Risk Management Security Governance Risk Management

• SECURITY COMPLIANCE• Consente di allineare le policy con normative,

regolamenti, standard, accordi (PCI, SOX, Privacy, FISMA t )and Compliance


People and Identity

FISMA, etc.).

• IDENTITY & ACCESS• Consente una collaborazione sicura con utenti

interni ed esterni attraverso accessi a datiData and Information


interni ed esterni, attraverso accessi a dati, applicazioni e asset, controllati e sicuri.

• DATA SECURITY• Protegge i dati e gli asset informativi.

Network, Server, and End-point


• APPLICATION SECURITY• Gestisce, monitora e audita ininterrottamente, la

sicurezza applicativa.

Common Policy, Event Handling and ReportingCommon Policy, Event Handling and Reporting

• INFRASTRUCTURE SECURITY• Gestisce in modo completo le minacce e

vulnerabilità, per la rete, per i server, e per tutti gli end point


end-point.



ValutareIl livello di sicurezza

ProteggereGli asset di valore

DifendereDalle minacce

MonitorareL’ambiente IBM / OEM Security IBM Security Hardware and

ControllareIl rischio

yHardware and

Software

IBM Security Hardware and Software




Professional nce

s utio

ns

ss

nsons

Security services

Gov

erna

non

s

Thre

at

Solu

tion

curit

y So

l

and

Acc

et S

olut

ion

ity S

olut

io

Managed Security Services

Secu

rity

GSo

luti

IBM

TM

itiga

tion

ysic

al S

ec

Iden

tity

ana

gem

ent

ata

Secu

ri

Hardware and Software

IBM

S M

IBM

Phy

IBM

M

an

IBM

Da

Obiettivo: fornire una difesa integrata e completa, Logica + Fisica


g p , g


IBM: la Visione completa per la Sicurezza consapevole• IBM sta rafforzando nel tempo la sua leadership nell’area Sicurezza, con un modello sempre piùIBM sta rafforzando nel tempo la sua leadership nell area Sicurezza, con un modello sempre più

completo che include: sicurezza fisica, logica e di processo, componenti di tecnologia e aspetti gestionali.

• Portfolio di sicurezza rafforzato: acquisite Consul Risk Management, Watchfire, Encentuate,Micromuse, Internet Security Systems (con i prodotti di Threat Management, la specializzazione deilaboratori X-force, i Security Operation Centers ed i Managed Security Services) .

• Investimenti costanti in Ricerca e Sviluppo: IBM é una delle aziende che maggiormente investe inricerca e sviluppo di soluzioni e tecnologie innovative di sicurezza (Smart Surveillance System, Zurichg ( yLab, Watson Research Center, Haifa Lab, Tivoli Lab).

• IBM é partner dei principali player tecnologici, sia in ambito sicurezza logica (Cisco, Juniper,Checkpoint, RSA, ..) che per la sicurezza fisica (Genetec, March Networks, GE, CNL, Lenel, Axis,p , , ) p ( , , , , , ,Anixter, Pelco, …)

• IBM nell’area dei servizi di sicurezza ha una Practice dedicata, “Security & Privacy Services” chemette a disposizione dei suoi Clienti soluzioni specializzate attraverso il lavoro di 3500 persone a livellomette a disposizione dei suoi Clienti soluzioni specializzate attraverso il lavoro di 3500 persone a livelloglobale.

• IBM Italia vanta il Competence Center per la sicurezza fisica e il Security Demo Center IntegratoMilano – Roma


Milano – Roma.


TJ Watson Zurich

IBM: la Visione completa per la Sicurezza consapevole – Labs & Centri Ricerca

TJ Watson• Cryptographic foundations• Internet security & "ethical

hacking" • Secure systems and smart cards

Zurich• Cryptographic foundations• Java cryptography• Privacy technology• Multiparty protocols• Secure systems and smart cards

• IDS sensors & vulnerability analysis

• Secure payment systems• Antivirus

Multiparty protocols• IDS & alert correlation• Smart card systems and application

• Privacy technology• Biometrics

Tokyo

Roma• eGovernment OSC

Physical Security CoC (Center of Competence)

Almaden• Cryptographic Haifa

Tokyo• Digital

watermarking• XML security• VLSI for cryptoh

(Center of Competence)• TivoliLab

yp g pfoundations

• Secure government workstation

• PKI enablement

• Trust policies

New Dehli• High-performance• Cryptographic

h d &

yp


hardware & software


Conclusioni: la Visione completa per la Sicurezza consapevole

• L’approccio integrato alla sicurezza richiede un forte coinvolgimento del management per :management per : gestire i rischi e scegliere le priorità

di intervento, ti il i l i t d il garantire il coinvolgimento ed il

committment (impegno) di tutta la struttura organizzativa.

• L’efficace applicazione di misure di sicurezza non solo tecnologiche masicurezza non solo tecnologiche, ma organizzative e normative, dipende dal comportamento di tutti gli utenti.



Conclusioni: la Visione completa per la Sicurezza consapevole

• Proteggere gli asset aziendali dal cattivo uso e abuso

– Soprattutto l’asset mobile,

– In qualunque fase del ciclo di vita delle informazioni,In qualunque fase del ciclo di vita delle informazioni,

– Praticamente a prescindere dalla ubicazione fisica.

• Ridurre la complessità / rischio di perdite finanziarie e di quota mercato

• Rendere le informazioni disponibili agli utenti autorizzati, aiutandoli ad essere più produttivi, senza sacrificare la sicurezza.

• Incoraggiare ed applicare l’uso responsabile dei dati aziendali.

• Sostenere la conformità alle leggi, regolamenti e policy aziendali

DL 196/03 P i L 48/2008 C b i– DLgs 196/03 Privacy, L. 48/2008 Cyber crime,

– PCI DSS, HIPAA, Sarbanes-Oxley (SOX).

• Guadagnare e mantenere la fiducia dei Clienti, partner, e dipendenti.


g , p , p


Grazie,



BackupBackup



IBM: la Visione completa per la Sicurezza consapevole –soluzioni per la Security Governance

IBM Security Governance Services

Professional services

Security Risk Management - analisi degli asset informativi, minacce associate e identificazione dei relativi rischi di sicurezza.

Security Program Design and Managementservices

Managed security

Security Program Design and Management –supportare lo sviluppo e il disegno operativo di un programma di sicurezza che soddisfi le esigenze IT e di business.

Regulatory and Standard Compliance - analizzare, Managed security services

egu ato y a d Sta da d Co p a ce a a a e,valutare e quindi sviluppare i processi ed il modello operativo di business, al fine di realizzare, gestire e monitorare una efficiente soluzione di IT security per la Compliance.

S it P i t i Cli ti l ff

Hardware and software

Security Privacy – supportare i Clienti nel rafforzare la sensibilità/consapevolezza sui temi privacy, realizzare “privacy assessment” e implementare la corretta strategia.

IBM Security Education & Training Services –


IBM Security Education & Training Servicesofferta di corsi di formazione, in aula e web-based.


IBM: la Visione completa per la Sicurezza consapevole –soluzioni per la Threat Mitigation

IBM Infrastructure Threat Mitigation Services


Network Protection - Fornisce una completa prevenzione e individuazione delle minacce di rete.

services

Managed security

Endpoint System Protection – Fornisce vigilanza continua per tutti gli endpoints e soluzioni per l’accesso remoto sicuro.

Application Security – Gestisce il traffico Managed security services

pp ydi rete e utilizza best practices per migliorare la sicurezza delle applicazioni a favore di una Security Postureaziendale completa e conforme alle linee guida dell’organizzazione


guida dell organizzazione.

Security Enablement and Vulnerability Management – Identifica e gestisce proattivamente la Security Posture

i d l l C li


aziendale e la Compliance.


IBM: la Visione completa per la Sicurezza consapevole –soluzioni per la Data Security

IBM Data Sec rit Ser ices


IBM Data Security Services

Activity Compliance Monitoring and Enforcement monitora gli utentiservices

M d it

Enforcement – monitora gli utenti “privileged” e i relativi database amministrati, include la gestione delle vulnerabilità (V-Mgmt).

Managed security services

Enterprise Content Protection –monitora i dati non appena escono dalla rete (IP, sensitive data); extrusion -Include Awareness Education Service


Endpoint Data Protection – protegge i nastri, laptop, PDA, e supporti rimovibili, attraverso l’encryption e il port control.



IBM: la Visione completa per la Sicurezza consapevole –soluzioni per IAM (Identity and Access Management)

IBM Identity and Access Management Services


g

Identity Assessment and Strategy – analizza l’ambiente di identity management e sviluppa una strategia per migliorare l’efficacia della gestione delle identitiàservices

Managed security

Identity Proofing – supporta la definizione e la verifica delle identità, e realizza uno screening degli utenti.

Managed security services

Identity Lifecycle Management – fornisce la gestione delle credenziali utente e lo user provisioning.

Directory Services - fornisce assessment, di i l t i d ll di t


disegno e implementazione delle directory organizzative.

Strong Authentication Solutions - fornisce soluzioni per l’autenticazione multi-fattore, inclusa la biometria smartcard token etc


la biometria, smartcard, token, etc.


IBM: la Visione completa per la Sicurezza consapevole –soluzioni per la Physical Security

IBM Physical Security Services


Site Security – fornisce un esame approfondito dei controlli di sicurezza eservices

Managed security

approfondito dei controlli di sicurezza e dei processi relativi al site o all’intera azienda.

Digital Video Surveillance – fornisce l i i t t di id liManaged security

servicessoluzione integrata di video sorveglianza e sicurezza che consente di vedere, monitorare e registrare digitalmente le attività relative a tutto l’ambiente.


Smart Surveillance Solution – sistema avanzato di sorveglianza(videoanalisi) che monitora lo spazio fisico in tempo reale e abilita allarmi in tempo reale e


ricerche “content based”.


Soluzione Identity & Access ManagementCliente Area Public, Italia

Esigenze del cliente: Single sign-on e gestione unificata delle utenze Single sign on e gestione unificata delle utenze Limitare gli accessi alle informazioni sensibili o personali e agli asset critici Proteggersi dagli attacchi alla sicurezza e dai rischi di perdita/violazione di informazioni confidenziali/critiche

Soluzione IBM: Benefici:A bi t i li t d llDisegno e implementazione di una soluzione

integrata di Identity e Access Management basata su IBM Tivoli Access Manager for e-business

Ambiente sicuro e personalizzato per accedere alle applicazioni business-critical Semplificata la gestione degli accessi del personale P t i t tili i i t i ti

Soluzione Web – based di Single Sign-on Soluzione Tivoli Access Manager for e-business Tivoli Directory Integrator

Protezione contro utilizzi o accessi non autorizzati Assegnazione delle credenziali digitali agli utenti Single Sign on per le varie applicazioni Migliorata l’efficienza dei processi di controllo


Tivoli Director Server Migliorata l efficienza dei processi di controllo accessi


Soluzione Governance di SicurezzaCliente Area Distribution e Logistica, Italia




People and Identity

Data and Information


Esigenze del cliente:Common Policy, Event Handling and ReportingCommon Policy, Event Handling and Reporting

Network, Server, and End-point


Migliorare i processi di sicurezza per contribuire ad un business in rapida evoluzione Focus Sicurezza e Privacy Analizzare il livello di maturità del Gruppo, individuando le aree di miglioramento per la sicurezza Definire una roadmap di sicurezza per la gestione efficiente di futuri investimenti

Soluzione IBM: Benefici:Servizi di consulenza integrata per l’analisi del livello di maturità del Sistema di Gestione della Sicurezza delle Informazioni e disegno di una soluzione evolutiva

Benefici:Metodologia basata su standard di sicurezza Analisi puntuale del livello di maturità e valorizzazione delle esigenze reali di sicurezza Identificate le aree critiche e le aree con una Standard ISO/IEC 27002-27001: assessment di

sicurezza Standard ISO/IEC 27002-27001: indicazione roadmap di sicurezza V l i d ll i l i h d

Identificate le aree critiche e le aree con una buona efficienza di gestione Estese le componenti di sicurezza efficienti alle altre funzioni del Gruppo (effetto leva delle aree efficienti) F it i di i i t li i di i


Valutazione delle componenti tecnologiche ed organizzative

Fornite indicazioni puntuali per indirizzare con chiarezza gli investimenti futuri


Soluzione Governance, per Education & TrainingCliente Area Public, Italia

Esigenze del cliente:Esigenze del cliente: Garantire l’uso consapevole di tecnologie Informatiche e di Telecomunicazione (ICT) nel rispetto delle policy aziendali

Soluzione IBM: Benefici:Disegno e implementazione di una soluzione integrata di formazione di sicurezza al fine di:

Aumentare la consapevolezza degli utenti finali

Benefici: Uso metodologia e strumenti progettuali misurabili per la didattica in aula

Sensibilizzazione e approccio operativo alla Orientare i comportamenti verso la sicurezza ICT

Trasmettere competenze specifiche in linea con standard architetturali, tecnologici e indirizzi

Sensibilizzazione e approccio operativo alla sicurezza

Migliorata la consapevolezza sul corretto uso di policy in materia di security


strategici del Gruppo

IBM Security & Privacy Services Leader, Southwest Europe · confini fisici (laptop, mobile device,...

Documents

Transcript of IBM Security & Privacy Services Leader, Southwest Europe · confini fisici (laptop, mobile device,...