"Security by design" presentata al Security Summit 2014
-
Upload
pierluigi-sartori -
Category
Technology
-
view
178 -
download
1
description
Transcript of "Security by design" presentata al Security Summit 2014
Informatica Trentina
3
La Società
Informatica Trentina è stata costituita nel 1983 su iniziativa della Provincia Autonoma di Trento e di altri Enti Pubblici del Trentino
La Compagine azionaria (al 31 dicembre 2012):
Provincia autonoma di Trento 47,4218%
Tecnofin Trentina Spa 39,7101%
Regione Autonoma Trentino-Alto Adige 1,7199%
Comune di Trento con l’1,2433%
Camera di Commercio Industria Artigianato e Agricoltura 1,2433%
Comune di Rovereto 0,7063%
15 Comunità di Valle complessivamente 5,0046%
1 Comprensorio 0,3931%
altri 186 Comuni complessivamente 2,5577%
Alcuni dati al 31 dicembre 2012:
Fatturato: circa 60 milioni di Euro
Risorse umane: 312
Adesioni alla governance (al 31 dicembre 2012):
208 Enti Locali
La missione
Sempre più un ruolo di “strumento di politica economica” per lo sviluppo e la crescita del sistema economico locale nel contesto dell’Information & Communication Technology:
strumento di sistema, per l’ammodernamento della Pubblica Amministrazione trentina e per promuovere lo sviluppo del contesto socio-economico del territorio, in aderenza alle direttive provinciali
strumento di collaborazione con le imprese ICT, consentendo ai molteplici operatori del comparto di partecipare con continuità alla realizzazione dei progetti di ammodernamento e digitalizzazione della PA trentina
strumento di innovazione, per promuovere l’innovazione nella PA trentina, sostenendo il ruolo di utente innovatore dell’Ente pubblico, attraverso progetti di innovazione da realizzare in sinergiae cooperazione con le imprese ICT del territorio, ed in collaborazione con gli Enti di Ricerca ed Alta Formazione presenti sul territorio
I clienti
La Società eroga i propri servizi nei confronti della Pubblica
Amministrazione Locale. I principali clienti sono rappresentati da:
Provincia autonoma di Trento
Agenzie ed Enti strumentali della Provincia Autonoma di Trento
Agenzia del Lavoro, Agenzia Provinciale per la Protezione dell’Ambiente, Cassa Provinciale Antincendi, Agenzia Provinciale per la Protonterapia, Ufficio Statistico, Agenzia per l’Assistenza e la Previdenza Integrativa, Agenzia per l’Energia, Agenzia per i Pagamenti in Agricoltura
Azienda Provinciale per i Servizi Sanitari
Istituti scolastici del Trentino
Istituzioni culturali, museali e parchi naturali
Società di sistema
Fondazioni (Fondazione Mach e Fondazione Bruno Kessler)
Università degli Studi di Trento
Regione Autonoma Trentino-Alto Adige/Südtirol
Enti Locali (Comuni e Comunità di Valle del territorio provinciale)
6
PAT
InfoTN
PATPAT
Il “problema” della crescita ….
PAT
Internet
InfoTN
Telpat
PAT
PAT
Il “problema” della crescita ….
Il “problema” della crescita ….
Contesto di riferimento (2003)
Elevato numero di applicazioni: a dicembre 2003 il catasto applicazioniriportava 235 «applicazioni»
Clienti della PA locale quindi con un alta visibilità verso l’esterno
Elevata eterogeneità delle soluzioni dovute ad applicativi specifici e con unmercato ristretto
Elevata «anzianità» delle soluzioni in quanto la soluzione tecnologica èconseguenza dell’informatizzazione di un processo esistente
Elevata obsolescenza perché la migrazione verso nuove soluzioni ha sempredei costi aggiuntivi molto elevati
Mancanza di best practice: «la soluzione viene fornita prevalentemente inIntranet quindi è sufficiente proteggersi da Internet»
D.Lgs. 196/03 (Codice Privacy): con particolare riferimento all’art. 31(obblighi di sicurezza) e 34 (Trattamenti con strumenti elettronici)
Risultati assesment
Oltre il 90% delle applicazioni sono conformi(alla normativa ….)
Del restante 10%
Circa il la metà si può adeguare
Le rimanenti
Non è possibile intervenire direttamente
Sono comunque obsolete e di prossima sostituzione
Security by Design
Security by Design: Perché?
Fonte: www.Microsoft.com\sdl
Security by Design: Come?
1. «Imporre» la Security nei processi:
Non solo software
Componente applicativa
Componente infrastrutturale
Componenti non informatiche
Security by Design: Come?
1. «Imporre» la Security nei processi:
Non solo software
Formalizzazione requisiti di sicurezza «minimi»
Formalizzazione requisiti di sicurezza «suggeriti»
Formalizzazione condizioni contrattuali per l’outsourcing
La Funzione Sicurezza come revisore dei progetti
2. Creazione di un gruppo di lavoro (alleanze)
3. Formazione interna
4. Elaborazione di una «Enterprise Security Architecture»
Criteri per l’autenticazione
Criteri per l’autorizzazione
Criteri per la gestione delle attività degli utenti
Criteri per la validazione dei dati in input/output
Criteri per l’utilizzo di meccanismi crittografici
Criteri per il tracciamento
Security by Design: Come?
1. «Imporre» la Security nei processi:
Non solo software
Formalizzazione requisiti di sicurezza «minimi»
Formalizzazione requisiti di sicurezza «suggeriti»
Formalizzazione condizioni contrattuali per l’outsourcing
La Funzione Sicurezza come revisore dei progetti
2. Creazione di un gruppo di lavoro (alleanze)
3. Formazione interna
4. Elaborazione di una «Enterprise Security Architecture»
… e domani?
Security by Design: Domani
Fonte: www.Microsoft.com\sdl
Security Development Lifecycle
(SDL)
Un diverso approccio
1
2
3
18Fonte: www.owasp.org
Transformation
80%
Libraries But library use
is growing at a
staggering rate
20% Custom
Code
Fonte: www.owasp.org
20
Informatica Trentina SpaVia G. Gilli, 2 - 38121 Trento
www.infotn.it
Vrae?Afrikaans
Questions?English
¿Preguntas?Spanish
Domande?Italian
Вопросы?Russian
Ερωτήσεις;Greek
tupoQghachmey?Klingon
質問?Japanese
Arabic
問題呢?Chinese
Jewish
Questions?French
Fragen?German
Hindi
Quaestio?Latino