2. Agenda
La Società
Il contesto di riferimento
L’organizzazione di partenza
I Managed Security Services
Il Security Global Control Center
3. La Società
Informatica Trentina è stata costituita nel 1983 su iniziativa della Provincia
Autonoma di Trento e di altri Enti Pubblici del Trentino
La Compagine azionaria (al 31 dicembre 2012):
Provincia autonoma di Trento 47,4218%
Tecnofin Trentina Spa 39,7101%
Regione Autonoma Trentino-Alto Adige 1,7199%
Comune di Trento con l’1,2433%
Camera di Commercio Industria Artigianato e Agricoltura 1,2433%
Comune di Rovereto 0,7063%
15 Comunità di Valle complessivamente 5,0046%
1 Comprensorio 0,3931%
altri 186 Comuni complessivamente 2,5577%
Alcuni dati al 31 dicembre 2011:
Fatturato: circa 60 milioni di Euro
Risorse umane: 312
Adesioni alla governance (al 31 dicembre 2012):
208 Enti Locali
3
4. La missione
Sempre più un ruolo di “strumento di politica economica” per lo
sviluppo e la crescita del sistema economico locale nel contesto
dell’Information & Communication Technology:
strumento di sistema, per l’ammodernamento della Pubblica
Amministrazione trentina e per promuovere lo sviluppo del contesto
socio-economico del territorio, in aderenza alle direttive provinciali
strumento di collaborazione con le imprese ICT, consentendo ai
molteplici operatori del comparto di partecipare con continuità alla
realizzazione dei progetti di ammodernamento e digitalizzazione della
PA trentina
strumento di innovazione, per promuovere l’innovazione nella PA
trentina, sostenendo il ruolo di utente innovatore dell’Ente pubblico,
attraverso progetti di innovazione da realizzare in sinergia
e cooperazione con le imprese ICT del territorio, ed in
collaborazione con gli Enti di Ricerca ed Alta Formazione
presenti sul territorio
10. … oggi
Reti di
Datacenter
Mobile
Internet
Lan
Interna
Casalingo
Reti Nomadico
DMZ
11. Le nuove guerre
Lo spazio cibernetico è un nuovo fondamentale campo di battaglia e di
competizione geopolitica nel XXI secolo
(Comitato Parlamentare per la sicurezza della Repubblica – Relazione sulle possibili implicazioni e minacce per la
sicurezza nazionale derivanti dall’utilizzo dello spazio cibernetico)
The new Pentagon strategy lays out cyber as a new warfare domain
and stresses the need to fortify network defenses, protect critical
infrastructure and work with allies and corporate partners (James
Lewis, cybersecurity expert at the Center for Strategic and International Studies)
I've often said that there's a strong likelihood that the next Pearl Harbor
that we confront could very well be a cyberattack that cripples our
power systems, our grid, our security systems, our financial
systems, our governmental systems (Pentagon chief Leon Panetta, ex CIA director)
12. Le risposte dei governi
CINA: la sola potenza emergente che abbia già sviluppato capacità
operative nei cinque domini relativi alla superiorità cibernetica:
elaborazione di una dottrina operativa, capacità addestrative, capacità di
simulazione, creazione di unità addestrate alla guerra
cibernetica, sperimentazione di attacchi hacker su larga scala
Stati Uniti: Ha creato lo “United States Cyber Command
(USCYBERCOM)” che, sotto la guida di un generale, centralizza il
comando operativo delle operazioni nel cyberspace, organizza le cyber
risorse esistenti e coordina la difesa delle reti dell’esercito americano
Italia: obiettivo 24 “Sicurezza dei sistemi informativi e delle reti” del
piano di E-Government 2012. Prevede la stabilizzazione e il
potenziamento dell’Unità di prevenzione degli incidenti informatici in
ambito SPC istituita presso il CNIPA in ottemperanza all’articolo
21, comma 51.a del Decreto del Presidente del Consiglio dei Ministri del
01/04/2008 (esiste solo sulla carta)
13. Le risposte dei privati
Dell Computer espande la sua offerta IT-as-a-Service
acquisendo SecureWorks®, uno dei più importanti
provider nel settore dei servizi di security
HP (Hewlett Packard) acquisisce Vistorm, provider di
servizi di security con una forte presenza in UK e Irlanda.
IBM acquisisce McAfee, storico marchio nel settore
dell’Information Security.
14. Information Security …..
… è ormai un elemento essenziale per proteggere i
processi vitali per il business e i sistemi che li garantiscono
… non è qualcosa che si compra: bisogna farla
… non si può limitare al solo controllo del perimetro
OGNI ELEMENTO della rete e dei sistemi ospitati deve
essere messo in sicurezza
15. Cosa dovrebbe comprendere
Firewall, router, applicativi, password
Intrusion detection
Proactive scanning, penetration testing
Monitoraggio della configurazione dei sistemi –
“Health Checking”
VoiP, Wireless, Sistemi proprietari
Monitoraggio 24x7
Analisi e correlazione
Sviluppo Sicuro
Policy, Procedure, Personale
16. La security vista dalle aziende
VOIP/WL Analisi
Policy/Personale
Monitor
VA/PT
IDS Firewall
17. Quando è efficace
Corretta combinazione di
appliances, software, alert e vulnerability scan
che lavorano in maniera coordinata in quella che
può essere definita come “Enterprise Security
Architecture”
Progettata per supportare gli obiettivi di sicurezza
dell’azienda
Estesa alle policy aziendali, alle procedure e al
personale
Monitorata 24x7
18. Security Framework
Il Security Framework è composto da un insieme
coordinato di strumenti dedicati
Analogo all’Enterprise management framework
Il monitoraggio 24x7 dei dati relativi all’Information
Security è centralizzato in un Security Operations Center
L’analisi dei dati viene effettuata utilizzando degli
strumenti di correlazione
Possono essere utilizzati prodotti commerciali quanto
open source
E’ opportuno basarsi sull’infrastruttura di sicurezza
esistente per sviluppare velocemente il nuovo framework
22. Pro e contro
Pro:
Maggior “senso” di sicurezza
Alta conoscenza dell’infrastruttura
Controllo di tutti i processi
Controllo sulle scelte tecnologiche
Contro:
Difficoltà a mantenere un Security Program
Eccessiva dispersione di competenze
Sovraccarico operativo per il personale
Finestra di servizio ampia troppo costosa
23. Agenda
La Società
Il contesto di riferimento
L’organizzazione di partenza
I Managed Security Services
I Security Global Control Center
25. Managed o in House
L’idea di consegnare le proprie informazioni a terze parti
è causa di forti resistenze e conflitti interni che, molto
spesso, impediscono una valutazione coerente dei
vantaggi, sia a livello economico che di incremento del
livello di sicurezza
Come per il SaaS, anche nel caso dei security as a sevice
è fondamentale la scelta del provider
Molti provider offrono i servizi di managed security solo
con l’obiettivo di avere un’offerta completa ma non
riescono a garantire elevati livelli di competenza,
disponibilità e sicurezza
26. Marketscope for MSS in Europe
Rapporto pubblicato da Gartner nel 2009 (G00171027), con
l’obiettivo di analizzare l’andamento di questo particolare
segmento di mercato in Europa, del quale si evidenziano i
seguenti elementi:
le realtà complesse non riescono più a gestire in house, in
maniera adeguata, i servizi di sicurezza e si rivolgono a
quei soggetti che invece lo sanno fare molto bene (e solo
a quelli che lo sanno fare molto bene)
Il mercato dei Managed Security Services (MSS) in
Europa ha ormai raggiunto un buon livello di maturità ed
è in continua crescita, sia in termini di volume che in
termini di varietà di servizi offerti.
27. Marketscope for MSS in Europe
Nel 2009, i MSS erogati, hanno fruttato ricavi per 1.7
miliardi di dollari e permettono di stimare una crescita
annuale, nel quinquennio 2008-2013, pari al 12% in
termini di fatturato e al 14% in termini di numero di
clienti. Risulta in pratica il settore del mercato della
sicurezza con il tasso di crescita più alto.
Un’indagine effettuata su 48 MSSP è risultato che al
momento in questo settore di mercato ci sono circa 3500
esperti di sicurezza impiegati che gestiscono circa 25000
device dedicati alla sicurezza (firewall, network IPS, and
e-mail and Web gateway devices) per circa 4000 clienti.
28. Marketscope for MSS in Europe
I servizi più gettonati sono i seguenti:
Firewall services
IDS and IPS services (network and server)
Secure Web and e-mail gateway
Vulnerability scans
Threat intelligence information
Log management services
Non si tratta di servizi per tutte le tasche. Il contratto
medio in Europa, circa il 45%, oscilla tra 100K e 500K
Euro (negli USA tra 100K e 150K e nell’area Asiatica il
57% è sotto i 150K)
29. Market overview: MSS
Rapporto pubblicato da Forrester nel 2010, con l’obiettivo di
analizzare il mercato dei Managed Security Services. Nel
documento si evidenziano i seguenti elementi:
Dopo anni di reticenza ad esternalizzare la security, negli ultimi
anni, malgrado la crisi economica (o forse proprio grazie ad
essa n.d.r.) si assiste ad una inversione di rotta
Il 25% degli intervistati ha esternalizzato il servizio antispam e
il 12% sta valutando di farlo nei prossimi 12 mesi
Il 13% ha esternalizzato il servizio di vulnerability management
ed il 19% ha dichiarato di volerlo fare nei prossimi 12 mesi
Il mercato dei MSS (stimato in 4,5 miliardi di dollari a livello
globale) ha avuto una crescita costante che, per i prossimi
anni, viene prudenzialmente valutata intorno all’ 8%
31. Market overview: Evoluzione dei MSS
Le nuove esigenze dei clienti:
nuove metriche che permettano alle organizzazioni non
tanto di tagliare i costi della sicurezza quanto di spenderli
in progetti ordinati secondo una corretta priorità
il target sensibile si è significativamente spostato dai
componenti hardware verso la debolezza delle
applicazioni
servizi volti ad effettuare security e risk assessment
seguendo framework internazionali riconosciuti
investigatori che analizzino le informazioni prodotte
dall’infrastruttura di sicurezza e le mettano in stretta
relazione con gli asset secondo la loro criticità
32. Quanto Managed
Il livello di esternalizzazione che si intende applicare per
ogni servizio di sicurezza DEVE essere una scelta aziendale
tra due diversi modelli:
“Fully Managed”: tutte le attività di gestione delle
piattaforme di sicurezza vengono cedute al MSSP che, di
fatto, ne assume il totale controllo.
“Co-Managed”: l’organizzazione mantiene il controllo delle
sue piattaforme di sicurezza e il MSSP fornisce solo servizi
di controllo, di intelligenze e/o di raccolta log.
33. MSS: Analisi SWOT?
Punti di forza (Strengths) Debolezze (Weakness)
• FOCUS – Il personale dell’IT può svolgere altri compiti • GENERICITA’ – Non è possibile customizzare le
piattaforme di security
• SKILLS – Il MSSP ha la responsabilità delle
competenze sulla security • POLICIES – Le policy di security ed IT devono
comunque essere mantenute dal cliente
• EFFICIENZA – MSSP è più efficiente nell’erogazione
del servizio • APATIA – I MSS possono generare un falso senso di
sicurezza negli utenti
• COSTI FISSI – Il costo della security è stabilito a priori
M M
L H L H
Opportunità (Opportunities) Minacce (Threats)
• I clienti possono concentrarsi sulle attività core; le • Percezione di una minore sicurezza per aver
piattaforme di ICT Security sono gestite da personale esternalizzato la gestione delle proprie piattaforme di
dedicato sicurezza
• Possibilità di restare aggiornati sulle evoluzioni senza
rallentare il core business
• I clienti possono pubblicizzare il proprio brand come
“molto sicuro” M M
H
L H L
34. Agenda
La Società
Il contesto di riferimento
L’organizzazione di partenza
I Managed Security Services
Il Security Global Control Center
35. Il Security Global Center
SECURITY GLOBAL CONTROL CENTER
(SGCC)
INFORMATION SECURITY
Monitoraggio e
NOC ISOC Gestione
ACCESS MANAGEMENT
Monitoraggio e Network Information Security Sicurezza
Operation Center Operation Center
Gestione Reti
MONITORING
Monitoraggio
CR PSOC
Servizi
Control Room Physical Security
Operation Center
Monitoraggio
Facility
PHYSICAL SECURITY
36. La Soluzione co-Managed
La regia e la componente autorizzativa restano alle
strutture di competenza dell’azienda
Adozione da parte del provider delle procedure previste
nei sistemi aziendali (SGSI/ITIL)
L’unità di crisi prevede il coinvolgimento diretto di
alcune funzioni aziendali
Per le problematiche di sicurezza escalation verso la
funzione aziendale preposta
37. Il modello adottato
Modello REATTIVO Modello PROATTIVO
Incident/change Monitoring in real time
Decadimento Fault Incidente
prestazioni
Richiesta di assistenza dall’utente operativo sicurezza
dall’utente
Determinazione del problema Determinazione del problema
Apertura del ticket Apertura del ticket
Analisi delle cause Analisi delle cause
Azioni di I° livello Azioni di I° livello
(Applicazione di soluzioni certificate) (Applicazione di soluzioni certificate)
Supporto specialistico
Azioni di II° livello
Outsourcer Supporto Outsourcer Supporto Vendor
Sistemi Interno Security tecnologia
38. SGCC: Alcuni dati
Tempo necessario per l’attivazione del servizio: 3 mesi
Piena operatività (6x20 + Reperibilità 7x24): 15 mesi
Risorse interne riallocate: 5
Incident gestiti al 30/09/2012: 2.718
Change gestiti al 30/09/2012: 1.098
Richieste di assistenza al 30/09/2012: 15.502
Richieste di Access Management al 30/09/2012: 1.098
Vecchia finestra di presidio: 08.00-18.00/Lun-Ven
Nuova finestra di presidio: 04.00-24.00/Lun-Sab
39. Valutazioni
L’impatto economico della gestione dei servizi (non solo di
security) è rimasto sostanzialmente invariato
I tempi di esecuzione delle attività connesse ai servizi
gestiti dall’SGCC sono visibilmente migliorati e garantiti da
SLA
La finestra di servizio prolungata con presenza fisica 6X20
assicura maggior reattività in caso di incidenti
Le competenze del personale dell’SGCC sono focalizzate
sui sistemi in gestione nell’ottica di garantire la continuità
del servizio
Il rispetto delle policy di Informatica Trentina è “Mission
costitutiva” per l’outsourcer
40. Vrae? Questions? ¿Preguntas?
English
Afrikaans Spanish
Вопросы? Fragen?
Russian
German Ερωτήσεις;
Greek
問題呢? Domande?
Arabic
質問? Chinese
Italian
Japanese
tupoQghachmey? Jewish
Hindi
Klingon
Quaestio? Questions?
French
Latino