NETWORK INTEGRATION and SOLUTIONS

Massimo Solari

CLOUD COMPUTING E SICUREZZA:

La prospettiva Europea

Sessione Studio AIEA

Milano, 3 novembre 2010

NETWORK INTEGRATION and SOLUTIONSBreve Presentazione

NIS - Network Integration and Solutions

operativa dal 1993

aggrega professionisti dell’Information Technology provenienti da esperienza accademica ed industriale

fonde capacita di progettazione industriale e ricerca applicata

NIS si propone quale azienda di consulenza nell’ambito dell’Information and

Communication Technology. L’azienda è organizzata in tre Business Area:

IT Governance e Security

Enterprise Application Integration

Education

NIS è presente sul territorio italiano con tre sedi dislocate a Genova, Milano e Roma.

Il fatturato dell’azienda è cresciuto costantemente negli ultimi anni e ha superato

nell’Esercizio 2009 i 4 milioni di Euro.

Analogamente, le Risorse Umane dell’azienda sono aumentate fino a raggiungere

attualmente circa 60 addetti a tempo pieno (80% dipendenti a tempo indeterminato).

NETWORK INTEGRATION and SOLUTIONSBreve Presentazione

NIS si propone quale azienda di consulenza nell’ambito dell’Information and

Communication Technology.

L’azienda è organizzata in tre Business Area:

NETWORK INTEGRATION and SOLUTIONSBusiness Area

IT Governance e Security

Enterprise Application Integration

Education

Nell’ambito IT Governance e Security e specificamente nella System Integration, le competenze dell’Azienda sono tradizionalmente legate alla High Availability ed al Disaster Recovery, per la quale l’azienda può vantare esperienze significative in ambito industriale.

L'offerta di NIS include:

progettazione e realizzazione di infrastrutture di rete, sia a livello locale che geografico. Particolare interesse rivestono gli aspetti legati alla High Availability (Sistemi per l’alta disponibilità dei servizi erogati tramite la rete) ed al Disaster Recovery. Tra questi rientrano progetti di replicazione locale e remota dei dati, protezione mediante soluzioni di backup e vaulting, disponibilità dei servizi

configurazione, amministrazione e tuning di piattaforme operanti con Sistema operativo Solaris 2.x, 8, 9, 10, HP-UX11 e AIX6. Nell’ambito della System Administration sono incluse tutte le problematiche inerenti la configurazione dei File System e dei Volumi di Storage

progettazione di basi dati e installazione, configurazione e amministrazione di Database Server Oracle.

NETWORK INTEGRATION and SOLUTIONSIT Governance e Security e System Integration

Nell’ambito IT Governance e Security nell’area dell’Information Management

System, NIS possiede tramite il proprio personale le seguenti certificazioni

professionali:

Certificazione Internazionale CISA (Certified Information System Auditor);

Certificazione Internazionale IRCA (Information Security Management System

Auditor) come Lead Auditor secondo lo schema della norma ISO27001;

Certificazione KHC (Know How Certification) come Lead Auditor secondo lo schema

ISO27001

Certificazione ITSmf come Lead Auditor secondo lo schema ISO20000

Qualifica professionale risconosciuta dal BSI come Lead Auditor secondo lo schema

BS25999

NETWORK INTEGRATION and SOLUTIONSIT Governance e Security e Information Management System

Grazie all’elevato prestigio delle certificazioni sopra menzionate, NIS è in grado di

proporsi come società altamente qualificata per lo svolgimento delle seguenti attività:

consulenza per la realizzazione di un Sistema di IT Governance;

consulenza per Internal Auditing;

consulenza per la realizzazione di un Information Security Management System

(ISMS) a norma ISO27001;

consulenza per la realizzazione di un Business Continuity Management System

(BCMS) a norma BS25999;

Audit di I, II e III parte su Sistemi informativi a norma ISO27001;

Consulenza in ambito ITIL;

Audit di I, II e III parte sui processi di business a norma ISO20000;

Formazione e training per implementazione e auditing di SGSI a norma ISO27001 e

per Sistemi integrati ISO9001, ISO27001 e ISO20000.

NETWORK INTEGRATION and SOLUTIONSIT Governance e Security e Information Management System

Nell’ambito del Enterprise Application Integration l’attività della Business Area è

focalizzata sulle tecnologie di integrazione a livello applicativo (Enterprise Application

Integration).

Le competenze sono relative alla progettazione di soluzioni multistrato e basi di dati,

creazione di interfacce client basate su tecnologie web tradizionali e mobile devices

(J2EE, J2ME). Particolare risalto è dato alla competenza nella definizione di flussi e

processi applicativi, alla loro integrazione basata sugli standard e all’utilizzo dei Web

Services per fornire una soluzione altamente flessibile e conforme agli standard

tecnologici.

In particolare, NIS ha maturato specifiche competenze relativamente alle soluzioni di

middleware di comunicazione e alla gestione di basi dati tramite interfacciamento

Web.

NETWORK INTEGRATION and SOLUTIONSEnterprise Application Integration

Relativamente all’Area Education, l’offerta NIS comprende la rilevazione dei fabbisogni formativi e la conseguente progettazione ed erogazione di corsi ad hoc mirati a soddisfare le esigenze di sviluppo delle competenze delle singole aziende, seguendo l’azienda stessa durante tutto il percorso di formazione e mantenendo il contatto per ogni successiva necessità.

NIS propone un catalogo formativo relativo a corsi standard sulle seguenti tematiche:

Tecnologia JAVA , .NET

Symantec (Educational Services Partner)

Quint Wellington RedWood (Partner – ITIL v2, V3 ISO/IEC 20000)

Amministrazione di Sistema Solaris

Programmazione C++, C

XML

ORACLE

Tecnologia Symantec Availability per soluzioni di High Avilability e Data Protection (trainer ufficiali autorizzati da Symantec)

Implementazione SGSI a norma ISO27001

Formazione per valutatori di terze parti a norma ISO27001

COBIT, ITIL

NETWORK INTEGRATION and SOLUTIONSEducation

Ricerca

NIS partecipa a progetti di ricerca sull’Innovazione Tecnologica sponsorizzati da Enti ed Organizzazioni Nazionali ed Europee. Il costante aggiornamento scientifico -tecnologico viene visto e vissuto come una condizione essenziale per il mantenimento della competitività aziendale, in uno scenario mondiale di continua trasformazione.

L’Azienda aderisce inoltre a numerose iniziative atte a promuovere lo sviluppo tecnologico nel nostro Paese,finanziando in proprio Premi per Tesi, Borse di Studio, Stage e corsi aziendali, partecipazioni a conferenze e congressi.

NETWORK INTEGRATION and SOLUTIONSRicerca

Al fine di valorizzare la propria offerta, NIS ha stabilito delle partnership con i principali produttori di tecnologie informatiche; ciò consente non solo di perfezionare le competenze del personale di NIS relativamente ai prodotti offerti dai principali attori del mercato, ma di fornire consulenza di alto livello comprovata dalle certificazioni ottenute anche a livello di workgroup.

NIS attualmente è partner accreditato:Silver Partner di Symantec (soluzioni Storage Foundation, Storage Foundation HA, NetBackup, Backup Exec for Windows Server, security Information Manager, Altiris), anche per la Delivery dei Servizi Professionali e di attività di progetto.

Altri Partner Tecnologici: ITWAY, TechData, Ingram Micro

Altri Partner di Servizi: Sogea, Rina, Certification Europe Italia

Partner Education: Symantec, Quint

Affiliazioni: Assolombarda, AIEA, Assindustria Genova, Dixet, Confidi Milano, Irca, KHC, itSMF, Azienda Amica

NETWORK INTEGRATION and SOLUTIONSPartnerShip

La presentazione è tratta dal documento prodotto da ENISA intitolato:

“Cloud Computing: benefits, risks and recommendations for information security”

(november 2009)

e opportunamente integrata con contributi originali.

ENISA – European Network and Information

Security Agency

CLOUD COMPUTING E GRIDObiettivo Generale

TIPOLOGIE DI RETI GRIDINTRAGRID

TIPOLOGIA DI RETI GRIDEXTRAGRID

TIPOLOGIA DI RETI GRIDINTERGRID

IL CLOUD COMPUTINGDefinizione Operativa

Il Cloud Computing è un modello di servizio a richiesta per la fornitura di risorse IT, spesso basato su virtualizzazione e tecnologie computazionali distribuite.

Un’architettura di Cloud Computing dispone di:

Risorse virtuali;

Flessibilità e scalabilità istantanea;

Risorse condivise;

Servizio a richiesta.

CATEGORIE DI CLOUD COMPUTINGPer tipologia di servizio

Tre categorie di servizio:

SaaS – Software as a Service

PaaS – Platform as a Service

IaaS – Infrastructure as a Service

CATEGORIE DI CLOUD COMPUTINGPer tipologia di ambito

A seconda della tipologia di accesso o di contratto:

PUBBLICA PRIVATA’ PARTNER

PROSPETTIVE DI CRESCITA DEL CLOUD COMPUTING

Alcuni dati tratti da analisi IDC:

Mercato Mondiale

$17.4 bn nel 2009 e $44.2 bn nel 2013

Mercato Europeo

€ 971 m nel 2009 e € 6005 m nel 2013

LA SICUREZZA DELL’INFORMAZIONEImpatti

LA SICUREZZA DELLE INFORMAZIONIBenefici

Sicurezza e Benefici di Scala

Sicurezza come strumento di differenziazione sul mercato

Interfacce standard di gestione

Flessibilità e scalabilità delle risorse

Audit come strumento di garanzia

Aggiornamenti e gestione degli incidenti efficiente ed efficace

Benefici per la concentrazione di risorse

Relativamente a Sicurezza e benefici di Scala delle reti di Cloud Computing ,

si identificano i seguenti benefici:

Locazioni multiple (ridondanza del dato);

Reti robuste;

Risposta veloce agli incidenti (recovery veloce)

Personale specializzato

LA SICUREZZA DELLE INFORMAZIONIBenefici

Relativamente a Sicurezza come strumento di differenziazione sul mercato delle

reti di Cloud Computing ,

si identificano i seguenti benefici:

Reputazione del provider;

Servizi messi a disposizione;

Certificazione del Provider

Possibilità di effettuare audit di seconda parte

LA SICUREZZA DELLE INFORMAZIONIBenefici

Relativamente a Interfacce Standard di Gestione delle reti di Cloud Computing ,

si identificano i seguenti benefici:

Interfacce standard per tutti i clienti;

Facilità e uniformità di gestione;

Facilità di cambio provider

LA SICUREZZA DELLE INFORMAZIONIBenefici

Relativamente a Flessibilità e Scalabilità delle risorse delle reti di Cloud

Computing ,

si identificano i seguenti benefici:

Utilizzo di piattaforme upgradate e tecnologie di ultima generazione;

Riallocazione di risorse per sfuggire agli attacchi;

Gestione del carico di servizi (capacity)

LA SICUREZZA DELLE INFORMAZIONIBenefici

Relativamente a Audit come strumento di garanzia delle reti di Cloud Computing

,

si identificano i seguenti benefici:

Utilizzo della virtualizzazione per indagini digitali;

Parallelizzazione delle indagini;

Migliore gestione dei log

Disponibilità di personale per forensics

LA SICUREZZA DELLE INFORMAZIONIBenefici

Relativamente a Aggiornamenti e Gestione degli Incidenti delle reti di Cloud

Computing ,

si identificano i seguenti benefici:

SLA calibrati;

Internal audit;

Audit di seconda e terza parte

LA SICUREZZA DELLE INFORMAZIONIBenefici

Relativamente a Benefici per la concentrazione di Risorse delle reti di Cloud

Computing ,

si identificano i seguenti benefici:

Facilità di perimetrizzazione dell’ambito;

Facilità di accesso alle risorse fisiche;

Facilità di gestione.

LA SICUREZZA DELLE INFORMAZIONIBenefici

LA SICUREZZA DELLE INFORMAZIONIRischi

Perdita di Governo

Dipendenza dal Provider

Perdita di isolamento Informazioni

Perdita di conformità

Compromissione interfaccia di gestione

Protezione dei dati

Cancellazione dati non sicura

Comportamenti dolosi (insider)

Relativamente a Perdita di Governo delle reti di Cloud Computing ,

si identificano i seguenti rischi:

Contrasto di policies col Provider;

Ruoli non definiti correttamente;

Mancanza di committment sul business aziendale da parte del provider

Rigidità di gestione

Impossibilità di effettuare hardening, intrusion test, audit, etc

Tempi di reazione non idonei

LA SICUREZZA DELLE INFORMAZIONIRischi

Relativamente a Dipendenza dal Provider delle reti di Cloud Computing ,

si identificano i seguenti rischi:

Utilizzo di architetture proprietarie;

Utilizzo di tool e metodologie proprietarie per la gestione IT;

Difficoltà nella migrazione ad altro provider

LA SICUREZZA DELLE INFORMAZIONIRischi

Relativamente a Perdita isolamento informazioni delle reti di Cloud Computing ,

si identificano i seguenti rischi:

Meccanismi tecnologici di separazione degli ambienti deboli;

Impatti su eventi di altri clienti;

LA SICUREZZA DELLE INFORMAZIONIRischi

Relativamente a Perdita di conformità delle reti di Cloud Computing ,

si identificano i seguenti rischi:

Impossibilità di mantenere certificazioni acquisite;

Indisponibilità del provider per audit di terze parti;

Indisponibilità del provider ad acquisire cetificazioni

Mancanza di requisiti per specifiche certificazioni (es. PCI DSS)

LA SICUREZZA DELLE INFORMAZIONIRischi

Relativamente a Compromissione interfaccia di gestione delle reti di Cloud

Computing ,

si identificano i seguenti rischi:

Impossibilità di accesso remoto;

Impossibilità di accesso fisico;

Indisponibilità piattaforma sw di gestione

LA SICUREZZA DELLE INFORMAZIONIRischi

Relativamente a Protezione dei Dati delle reti di Cloud Computing ,

si identificano i seguenti rischi:

Impossibilità di verificare le politiche di gestione dei dati;

Trasferimento dei dati;

Repliche e consistenza dei dati

LA SICUREZZA DELLE INFORMAZIONIRischi

Relativamente a Cancellazione dei Dati delle reti di Cloud Computing ,

si identificano i seguenti rischi:

Cancellazione logica e fisica;

Copie non autorizzate non cancellate;

Problematiche condivisione dispositivi fisici con altri clienti

Impossibilità formattazione HD

LA SICUREZZA DELLE INFORMAZIONIRischi

Relativamente a Comportamenti dolosi delle reti di Cloud Computing ,

si identificano i seguenti rischi:

Autorizzazioni (forti) amministratori provider;

Comportamenti dolosi degli insider;

Possibilità di danno accresciuta

LA SICUREZZA DELLE INFORMAZIONIRischi

LA SICUREZZA DELLE INFORMAZIONIRaccomandazioni

Valutare i livelli di Sicurezza garantiti dal Provider

Esaminare tutti gli aspetti legali del contratto

Esaminare la conformità del Provider verso adempimenti legali

Raccomandazioni in termini di Ricerca su tematiche inerenti la sicurezza

Relativamente a Valutare i livelli di sicurezza garantiti dal provider delle reti di

Cloud Computing ,

si identificano le seguenti raccomandazioni:

Esaminare certificazioni in essere;

Richiedere audit di seconda parte;

Valutare attentamente la scelta di esternalizzare i servizi IT

Confrontare differenti provider

Esaminare i contratti

Esaminare gli SLA

LA SICUREZZA DELLE INFORMAZIONIRaccomandazioni

Relativamente a Esaminare gli aspetti legali del contratto delle reti di Cloud

Computing ,

si identificano le seguenti raccomandazioni:

Verificare se le clausole di interesse sono nel contratto standard (preferito);

Verificare se è possibile inserirle dopo negoziazione;

Imporre penali proporzionali agli impatti sul business dell’azienda

LA SICUREZZA DELLE INFORMAZIONIRaccomandazioni