3 Marzo 2011 Bologna - Hotel Savoia Regency
11 Marzo 2011 Bari – Hotel Sheraton Nicolaus
Le giornata è stata dedicata alla presentazione di CIPS come distributore di servizi e prodotti per la sicurezza informatica con la seguente agenda comune ai due eventi:
10.00 CIPS Mario Menichetti - Amministratore
Soluzioni integratee servizi per i rivenditori Vantaggi della partnership
10.30 GFI - Maurizio Taglioretti Sales Manager GFI SEMEA
Soluzioni di sicurezza, archiviazione e messaggistica Roadmap 2011
11.30 Coffee break
12.00 ANTARES – Vincenzo Corradi CEO Antares
Conservazione dei log ed immodificabilità a norma di legge La tecnologia a supporto delle indagini informatiche
13.00 Light lunch
14.00 GATEPROTECT Mario Menichetti (Francesco Dibartolo nella sessione di Bologna)
Durante l'intervento, attraverso una demo live, verrà presentato un metodo innovativo per amministrare le soluzioni di sicurezza in grado di offrire significativi risparmi in termini di costi e tempi di gestione.
15.00 Coffee break
15.30 Profili normativi - Avv. Giuseppe Serafini (Presidente CSIG Perugia)
Dlgs 196/03: Normativa vigente e vincoli tecnici Profili normativi in materia di sicurezza informatica
16.30 Q&A
17.00 Fne lavori
Mario Menichetti , amministratore di CIPS, dopo il benvenuto ha presentato la filosofia di selezione dei prodotti e servizi e le modalità di partnership che CIPS propone.
CIPS vanta una decennale collaborazione con il Centro Studi Informatica Giuridica – Osservatorio di Perugia ed, in particolar modo con l'Avv. Giuseppe Serafini, presidente dello stesso organismo e con il portale Telediritto.it.
Collaborazioni con CSIG
Villa Franchetti -L'attuazione del dovere di sicurezza, le norme del disciplinare tecnico
Fondazione Cassa di Risparmio di Perugia – Dalle Misure Minime al DPS
Tribunale di Foligno – Dalle misure minime al DPS
Sala Consiliare Comune di Città di Castello – Internet e minori
Università di Perugia – Sicurezza nei Sistemi Operativi e protezione delle telecomunicazioni
CRITERI DI VALUTAZIONE ADOTTATI
Ci siamo soffermati sull'importanza della determinazione dei criteri di valutazione di una soluzione di sicurezza informatica introducendo in particolare le norme ISO 27001-2 (ex BS17799) e la loro trasposizione nella attuale normativa italiana.
| BS17799 – ISO 27001/2 |
| Business Continuity Planning |
Personnel Security |
| System Access Control |
Security Organisation |
| System Development & Maintenance |
Computer & Network Management |
| Physical & Environmental Security |
Asset Classification & Control |
| Compliance |
Security Policy |
Queste definiscono la traccia da seguire per progettare, realizzare e gestire un sistema informatico sicuro.
La problematica che si pone è quella dell'armonizzazione delle norme ISO suddette con la particolare normativa italiana. Questo perché la realizzazione di un sistema informatico sicuro a norma ISO, prevede controlli e l'utilizzo di strumenti "invasivi" in particolare per la tracciatura delle attività degli utenti. D'altra parte anche la normativa italiana impone un livello di protezione della rete e l'adozione di meccanismi atti a prevenire e contrastare gli accessi non autorizzati al sistema.
Da tenere in considerazione sono i seguenti:
Profili Normativi
- Art 615-ter cp - Definisce il reato di chi abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo.
- D.L. 231/01 - Responsabilità amministrativa delle persone giuridiche
- Dlgs 196/03 -Tutela del trattamento dei dati personali
- Assoggettamento dell'attività di trattamento dei dati personali all art 2050 cc
- Provvedimento del Garante del 27/11/2008 modif. 25/6/2009 (Log Amministratori)
- All.Tecnico B Dlgs 196/03 -Misure minime
- ISO27002 (exBS17799 ) - Requisiti per l'implementazione, realizzazione e documentazione di ISMS:Information Security Management Systems
- Legge 23 dicembre 1993 n. 547 -Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica
- Legge 300 del 1970 - Statuto dei Lavoratori – Art.4: Controllo a distanza del lavoratore
- Provvedimento del Garante per la protezione dei dati personali – 27 Dicembre 2008
Le soluzioni presentate sono state proposte nella configurazione ottimale per realizzare una effettiva protezione della rete sia alla luce delle norme ISO che alla luce della normativa vigente.
In dettaglio nelle sessioni di Bologna e Bari sono state presentate le soluzioni:
Tutte le soluzioni proposte da CIPS vengono prima installate nei nostri laboratori per verificarne l'ambito operativo specialmente in relazione alla specifica ISO e al particolare schema normativo italiano.
La particolare configurazione proposta è schematizzata dal seguente diagramma:
La soluzione realizza un sistema di gestione e controllo degli eventi che si verificano nella rete, attraverso la raccolta e l'analisi dei log eventi. Per Questo abbiamo identificato GFI EventsManager,un prodotto che nasce come strumento di ausilio agli amministratori di rete per il controllo e la gestione di qualsiasi evento. Nel quadro italiano, è stata studiata e messa a punto una configurazione per la raccolta dei log in maniera conforme.
Con BlackBox di Antares, risolviamo il problema della conservazione e consultazione dei log raccolti a norma di legge. Utilizza un sistema di crittografia RSA 2048 bit e il particolare protocollo Antares, che prevede la conservazione della chiave di decrittazione presso una autorità esterna, ci permette di affermare l'immodificabilità dei log raccolti da parte dell'amministratore di sistema.
Con Gateprotect abbiamo a disposizione uno strumento potente e semplice (eccezionale l'interfaccia eGUI) per la gestione della protezione perimetrale. In particolare:
- Interfaccia eGui
- Utilizzo di più connessioni Internet in load balancing e/o failover
- La pubblicazione di servizi in DMZ su linee ridondate
- La configurazione di VPN PPTP, L2TP, SSL in pochi click anche Site to Site
- Controllo centralizzato tramite Command Center di più firewall
Il sistema presentato, realizza quanto ci eravamo proposti non stravolgendo le architetture esistenti e introducendo strumenti efficaci ed effettivi: di semplice gestione.
Non teniamo in particolar conto l'aspetto commerciale bensì l'effettività della soluzione ha per noi e per i nostri partner una valenza superiore.
Una della caratteristiche principali che richiediamo alle soluzioni è l'effettività ovvero la realizzazione effettiva di quanto richiesto come obiettivo nella semplicità di utilizzo: una soluzione complicata nella gestione è una falla nel sistema di sicurezza.
UNA SOLUZIONE NON AGEVOLMENTE GESTIBILE É UNA FALLA DI SICUREZZA
Nell'ambito della prima parte del meeting, Mario Menichetti ha introdotto la soluzione di CIPS per quanto riguarda la protezione perimetrale, il controllo degli eventi e la raccolta dei log in aderenza al provvedimento del 27/12/2008 del Garante per la protezione dei dati personali.
A seguire, Maurizio Taglioretti Responsabile SEMEA (South Europe-Middle East and Africa) di GFI, ha presentato le nuove versioni dei prodotti specifici per la realizzazione di un sistema di gestione e controllo della rete. Nell'ambito della presentazione sono state presentate le nuove acquisizioni ed indicate le linee di sviluppo futuro di GFI.
L'ing. Vincenzo Corradi di Antares, ha presentato la soluzione di memorizzazione dei log a norma di legge in dettaglio esponendo il meccanismo di cifratura dei log raccolti attraverso ESM di GFI e la loro conservazione. La possibilità di accesso e modifica dei log degli accessi dell'amministratore di sistema è un MUST da quando la direttiva del Garante del 2//12/2008, ha imposto questo tipo di attività a tutte le entità che trattano dati personali in formati elettronico. La soluzione Antares risolve il problema dell'accesso improprio a questi log e quindi in violazione all'art.4 dello Statuto dei Lavoratori.
Dopo il break è stata presentata la soluzione Gateprotect per la protezione perimetrale e UTM. E' stata presentata una demo live sia della componente di Administration Client che di Command Center. In particolare è stata evidenziata la semplicità di configurazione e le caratteristiche principali.
A seguire, ma anche durante tutte le presentazioni, l'avv. Giuseppe Serafini presidente del Centro Studi Informatica Giuridica - Osservatorio di Perugia e nella sessioni di Bari anche l'avv. Vito Pasciolla del Centro studi Informatica Giuridica - Osservatorio di Bari, hanno fornito interessantissime informazioni riguardo lo stato dell'arte in materia di giurisprudenza sulle nuove tecnologie. In particolare il focus del dibattito si è concentrato sulla differenza tra misure minime e misure idonee.
Gli argomenti trattati, hanno spaziato dalla normativa sulla privacy all'accesso abusivo alle indagini forensi con particolare riferimento alle soluzioni presentate da CIPS coinvolgendo gli intervenuti risultando, a nostro avviso un ottimo contributo alla diffusione delle conoscenze nell'ambito dell'IT Security.