L’ EDP dal Data Center all’ e-business1x).pdf · ordini Acquisti Integrazione dei ... SAP GUI...

03/03/2003 2003 Copyright(C) CryptoNet SpA

1Aperti e sicuri

Paolo Da Ros, PartnerCryptoNet SpA

[email protected] - http://www.cryptonet.itVia Vespucci, 2 Milano

Via delle Montagne Rocciose 68, Roma

L’ EDP dal Data Center all’ e-business: esperienze di implementazione di

infrastrutture di sicurezza

Seminario per AlmawebBologna, 5 marzo 2003


2Aperti e sicuri

Background personale

Esperienza ventennale in Siemens, Unisys, Montedison, HP, CAP Gemini.

Approccio: inizialmente reattivo (“facciamo quanto ci chiede il Mercato”); poi consulenziale, basato sulla conoscenza del mercato su scala mondiale –grazie alle partnerships con i best in class- e alle esperienze importanticercate ed accumulate

Corollario: tra i fattori abilitanti per questa rivoluzione, quasi tutti hannocaratteristiche evolutive (banda, computers, applicazioni), ed i players sarannoquelli gia’ attivi sui rispettivi mercati.

L’ unico che presenti aspetti di discontinuita’ tecnologica e’ la security. Serve a tutti, tuttavia pochi sanno farla, infine le barriere all’ ingresso sono alte.

Ipotesi: Internet e’ un fenomeno che avra’ un impatto fondamentale nell’ evoluzione della societa’. (“All of a sudden, distance no longer matters”, The Economist, agosto 1995);

Uno dei fondatori di CryptoNet nel 1995.


3Aperti e sicuri

Perche’ la sicurezza e’ cosi’ importante? Ieri:

OGNI ELEMENTO DELLA RETE (COMPUTERS, LINEE DATI, APPARATI DI RETE) E’ SOTTO IL CONTROLLO DEL PROPRIETARIO DEGLI ESTREMI (DAL MAINFRAME AL SINGOLO TERMINALE).

NON ESISTE (FORSE) IL BISOGNO DI PROTEGGERE LE COMUNCAZIONI. TUTTI COLORO CHECOMUNICANO E CHE CONTROLLANO LA RETE APPARTENGONO ALLA MEDESIMA ORGANIZZAZIONE

INOLTRE: LE COMUNICAZIONI SONO BASATE SULLA COMMUTAZIONE DI CIRCUITO, E NON SULLA COMMUTAZIONE DI PACCHETTO.

L’ informatica aziendale nasce e muore dentro l’azienda.Le interazioni con il mondo “esterno” (il MERCATO) sono effettuate senza l’ intervento dell’ informaticaL’EDP e’ un mondo organizzato, coeso, disciplinato all’ interno. Nessun rischio di “contaminazione” dall’ esterno.


4Aperti e sicuri

Perche’ la sicurezza e’ cosi’ importante? Oggi:

I SERVER SONO IN HOSTING PRESSO UN ISP; INTERNET E’ UNA FEDERAZIONE DI RETI SENZA UN PROPRIETARIO; I TERMINALI SONO A CASA DELL’ UTENTE, FUORI DAL CONTROLLO DI CHI “METTE LE INFORMAZIONI”.

LE INFORMAZIONI SONO A DISPOSIZIONE DI CHIUNQUE LE VOGLIA LEGGERE, LUNGO IL PERCORSO TRA CLIENT E SERVER, O PRESSO IL SERVER STESSO NEL CASO DI HOSTING.

NON CONOSCO L’ IDENTITA’ DI CHI SI COLLEGA AL MIO SERVER E NE CONSULTA LE INFORMAZIONI

L’ informatica diventa un potentissimo strumento commerciale (DELL, CISCO, AMAZON…).L’ informatica e’ lo strumento col quale l’ azienda interagisce col mercato.L’ e-commerce risulta dall’ aggregazione di entita’ giuridicamente distinte (e sottoposte a giurisdizioni separate)Maggiore e’ il numero di persone che accedono alle mie informazioni, maggiore e’ il mio successo.Il sistema su cui si svolgono le attivita’ “interne” e’ lo stesso di prima, ma adesso… e’ APERTO!!

Web Server presso ISP 1

(Isle of Man)

ISP 6(Germania)

ISP 5(Canada)

ISP 4(USA)Clienti e partners)

ISP 3(Italia)

ISP 2(Italia)

Sistema

Informativo

Aziendale

Operatori di Call Center

ClientiAgenti

Partners

Clienti

Fornitori


5Aperti e sicuri

Le motivazioni alla implementazione di sistemi disicurezza:

Due diligence: L’ interconnessione dei sistemi informatici porta le proprie manchevolezze in casa dei partner, con potenzialiconseguenze negative;

Normativa europea sulla privacy, L. 675, L. 318 (la legge 675 prevederesponsabilita’ PENALI!!! –fino a due anni di reclusione-);

Basilea II e I requisiti patrimoniali “minimi” (banche)

Code of Federal Regulation #21 part 11 (Pharma)

“Cessione” del rischio RESIDUO (assicurazione)


6Aperti e sicuri

L’ evoluzione dell’ e-business e’ guidata dalla ricerca del vantaggio competitivo (fonte: GIGA Group)

E-Marketing

E-Commerce

E-Reengineering

E-CRM

E-Collaboration

1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004

PeakCompetitiveAdvantage

Importanza Strategica


7Aperti e sicuri

Evoluzione dell’ E-Business: Fasi e processi coinvolti (Fonte: GIGA)

2. E-Commerce

• Catalog and auction sales

• Order taking

• MRO purchasing

• Direct materials purchasing

3. E-Reengineering

• Order fulfillment

• Production

• Company planning/forecasting

• Finance

• Administration

• HR

4. E-CRM

• Personalized marketing

• Loyalty management

• Customer service

• Customer analytics

5. E-Collaboration

• Industry planning/forecasting

• Product development

• Sales/marketing Campaign devlpmt.

• Logistics mgmt.

• Risk mgmt.

1. E-Marketing

• Product marketing

• Company marketing

• Online advertising


8Aperti e sicuri

Valore della transazioneLiv

ell

id

ifi

du

cia

e c

on

fid

en

ziali

ta’

Web Informativo

Shopping

Servizi / Supporto

Inserimentoordini

Acquisti

Integrazione dei clienti

L’ uso del WWW continua a crescere, ma…

• informazioni riservate di Clienti, Partners, Fornitori possonoessere intercettate;

• Transazioni di tipo diverso richiedono livelli di sicurezza diversi


9Aperti e sicuri

Auditing

Virus

Prevention

Intrusion

Detection

Users/Group SSO Authentication

Authorization

(A C, cookies..)

Network

Integrity

System

Integrity

Data

Integrity

User Profile

Integrity

Application

Integrity

Firewall Router Virtual LAN

Encryption Digital SignatureHashing

Token e SmartCard

VPN

VPDBRisk

Assessment

Risk

Analysis

Le tecnologie

POLICIES


10Aperti e sicuri

Cryptonet S.p.A. Security Management

MethodologyRisk Analysis Risk Management

Identification of Assets Valuation of Assets Risk Assessment

Services/Business Processes Identification

Assets Identification

Data flow Identification

Asset Modeling

Report Generation

Data Assets Identification

Software Assets Identification

Physical Assets Identifications

Assets Valuations

Impact Assessment

Report Generation

Data Assets Valuations

Software Valuations

Hardware Valuations

Creating Threats-Assets Association

Threats Assessment

Vulnerability Assessment

Measure of Risk

Report Generation

General threats assessment

Penetration tests

General vulnerabilies assessment

Penetration tests

Countermeasure Management GAP Analysis

Countermeasure Identification

High Level Security Policies

EDP Security Policies

Report Generation

Making recommendations

Prioritising countermeaseures

Identifying existing countermeasures

Investigating differences

Producing required contermeasures

Report Generation


11Aperti e sicuri

Impatti Minacce Vulnerabilita’

Rischi

Contromisure

Analysis

Management

Risk Analysis & Management


12Aperti e sicuri

Il processo di Risk ManagementIl ciclo di vita

Risk AnalysisIdentificazione dati & processi;Analisi Vulnerabilita’ e Minacce

Pianificazione degli

interventi realizzativi

Studi Fattibilità

ImplementazioneGestioneMonitoraggio

Politiche di Sicurezza

Risk ManagementIdentificazione delle contromisure


13Aperti e sicuriFASE1:IDENTIFICAZIONE DEGLI ASSETS

GRUPPI DI DATI (20)• DATI ACCREDITI STIPENDI• DATI LIQUIDAZIONE TRASFERTE• DATI POSTA ELETTRONICA CRITICA• DATI PRESENZE xxx• DATI PRESENZE xxx (WEB)• DATI PRESENZE xxx GEST• DATI RETRIBUZIONE DIRIGENTI• DATI RETRIBUZIONI• DATI STAMPE CEDOLINO• DATI STATISTICHE UFFICIO

PERSONALE xxx• DATI TIMBRATURE xxx• DATI VISITE MEDICHE• DATI A/C TRASFERTE xxx• ………………

FLUSSO DI ALTO LIVELLO

CONCLUSIONI ATTIVITA’:• 20 DIFFERENTI FLUSSI• DISEGNO ARCHITETTURA RETE (LAN xxx, WAN qqq, GSP, yyy..) • CENSIMENTO DI TUTTI GLI APPLICATIVI, DEI SERVER DI PRODUZIONE,

DEI DISPOSITIVI DI RETE E DELLE LOCATION• INDIVIDUAZIONE DELLE RESPONSABILITA’ DI GESTIONE DEGLI ASSET• PIU’ DI 40 INTERVISTE CON PERSONALE COMPETENTE• VISIBILITA’ COMPLETA SUI PROCESSI E FOTOGRAFIA DELLO STATO

ATTUALE

Router crgpusm3

Router Elga

Rete GSP 7° Piano

Switch Layer 3

xx.31.0.0Sviluppo

xx.31.200.0LAN Office

xx.31.0.0

Router con ACL Router con ACL

xx.31.29.0T&T

(Target & Tracing)

xx.31.30.0Postel

xx.19.4.0

xx.19.36.0255.255.252.0

DMZ

Server Sviluppo

Server

Utenti Sviluppo

Utenti xxx conSAP GUI RAS

Routercon ACL

DISEGNO DELLE RETI

DATI STAMPE CEDOLINO

|

|_____ STAMPE CEDOLINO

| |_______ HOST NAPOLI

| |____CED NAPOLI

| |_______ ROUTER CRGEPUSM0

| |_______ LAN C.S. GEST Firenze

| |_______ PC operatori GEST

| |_______ Firewall Servizi

………….

………….

|_____ Software Applicativo 1

| |_______ Hardware 1 (Network Server,…)

| |____Location 1 (CED, stanza xyz,…)

|


| |_______ Hardware 2

| |____Location 2

|

|_____ Media (dischi, nastri, documenti cartacei,..)

ASSET MODEL

PROCESSO MACRODATO APPLICATIVI SERVER A/C TRASFERTE XXX

DATI A/C TRASFERTE XXX SAP XXX SERVER SAP XXX

A/C TRASFERTE XXX GEST

DATI A/C TRASFERTE XXX GEST

PAS2 HOST BBB

ACCREDITI STIPENDI

DATI ACCREDITI STIPENDI HOST BBB ;

RISK SVSTE ;

AGGIORNAMENTI ANAGRAFICI DIRIGENTI

DATI AGGIORNAMENTI ANAGRAFICI DEI DIRIGENTI

GEPE SERVER GEPE

AGGIORNAMENTI ANAGRAFICI

DATI AGGIORNAMENTI ANAGRAFICI

PAS2 ; SAP XXX ; SAP XXX GEST SIP

HOST BBB ; SERVER SIP ; SERVER SAP XXX GEST ; SERVER SAP XXX

FONDO PREVIDENZIALE INTEGRATIVO

DATI FONDO PREVIDENZIALE INTEGRATIVO

GEPE; PAS2

HOST BBB ; SERVER GEPE

END USER SERVICE:Stampa Cedolini

Host Pas2

Operatore

Stampa cedolini

Dipendenti

Server

ftp

Sportello

Stampante

remota

Stampante

locale

Spooler Remoto

Operatore

Stampante

localeWAN

Stampa

cedolini

dipendenti

paga

CED

Server

KODAK1

KODAK2

CD

CDCASSETTE

I cedolini dei dipendenti vengono stampati presso il Centro Servizi con sede a XXXX e consegnati ai vari Centri Servizi che si occuperanno della distribuzionetramite sportello……..


14Aperti e sicuri

STIMA QUANTITATIVA PER 36 DIVERSI TIPI DI MINACCE

FASE 2: MINACCE, VULNERABILITA’, RISCHIO

Mascheramento dell’identità dell’utente da parte di personale interno ed esterno;utilizzo non autorizzato di un’applicazione;Errori nello sviluppo degli applicativiInfiltrazione, monitoring delle comunicazioni;inserimento di software doloso (virus);guasti tecnici dei server, delle stampanti, dei dispositivi di rete;errori degli operatori, degli utenti;danneggiamento a causa di incendio, allagamenti;danni causati dalla scarsità di personale;furti da parte di personale interno e persone esterne;danneggiamento doloso da parte di personale interno.

Servizi

Server e dispositivi di rete

Applicativi

Locations

AS

SET M

OD

EL

• Le valutazioni sono state eseguite con l’ausilio di questionari, tramiterilevazioni puntuali e interviste con ilpersonale competente (rete, applicativi, processi..)

• Stima quantitativa per minacce e vulnerabilità

UN ESEMPIO….Mascheramento dell’identità da parte di utenti interniAsset: !POSTA ELETTRONICA CRITICA

Minaccia Vulnerabilità Impatto M d RIndisponibilità - 1 giorno VH H 2 4Divulgazione verso l’interno VH H 6 6Divulgazione verso i consulenti VH H 6 6Divulgazione verso l’esterno VH H 6 6

L’elevato livello di rischio sulla divulgazione e sulla modifica dipende dal fatto che la password daccesso alla posta elettronica viene trasmessa in chiaro sulla rete. Potenzialmente, unmalintenzionato potrebbe intercettare la password di un utente ed utilizzarla per accedereall’utenza di posta elettronica dell’utente stesso (il servizio di posta si basa sul POP)…


15Aperti e sicuri

RISULTATI – PRINCIPALI RISCHIOSITA’

Mascheramento dell’identità, infiltrazione nelle comunicazioni, intercettazione dellecomunicazioni, manipolazione dellecomunicazioni, caduta delle comunicazioni,

inclusione di codice maligno, errori utenti

ACCREDITI STIPENDIAGGIORNAMENTI ANAGRAFICIDIRIGENTIAGGIORNAMENTI ANAGRAFICIFONDO PREVIDENZIALE INTEGRATIVOPOSTA ELETTRONICA CRITICAREPORTISTICA CENTRO SERVIZI xxx GESTGESTIONE RETRIBUZIONE DIRIGENTIRETRIBUZIONISTAMPE CEDOLINISTATISTICHE DEI DIRIGENTISTATISTICHE UFFICIO PERSONALE xxxVISITE MEDICHEPC OPERATORI GEST, xxx

PROCESSI CRITICI DATI STAMPE CEDOLINO

|

|_____ STAMPE CEDOLINO

| |_______ HOST NAPOLI

| |____CED NAPOLI

| |_______ ROUTER CRGEPUSM0

| |_______ LAN C.S. GEST Firenze

| |_______ PC operatori GEST

| |_______ Firewall Servizi

………….

………….


| |_______ Hardware 1 (Network Server,…)

| |____Location 1 (CED, stanza xyz,…)

|


| |_______ Hardware 2

| |____Location 2

|

|_____ Media (dischi, nastri, documenti cartacei,..)

ASSET MODEL

UN ESEMPIO•Il trasferimento dei dati relativi ai cedolini

da stampare avviene con FTP in chiaro sulle reti LAN C.S. GEST zzz, …..

•E’ possibile inviare sulle stampanti remotedati sensibili senza controlli

……

UN ESEMPIO•non esistono procedure di controllo dei log di sistema (audit);•il sistema di posta elettronica utilizza un sistema con trasmissione sulla rete delle password in chiaro;•non sono chiaramente definite le modalità di gestione delle Access Control List sui router principali;•tutte le LAN del gruppo qqq sono abilitate in accesso dal routerCRGEPUSM0 ai servizi SAP e internet;•gli operatori xxx GEST accedono al SAP xxx S.p.A. tramite utenze collettive;•molti server di produzione hanno attivo il servizio ftp in chiaro che risulta contattabile dalla rete interna di xxx S.p.A.;


16Aperti e sicuri

4. L’ output della Risk Analisys (1)

1 ….2 Di minima

rilevanza 3 ….4 di media rilevanza9 …..10 uscita dal

business

1 ….2 Mette in crisi il processo 3 ….4 Mette in crisi più processi9 …..10 mette in crisi l’operatività

dell’azienda


17Aperti e sicuri

Po

litic

he

di s

icu

rezz

a

Fir

ewal

l e d

iseg

no

nu

ovo

per

imet

ro

IDS

Dis

aste

r re

cove

ry

VP

N

Po

sta

sicu

ra

Cer

tifi

cati

dig

ital

i

Pen

etra

tio

n t

est

Rid

iseg

no

arc

hit

ettu

rad

i ret

e in

tern

a

Rete interna (server,router..)

CED XXXXX

Posta elettronica riservata

Dati office riservati

PC Utenti interni Cliente

Log accessi Internet

Log chiamete telefoniche

Retribuzione del personale

Server Web Internet

Servizio Extranet

Fo

rtif

icaz

ion

e W

eb

Au

ten

tica

zio

ne

fort

e

30/40%

fino a 180 ML

60%

fino a 380 ML

90%

fino a 750 ML

4. L’ output della Risk Analisys (2)


18Aperti e sicuri

Il nome del gioco e’

PKI Infrastructure•Entrust•Baltimore•Microsoft ADS

Auditing•NT Logs (Event, IIS, Backup)•Syslog, Registry•SNMP, Database logs,etc.

Application Framework•CORBA IIOP•Allaire WWDX•BEA Weblogic•JDBC Accessible DBs

IDS & Sniffers•RealSecure, Axent, CyberCop•Tripwire, TCPDump•Dragon, etc.

Network Based Scanners•ISS, Axent ESM, CyberCop•Nmap, SScan.

Firewalls•Sessionwall, Gauntlet, PIX•CheckPoint, Linux, Proxy Server

Anti-Virus•DataFellows, •McAfee, Norton,etc.

Help Desk•Remedy, Heat•Lotus Notes,etc.

Physical Security•Swipe Cards•Physical Locations

E-Mail, fax, Pagers•SMTP, POP, IMAP•Lotus Notes,SMS,•MS Fax, etc.

Telephone Systems•Bell Meridien Switches

Enterprise Systems•Oracle Apps, SAP, PeopleSoft

Enterprise Knowledge•Policy, Procedures, Risks,•Compliance, Contracts

IT Security Management

Framework(Policies & Technologies)

“padroneggiare la complessita’ ”


19Aperti e sicuri

Cosa consente una VPN?

corporate LAN

telecommuters& mobile users

branch office

partners, customers& suppliers

InternetInternet

Tutti coloro che ne hanno necessita’ e permesso sono collegatimediante Internet, ma in modo SICURO (cifrato, autenticato, con garanzia di integrita’)

Una tecnologia interessante: le Virtual Private Networks


20Aperti e sicuri

Il mistero delle VPN:Una tecnologia che ha un ROI a quattromesi;Non intrusiva sulle applicazioni;

Massimizza la mobilita’ e la flessibilita’;

Riduce la complessita’ organizzativa;

Eppure… Il tasso di adozione e’ minimale

La spiegazione? Complessita’ concettuale

Consente di integrare i Business Partners in settimane;


21Aperti e sicuri

ID Task Name Duration

1 Definizione del Progetto PKI (Interna) 141 days

2 Fase 1 94 days

3 Project Start-up 94 days

4 Project Scoping and Planning 35 days

11 Definizione Architetturale 39 days

12 Piano della sicurezza 39 days

13 Sicurezza organizzativa 17 days

17 Sicurezza fisica 28 days

23 Sicurezza Logica 30 days

33 Progetto esecutivo della PKI 71 days

34 Progettazione della directory 23 days

46 Definizione del formato del Certificato 12 days

51 RA e Auto RA 61 days

52 Procedure di registrazione RA 40 days

53 Definizione dei requisiti 10 days

54 Segmentazione dell' utenza 35 days

55 Valutazione dell' impatto organizzativo 30 days

56 Integrazione applicativa con procedure pre esistent 15 days

57 Procedure di registrazione Auto RA 28 days

62 Validazione del progetto 3 days

64 Stesura e validazione del piano di collaudo 21 days

68 Progetto esecutivo applicazioni 32 days

69 SAP 13 days

74 Portale Internet 32 days

79 Posta Elettronica 20 days

84 Fase 2 41 days

T F S S M T W T F S S M TMar 27, '00 May 15, '00 Jul 3, '00 Aug 21, '00 Oct 9, '00 Nov 27, '

I benefici di un approccio metodologicamente fondato:La messa sotto controllo della complessita’


22Aperti e sicuri

Ma e’ veramente cosi’ complesso?

Se si parla della stessa infrastruttura per 2000 –5000 utenti con 3-4 applicazioni standard 3 mesi sono un elapsed time ragionevole.Per una PKI per una singola applicazione bastano alcune settimane

Se parliamo di una infrastruttura che possa servire alcune decine di societa’ e 100.000 utenti… Si!! Serve tempo (6-8 mesi) per capire i businesss requirements e le implicazioni organizzative, disegnare l’ architettura, implementarla, addestrare gli utenti, integrare le prime applicazioni e trasmettere la cultura di “come funziona”, rendere il Cliente autosufficiente nellagestione.

E poi… Ad averlo gia’ fatto, non e’ complicato: e’ solo questione ditempo.

Se si vuole implementare un sistema di PKI per m-commercel’ ordine di grandezza non cambia –2/3 mesi- ( e simultaneamenteabbiamo anche un lettore di smartcards universalmente diffuso!!!)


23Aperti e sicuri

Come mai e’ complesso?

Marketing

Orders

Procurement

Customer Service

Production

Delivery

Finance

HR

Sales

CustomerLoyaltyMgmt.

DirectInput

Purchasing

RiskMgmt.

ProductDevelopment

Payment

Global 2000Company

Per la complessita’ dei problemi che si vuole risolvere (fonte: GIGA)

La terza fase nell’ implementazione dell’ e-business: E-Reengineering, Usare Internet e le tecnologiebasate su Internet per il miglioramento di tutti i processi di business


24Aperti e sicuri

La proliferazione delle applicazioni da integrare nella piattaforma(fonte: GIGA). In azzurro quelle gia’ viste sulla Clientela Italiana

Applications• Web servers

• Content management

• Ad networks

• Simple E-mail marketing

Applications• Commerce

servers

• E-procurement

• Personalization tools

• Auctions/ reverse auctions

Applications• Web-extended

ERP production

• Web-enabled ERP HR, admin. and finance systems

• Web HR and finance apps.

• Internal supply chain management

Applications• Multichannel

customer contact management

• Permission marketing

• Customer analytics and data mining

• Channel partner CRM

• Sales-force automation

• E-customer service

Phase 1Phase 1EE--MarketingMarketing

Phase 2Phase 2EE--CommerceCommerce

Phase 3Phase 3EE--ReengineeringReengineering

Phase 4Phase 4EE--CRMCRM

Phase 5Phase 5EE--CollaborationCollaboration

Applications• Multicompany

supply chain management

• Collaborative product development

• Collaborative (B2B2C) selling

• Collaborative customer service

• Collaborative vendor managed inventory

• Collaborative logistics management


25Aperti e sicuri

Security Policy, Infrastruttura fisica sicura, servizi di piattaforma, networking, PKI, Directory services, Smart Card management

Help Desk e supporto centralizzato

MES SAGING

HUMAN

RESOURCES

E-PROCUREMENT

COOP

ENGINEERING

End Users

S

F

A

E-CRM

E

R

P

Qual’ e’ l’ architettura di riferimento?


26Aperti e sicuri

Necessita’ di un approccio evolutivo

Nel mondo dei sistemi distribuiti, la security cessa di essere uno strato applicativo a se’ stante, specifico ad ogni applicazione, e diviene un elemento fondante della infrastruttura. Questo e’ l’unico modo per ottenere coerenza, gestibilita’, semplicita’ d’ uso.

La migrazione dalla security come fatto applicativo alla security come fatto infrastrutturale non puo’ prescindere dallo Status Quo, e richiede gradualita’ ed interventi pianificati.

Occorre inoltre effettuare scelte che tengano conto dell’ inerzia legata alle infrastrutture: se una architettura applicativa dura 10 anni, una architettura infrastrutturale ne dura dai 20 ai 30.

Per consentire alla Corporate di sfruttare le potenzialita’ offerte dal mondo *net e’ necessario separare lo strato dell’ Authentication -organizzativo- da quello dell’ accesso ai sistemi -tecnologico-, mediato da quello dell’ Authorization -organizzativo, ancora-.

In questo modo, la tendenza della tecnologia verso la maturazione di vere e proprie Privilege Management Infrastructures viene introdotta in maniera raccordata a quanto gia’, nellevarie infrastrutture tecnologiche, e’ stato messo a punto nel corso degli anni.


27Aperti e sicuri

Conclusioni

La complessita’ della Security e’ legata all’ intreccio di aspetti legali, tecnologici, organizzativi. Per dominare la complessita’ occorre un approccio ORGANICO.

Le linee guida di un approccio organico sono:

1. Chiara definizione di RUOLI e RESPONSABILITA’2. GESTIBILITA’ (lato Corporate), 3. UNIFORMITA’ e SEMPLICITA’ D’ USO (lato Utente),4. Economicita’ di esercizio

Senza una visione organica la sicurezza “non scala”: se non gestite a livello architetturale, le inconsistenze esistenti tra le varie tecnologie ne paralizzano il deployment. Implementare un firewall, un IDS ed una VPN, e sperare che questi componenti si integrino nella gestione non e’ realistico.

Altro esempio: usare tokens per one-time passwords per l’ authentication rendera’ complessa l’ introduzione della firma digitale e delle smart cards.Oppure: introdurre sistemi di authentication specifici a livello applicativo genera la crescitaesplosiva del numero delle passwords, con conseguente inefficienza e, in ultima istanza, diminuzione della sicurezza

La security e’ fondamentale per l’ e-business per motivi legali, di rispetto della privacy, difiducia tra business partners e con i Clienti, e sopratutto per abilitare il cambiamento.


28Aperti e sicuri

Grazie!!!!

[email protected]

L’ EDP dal Data Center all’ e-business1x).pdf · ordini Acquisti Integrazione dei ... SAP GUI...

Documents

Transcript of L’ EDP dal Data Center all’ e-business1x).pdf · ordini Acquisti Integrazione dei ... SAP GUI...