Il documento discute le differenze tra i servizi di sicurezza gestiti e quelli interni, evidenziando il contesto di Informatica Trentina e l'importanza della sicurezza informatica nel XXI secolo. Sono analizzati i trend del mercato dei servizi di sicurezza gestiti in Europa, la crescita prevista del settore e le considerazioni chiave sulla gestione della sicurezza. Inoltre, il documento esplora il modello di Security Global Control Center e le pratiche di gestione della sicurezza implementate.

1. Security Services
in-house vs managed security
L’esperienza di Informatica Trentina
Pierluigi Sartori
CISSP – CISM – CRISC – CGEIT – MBCI
pierluigi.sartori@infotn.it

2. Agenda
 La Società
 Il contesto di riferimento
 L’organizzazione di partenza
 I Managed Security Services
 Il Security Global Control Center

3. La Società
 Informatica Trentina è stata costituita nel 1983 su iniziativa della Provincia
Autonoma di Trento e di altri Enti Pubblici del Trentino
 La Compagine azionaria (al 31 dicembre 2012):
 Provincia autonoma di Trento 47,4218%
 Tecnofin Trentina Spa 39,7101%
 Regione Autonoma Trentino-Alto Adige 1,7199%
 Comune di Trento con l’1,2433%
 Camera di Commercio Industria Artigianato e Agricoltura 1,2433%
 Comune di Rovereto 0,7063%
 15 Comunità di Valle complessivamente 5,0046%
 1 Comprensorio 0,3931%
 altri 186 Comuni complessivamente 2,5577%
 Alcuni dati al 31 dicembre 2011:
 Fatturato: circa 60 milioni di Euro
 Risorse umane: 312
 Adesioni alla governance (al 31 dicembre 2012):
 208 Enti Locali
3

4. La missione
Sempre più un ruolo di “strumento di politica economica” per lo
sviluppo e la crescita del sistema economico locale nel contesto
dell’Information & Communication Technology:
 strumento di sistema, per l’ammodernamento della Pubblica
Amministrazione trentina e per promuovere lo sviluppo del contesto
socio-economico del territorio, in aderenza alle direttive provinciali
 strumento di collaborazione con le imprese ICT, consentendo ai
molteplici operatori del comparto di partecipare con continuità alla
realizzazione dei progetti di ammodernamento e digitalizzazione della
PA trentina
 strumento di innovazione, per promuovere l’innovazione nella PA
trentina, sostenendo il ruolo di utente innovatore dell’Ente pubblico,
attraverso progetti di innovazione da realizzare in sinergia
e cooperazione con le imprese ICT del territorio, ed in
collaborazione con gli Enti di Ricerca ed Alta Formazione
presenti sul territorio

5. Il “problema” della crescita ….
InfoTN
PAT PAT PAT

6. Il “problema” della crescita ….
InfoTN
Telpat
PAT PAT PAT

7. Il “problema” della crescita ….
Internet
InfoTN
Telpat PAT
PAT
PAT

8. Agenda
 La Società
 Il contesto di riferimento
 L’organizzazione di partenza
 I Managed Security Services
 Il Security Global Control Center

9. Internet….

10. … oggi
Reti di
Datacenter
Mobile
Internet
Lan
Interna
Casalingo
Reti Nomadico
DMZ

11. Le nuove guerre
Lo spazio cibernetico è un nuovo fondamentale campo di battaglia e di
competizione geopolitica nel XXI secolo
(Comitato Parlamentare per la sicurezza della Repubblica – Relazione sulle possibili implicazioni e minacce per la
sicurezza nazionale derivanti dall’utilizzo dello spazio cibernetico)
The new Pentagon strategy lays out cyber as a new warfare domain
and stresses the need to fortify network defenses, protect critical
infrastructure and work with allies and corporate partners (James
Lewis, cybersecurity expert at the Center for Strategic and International Studies)
I've often said that there's a strong likelihood that the next Pearl Harbor
that we confront could very well be a cyberattack that cripples our
power systems, our grid, our security systems, our financial
systems, our governmental systems (Pentagon chief Leon Panetta, ex CIA director)

12. Le risposte dei governi
CINA: la sola potenza emergente che abbia già sviluppato capacità
operative nei cinque domini relativi alla superiorità cibernetica:
elaborazione di una dottrina operativa, capacità addestrative, capacità di
simulazione, creazione di unità addestrate alla guerra
cibernetica, sperimentazione di attacchi hacker su larga scala
Stati Uniti: Ha creato lo “United States Cyber Command
(USCYBERCOM)” che, sotto la guida di un generale, centralizza il
comando operativo delle operazioni nel cyberspace, organizza le cyber
risorse esistenti e coordina la difesa delle reti dell’esercito americano
Italia: obiettivo 24 “Sicurezza dei sistemi informativi e delle reti” del
piano di E-Government 2012. Prevede la stabilizzazione e il
potenziamento dell’Unità di prevenzione degli incidenti informatici in
ambito SPC istituita presso il CNIPA in ottemperanza all’articolo
21, comma 51.a del Decreto del Presidente del Consiglio dei Ministri del
01/04/2008 (esiste solo sulla carta)

13. Le risposte dei privati
Dell Computer espande la sua offerta IT-as-a-Service
acquisendo SecureWorks®, uno dei più importanti
provider nel settore dei servizi di security
HP (Hewlett Packard) acquisisce Vistorm, provider di
servizi di security con una forte presenza in UK e Irlanda.
IBM acquisisce McAfee, storico marchio nel settore
dell’Information Security.

14. Information Security …..
 … è ormai un elemento essenziale per proteggere i
processi vitali per il business e i sistemi che li garantiscono
 … non è qualcosa che si compra: bisogna farla
 … non si può limitare al solo controllo del perimetro
 OGNI ELEMENTO della rete e dei sistemi ospitati deve
essere messo in sicurezza

15. Cosa dovrebbe comprendere
Firewall, router, applicativi, password
Intrusion detection
Proactive scanning, penetration testing
Monitoraggio della configurazione dei sistemi –
“Health Checking”
VoiP, Wireless, Sistemi proprietari
Monitoraggio 24x7
Analisi e correlazione
Sviluppo Sicuro
Policy, Procedure, Personale

16. La security vista dalle aziende
VOIP/WL Analisi
Policy/Personale
Monitor
VA/PT
IDS Firewall

17. Quando è efficace
 Corretta combinazione di
appliances, software, alert e vulnerability scan
che lavorano in maniera coordinata in quella che
può essere definita come “Enterprise Security
Architecture”
 Progettata per supportare gli obiettivi di sicurezza
dell’azienda
 Estesa alle policy aziendali, alle procedure e al
personale
 Monitorata 24x7

18. Security Framework
 Il Security Framework è composto da un insieme
coordinato di strumenti dedicati
 Analogo all’Enterprise management framework
 Il monitoraggio 24x7 dei dati relativi all’Information
Security è centralizzato in un Security Operations Center
 L’analisi dei dati viene effettuata utilizzando degli
strumenti di correlazione
 Possono essere utilizzati prodotti commerciali quanto
open source
 E’ opportuno basarsi sull’infrastruttura di sicurezza
esistente per sviluppare velocemente il nuovo framework

19. La gestione della sicurezza

20. Agenda
 La Società
 Il contesto di riferimento
 L’organizzazione di partenza
 I Managed Security Services
 Il Security Global Control Center

21. L’organizzazione di partenza
Incident Response Team
Area Reti
Sicurezza
Funzione
Inc
Area Sistemi

22. Pro e contro
 Pro:
 Maggior “senso” di sicurezza
 Alta conoscenza dell’infrastruttura
 Controllo di tutti i processi
 Controllo sulle scelte tecnologiche
 Contro:
 Difficoltà a mantenere un Security Program
 Eccessiva dispersione di competenze
 Sovraccarico operativo per il personale
 Finestra di servizio ampia troppo costosa

23. Agenda
 La Società
 Il contesto di riferimento
 L’organizzazione di partenza
 I Managed Security Services
 I Security Global Control Center

24. Managed o in House
 Gartner© definisce il Software as a Service (SaaS) come
“software distribuito, gestito e posseduto remotamente
da uno o più provider (Key Issues for Software as a
Service - 2007").
 Analogamente possiamo definire la “Security as a Service”
come “controlli di sicurezza che sono effettuati, distribuiti
e gestiti remotamente da uno o più fornitori.
 L’utilizzo di SaaS permette una forte riduzione dei costi e
un rapido deployment
 I Security as a Service, analogamente, garantiscono gli
stessi vantaggi

25. Managed o in House
 L’idea di consegnare le proprie informazioni a terze parti
è causa di forti resistenze e conflitti interni che, molto
spesso, impediscono una valutazione coerente dei
vantaggi, sia a livello economico che di incremento del
livello di sicurezza
 Come per il SaaS, anche nel caso dei security as a sevice
è fondamentale la scelta del provider
 Molti provider offrono i servizi di managed security solo
con l’obiettivo di avere un’offerta completa ma non
riescono a garantire elevati livelli di competenza,
disponibilità e sicurezza

26. Marketscope for MSS in Europe
Rapporto pubblicato da Gartner nel 2009 (G00171027), con
l’obiettivo di analizzare l’andamento di questo particolare
segmento di mercato in Europa, del quale si evidenziano i
seguenti elementi:
 le realtà complesse non riescono più a gestire in house, in
maniera adeguata, i servizi di sicurezza e si rivolgono a
quei soggetti che invece lo sanno fare molto bene (e solo
a quelli che lo sanno fare molto bene)
 Il mercato dei Managed Security Services (MSS) in
Europa ha ormai raggiunto un buon livello di maturità ed
è in continua crescita, sia in termini di volume che in
termini di varietà di servizi offerti.

27. Marketscope for MSS in Europe
 Nel 2009, i MSS erogati, hanno fruttato ricavi per 1.7
miliardi di dollari e permettono di stimare una crescita
annuale, nel quinquennio 2008-2013, pari al 12% in
termini di fatturato e al 14% in termini di numero di
clienti. Risulta in pratica il settore del mercato della
sicurezza con il tasso di crescita più alto.
 Un’indagine effettuata su 48 MSSP è risultato che al
momento in questo settore di mercato ci sono circa 3500
esperti di sicurezza impiegati che gestiscono circa 25000
device dedicati alla sicurezza (firewall, network IPS, and
e-mail and Web gateway devices) per circa 4000 clienti.

28. Marketscope for MSS in Europe
 I servizi più gettonati sono i seguenti:
 Firewall services
 IDS and IPS services (network and server)
 Secure Web and e-mail gateway
 Vulnerability scans
 Threat intelligence information
 Log management services
 Non si tratta di servizi per tutte le tasche. Il contratto
medio in Europa, circa il 45%, oscilla tra 100K e 500K
Euro (negli USA tra 100K e 150K e nell’area Asiatica il
57% è sotto i 150K)

29. Market overview: MSS
Rapporto pubblicato da Forrester nel 2010, con l’obiettivo di
analizzare il mercato dei Managed Security Services. Nel
documento si evidenziano i seguenti elementi:
 Dopo anni di reticenza ad esternalizzare la security, negli ultimi
anni, malgrado la crisi economica (o forse proprio grazie ad
essa n.d.r.) si assiste ad una inversione di rotta
 Il 25% degli intervistati ha esternalizzato il servizio antispam e
il 12% sta valutando di farlo nei prossimi 12 mesi
 Il 13% ha esternalizzato il servizio di vulnerability management
ed il 19% ha dichiarato di volerlo fare nei prossimi 12 mesi
 Il mercato dei MSS (stimato in 4,5 miliardi di dollari a livello
globale) ha avuto una crescita costante che, per i prossimi
anni, viene prudenzialmente valutata intorno all’ 8%

30. Market overview: MSS perché?

31. Market overview: Evoluzione dei MSS
Le nuove esigenze dei clienti:
 nuove metriche che permettano alle organizzazioni non
tanto di tagliare i costi della sicurezza quanto di spenderli
in progetti ordinati secondo una corretta priorità
 il target sensibile si è significativamente spostato dai
componenti hardware verso la debolezza delle
applicazioni
 servizi volti ad effettuare security e risk assessment
seguendo framework internazionali riconosciuti
 investigatori che analizzino le informazioni prodotte
dall’infrastruttura di sicurezza e le mettano in stretta
relazione con gli asset secondo la loro criticità

32. Quanto Managed
Il livello di esternalizzazione che si intende applicare per
ogni servizio di sicurezza DEVE essere una scelta aziendale
tra due diversi modelli:
 “Fully Managed”: tutte le attività di gestione delle
piattaforme di sicurezza vengono cedute al MSSP che, di
fatto, ne assume il totale controllo.
 “Co-Managed”: l’organizzazione mantiene il controllo delle
sue piattaforme di sicurezza e il MSSP fornisce solo servizi
di controllo, di intelligenze e/o di raccolta log.

33. MSS: Analisi SWOT?
Punti di forza (Strengths) Debolezze (Weakness)
• FOCUS – Il personale dell’IT può svolgere altri compiti • GENERICITA’ – Non è possibile customizzare le
piattaforme di security
• SKILLS – Il MSSP ha la responsabilità delle
competenze sulla security • POLICIES – Le policy di security ed IT devono
comunque essere mantenute dal cliente
• EFFICIENZA – MSSP è più efficiente nell’erogazione
del servizio • APATIA – I MSS possono generare un falso senso di
sicurezza negli utenti
• COSTI FISSI – Il costo della security è stabilito a priori
M M
L H L H
Opportunità (Opportunities) Minacce (Threats)
• I clienti possono concentrarsi sulle attività core; le • Percezione di una minore sicurezza per aver
piattaforme di ICT Security sono gestite da personale esternalizzato la gestione delle proprie piattaforme di
dedicato sicurezza
• Possibilità di restare aggiornati sulle evoluzioni senza
rallentare il core business
• I clienti possono pubblicizzare il proprio brand come
“molto sicuro” M M
H
L H L

34. Agenda
 La Società
 Il contesto di riferimento
 L’organizzazione di partenza
 I Managed Security Services
 Il Security Global Control Center

35. Il Security Global Center
SECURITY GLOBAL CONTROL CENTER
(SGCC)
INFORMATION SECURITY
Monitoraggio e
NOC ISOC Gestione
ACCESS MANAGEMENT
Monitoraggio e Network Information Security Sicurezza
Operation Center Operation Center
Gestione Reti
MONITORING
Monitoraggio
CR PSOC
Servizi
Control Room Physical Security
Operation Center
Monitoraggio
Facility
PHYSICAL SECURITY

36. La Soluzione co-Managed
 La regia e la componente autorizzativa restano alle
strutture di competenza dell’azienda
 Adozione da parte del provider delle procedure previste
nei sistemi aziendali (SGSI/ITIL)
 L’unità di crisi prevede il coinvolgimento diretto di
alcune funzioni aziendali
 Per le problematiche di sicurezza escalation verso la
funzione aziendale preposta

37. Il modello adottato
Modello REATTIVO Modello PROATTIVO
Incident/change Monitoring in real time
Decadimento Fault Incidente
prestazioni
Richiesta di assistenza dall’utente operativo sicurezza
dall’utente
Determinazione del problema Determinazione del problema
Apertura del ticket Apertura del ticket
Analisi delle cause Analisi delle cause
Azioni di I° livello Azioni di I° livello
(Applicazione di soluzioni certificate) (Applicazione di soluzioni certificate)
Supporto specialistico
Azioni di II° livello
Outsourcer Supporto Outsourcer Supporto Vendor
Sistemi Interno Security tecnologia

38. SGCC: Alcuni dati
 Tempo necessario per l’attivazione del servizio: 3 mesi
 Piena operatività (6x20 + Reperibilità 7x24): 15 mesi
 Risorse interne riallocate: 5
 Incident gestiti al 30/09/2012: 2.718
 Change gestiti al 30/09/2012: 1.098
 Richieste di assistenza al 30/09/2012: 15.502
 Richieste di Access Management al 30/09/2012: 1.098
 Vecchia finestra di presidio: 08.00-18.00/Lun-Ven
 Nuova finestra di presidio: 04.00-24.00/Lun-Sab

39. Valutazioni
 L’impatto economico della gestione dei servizi (non solo di
security) è rimasto sostanzialmente invariato
 I tempi di esecuzione delle attività connesse ai servizi
gestiti dall’SGCC sono visibilmente migliorati e garantiti da
SLA
 La finestra di servizio prolungata con presenza fisica 6X20
assicura maggior reattività in caso di incidenti
 Le competenze del personale dell’SGCC sono focalizzate
sui sistemi in gestione nell’ottica di garantire la continuità
del servizio
 Il rispetto delle policy di Informatica Trentina è “Mission
costitutiva” per l’outsourcer

40. Vrae? Questions? ¿Preguntas?
English
Afrikaans Spanish
Вопросы? Fragen?
Russian
German Ερωτήσεις;
Greek
問題呢? Domande?
Arabic
質問？ Chinese
Italian
Japanese
tupoQghachmey? Jewish
Hindi
Klingon
Quaestio? Questions?
French
Latino