Italgo S.p.A. Sede Legale: Via Larga 15 20122 Milano http://www.italgo.it email: mkt-info@italgo.it

Information Security Governance L’approccio e la metodologia di Italgo

2

Information Security Governance Agenda

Il contesto normativo

Lo scenario di riferimento

L’approccio metodologico

La proposta di intervento

Protezione dalle minacce (Threat Management)

Sicurezza degli accessi (Access Management)

Autenticazione e autorizzazione (Identity Management)

Gestione della sicurezza informatica (Security Management)

I servizi d valore aggiunto

La matrice d’offerta

I partner tecnologici

Agenda

3

Information Security Governance Il contesto normativo

Il Decreto Legislativo n. 196 del 2003

Il Decreto Legislativo 196/2003 definisce un insieme di controlli e di

misure (minime o idonee) tali da garantire l’adeguato livello di

protezione delle informazioni – a livello fisico, logico ed

organizzativo – rispetto al loro grado di sensibilita’ e riservatezza.

4

Information Security Governance Lo scenario di riferimento

Attacchi a livello organizzativo

Dati riservati

Vulnerabilita’

Attacchi automatici

Hacker

Virus, Trojan, Worms

Denial of Service

Le minacce al patrimonio informativo

5

Information Security Governance Lo scenario di riferimento

Autore

Interesse Nazionale

Guadagno personale

Fama personale

Curiosita’

Neofita Tecnico Esperto Specialista

Vandalo

Ladro

Spia

Scassinatore

Il profilo dei possibili attaccanti

6

Information Security Governance Lo scenario di riferimento

Perdita di ricavi

Danno di immagine verso

gli investitori

Danno di immagine

Perdita o compromissione

dei dati

Interruzione dei processi di

Business

Danno di immagine verso

la clientela Conseguenze

legali

Le conseguenze di un attacco

7

Information Security Governance

La classificazione delle minacce

Lo scenario di riferimento

Minacce di natura fisica

Danneggiamento di dispositivi e componenti hardware

Rimozione di dispositivi e componenti hardware

Visualizzazione modifica o eliminazione di files

Installazione ed esecuzione di codice malizioso

Minacce associate al perimetro di rete

Attacco al perimetro della rete aziendale

Attacco ai servizi pubblicati (posta, web)

Attacco proveniente dagli utenti nomadi

Attacco proveniente dalle rete geografiche e VPN

Minacce provenienti dalla rete interna

Accesso non autorizzato alla rete locale

Accesso non autorizzato alla rete wireless

Cattura di pacchetti

Worms, Virus, Trojan, Spyware

Minacce rivolte a sistemi, applicazioni e dati

Accesso non monitorato ai sistemi

Installazione ed esecuzione di codice malizioso

Visualizzazione, modifica ed eliminazione dei files

Attacchi mirati al sistema operativo e agli applicativi

8

Information Security Governance Approccio metodologico

Il nostro modello di “Information Security Governance” articolato in quattro aree di intervento tecnologico corredate da un

portafoglio di servizi ad elevato valore aggiunto :

9

Information Security Governance La proposta di intervento

Un portafoglio di soluzioni indirizzate a garantire un

accesso sicuro e performante alle infrastrutture IP

(Layer 3-4) e ai servizi applicativi su queste

attestati (Layer 4-7) :

Secure Networking

Secure Mobile & Convergent Networking

Virtual Private Networking

Load Balancing (Content Switching)

Deep Packet Inspection (Application Traffic Management)

WAN Acceleration & Optimization (Wide Area File System)

Secure Application Access (SSL Remote Access)

“Access Management” : Sicurezza degli accessi

10

Information Security Governance La proposta di intervento

Soluzioni per proteggere le risorse del sistema

informativo dalle minacce piu’ emergenti correlate

alla rete Internet e all’accesso non autorizzato al

patrimonio informativo :

Unified Threat Management

Network Intrusion Prevention

Web Content Filtering

Spam Prevention

Web Application Security

Database Encryption

“Threat Management” : Protezione dinamica dagli attacchi

11

Information Security Governance La proposta di intervento

Soluzioni e processi che consentono di gestire i

processi autorizzativi, i privilegi di accesso nonche’

il ciclo di vita delle utenze :

Directory Services Integration

Radius Authentication (Authentication Management)

One Time Password (Strong Authentication)

Digital Signing (Public Key Infrastructures)

Digital Right Management & Data Loss Prevention

Enterprise Single Sign-on

“Identity Management” : Gestione e profilatura degli utenti

12

Information Security Governance La proposta di intervento

Soluzioni per gestire, monitorare e garantire i livelli di

sicurezza del sistema informativo, a supporto di

un sistema di gestione della sicurezza delle

informazioni (ISMS) :

Vulnerability Management

Network Admission Control

Long Term Archiving

Log Management & Event Correlation

Incident Management

“Security Management” : Gestione della sicurezza informatica

13

Information Security Governance I servizi a valore aggiunto

Comprovate metodologie di Project Management

Competenze specialistiche certificate dai principali produttori

Assistenza specialistica certificata dai principali produttori

Servizi di “incident response” disponibili 24 ore su 7 giorni

Servizi di sostituzione tempestiva delle parti di ricambio

Metodologie standard di audit e assessment (OSSTMM, OWASP)

Processi di business conformi a BS7799 e ISO/IEC 27001

I servizi a valore aggiunto

14

Information Security Governance I servizi a valore aggiunto

I servizi a valore aggiunto

Servizi di assessment di reti IP, applicazioni Web,

reti telefoniche. reti wireless

Servizi di monitoraggio, gestione, helpdesk e

assistenza con SLA 24x7

Competenze specialistiche certificate dai principali

produttori

Comprovate metodologie di

Project Management

Formazione, certificazione e Training

on-the-job

Progettazione e design

15

Information Security Governance La matrice d’offerta

La matrice d’offerta

Directory Services Integration

Authentication Management

Strong Authentication

Digital Signing

Digital Right Management

Enterprise Single Sign-on

Vulnerability Management

Network Admission Control

Event Correlation

Incident Management

Unified Threat Management

Network Intrusion Prevention

Web Content Filtering

Spam Prevention

Web Application Security

Database Encryption

Secure Networking

Mobile & Convergent Networking

Virtual Private Networking

Load Balancing

Application Traffic Management

Wide Area File System

Secure Application Access

16

Information Security Governance I partner tecnologici

I partner tecnologici

Italgo S.p.A. Sede Legale: Via Larga 15 20122 Milano http://www.italgo.it email: mkt-info@italgo.it

Grazie per l’attenzione