Italgo Information Security Governance
-
Upload
gianandrea-daverio -
Category
Documents
-
view
505 -
download
1
description
Transcript of Italgo Information Security Governance
Italgo S.p.A. Sede Legale: Via Larga 15 20122 Milano http://www.italgo.it email: [email protected]
Information Security Governance L’approccio e la metodologia di Italgo
2
Information Security Governance Agenda
Il contesto normativo
Lo scenario di riferimento
L’approccio metodologico
La proposta di intervento
Protezione dalle minacce (Threat Management)
Sicurezza degli accessi (Access Management)
Autenticazione e autorizzazione (Identity Management)
Gestione della sicurezza informatica (Security Management)
I servizi d valore aggiunto
La matrice d’offerta
I partner tecnologici
Agenda
3
Information Security Governance Il contesto normativo
Il Decreto Legislativo n. 196 del 2003
Il Decreto Legislativo 196/2003 definisce un insieme di controlli e di
misure (minime o idonee) tali da garantire l’adeguato livello di
protezione delle informazioni – a livello fisico, logico ed
organizzativo – rispetto al loro grado di sensibilita’ e riservatezza.
4
Information Security Governance Lo scenario di riferimento
Attacchi a livello organizzativo
Dati riservati
Vulnerabilita’
Attacchi automatici
Hacker
Virus, Trojan, Worms
Denial of Service
Le minacce al patrimonio informativo
5
Information Security Governance Lo scenario di riferimento
Autore
Interesse Nazionale
Guadagno personale
Fama personale
Curiosita’
Neofita Tecnico Esperto Specialista
Vandalo
Ladro
Spia
Scassinatore
Il profilo dei possibili attaccanti
6
Information Security Governance Lo scenario di riferimento
Perdita di ricavi
Danno di immagine verso
gli investitori
Danno di immagine
Perdita o compromissione
dei dati
Interruzione dei processi di
Business
Danno di immagine verso
la clientela Conseguenze
legali
Le conseguenze di un attacco
7
Information Security Governance
La classificazione delle minacce
Lo scenario di riferimento
Minacce di natura fisica
Danneggiamento di dispositivi e componenti hardware
Rimozione di dispositivi e componenti hardware
Visualizzazione modifica o eliminazione di files
Installazione ed esecuzione di codice malizioso
Minacce associate al perimetro di rete
Attacco al perimetro della rete aziendale
Attacco ai servizi pubblicati (posta, web)
Attacco proveniente dagli utenti nomadi
Attacco proveniente dalle rete geografiche e VPN
Minacce provenienti dalla rete interna
Accesso non autorizzato alla rete locale
Accesso non autorizzato alla rete wireless
Cattura di pacchetti
Worms, Virus, Trojan, Spyware
Minacce rivolte a sistemi, applicazioni e dati
Accesso non monitorato ai sistemi
Installazione ed esecuzione di codice malizioso
Visualizzazione, modifica ed eliminazione dei files
Attacchi mirati al sistema operativo e agli applicativi
8
Information Security Governance Approccio metodologico
Il nostro modello di “Information Security Governance” articolato in quattro aree di intervento tecnologico corredate da un
portafoglio di servizi ad elevato valore aggiunto :
9
Information Security Governance La proposta di intervento
Un portafoglio di soluzioni indirizzate a garantire un
accesso sicuro e performante alle infrastrutture IP
(Layer 3-4) e ai servizi applicativi su queste
attestati (Layer 4-7) :
Secure Networking
Secure Mobile & Convergent Networking
Virtual Private Networking
Load Balancing (Content Switching)
Deep Packet Inspection (Application Traffic Management)
WAN Acceleration & Optimization (Wide Area File System)
Secure Application Access (SSL Remote Access)
“Access Management” : Sicurezza degli accessi
10
Information Security Governance La proposta di intervento
Soluzioni per proteggere le risorse del sistema
informativo dalle minacce piu’ emergenti correlate
alla rete Internet e all’accesso non autorizzato al
patrimonio informativo :
Unified Threat Management
Network Intrusion Prevention
Web Content Filtering
Spam Prevention
Web Application Security
Database Encryption
“Threat Management” : Protezione dinamica dagli attacchi
11
Information Security Governance La proposta di intervento
Soluzioni e processi che consentono di gestire i
processi autorizzativi, i privilegi di accesso nonche’
il ciclo di vita delle utenze :
Directory Services Integration
Radius Authentication (Authentication Management)
One Time Password (Strong Authentication)
Digital Signing (Public Key Infrastructures)
Digital Right Management & Data Loss Prevention
Enterprise Single Sign-on
“Identity Management” : Gestione e profilatura degli utenti
12
Information Security Governance La proposta di intervento
Soluzioni per gestire, monitorare e garantire i livelli di
sicurezza del sistema informativo, a supporto di
un sistema di gestione della sicurezza delle
informazioni (ISMS) :
Vulnerability Management
Network Admission Control
Long Term Archiving
Log Management & Event Correlation
Incident Management
“Security Management” : Gestione della sicurezza informatica
13
Information Security Governance I servizi a valore aggiunto
Comprovate metodologie di Project Management
Competenze specialistiche certificate dai principali produttori
Assistenza specialistica certificata dai principali produttori
Servizi di “incident response” disponibili 24 ore su 7 giorni
Servizi di sostituzione tempestiva delle parti di ricambio
Metodologie standard di audit e assessment (OSSTMM, OWASP)
Processi di business conformi a BS7799 e ISO/IEC 27001
I servizi a valore aggiunto
14
Information Security Governance I servizi a valore aggiunto
I servizi a valore aggiunto
Servizi di assessment di reti IP, applicazioni Web,
reti telefoniche. reti wireless
Servizi di monitoraggio, gestione, helpdesk e
assistenza con SLA 24x7
Competenze specialistiche certificate dai principali
produttori
Comprovate metodologie di
Project Management
Formazione, certificazione e Training
on-the-job
Progettazione e design
15
Information Security Governance La matrice d’offerta
La matrice d’offerta
Directory Services Integration
Authentication Management
Strong Authentication
Digital Signing
Digital Right Management
Enterprise Single Sign-on
Vulnerability Management
Network Admission Control
Event Correlation
Incident Management
Unified Threat Management
Network Intrusion Prevention
Web Content Filtering
Spam Prevention
Web Application Security
Database Encryption
Secure Networking
Mobile & Convergent Networking
Virtual Private Networking
Load Balancing
Application Traffic Management
Wide Area File System
Secure Application Access
16
Information Security Governance I partner tecnologici
I partner tecnologici
Italgo S.p.A. Sede Legale: Via Larga 15 20122 Milano http://www.italgo.it email: [email protected]
Grazie per l’attenzione