Security Servicesin-house vs managed securityL’esperienza di Informatica Trentina                                 Pierluig...
Agenda    La Società    Il contesto di riferimento    L’organizzazione di partenza    I Managed Security Services    ...
La Società   Informatica Trentina è stata costituita nel 1983 su iniziativa della Provincia    Autonoma di Trento e di al...
La missioneSempre più un ruolo di “strumento di politica economica” per losviluppo e la crescita del sistema economico loc...
Il “problema” della crescita ….                        InfoTN     PAT                PAT       PAT
Il “problema” della crescita ….                        InfoTN                   Telpat     PAT                PAT       PAT
Il “problema” della crescita ….                                                 Internet                                  ...
Agenda    La Società    Il contesto di riferimento    L’organizzazione di partenza    I Managed Security Services    ...
Internet….
… oggi            Reti di           Datacenter                                   Mobile                        Internet   ...
Le nuove guerre Lo spazio cibernetico è un nuovo fondamentale campo di battaglia e di competizione geopolitica nel XXI sec...
Le risposte dei governiCINA: la sola potenza emergente che abbia già sviluppato capacitàoperative nei cinque domini relati...
Le risposte dei privati  Dell Computer espande la sua offerta IT-as-a-Service  acquisendo SecureWorks®, uno dei più import...
Information Security ….. … è ormai un elemento essenziale per proteggere i  processi vitali per il business e i sistemi c...
Cosa dovrebbe comprendereFirewall, router, applicativi, passwordIntrusion detectionProactive scanning, penetration test...
La security vista dalle aziende                     VOIP/WL Analisi                                       Policy/Personale...
Quando è efficace  Corretta             combinazione                 di   appliances, software, alert e vulnerability sca...
Security Framework    Il Security Framework è composto da un insieme     coordinato di strumenti dedicati    Analogo all...
La gestione della sicurezza
Agenda    La Società    Il contesto di riferimento    L’organizzazione di partenza    I Managed Security Services    ...
L’organizzazione di partenza                  Incident Response Team                             Area Reti      Sicurezza ...
Pro e contro   Pro:     Maggior “senso” di sicurezza     Alta conoscenza dell’infrastruttura     Controllo di tutti i ...
Agenda    La Società    Il contesto di riferimento    L’organizzazione di partenza    I Managed Security Services    ...
Managed o in House Gartner© definisce il Software as a Service (SaaS) come  “software distribuito, gestito e posseduto re...
Managed o in House   L’idea di consegnare le proprie informazioni a terze parti    è causa di forti resistenze e conflitt...
Marketscope for MSS in EuropeRapporto pubblicato da Gartner nel 2009 (G00171027), conl’obiettivo di analizzare l’andamento...
Marketscope for MSS in Europe Nel 2009, i MSS erogati, hanno fruttato ricavi per 1.7  miliardi di dollari e permettono di...
Marketscope for MSS in Europe   I servizi più gettonati sono i seguenti:       Firewall services       IDS and IPS serv...
Market overview: MSSRapporto pubblicato da Forrester nel 2010, con l’obiettivo dianalizzare il mercato dei Managed Securit...
Market overview: MSS perché?
Market overview: Evoluzione dei MSSLe nuove esigenze dei clienti: nuove metriche che permettano alle organizzazioni non  ...
Quanto ManagedIl livello di esternalizzazione che si intende applicare perogni servizio di sicurezza DEVE essere una scelt...
MSS: Analisi SWOT?    Punti di forza (Strengths)                                          Debolezze (Weakness)• FOCUS – Il...
Agenda    La Società    Il contesto di riferimento    L’organizzazione di partenza    I Managed Security Services    ...
Il Security Global Center                  SECURITY GLOBAL CONTROL CENTER                              (SGCC)             ...
La Soluzione co-Managed    La regia e la componente autorizzativa restano alle     strutture di competenza dell’azienda ...
Il modello adottato              Modello REATTIVO                                                       Modello PROATTIVO ...
SGCC: Alcuni dati Tempo necessario per l’attivazione del servizio: 3 mesi Piena operatività (6x20 + Reperibilità 7x24): ...
Valutazioni   L’impatto economico della gestione dei servizi (non solo di    security) è rimasto sostanzialmente invariat...
Vrae?                     Questions?                       ¿Preguntas?                                English    Afrikaans...
Upcoming SlideShare
Loading in …5
×

Managed Security Services vs In house management

476 views
374 views

Published on

Presentazione effettuata a Milano durante il Security Summit del 2013

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
476
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
19
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Managed Security Services vs In house management

  1. 1. Security Servicesin-house vs managed securityL’esperienza di Informatica Trentina Pierluigi Sartori CISSP – CISM – CRISC – CGEIT – MBCI pierluigi.sartori@infotn.it
  2. 2. Agenda  La Società  Il contesto di riferimento  L’organizzazione di partenza  I Managed Security Services  Il Security Global Control Center
  3. 3. La Società Informatica Trentina è stata costituita nel 1983 su iniziativa della Provincia Autonoma di Trento e di altri Enti Pubblici del Trentino La Compagine azionaria (al 31 dicembre 2012):  Provincia autonoma di Trento 47,4218%  Tecnofin Trentina Spa 39,7101%  Regione Autonoma Trentino-Alto Adige 1,7199%  Comune di Trento con l’1,2433%  Camera di Commercio Industria Artigianato e Agricoltura 1,2433%  Comune di Rovereto 0,7063%  15 Comunità di Valle complessivamente 5,0046%  1 Comprensorio 0,3931%  altri 186 Comuni complessivamente 2,5577% Alcuni dati al 31 dicembre 2011:  Fatturato: circa 60 milioni di Euro  Risorse umane: 312 Adesioni alla governance (al 31 dicembre 2012):  208 Enti Locali 3
  4. 4. La missioneSempre più un ruolo di “strumento di politica economica” per losviluppo e la crescita del sistema economico locale nel contestodell’Information & Communication Technology: strumento di sistema, per l’ammodernamento della Pubblica Amministrazione trentina e per promuovere lo sviluppo del contesto socio-economico del territorio, in aderenza alle direttive provinciali strumento di collaborazione con le imprese ICT, consentendo ai molteplici operatori del comparto di partecipare con continuità alla realizzazione dei progetti di ammodernamento e digitalizzazione della PA trentina strumento di innovazione, per promuovere l’innovazione nella PA trentina, sostenendo il ruolo di utente innovatore dell’Ente pubblico, attraverso progetti di innovazione da realizzare in sinergia e cooperazione con le imprese ICT del territorio, ed in collaborazione con gli Enti di Ricerca ed Alta Formazione presenti sul territorio
  5. 5. Il “problema” della crescita …. InfoTN PAT PAT PAT
  6. 6. Il “problema” della crescita …. InfoTN Telpat PAT PAT PAT
  7. 7. Il “problema” della crescita …. Internet InfoTN Telpat PAT PAT PAT
  8. 8. Agenda  La Società  Il contesto di riferimento  L’organizzazione di partenza  I Managed Security Services  Il Security Global Control Center
  9. 9. Internet….
  10. 10. … oggi Reti di Datacenter Mobile Internet Lan Interna Casalingo Reti Nomadico DMZ
  11. 11. Le nuove guerre Lo spazio cibernetico è un nuovo fondamentale campo di battaglia e di competizione geopolitica nel XXI secolo (Comitato Parlamentare per la sicurezza della Repubblica – Relazione sulle possibili implicazioni e minacce per la sicurezza nazionale derivanti dall’utilizzo dello spazio cibernetico) The new Pentagon strategy lays out cyber as a new warfare domain and stresses the need to fortify network defenses, protect critical infrastructure and work with allies and corporate partners (James Lewis, cybersecurity expert at the Center for Strategic and International Studies) Ive often said that theres a strong likelihood that the next Pearl Harbor that we confront could very well be a cyberattack that cripples our power systems, our grid, our security systems, our financial systems, our governmental systems (Pentagon chief Leon Panetta, ex CIA director)
  12. 12. Le risposte dei governiCINA: la sola potenza emergente che abbia già sviluppato capacitàoperative nei cinque domini relativi alla superiorità cibernetica:elaborazione di una dottrina operativa, capacità addestrative, capacità disimulazione, creazione di unità addestrate alla guerracibernetica, sperimentazione di attacchi hacker su larga scalaStati Uniti: Ha creato lo “United States Cyber Command(USCYBERCOM)” che, sotto la guida di un generale, centralizza ilcomando operativo delle operazioni nel cyberspace, organizza le cyberrisorse esistenti e coordina la difesa delle reti dell’esercito americanoItalia: obiettivo 24 “Sicurezza dei sistemi informativi e delle reti” delpiano di E-Government 2012. Prevede la stabilizzazione e ilpotenziamento dell’Unità di prevenzione degli incidenti informatici inambito SPC istituita presso il CNIPA in ottemperanza all’articolo21, comma 51.a del Decreto del Presidente del Consiglio dei Ministri del01/04/2008 (esiste solo sulla carta)
  13. 13. Le risposte dei privati Dell Computer espande la sua offerta IT-as-a-Service acquisendo SecureWorks®, uno dei più importanti provider nel settore dei servizi di security HP (Hewlett Packard) acquisisce Vistorm, provider di servizi di security con una forte presenza in UK e Irlanda. IBM acquisisce McAfee, storico marchio nel settore dell’Information Security.
  14. 14. Information Security ….. … è ormai un elemento essenziale per proteggere i processi vitali per il business e i sistemi che li garantiscono … non è qualcosa che si compra: bisogna farla … non si può limitare al solo controllo del perimetro OGNI ELEMENTO della rete e dei sistemi ospitati deve essere messo in sicurezza
  15. 15. Cosa dovrebbe comprendereFirewall, router, applicativi, passwordIntrusion detectionProactive scanning, penetration testingMonitoraggio della configurazione dei sistemi – “Health Checking”VoiP, Wireless, Sistemi proprietariMonitoraggio 24x7Analisi e correlazioneSviluppo SicuroPolicy, Procedure, Personale
  16. 16. La security vista dalle aziende VOIP/WL Analisi Policy/Personale Monitor VA/PT IDS Firewall
  17. 17. Quando è efficace  Corretta combinazione di appliances, software, alert e vulnerability scan che lavorano in maniera coordinata in quella che può essere definita come “Enterprise Security Architecture”  Progettata per supportare gli obiettivi di sicurezza dell’azienda  Estesa alle policy aziendali, alle procedure e al personale  Monitorata 24x7
  18. 18. Security Framework  Il Security Framework è composto da un insieme coordinato di strumenti dedicati  Analogo all’Enterprise management framework  Il monitoraggio 24x7 dei dati relativi all’Information Security è centralizzato in un Security Operations Center  L’analisi dei dati viene effettuata utilizzando degli strumenti di correlazione  Possono essere utilizzati prodotti commerciali quanto open source  E’ opportuno basarsi sull’infrastruttura di sicurezza esistente per sviluppare velocemente il nuovo framework
  19. 19. La gestione della sicurezza
  20. 20. Agenda  La Società  Il contesto di riferimento  L’organizzazione di partenza  I Managed Security Services  Il Security Global Control Center
  21. 21. L’organizzazione di partenza Incident Response Team Area Reti Sicurezza Funzione Inc Area Sistemi
  22. 22. Pro e contro Pro:  Maggior “senso” di sicurezza  Alta conoscenza dell’infrastruttura  Controllo di tutti i processi  Controllo sulle scelte tecnologiche Contro:  Difficoltà a mantenere un Security Program  Eccessiva dispersione di competenze  Sovraccarico operativo per il personale  Finestra di servizio ampia troppo costosa
  23. 23. Agenda  La Società  Il contesto di riferimento  L’organizzazione di partenza  I Managed Security Services  I Security Global Control Center
  24. 24. Managed o in House Gartner© definisce il Software as a Service (SaaS) come “software distribuito, gestito e posseduto remotamente da uno o più provider (Key Issues for Software as a Service - 2007"). Analogamente possiamo definire la “Security as a Service” come “controlli di sicurezza che sono effettuati, distribuiti e gestiti remotamente da uno o più fornitori. L’utilizzo di SaaS permette una forte riduzione dei costi e un rapido deployment I Security as a Service, analogamente, garantiscono gli stessi vantaggi
  25. 25. Managed o in House L’idea di consegnare le proprie informazioni a terze parti è causa di forti resistenze e conflitti interni che, molto spesso, impediscono una valutazione coerente dei vantaggi, sia a livello economico che di incremento del livello di sicurezza Come per il SaaS, anche nel caso dei security as a sevice è fondamentale la scelta del provider Molti provider offrono i servizi di managed security solo con l’obiettivo di avere un’offerta completa ma non riescono a garantire elevati livelli di competenza, disponibilità e sicurezza
  26. 26. Marketscope for MSS in EuropeRapporto pubblicato da Gartner nel 2009 (G00171027), conl’obiettivo di analizzare l’andamento di questo particolaresegmento di mercato in Europa, del quale si evidenziano iseguenti elementi: le realtà complesse non riescono più a gestire in house, in maniera adeguata, i servizi di sicurezza e si rivolgono a quei soggetti che invece lo sanno fare molto bene (e solo a quelli che lo sanno fare molto bene) Il mercato dei Managed Security Services (MSS) in Europa ha ormai raggiunto un buon livello di maturità ed è in continua crescita, sia in termini di volume che in termini di varietà di servizi offerti.
  27. 27. Marketscope for MSS in Europe Nel 2009, i MSS erogati, hanno fruttato ricavi per 1.7 miliardi di dollari e permettono di stimare una crescita annuale, nel quinquennio 2008-2013, pari al 12% in termini di fatturato e al 14% in termini di numero di clienti. Risulta in pratica il settore del mercato della sicurezza con il tasso di crescita più alto. Un’indagine effettuata su 48 MSSP è risultato che al momento in questo settore di mercato ci sono circa 3500 esperti di sicurezza impiegati che gestiscono circa 25000 device dedicati alla sicurezza (firewall, network IPS, and e-mail and Web gateway devices) per circa 4000 clienti.
  28. 28. Marketscope for MSS in Europe I servizi più gettonati sono i seguenti:  Firewall services  IDS and IPS services (network and server)  Secure Web and e-mail gateway  Vulnerability scans  Threat intelligence information  Log management services Non si tratta di servizi per tutte le tasche. Il contratto medio in Europa, circa il 45%, oscilla tra 100K e 500K Euro (negli USA tra 100K e 150K e nell’area Asiatica il 57% è sotto i 150K)
  29. 29. Market overview: MSSRapporto pubblicato da Forrester nel 2010, con l’obiettivo dianalizzare il mercato dei Managed Security Services. Neldocumento si evidenziano i seguenti elementi: Dopo anni di reticenza ad esternalizzare la security, negli ultimi anni, malgrado la crisi economica (o forse proprio grazie ad essa n.d.r.) si assiste ad una inversione di rotta Il 25% degli intervistati ha esternalizzato il servizio antispam e il 12% sta valutando di farlo nei prossimi 12 mesi Il 13% ha esternalizzato il servizio di vulnerability management ed il 19% ha dichiarato di volerlo fare nei prossimi 12 mesi Il mercato dei MSS (stimato in 4,5 miliardi di dollari a livello globale) ha avuto una crescita costante che, per i prossimi anni, viene prudenzialmente valutata intorno all’ 8%
  30. 30. Market overview: MSS perché?
  31. 31. Market overview: Evoluzione dei MSSLe nuove esigenze dei clienti: nuove metriche che permettano alle organizzazioni non tanto di tagliare i costi della sicurezza quanto di spenderli in progetti ordinati secondo una corretta priorità il target sensibile si è significativamente spostato dai componenti hardware verso la debolezza delle applicazioni servizi volti ad effettuare security e risk assessment seguendo framework internazionali riconosciuti investigatori che analizzino le informazioni prodotte dall’infrastruttura di sicurezza e le mettano in stretta relazione con gli asset secondo la loro criticità
  32. 32. Quanto ManagedIl livello di esternalizzazione che si intende applicare perogni servizio di sicurezza DEVE essere una scelta aziendaletra due diversi modelli: “Fully Managed”: tutte le attività di gestione delle piattaforme di sicurezza vengono cedute al MSSP che, di fatto, ne assume il totale controllo. “Co-Managed”: l’organizzazione mantiene il controllo delle sue piattaforme di sicurezza e il MSSP fornisce solo servizi di controllo, di intelligenze e/o di raccolta log.
  33. 33. MSS: Analisi SWOT? Punti di forza (Strengths) Debolezze (Weakness)• FOCUS – Il personale dell’IT può svolgere altri compiti • GENERICITA’ – Non è possibile customizzare le piattaforme di security• SKILLS – Il MSSP ha la responsabilità delle competenze sulla security • POLICIES – Le policy di security ed IT devono comunque essere mantenute dal cliente• EFFICIENZA – MSSP è più efficiente nell’erogazione del servizio • APATIA – I MSS possono generare un falso senso di sicurezza negli utenti• COSTI FISSI – Il costo della security è stabilito a priori M M L H L H Opportunità (Opportunities) Minacce (Threats)• I clienti possono concentrarsi sulle attività core; le • Percezione di una minore sicurezza per aver piattaforme di ICT Security sono gestite da personale esternalizzato la gestione delle proprie piattaforme di dedicato sicurezza• Possibilità di restare aggiornati sulle evoluzioni senza rallentare il core business• I clienti possono pubblicizzare il proprio brand come “molto sicuro” M M H L H L
  34. 34. Agenda  La Società  Il contesto di riferimento  L’organizzazione di partenza  I Managed Security Services  Il Security Global Control Center
  35. 35. Il Security Global Center SECURITY GLOBAL CONTROL CENTER (SGCC) INFORMATION SECURITY Monitoraggio e NOC ISOC Gestione ACCESS MANAGEMENT Monitoraggio e Network Information Security Sicurezza Operation Center Operation Center Gestione Reti MONITORING Monitoraggio CR PSOC Servizi Control Room Physical Security Operation Center Monitoraggio Facility PHYSICAL SECURITY
  36. 36. La Soluzione co-Managed  La regia e la componente autorizzativa restano alle strutture di competenza dell’azienda  Adozione da parte del provider delle procedure previste nei sistemi aziendali (SGSI/ITIL)  L’unità di crisi prevede il coinvolgimento diretto di alcune funzioni aziendali  Per le problematiche di sicurezza escalation verso la funzione aziendale preposta
  37. 37. Il modello adottato Modello REATTIVO Modello PROATTIVO Incident/change Monitoring in real time Decadimento Fault Incidente prestazioni Richiesta di assistenza dall’utente operativo sicurezza dall’utente Determinazione del problema Determinazione del problema Apertura del ticket Apertura del ticket Analisi delle cause Analisi delle cause Azioni di I° livello Azioni di I° livello (Applicazione di soluzioni certificate) (Applicazione di soluzioni certificate) Supporto specialistico Azioni di II° livello Outsourcer Supporto Outsourcer Supporto Vendor Sistemi Interno Security tecnologia
  38. 38. SGCC: Alcuni dati Tempo necessario per l’attivazione del servizio: 3 mesi Piena operatività (6x20 + Reperibilità 7x24): 15 mesi Risorse interne riallocate: 5 Incident gestiti al 30/09/2012: 2.718 Change gestiti al 30/09/2012: 1.098 Richieste di assistenza al 30/09/2012: 15.502 Richieste di Access Management al 30/09/2012: 1.098 Vecchia finestra di presidio: 08.00-18.00/Lun-Ven Nuova finestra di presidio: 04.00-24.00/Lun-Sab
  39. 39. Valutazioni L’impatto economico della gestione dei servizi (non solo di security) è rimasto sostanzialmente invariato I tempi di esecuzione delle attività connesse ai servizi gestiti dall’SGCC sono visibilmente migliorati e garantiti da SLA La finestra di servizio prolungata con presenza fisica 6X20 assicura maggior reattività in caso di incidenti Le competenze del personale dell’SGCC sono focalizzate sui sistemi in gestione nell’ottica di garantire la continuità del servizio Il rispetto delle policy di Informatica Trentina è “Mission costitutiva” per l’outsourcer
  40. 40. Vrae? Questions? ¿Preguntas? English Afrikaans SpanishВопросы? Fragen? Russian German Ερωτήσεις; Greek 問題呢? Domande? Arabic 質問? Chinese Italian JapanesetupoQghachmey? Jewish Hindi KlingonQuaestio? Questions? French Latino

×