Bruno Carbone - Presentazione M2M Forum

1,051 views

Published on

La sicurezza informatica in ENAV e la direttiva europea sulle infrastrutture critiche

Published in: Business, Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,051
On SlideShare
0
From Embeds
0
Number of Embeds
24
Actions
Shares
0
Downloads
10
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Bruno Carbone - Presentazione M2M Forum

  1. 1. M2M Forum 2009 Milano 07 aprile 2009
  2. 2. Premessa Sicurezza fisica Infrastrutture di Rete Infrastrutture di Sicurezza Servizi Internet System e Security Management Influenza del fattore umano Normativa Europea Infrastrutture critiche
  3. 3. Esigenza: Affrontare i problemi di Sicurezza nella loro globalità Soluzione: Possibilità di differenziare l’approccio Approccio essenziale (basato solo sulla tecnologia) Approccio metodologico ENAV ha scelto : l’approccio metodologico
  4. 4. Stabilire le esigenze di sicurezza Trasformarle in requisiti Implementare le soluzioni Verificare le rispondenza tra requisiti e soluzioni
  5. 5. Individuazione dei rischi tramite i tre fattori fondamentali: Minaccia Vulnerabilità Impatto focalizzata su ciascuna specifica area di valutazione Individuazione delle metodologie specifiche per ciascuna di esse
  6. 6. Attivata una Risk Analysis: Identificazione della Minaccia Valutazione ed Analisi delle Vulnerabilità Attività di Penetration Testing Attività di exploiting manuale delle Vulnerabilità Valutazione dell’impatto sui beni critici di ENAV Valutazione dell’esposizione al Rischio Identificazione le contromisure da porre in atto
  7. 7. Standard internazionali (ove possibile) Esempio: ISO/IEC 27001 (ex BS7799-2) ISO/IEC 27002 (ex ISO/IEC 17799, ex BS7799-1) SSE-CMM (ISO/IEC 21827) GMITS (ISO/IEC 13335) ISO/IEC 27005 (IT Risk Management)
  8. 8. TCSEC (Trusted Computer System Evaluation Criteria – Orange Book) ITSEC (Information technology Security Evaluation Criteria ITSEM CC (Common Criteria – ISO/IEC 15408)
  9. 9. Certificazione Standardizzazione delle procedure Facilità di implementazione Facilità di monitoraggio e manutenzione Adozione di processi e soluzioni consolidate
  10. 10. Vigilanza h24 sui principali Siti; Sistemi antintrusione mediante videosorveglianza, antiscavalcamento e recinzioni; Ronde; Interventi su segnalazione di infrazioni con sistemi di radiosorveglianza in siti non presidiati; Nel prossimo futuro, realizzazione di un piano nazionale per il controllo accessi basato su smart-card e controlli biometrici;
  11. 11. LAN 10 Giga/Bit Sede Centrale CSPM NMS CSNT Primo A Secondo A Secondo B Terra A Terra B Primo B AAA Access Server Farm Layer Laye r BackBone Layer Infrastruttura di Intrusion Detection Si Si Security Layer WAN Layer ATM ISDN DATA Internet ADSL WAN
  12. 12. Utilizzo PKI per l’autenticazione Profilazione utenti Strumenti di Single sign-on Sistemi di Intrusion Detection Sistemi di firewalling per la protezione perimetrale Sistemi di videosorveglianza per la protezione fisica
  13. 13. Normativa Codice in Materia di Protezione dei Dati Personali Normativa interna all’organizzazione Formazione Piano di Formazione di base (sicurezza) suddivisa per ruoli e responsabilità Piano periodico di aggiornamento Piano di sensibilizzazione del personale
  14. 14. Condizioni di utilizzo di Internet Politiche di utilizzo corretto dei servizi Politiche sull’utilizzo di internet e posta elettronica
  15. 15. Attuale: verifiche periodiche sulle attività svolte sui sistemi e sull’applicazione delle politiche di sicurezza Futuro: Implementazione di un ambiente di Incident handling and response Prevenzione degli incidenti
  16. 16. Identificazione della minaccia Minacce ad opera di soggetti esterni (outsiders) Minacce ad opera di soggetti interni (insiders) Minacce accidentali (errori) Minacce intenzionali (attacchi) Applicabilità delle contromisure: Equilibrio tra elevato livello di sicurezza e l’impatto che eventuali contromisure hanno sul personale (risposta degli utenti) Formazione continua
  17. 17. lo scorso 23 dicembre 2008 è stata pubblicata sulla Gazzetta Ufficiale della Comunità Europea il testo della direttiva sulla identificazione e designazione delle infrastrutture critiche europee. Essa è entrata in vigore il 12 gennaio 2009. Gli stati membri hanno tempo fino al 12/01/2011 per la relativa ratifica. Entro tale data dovrà, inoltre, essere completato il processo di identificazione e designazione delle ECI. Gli operatori di quelle infrastrutture designate come ECI avranno un anno di tempo dalla data di designazione, per provvedere (qualora non ne siano già dotati) a definire un Piano della Sicurezza dell’Operatore (PSO) ed a designare un “soggetto” di coordinamento
  18. 18. DOMANDE? Bruno Carbone Responsabile Sicurezza Informatica Bruno.carbone@enav.it

×