Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Copyright © 2009 Accenture All Rights Reserved. Accenture, its logo, and High Performance Delivered are trademarks of Accenture.
Michele BiancoMichele BiancoAccenture Security Service LineAccenture Security Service Line
Senior Security ManagerSenior Security Manager
ISMS Senior Manager CEPAS, Lead Auditor ISO 27001, ITIL Foundation v3, CGEIT
ISACA (AIEA), CLUSIT, AIIC Member
Data protection e retention diinfrastrutture critiche e ambienti virtuali innovativi
ASSOCIAZIONE ITALIANA INFORMATION SYSTEMS AUDITORS
Michele BiancoMichele BiancoAccenture Security Service LineAccenture Security Service Line
Senior Security ManagerSenior Security Manager
ISMS Senior Manager CEPAS, Lead Auditor ISO 27001, ITIL Foundation v3, CGEIT
ISACA (AIEA), CLUSIT, AIIC Member
Michele BiancoMichele BiancoAccenture Security Service LineAccenture Security Service Line
Senior Security ManagerSenior Security ManagerISMS Senior Manager CEPAS, Lead Auditor ISO 27001, ITIL Foundation v3, CGEIT
ISACA (AIEA), CLUSIT, AIIC Member
Michele BiancoMichele BiancoAccenture Security Service LineAccenture Security Service Line
Senior Security ManagerSenior Security ManagerISMS Senior Manager CEPAS, Lead Auditor ISO 27001, ITIL Foundation v3, CGEIT
AIEA, CLUSIT, AIIC Member
ASSOCIAZIONE ITALIANA INFORMATION SYSTEMS AUDITORS
SESSIONE DI STUDIO – ROMA 28 GENNAIO 2009
Copyright © 2009 Accenture All Rights Reserved. 2
• Contesto normativo italiano
• Esigenze e priorità del business
• Organizzazioni pubbliche e private
• Trattamento e protezione delle informazioni
• Bilanciamento tra sicurezza e privacy
• Infrastrutture Critiche
• Ambienti virtuali innovativi
• Ruolo di partner e outsourcer in materia
di cosa parliamo ?
DATA PROTECTION e DATA RETENTION
Copyright © 2009 Accenture All Rights Reserved. 3
• A supporto della sicurezza ICT, nel tempo sono stati emanati decreti e provvedimenti (D.lgs 196 e successivi provvedimenti) che hanno subito costanti e necessari raffinamenti
• La normativa introduce l'esigenza per le aziende di creare un impianto organizzativo ben strutturato per la protezione degli asset che si concretizza nella definizione di un piano programmatico
• Casi di cronaca mettono sempre più in evidenza le conseguenze di una cattiva gestione della sicurezza e ciò rende le aziende sempre più sensibili al tema
Il contesto normativo italiano
L’approccio normativo alla sicurezza prevede:
• Regole per il trattamento dei dati personali, sensibili e giudiziari (D.lgs196/03 e successive modificazioni)
• Regole per il trattamento dei dati di traffico telefonico e telematico sia per fini di gestione, sia per fini di giustizia (Provv. Garante del 17/01/2008 e successive modificazioni)
Copyright © 2009 Accenture All Rights Reserved. 4
Il tema della conservazione dei dati di traffico
Il Dlgs 196/03 prescrive la necessità di conservare i dati di traffico in base ai principi di necessità e rispetto alle finalità di trattamento“I dati relativi al traffico riguardanti abbonati ed utenti trattati dal fornitore di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico sono cancellati o resi anonimi quando non sono piùnecessari ai fini della trasmissione della comunicazione elettronica”(Art.123 comma 1, Dlgs.196/03)
In caso di trattamento di dati di traffico ai fini di contestazioni delle fatture, la conservazione è consentita per un totale di 6 mesi“Il trattamento dei dati relativi al traffico strettamente necessari a fini di fatturazione per l'abbonato, ovvero di pagamenti in caso di interconnessione, èconsentito al fornitore, a fini di documentazione in caso di contestazione della fattura o per la pretesa del pagamento, per un periodo non superiore a sei mesi, salva l'ulteriore specifica conservazione necessaria per effetto di una contestazione anche in sede giudiziale”(Art.123 comma 2, Dlgs.196/03)
Copyright © 2009 Accenture All Rights Reserved. 5
Dal Decreto Pisanu al Dlgs.109/08
La legge n.155 del 31 luglio 2005, meglio nota come “Decreto Pisanu”, sospendeva le precedenti prescrizioni e stabiliva la necessità di conservare i dati di traffico in ogni caso
fino al 31 dicembre 2007
“è sospesa l'applicazione delle disposizioni di legge, di regolamento o dell'autorità amministrativa che prescrivono o consentono la cancellazione deidati del traffico telefonico o telematico, anche se non soggetti a fatturazione, e gli stessi (omissis) debbono essere conservati fino a quella data dai fornitori diuna rete pubblica di comunicazioni o di un servizio di comunicazioneelettronica accessibile al pubblico, fatte salve le disposizioni vigenti cheprevedono un periodo di conservazione ulteriore.”(Art.6, Legge n.155 del 31 luglio 2005 )
Copyright © 2009 Accenture All Rights Reserved. 6
Dal Decreto Pisanu al Dlgs.109/08
Con il Dlgs n.109 del 30 maggio 2008 vanno definitivamente in pensione le scadenze stabilite dal “decreto Pisanu”
Il Dlgs.109/08:
recepisce la direttiva europea 2006/24/CE riguardante la conservazione dei dati generati o trattati nell'ambito della fornituradi servizi di comunicazione elettronica accessibili al pubblico o direti pubbliche di comunicazione
introduce alcune modifiche al Dlgs.196/03 (già peraltro modificato in precedenza dalla Legge 48/08 di recepimento della convenzione sul crimine informatico)
Copyright © 2009 Accenture All Rights Reserved. 9
dati di traffico telefonico e telematico: quanto conservare ?
Fonte: http://www.interlex.it
L’Italia si allinea alle disposizioni Ue in materia di conservazione deidati del traffico telefonico e internet. Approvato il D.lgs in attuazione della direttiva 2006/24/CEi dati relativi al traffico telefonico e alle comunicazioni via internet possono essere conservati per un periodo non superiore a 2 anni, rispetto agli attuali 4.
Copyright © 2009 Accenture All Rights Reserved. 10
Data Retention: mandatory (legge) ma anche “priorità” di business
America
• L’approccio USA alla privacy “on-line” ed alla data protection si differenzia significativamente ad esempio dalCanada piuttosto che dalla Comunità Europea
• Sarbanes – Oxley Act of 2002• SEC Rule 17a-4• Health Insurance Portability and Accountability Act (HIPAA)
altri….
• Canada ha 2 leggi federali sulla privacy: • PIPEDA finalizzata alla promozione del commercio
elettronico garantendo la protezione dei dati personalicollezionati, trattati attraverso 10 principles che normano I dirittidi accesso e di modifica e distruzione
• Il Privacy Act impone restrizioni sui 150 Dipartimenti ed AgenzieFederali Governative sulla collezione, utilizzo e diffusione di dartipersonali
EuropaDirettiva (EU 2006/24/EC) sulla Data Retention che regola
la raccolta e l’utilizzo dei dati personali
Ogni paese della Comunità Europea ha sviluppato unapropria normativa basata sui principi comunitari e delleAutorità Indipendenti (Garante della Privacy) per monitorare e ulteriormente regolare la compliance airegolamenti
Le leggi Italiane riconoscono le Direttive Comunitarie , attraverso il ‘Decreto Pisanu’, D.Lgs 2707/2005, n. 144, considerano I dati di traffico telematico e telefonico(incluse le chiamate non risposte), poi leggen.155 del 31 luglio 2005, con specifica retention dei datidi traffico fino a dicembre 2008
altri…
• Basilea II
Contesto InternazionaleTutti i dati personali devono essere conservati per un periodo che va dai 6 mesi ai 2 anni per finalità di tracciamento e identificazione di mittente e destinatario delle comunicazioni, data, ora, durata, tipologia di comunicazione, communication device o localizzazione del dispositivo mobile
Esempi
Copyright © 2009 Accenture All Rights Reserved. 13
RUOLI E PROFILI OPERATIVI PREVISTI ANCHE DAL NUOVO PROVVEDIMENTO DEL GARANTE del 2008
Sistemisti, ecc
Incaricati al trattamento dei dati di traffico per finalità di gestione ordinaria dei dati
Incaricati al trattamento dei dati di traffico per finalità di accertamento e repressione
dei reati per il secondosecondo periodo di conservazione
Incaricati al trattamento dei dati di traffico per finalità di accertamento e repressione
dei reati per il primoprimo periodo di conservazione
Manutentore hardware e software
Amministratore di db
Amministratore di rete
Amministratore di sistema
Gestore profili autorizzativi e utenze
Ruoli e profili operativi
Addetti tecnici
Copyright © 2009 Accenture All Rights Reserved. 15
Nuove misure di sicurezza per gli amministratori di sistema
Con il Provvedimento del Garante del 27 novembre 2008, cambiano gli accorgimenti e le misure prescritte per le attribuzioni delle funzioni diamministratore di sistema, volte a prevenire e ad accertare eventuali accessi non consentiti ai dati personali, in specie quelli realizzati con abuso della qualità diamministratore di sistema.
• Valutazione delle caratteristiche soggettive della capacità e dell’affidabilità del soggetto cui dovranno essere attribuite le funzioni di amministratore di sistema
• Designazione individuale degli amministratori, recante gli ambiti di operatività
• Elenco degli amministratori, contenente gli identificativi e le relative funzioniattribuite ad ognuno, riportato nel DPS (dal Titolare)
• Verifica periodica delle attività rispetto alle misure di sicurezza previste dallenormative vigenti
• Registrazione degli accessi logici agli archivi elettronici, garantendocompletezza, inalterabilità, time stamping e tempi conservazione non inferiori a sei mesi
Tutte le misure dovranno essere introdotte entro il 23 gennaio 2009
Copyright © 2009 Accenture All Rights Reserved. 16
Data collection, retention, management: come conservare?
Vanno realizzate piattaforme per la raccolta di :
dati di traffico (fisso, mobile e telematico) da molti “mediation systems”
informazioni di business proprie di piattaforme BSS da quelle operative OSS
log relativi alle operazioni ed agli accessi compiuti su piattaforme applicative e servizi VAS
log relativi alle transazioni finanziarie
log dei sistemi e degli accessi ai DBMS
Per poter supportare le attività di auditing e di indagini giudiziarie finalizzate alla individuazione dicomportamenti inadeguati o non conformi alle normative vigenti, alla fuga di informazioni ed alle frodi
Col
lect
or L
ayerAnalysis Layer
Storage Layer
Wor
kflo
w M
ngt
DATA RETENTION PLATFORM push & pull
MA NON BASTA !
Copyright © 2009 Accenture All Rights Reserved.
BASTANO LE
TECNOLOGIE
?Michele BiancoMichele Bianco
Accenture Security Service LineAccenture Security Service LineSenior Security ManagerSenior Security Manager
ISMS Senior Manager CEPAS, Lead Auditor ISO 27001, ITIL Foundation v3, CGEIT
AIEA, CLUSIT, AIIC Member
ASSOCIAZIONE ITALIANA INFORMATION SYSTEMS AUDITORS
Copyright © 2009 Accenture All Rights Reserved. 22
Data Protection & retention integrati nei processi
Data Protection & Retention sono parte integrante dell’intero “lifecycle” delle informazioni aziendali e come tale si inseriscono nei processi che abilitano la realizzazione e la gestione dei servizi
Assessment
Risk Management
Assess Guide Lines
PolicyRoadmap
TTT
Strategie di condivisionedel rischio
Adottate nellaOrganizzazione
Program Management
Plan
Sistem Security
Processes & procedures infratructure
Application Security
Desktop Security
Data Center Environment
Services
Perimeter Network Security
T T T T T T T
Analyze BuildDesign Test Deploy
Realizzazione dell ‘Impianto (processi,
procedure, infrastruture)
Mantenimento e gestionedegli ambienti produttivi
Business Service ManagementIT Service
ManagementSecurity
Network
ServiceDesk
ChangeManagement
IncidentManagement
ProblemManagement
SLAManagement
Identity & Access Management
InfrastructureSecurity
SecurityManagement
Data Network Management
Network Security
Voice
Data Center
Infrastructure Provisioning & Management
Applications
Virtualization Services
OS
Storage
IT ServiceContinuity
Server
Database
End User ComputingDesktop Messaging Mobility Directory Services
Mainframe
Infrastructure GovernanceInfrastructure Spend Infrastructure Sourcing
AssetManagement
AvailabilityManagement
CapacityManagement
Configuration Management
Business Service ManagementIT Service
ManagementSecurity
Network
ServiceDesk
ChangeManagement
IncidentManagement
ProblemManagement
SLAManagement
Identity & Access Management
InfrastructureSecurity
SecurityManagement
Data Network Management
Network Security
Voice
Data Center
Infrastructure Provisioning & Management
Applications
Virtualization Services
OS
Storage
IT ServiceContinuity
Server
Database
End User ComputingDesktop Messaging Mobility Directory Services
Mainframe
Infrastructure GovernanceInfrastructure Spend Infrastructure Sourcing
AssetManagement
AvailabilityManagement
CapacityManagement
Configuration Management
Analysis Design, Build, Delivery Operations
Copyright © 2009 Accenture All Rights Reserved.
SU QUALIINFRASTRUTTURE
ADOTTARE ICONTROLLI
?Michele BiancoMichele Bianco
Accenture Security Service LineAccenture Security Service LineSenior Security ManagerSenior Security Manager
ISMS Senior Manager CEPAS, Lead Auditor ISO 27001, ITIL Foundation v3, CGEIT
AIEA, CLUSIT, AIIC Member
ASSOCIAZIONE ITALIANA INFORMATION SYSTEMS AUDITORS
Copyright © 2009 Accenture All Rights Reserved. 26
Infrastrutture Critiche Europee (ECI)
DIRETTIVA COMUNITARIA sulle INFRASTRUTTURE CRITICHE (EPCIP)
Energy Transport ICT Finance Chemical Industry Water Food Health Space
Strutture o parti di esse che sonoessenziali per il mantenimento dellefunzioni cruciali della società, tra cui la catena di approvvigionamento, la salute, la sicurezza e il benessereeconomico o sociale dei cittadini
Sorgenti Naturali: eventi catastrofici quali terremoti, inondazioni, eruzioni vulcaniche, fenomeni atmosferici, valangheSorgenti Umane: associate ad azioni umane dirette, che a lorovolta possono essere distinte in:
Azioni involontarie o accidentali (ad esempio l'introduzione di datierrati)
Azioni volontarie (deliberati attacchi ai sistemi, accessi non autorizzati ad informazioni, ecc.)
Sorgenti Ambientali: associate ad un misto di azioni umane e di eventi naturali quali inquinamento, incendi, black-out, dispersione di agenti chimici e di materiali nocivi, ecc.Sorgenti Tecnologiche: associate al cattivo funzionamento o errata configurazione di componenti Hardware o Software
Energy Transport ICT Finance Chemical Industry Water Food Health SpaceEnergy Transport ICT Finance Chemical Industry Water Food Health Space
PRIORITY (2009)
Copyright © 2009 Accenture All Rights Reserved. 28
Infrastrutture Critiche in ambito nazionale
Art. 1, Comma 1Sono da considerare infrastrutture critiche informatizzate di interesse nazionale i sistemi ed i servizi informatici di supporto alle funzioni istituzionali di:
a) Ministeri, agenzie ed enti da essi vigilati, operanti nei settori dei rapporti internazionali, della sicurezza, della giustizia, della difesa, della finanza, delle comunicazioni, dei trasporti, dell'energia, dell'ambiente, della salute;
b) Banca d'Italia ed autorita' indipendenti; c) societa' partecipate dallo Stato, dalle regioni e dai comuni interessanti
aree metropolitane non inferiori a 500.000 abitanti, operanti nei settori delle comunicazioni, dei trasporti, dell'energia, della salute e delle acque;
d) ogni altra istituzione, amministrazione, ente, persona giuridica pubblica o privata la cui attivita', per ragioni di tutela dell'ordine e della sicurezza pubblica, sia riconosciuta di interesse nazionale dal Ministro dell'interno, anche su proposta dei prefetti - autorita' provinciali di pubblica sicurezza.
DECRETO 9 gennaio 2008 Individuazione delle infrastrutture critiche informatiche di interesse nazionale (GU n. 101 del 30-4-2008 )
SPOC NAZIONALEEURAM OSP
Copyright © 2009 Accenture All Rights Reserved.
QUANTO SONO CRITICHE LE
INFRASTRUTTURE ICT ?
Michele BiancoMichele BiancoAccenture Security Service LineAccenture Security Service Line
Senior Security ManagerSenior Security ManagerISMS Senior Manager CEPAS, Lead Auditor ISO 27001, ITIL Foundation v3, CGEIT
AIEA, CLUSIT, AIIC Member
ASSOCIAZIONE ITALIANA INFORMATION SYSTEMS AUDITORS
Copyright © 2009 Accenture All Rights Reserved. 30
Infrastrutture Critiche, alcuni aspetti in ambito ICT :sicurezza e affidabilità
Per ottenere un incremento dei livelli di sicurezza ed affidabilità delle facility in maniera ingegnerizzata ed omogenea è necessario prevedere l’utilizzo di tecnologie specifiche e strutturazione degli impianti secondo le indicazioni dei “Tier”.
Sistemi antincendio innovativi: si basano su un approccio innovativo che prevede l’utilizzo di gas o acqua. I sistemi a gas permettono di preservare le apparecchiature IT grazie all’utilizzo di prodotti chimici, ma sono piùcostosi rispetto a quelli ad acqua. I principali sistemi ad acqua sono quelli Dry pipes e ad acqua nebulizzata.
Sistemi antintrusione evoluti: permettono di limitare l’accesso alle aree controllate e ad accesso riservate del DC al solo personale autorizzato. Soluzioni principali sono costituite da carte magnetiche, smart card, codici d’autenticazione e strumenti biometrici.
L’affidabilità di un DC è classificata attraverso quattro livelli incrementali di ridondanza:
Tier I:Tier I: H.A.H.A. pari apari a 99.671% 28:48h di downtime/anno
TierTier II:II: H.A.H.A. pari apari a 99.741% 22:42h di downtime/anno
TierTier III:III: H.A.H.A. pari apari a 99.982% 1:36h di downtime/anno
TierTier IV:IV: H.A.H.A. pari apari a 99.995% 0:24h di downtime/anno
Sicu
rezz
aA
ffida
bilit
à
Copyright © 2009 Accenture All Rights Reserved. 31
Infrastrutture Critiche, alcuni aspetti in ambito ICT :protezione e dissipazione energetica
In un tipico DC funzionante a circa il 30% della sua capacità nominale, solo il 30% dell’energia assorbita è utilizzata per alimentare le infrastrutture IT, mentre il 45% è utilizzata per alimentare gli impianti di condizionamento e deumidificazione ed il 18% gli UPS. (*)
Volume ServerMid-range ServerHigh-end Server
USA
Worldwide
Cooling and auxiliary equipment
Tota
l ele
ctric
ityus
e(b
illio
nkW
h/ye
ar)
Negli ultimi anni si è dimostrato come i costi associati ai consumi energetici delle infrastrutture di raffreddamento dei server siano in forte aumento ed ormai uguali o superiori a quelli associati ai consumi energetici dei server stessi. (**)
(*) Green Grid, “GuideLines for Energy-Efficient Datacenters", 2007(**) Lawrence Berkeley National Labs (U. of California) – 2007 – J.G. Koomey: Estimating Total Power Consumptions By Servers in The US and the World
DATA CENTER (Green IT) Infrastrutture Critiche
Copyright © 2009 Accenture All Rights Reserved. 32
Infrastrutture Critiche, alcuni aspetti ICT :protezione e riduzione del livello di affidabilità
La densità di potenza elettrica per mq in un Data Center, cresce con l’incremento costante di potenza computazionale e con l’adozione delle nuove tecnologie IT ad elevata densità, come le CPU Multicore e Multi-thread. Ciò porta ad una drastica diminuzione di affidabilità, dovuta principalmente all’incremento di calore da smaltire, da indirizzare con infrastrutture specifiche che tengono conto della tipologia di componenti IT e della loro distribuzione nelle sale.
Crescente Densità di Kw/mqNel 2000 i server producevano circa 6 kW/mq, si stima che nel 2010 la produzione di calore aumenterà fino a circa 16 Kw/mq (*)
Un rack blade necessita di un’infrastruttura di raffreddamento specifica per smaltire una grossa quantitàdi calore. Si stima che la densità di aria fredda da fornire al rack si attesti intorno ai 1180 l/s, non ottenibile con i classici pavimenti flottanti ma solo con soluzioni di condizionamento evolute. (**)
(*) Gartner, Use Best Practices to Design Data Center Facilities, 2005(**) APC, “Potenza e raffreddamento per blade server e rack ad altissima densità”, 2003
Infrastrutture Critiche SISTEMI
Copyright © 2009 Accenture All Rights Reserved. 33
Infrastrutture critiche e innovative in ambito ICT: Un framework per la gestione
Utilizzare un percorso strutturato e completo per l’evoluzione di tutte le facility dei DC vuol dire concorrere a proteggere infrastrutture e dati in esse presenti
Alimentazione: facility per la fornitura continua di energia elettrica al DC. Alcune leve abilitanti:
Pila a CombustibileTurbina a gasModuli fotovoltaici
Raffrescamento: facility per il mantenimento della temperatura d’esercizio del DC. Alcune leve abilitanti:
Soluzioni “In Room” ed “In Raw”DC Intelligent Location
Rack e Infrastrutture: facility per l’alloggiamento dei dispositivi IT. Alcune leve abilitanti:
Rack innovativiPavimenti flottanti e fissi
Cablaggio: facility per le interconnessioni fra dispositivi. Alcune leve abilitanti:
Power Cable RoutingData Cable Routing
Affidabilità e Sicurezza: facility per garantire la continuitàdi servizio e la sicurezza del DC. Alcune leve abilitanti:
DC in Tier I-IVNuovi Sistemi antincedio e antintrusione
Copyright © 2009 Accenture All Rights Reserved.
E QUANTO COSTA ADEGUARE AMBIENTI
VIRTUALI e INNOVATIVI(es. MVNE/O)
?Michele BiancoMichele Bianco
Accenture Security Service LineAccenture Security Service LineSenior Security ManagerSenior Security Manager
ISMS Senior Manager CEPAS, Lead Auditor ISO 27001, ITIL Foundation v3, CGEIT
AIEA, CLUSIT, AIIC Member
ASSOCIAZIONE ITALIANA INFORMATION SYSTEMS AUDITORS
Copyright © 2009 Accenture All Rights Reserved. 37
Ambienti virtuali innovativi, alcuni aspettiMobile Virtual Network Operator
Il modello di business propone opzioni per gli “incoming” che influiscono suinvestimenti e iniziative in funzione del livello di controllo di prodotti, servizi, canalidi vendita e ClientiIl ruolo del Partner si attua attraverso la consulenza e la system integration e apporta esperienza specifica, ed esperienza consolidata nella realizzazione e gestione di ambienti ICTcon metodologie e organizzazioni strutturate
Resell / agent –carrier brand
Resell – co-branded with
carrier
MVNO – carrier systems
MVNO / MVNE
MVNO – build wireless systems
Build wireless network
L HRisk
Pote
ntia
l Rew
ard
L
H
Buy wireless WSP
L
MVNO: Carrier
systems
Reseller
H
Co-brandC
ontr
ol
LH Cost
MVNO/ MVNE
MVNO: Own
systems
Buy / buildcarrier ornetwork
RUOLO PROATTIVO DEL PARTNER IT (MVNE) - ENABLER
Copyright © 2009 Accenture All Rights Reserved. 38
0
200
400
600
800
1000
1200
2008 2009 2010 2011 2012 2013
Revenue($M)
Year
Revenues, ‐IT Spending, Data Protection & RetentionAdempimenti sulla Security & Privacy
REVENUES ; CAPEX, OPEX Alte per Telco, Banche, Industria
IT SPENDING, Data Protection & RetentionAlte per MVNE, Outsourcers, Virtual Data Center)
Infrastrutture Critiche e Ambienti Virtuali : due pesi due misure
Inci
dent
han
dlin
g
Secu
rity
Arc
hita
ctur
es
Man
aged
Sec
urity
Ser
vice
s
Ris
k M
anag
emen
t
Ris
k A
sses
smen
t
Secu
re C
ode
Bus
ines
s C
ontin
uity
Dat
a Se
curit
y &
Priv
acy
Com
plia
nces
Sec
urity
Secu
rity
Mon
itorin
g
Syst
em C
ontin
uity
Secu
rity
Polic
ies
& P
roce
sses
Dis
aste
r Rec
over
y
Con
verg
ed P
hysi
cal a
nd
Logi
cal S
ecur
ity
Frau
d M
anag
emen
t
Law
Enf
orce
men
t Age
ncie
s
Secu
rity
Gov
erna
nce
Una Infrastruttura “critica” ha unaincidenza di spesa del 10% per Adeguamenti di Data Protection e Retention rispetto all’IT Spending chesostiene come Operatore di mercato(Telco, Finanza, Energia, Industria) a fronte di estensioni IT su ampia scala
Un MVNO/MVNE ha dimensioniridotte ma funzioni complesse e quindi una incidenza di spesa dialmeno un 30%
Chi sostiene economicamente l’adeguamento se i margini sono bassi?
INFRASTRUTTURE CRITICHE
AMBIENTI VIRTUALI
Fonte interna
Copyright © 2009 Accenture All Rights Reserved. 39
Come ci adeguiamo ? Con metodo
Design
Execution
Le trasformazioni necessarie a garantire nel tempo compliance alle normative e priorità del business richiedono interventi attuativi coordinati (obiettivi e attività) su ORGANIZZAZIONI, POLITICHE, PROCESSI, INFRASTRUTTURE, OPERATION.Fondamentale è supportare l’intero lifeclycle di Compliance Transformation, mitigando rischi potenziali e costi e massimizzando il riuso dell’impianto esistente
Definizione degli obiettivi, dell’ambito dell’intervento e pianificazione
Attività• Identificazione dell’ambito
dell’iniziativa• Pianificazione strategia
d’interventoObiettivi• Condivisione perimetro e
obiettivi progettuali• Allineamento sulla macro
strategia
Mantenimentoe continuousimprovement
Attività• Monitoraggio di specifici indicatori• Change management di sistemi e processiObiettivi• Garantire nel tempo il rispetto della compliance• Garantire l’adeguamento dei sistemi ed un continuo
miglioramento dell’efficienza delle soluzioni adottate
Implementazione del programmadi compliance
Attività• Gestione del rischio• Adeguamento di sistemi, processi, modello organizzativoObiettivi• Implementazione piani di rientro• Conseguimento di un livello di
Design dellastrategia di Readiness
Impact/GapAnalysis
Attività• Analisi di processi, sistemi,
organizzazione e contratti• Analisi/Classificazione e
formalizzazione degli impatti e dei rischi
Obiettivi• Definizione GAP tra esistente e
il target • Valutazione impatti/rischi
Attività• Individuazione interventi, prioritizzazione e risk mitigation• Analisi costi • Obiettivi• Definizione della strategia e del piano di compliance
Attività• Analisi ed individuazione
vincoli/rischi potenziali macro impatti delle normative
• Individuazione sistemi a perimetro e stakeholder
• Interviste e raccolta informazioni analisi (sistemi, processi, organizzazione)
Obiettivi• Fotografia dell’As-Is mutuata
rispetto ai requisiti di compliance
Identificazione Vincoli ed Analisi
perimetro
Copyright © 2009 Accenture All Rights Reserved. 41
DATA PROTECTION & RETENTION di INFRATRUTTURE:COME APPRONTARE I CONTROLLI ?
TECHNOLOGY INDIPENDENCETECHNOLOGY INDIPENDENCE - Continue interrelazioni con i principali technology vendor per le scelte tecnologiche
METODOLOGIAMETODOLOGIA – con un set completo di frameworks e metodi per lo sviluppo di servizi e soluzioni
PEOPLEPEOPLE – attraverso competenzespecifiche ed esperienze diversificate
STRUMENTI e INNOVAZIONESTRUMENTI e INNOVAZIONE - Riuso di assets & tools creati e messi a punto durante le principali esperienze progettuali
Security Security Auditing & Auditing & MonitoringMonitoring
PEOPLEPEOPLE – attraverso competenzespecifiche ed esperienze diversificate
Copyright © 2009 Accenture All Rights Reserved.
Data protection e retention di
infrastrutture critiche e ambienti virtuali
innovativi
grazie per grazie per ll’’attenzioneattenzione !!
Michele BiancoMichele BiancoAccenture Security Service LineAccenture Security Service Line
Senior Security ManagerSenior Security ManagerISMS Senior Manager CEPAS, Lead Auditor ISO 27001, ITIL Foundation v3, CGEIT
AIEA, CLUSIT, AIIC Member
ASSOCIAZIONE ITALIANA INFORMATION SYSTEMS AUDITORS