Post on 21-Feb-2019
03/03/2003 2003 Copyright(C) CryptoNet SpA
1Aperti e sicuri
Paolo Da Ros, PartnerCryptoNet SpA
info@cryptonet.it - http://www.cryptonet.itVia Vespucci, 2 Milano
Via delle Montagne Rocciose 68, Roma
L’ EDP dal Data Center all’ e-business: esperienze di implementazione di
infrastrutture di sicurezza
Seminario per AlmawebBologna, 5 marzo 2003
03/03/2003 2003 Copyright(C) CryptoNet SpA
2Aperti e sicuri
Background personale
Esperienza ventennale in Siemens, Unisys, Montedison, HP, CAP Gemini.
Approccio: inizialmente reattivo (“facciamo quanto ci chiede il Mercato”); poi consulenziale, basato sulla conoscenza del mercato su scala mondiale –grazie alle partnerships con i best in class- e alle esperienze importanticercate ed accumulate
Corollario: tra i fattori abilitanti per questa rivoluzione, quasi tutti hannocaratteristiche evolutive (banda, computers, applicazioni), ed i players sarannoquelli gia’ attivi sui rispettivi mercati.
L’ unico che presenti aspetti di discontinuita’ tecnologica e’ la security. Serve a tutti, tuttavia pochi sanno farla, infine le barriere all’ ingresso sono alte.
Ipotesi: Internet e’ un fenomeno che avra’ un impatto fondamentale nell’ evoluzione della societa’. (“All of a sudden, distance no longer matters”, The Economist, agosto 1995);
Uno dei fondatori di CryptoNet nel 1995.
03/03/2003 2003 Copyright(C) CryptoNet SpA
3Aperti e sicuri
Perche’ la sicurezza e’ cosi’ importante? Ieri:
OGNI ELEMENTO DELLA RETE (COMPUTERS, LINEE DATI, APPARATI DI RETE) E’ SOTTO IL CONTROLLO DEL PROPRIETARIO DEGLI ESTREMI (DAL MAINFRAME AL SINGOLO TERMINALE).
NON ESISTE (FORSE) IL BISOGNO DI PROTEGGERE LE COMUNCAZIONI. TUTTI COLORO CHECOMUNICANO E CHE CONTROLLANO LA RETE APPARTENGONO ALLA MEDESIMA ORGANIZZAZIONE
INOLTRE: LE COMUNICAZIONI SONO BASATE SULLA COMMUTAZIONE DI CIRCUITO, E NON SULLA COMMUTAZIONE DI PACCHETTO.
L’ informatica aziendale nasce e muore dentro l’azienda.Le interazioni con il mondo “esterno” (il MERCATO) sono effettuate senza l’ intervento dell’ informaticaL’EDP e’ un mondo organizzato, coeso, disciplinato all’ interno. Nessun rischio di “contaminazione” dall’ esterno.
03/03/2003 2003 Copyright(C) CryptoNet SpA
4Aperti e sicuri
Perche’ la sicurezza e’ cosi’ importante? Oggi:
I SERVER SONO IN HOSTING PRESSO UN ISP; INTERNET E’ UNA FEDERAZIONE DI RETI SENZA UN PROPRIETARIO; I TERMINALI SONO A CASA DELL’ UTENTE, FUORI DAL CONTROLLO DI CHI “METTE LE INFORMAZIONI”.
LE INFORMAZIONI SONO A DISPOSIZIONE DI CHIUNQUE LE VOGLIA LEGGERE, LUNGO IL PERCORSO TRA CLIENT E SERVER, O PRESSO IL SERVER STESSO NEL CASO DI HOSTING.
NON CONOSCO L’ IDENTITA’ DI CHI SI COLLEGA AL MIO SERVER E NE CONSULTA LE INFORMAZIONI
L’ informatica diventa un potentissimo strumento commerciale (DELL, CISCO, AMAZON…).L’ informatica e’ lo strumento col quale l’ azienda interagisce col mercato.L’ e-commerce risulta dall’ aggregazione di entita’ giuridicamente distinte (e sottoposte a giurisdizioni separate)Maggiore e’ il numero di persone che accedono alle mie informazioni, maggiore e’ il mio successo.Il sistema su cui si svolgono le attivita’ “interne” e’ lo stesso di prima, ma adesso… e’ APERTO!!
Web Server presso ISP 1
(Isle of Man)
ISP 6(Germania)
ISP 5(Canada)
ISP 4(USA)Clienti e partners)
ISP 3(Italia)
ISP 2(Italia)
Sistema
Informativo
Aziendale
Operatori di Call Center
ClientiAgenti
Partners
Clienti
Fornitori
03/03/2003 2003 Copyright(C) CryptoNet SpA
5Aperti e sicuri
Le motivazioni alla implementazione di sistemi disicurezza:
Due diligence: L’ interconnessione dei sistemi informatici porta le proprie manchevolezze in casa dei partner, con potenzialiconseguenze negative;
Normativa europea sulla privacy, L. 675, L. 318 (la legge 675 prevederesponsabilita’ PENALI!!! –fino a due anni di reclusione-);
Basilea II e I requisiti patrimoniali “minimi” (banche)
Code of Federal Regulation #21 part 11 (Pharma)
“Cessione” del rischio RESIDUO (assicurazione)
03/03/2003 2003 Copyright(C) CryptoNet SpA
6Aperti e sicuri
L’ evoluzione dell’ e-business e’ guidata dalla ricerca del vantaggio competitivo (fonte: GIGA Group)
E-Marketing
E-Commerce
E-Reengineering
E-CRM
E-Collaboration
1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004
PeakCompetitiveAdvantage
Importanza Strategica
03/03/2003 2003 Copyright(C) CryptoNet SpA
7Aperti e sicuri
Evoluzione dell’ E-Business: Fasi e processi coinvolti (Fonte: GIGA)
2. E-Commerce
• Catalog and auction sales
• Order taking
• MRO purchasing
• Direct materials purchasing
3. E-Reengineering
• Order fulfillment
• Production
• Company planning/forecasting
• Finance
• Administration
• HR
4. E-CRM
• Personalized marketing
• Loyalty management
• Customer service
• Customer analytics
5. E-Collaboration
• Industry planning/forecasting
• Product development
• Sales/marketing Campaign devlpmt.
• Logistics mgmt.
• Risk mgmt.
1. E-Marketing
• Product marketing
• Company marketing
• Online advertising
03/03/2003 2003 Copyright(C) CryptoNet SpA
8Aperti e sicuri
Valore della transazioneLiv
ell
id
ifi
du
cia
e c
on
fid
en
ziali
ta’
Web Informativo
Shopping
Servizi / Supporto
Inserimentoordini
Acquisti
Integrazione dei clienti
L’ uso del WWW continua a crescere, ma…
• informazioni riservate di Clienti, Partners, Fornitori possonoessere intercettate;
• Transazioni di tipo diverso richiedono livelli di sicurezza diversi
03/03/2003 2003 Copyright(C) CryptoNet SpA
9Aperti e sicuri
Auditing
Virus
Prevention
Intrusion
Detection
Users/Group SSO Authentication
Authorization
(A C, cookies..)
Network
Integrity
System
Integrity
Data
Integrity
User Profile
Integrity
Application
Integrity
Firewall Router Virtual LAN
Encryption Digital SignatureHashing
Token e SmartCard
VPN
VPDBRisk
Assessment
Risk
Analysis
Le tecnologie
POLICIES
03/03/2003 2003 Copyright(C) CryptoNet SpA
10Aperti e sicuri
Cryptonet S.p.A. Security Management
MethodologyRisk Analysis Risk Management
Identification of Assets Valuation of Assets Risk Assessment
Services/Business Processes Identification
Assets Identification
Data flow Identification
Asset Modeling
Report Generation
Data Assets Identification
Software Assets Identification
Physical Assets Identifications
Assets Valuations
Impact Assessment
Report Generation
Data Assets Valuations
Software Valuations
Hardware Valuations
Creating Threats-Assets Association
Threats Assessment
Vulnerability Assessment
Measure of Risk
Report Generation
General threats assessment
Penetration tests
General vulnerabilies assessment
Penetration tests
Countermeasure Management GAP Analysis
Countermeasure Identification
High Level Security Policies
EDP Security Policies
Report Generation
Making recommendations
Prioritising countermeaseures
Identifying existing countermeasures
Investigating differences
Producing required contermeasures
Report Generation
03/03/2003 2003 Copyright(C) CryptoNet SpA
11Aperti e sicuri
Impatti Minacce Vulnerabilita’
Rischi
Contromisure
Analysis
Management
Risk Analysis & Management
03/03/2003 2003 Copyright(C) CryptoNet SpA
12Aperti e sicuri
Il processo di Risk ManagementIl ciclo di vita
Risk AnalysisIdentificazione dati & processi;Analisi Vulnerabilita’ e Minacce
Pianificazione degli
interventi realizzativi
Studi Fattibilità
ImplementazioneGestioneMonitoraggio
Politiche di Sicurezza
Risk ManagementIdentificazione delle contromisure
03/03/2003 2003 Copyright(C) CryptoNet SpA
13Aperti e sicuriFASE1:IDENTIFICAZIONE DEGLI ASSETS
GRUPPI DI DATI (20)• DATI ACCREDITI STIPENDI• DATI LIQUIDAZIONE TRASFERTE• DATI POSTA ELETTRONICA CRITICA• DATI PRESENZE xxx• DATI PRESENZE xxx (WEB)• DATI PRESENZE xxx GEST• DATI RETRIBUZIONE DIRIGENTI• DATI RETRIBUZIONI• DATI STAMPE CEDOLINO• DATI STATISTICHE UFFICIO
PERSONALE xxx• DATI TIMBRATURE xxx• DATI VISITE MEDICHE• DATI A/C TRASFERTE xxx• ………………
FLUSSO DI ALTO LIVELLO
CONCLUSIONI ATTIVITA’:• 20 DIFFERENTI FLUSSI• DISEGNO ARCHITETTURA RETE (LAN xxx, WAN qqq, GSP, yyy..) • CENSIMENTO DI TUTTI GLI APPLICATIVI, DEI SERVER DI PRODUZIONE,
DEI DISPOSITIVI DI RETE E DELLE LOCATION• INDIVIDUAZIONE DELLE RESPONSABILITA’ DI GESTIONE DEGLI ASSET• PIU’ DI 40 INTERVISTE CON PERSONALE COMPETENTE• VISIBILITA’ COMPLETA SUI PROCESSI E FOTOGRAFIA DELLO STATO
ATTUALE
Router crgpusm3
Router Elga
Rete GSP 7° Piano
Switch Layer 3
xx.31.0.0Sviluppo
xx.31.200.0LAN Office
xx.31.0.0
Router con ACL Router con ACL
xx.31.29.0T&T
(Target & Tracing)
xx.31.30.0Postel
xx.19.4.0
xx.19.36.0255.255.252.0
DMZ
Server Sviluppo
Server
Utenti Sviluppo
Utenti xxx conSAP GUI RAS
Routercon ACL
DISEGNO DELLE RETI
DATI STAMPE CEDOLINO
|
|_____ STAMPE CEDOLINO
| |_______ HOST NAPOLI
| |____CED NAPOLI
| |_______ ROUTER CRGEPUSM0
| |_______ LAN C.S. GEST Firenze
| |_______ PC operatori GEST
| |_______ Firewall Servizi
………….
………….
|_____ Software Applicativo 1
| |_______ Hardware 1 (Network Server,…)
| |____Location 1 (CED, stanza xyz,…)
|
|_____ Software Applicativo 2
| |_______ Hardware 2
| |____Location 2
|
|_____ Media (dischi, nastri, documenti cartacei,..)
ASSET MODEL
PROCESSO MACRODATO APPLICATIVI SERVER A/C TRASFERTE XXX
DATI A/C TRASFERTE XXX SAP XXX SERVER SAP XXX
A/C TRASFERTE XXX GEST
DATI A/C TRASFERTE XXX GEST
PAS2 HOST BBB
ACCREDITI STIPENDI
DATI ACCREDITI STIPENDI HOST BBB ;
RISK SVSTE ;
AGGIORNAMENTI ANAGRAFICI DIRIGENTI
DATI AGGIORNAMENTI ANAGRAFICI DEI DIRIGENTI
GEPE SERVER GEPE
AGGIORNAMENTI ANAGRAFICI
DATI AGGIORNAMENTI ANAGRAFICI
PAS2 ; SAP XXX ; SAP XXX GEST SIP
HOST BBB ; SERVER SIP ; SERVER SAP XXX GEST ; SERVER SAP XXX
FONDO PREVIDENZIALE INTEGRATIVO
DATI FONDO PREVIDENZIALE INTEGRATIVO
GEPE; PAS2
HOST BBB ; SERVER GEPE
END USER SERVICE:Stampa Cedolini
Host Pas2
Operatore
Stampa cedolini
Dipendenti
Server
ftp
Sportello
Stampante
remota
Stampante
locale
Spooler Remoto
Operatore
Stampante
localeWAN
Stampa
cedolini
dipendenti
paga
CED
Server
KODAK1
KODAK2
CD
CDCASSETTE
I cedolini dei dipendenti vengono stampati presso il Centro Servizi con sede a XXXX e consegnati ai vari Centri Servizi che si occuperanno della distribuzionetramite sportello……..
03/03/2003 2003 Copyright(C) CryptoNet SpA
14Aperti e sicuri
STIMA QUANTITATIVA PER 36 DIVERSI TIPI DI MINACCE
FASE 2: MINACCE, VULNERABILITA’, RISCHIO
Mascheramento dell’identità dell’utente da parte di personale interno ed esterno;utilizzo non autorizzato di un’applicazione;Errori nello sviluppo degli applicativiInfiltrazione, monitoring delle comunicazioni;inserimento di software doloso (virus);guasti tecnici dei server, delle stampanti, dei dispositivi di rete;errori degli operatori, degli utenti;danneggiamento a causa di incendio, allagamenti;danni causati dalla scarsità di personale;furti da parte di personale interno e persone esterne;danneggiamento doloso da parte di personale interno.
Servizi
Server e dispositivi di rete
Applicativi
Locations
AS
SET M
OD
EL
• Le valutazioni sono state eseguite con l’ausilio di questionari, tramiterilevazioni puntuali e interviste con ilpersonale competente (rete, applicativi, processi..)
• Stima quantitativa per minacce e vulnerabilità
UN ESEMPIO….Mascheramento dell’identità da parte di utenti interniAsset: !POSTA ELETTRONICA CRITICA
Minaccia Vulnerabilità Impatto M d RIndisponibilità - 1 giorno VH H 2 4Divulgazione verso l’interno VH H 6 6Divulgazione verso i consulenti VH H 6 6Divulgazione verso l’esterno VH H 6 6
L’elevato livello di rischio sulla divulgazione e sulla modifica dipende dal fatto che la password daccesso alla posta elettronica viene trasmessa in chiaro sulla rete. Potenzialmente, unmalintenzionato potrebbe intercettare la password di un utente ed utilizzarla per accedereall’utenza di posta elettronica dell’utente stesso (il servizio di posta si basa sul POP)…
03/03/2003 2003 Copyright(C) CryptoNet SpA
15Aperti e sicuri
RISULTATI – PRINCIPALI RISCHIOSITA’
Mascheramento dell’identità, infiltrazione nelle comunicazioni, intercettazione dellecomunicazioni, manipolazione dellecomunicazioni, caduta delle comunicazioni,
inclusione di codice maligno, errori utenti
ACCREDITI STIPENDIAGGIORNAMENTI ANAGRAFICIDIRIGENTIAGGIORNAMENTI ANAGRAFICIFONDO PREVIDENZIALE INTEGRATIVOPOSTA ELETTRONICA CRITICAREPORTISTICA CENTRO SERVIZI xxx GESTGESTIONE RETRIBUZIONE DIRIGENTIRETRIBUZIONISTAMPE CEDOLINISTATISTICHE DEI DIRIGENTISTATISTICHE UFFICIO PERSONALE xxxVISITE MEDICHEPC OPERATORI GEST, xxx
PROCESSI CRITICI DATI STAMPE CEDOLINO
|
|_____ STAMPE CEDOLINO
| |_______ HOST NAPOLI
| |____CED NAPOLI
| |_______ ROUTER CRGEPUSM0
| |_______ LAN C.S. GEST Firenze
| |_______ PC operatori GEST
| |_______ Firewall Servizi
………….
………….
|_____ Software Applicativo 1
| |_______ Hardware 1 (Network Server,…)
| |____Location 1 (CED, stanza xyz,…)
|
|_____ Software Applicativo 2
| |_______ Hardware 2
| |____Location 2
|
|_____ Media (dischi, nastri, documenti cartacei,..)
ASSET MODEL
UN ESEMPIO•Il trasferimento dei dati relativi ai cedolini
da stampare avviene con FTP in chiaro sulle reti LAN C.S. GEST zzz, …..
•E’ possibile inviare sulle stampanti remotedati sensibili senza controlli
……
UN ESEMPIO•non esistono procedure di controllo dei log di sistema (audit);•il sistema di posta elettronica utilizza un sistema con trasmissione sulla rete delle password in chiaro;•non sono chiaramente definite le modalità di gestione delle Access Control List sui router principali;•tutte le LAN del gruppo qqq sono abilitate in accesso dal routerCRGEPUSM0 ai servizi SAP e internet;•gli operatori xxx GEST accedono al SAP xxx S.p.A. tramite utenze collettive;•molti server di produzione hanno attivo il servizio ftp in chiaro che risulta contattabile dalla rete interna di xxx S.p.A.;
03/03/2003 2003 Copyright(C) CryptoNet SpA
16Aperti e sicuri
4. L’ output della Risk Analisys (1)
1 ….2 Di minima
rilevanza 3 ….4 di media rilevanza9 …..10 uscita dal
business
1 ….2 Mette in crisi il processo 3 ….4 Mette in crisi più processi9 …..10 mette in crisi l’operatività
dell’azienda
03/03/2003 2003 Copyright(C) CryptoNet SpA
17Aperti e sicuri
Po
litic
he
di s
icu
rezz
a
Fir
ewal
l e d
iseg
no
nu
ovo
per
imet
ro
IDS
Dis
aste
r re
cove
ry
VP
N
Po
sta
sicu
ra
Cer
tifi
cati
dig
ital
i
Pen
etra
tio
n t
est
Rid
iseg
no
arc
hit
ettu
rad
i ret
e in
tern
a
Rete interna (server,router..)
CED XXXXX
Posta elettronica riservata
Dati office riservati
PC Utenti interni Cliente
Log accessi Internet
Log chiamete telefoniche
Retribuzione del personale
Server Web Internet
Servizio Extranet
Fo
rtif
icaz
ion
e W
eb
Au
ten
tica
zio
ne
fort
e
30/40%
fino a 180 ML
60%
fino a 380 ML
90%
fino a 750 ML
4. L’ output della Risk Analisys (2)
03/03/2003 2003 Copyright(C) CryptoNet SpA
18Aperti e sicuri
Il nome del gioco e’
PKI Infrastructure•Entrust•Baltimore•Microsoft ADS
Auditing•NT Logs (Event, IIS, Backup)•Syslog, Registry•SNMP, Database logs,etc.
Application Framework•CORBA IIOP•Allaire WWDX•BEA Weblogic•JDBC Accessible DBs
IDS & Sniffers•RealSecure, Axent, CyberCop•Tripwire, TCPDump•Dragon, etc.
Network Based Scanners•ISS, Axent ESM, CyberCop•Nmap, SScan.
Firewalls•Sessionwall, Gauntlet, PIX•CheckPoint, Linux, Proxy Server
Anti-Virus•DataFellows, •McAfee, Norton,etc.
Help Desk•Remedy, Heat•Lotus Notes,etc.
Physical Security•Swipe Cards•Physical Locations
E-Mail, fax, Pagers•SMTP, POP, IMAP•Lotus Notes,SMS,•MS Fax, etc.
Telephone Systems•Bell Meridien Switches
Enterprise Systems•Oracle Apps, SAP, PeopleSoft
Enterprise Knowledge•Policy, Procedures, Risks,•Compliance, Contracts
IT Security Management
Framework(Policies & Technologies)
“padroneggiare la complessita’ ”
03/03/2003 2003 Copyright(C) CryptoNet SpA
19Aperti e sicuri
Cosa consente una VPN?
corporate LAN
telecommuters& mobile users
branch office
partners, customers& suppliers
InternetInternet
Tutti coloro che ne hanno necessita’ e permesso sono collegatimediante Internet, ma in modo SICURO (cifrato, autenticato, con garanzia di integrita’)
Una tecnologia interessante: le Virtual Private Networks
03/03/2003 2003 Copyright(C) CryptoNet SpA
20Aperti e sicuri
Il mistero delle VPN:Una tecnologia che ha un ROI a quattromesi;Non intrusiva sulle applicazioni;
Massimizza la mobilita’ e la flessibilita’;
Riduce la complessita’ organizzativa;
Eppure… Il tasso di adozione e’ minimale
La spiegazione? Complessita’ concettuale
Consente di integrare i Business Partners in settimane;
03/03/2003 2003 Copyright(C) CryptoNet SpA
21Aperti e sicuri
ID Task Name Duration
1 Definizione del Progetto PKI (Interna) 141 days
2 Fase 1 94 days
3 Project Start-up 94 days
4 Project Scoping and Planning 35 days
11 Definizione Architetturale 39 days
12 Piano della sicurezza 39 days
13 Sicurezza organizzativa 17 days
17 Sicurezza fisica 28 days
23 Sicurezza Logica 30 days
33 Progetto esecutivo della PKI 71 days
34 Progettazione della directory 23 days
46 Definizione del formato del Certificato 12 days
51 RA e Auto RA 61 days
52 Procedure di registrazione RA 40 days
53 Definizione dei requisiti 10 days
54 Segmentazione dell' utenza 35 days
55 Valutazione dell' impatto organizzativo 30 days
56 Integrazione applicativa con procedure pre esistent 15 days
57 Procedure di registrazione Auto RA 28 days
62 Validazione del progetto 3 days
64 Stesura e validazione del piano di collaudo 21 days
68 Progetto esecutivo applicazioni 32 days
69 SAP 13 days
74 Portale Internet 32 days
79 Posta Elettronica 20 days
84 Fase 2 41 days
T F S S M T W T F S S M TMar 27, '00 May 15, '00 Jul 3, '00 Aug 21, '00 Oct 9, '00 Nov 27, '
I benefici di un approccio metodologicamente fondato:La messa sotto controllo della complessita’
03/03/2003 2003 Copyright(C) CryptoNet SpA
22Aperti e sicuri
Ma e’ veramente cosi’ complesso?
Se si parla della stessa infrastruttura per 2000 –5000 utenti con 3-4 applicazioni standard 3 mesi sono un elapsed time ragionevole.Per una PKI per una singola applicazione bastano alcune settimane
Se parliamo di una infrastruttura che possa servire alcune decine di societa’ e 100.000 utenti… Si!! Serve tempo (6-8 mesi) per capire i businesss requirements e le implicazioni organizzative, disegnare l’ architettura, implementarla, addestrare gli utenti, integrare le prime applicazioni e trasmettere la cultura di “come funziona”, rendere il Cliente autosufficiente nellagestione.
E poi… Ad averlo gia’ fatto, non e’ complicato: e’ solo questione ditempo.
Se si vuole implementare un sistema di PKI per m-commercel’ ordine di grandezza non cambia –2/3 mesi- ( e simultaneamenteabbiamo anche un lettore di smartcards universalmente diffuso!!!)
03/03/2003 2003 Copyright(C) CryptoNet SpA
23Aperti e sicuri
Come mai e’ complesso?
Marketing
Orders
Procurement
Customer Service
Production
Delivery
Finance
HR
Sales
CustomerLoyaltyMgmt.
DirectInput
Purchasing
RiskMgmt.
ProductDevelopment
Payment
Global 2000Company
Per la complessita’ dei problemi che si vuole risolvere (fonte: GIGA)
La terza fase nell’ implementazione dell’ e-business: E-Reengineering, Usare Internet e le tecnologiebasate su Internet per il miglioramento di tutti i processi di business
03/03/2003 2003 Copyright(C) CryptoNet SpA
24Aperti e sicuri
La proliferazione delle applicazioni da integrare nella piattaforma(fonte: GIGA). In azzurro quelle gia’ viste sulla Clientela Italiana
Applications• Web servers
• Content management
• Ad networks
• Simple E-mail marketing
Applications• Commerce
servers
• E-procurement
• Personalization tools
• Auctions/ reverse auctions
Applications• Web-extended
ERP production
• Web-enabled ERP HR, admin. and finance systems
• Web HR and finance apps.
• Internal supply chain management
Applications• Multichannel
customer contact management
• Permission marketing
• Customer analytics and data mining
• Channel partner CRM
• Sales-force automation
• E-customer service
Phase 1Phase 1EE--MarketingMarketing
Phase 2Phase 2EE--CommerceCommerce
Phase 3Phase 3EE--ReengineeringReengineering
Phase 4Phase 4EE--CRMCRM
Phase 5Phase 5EE--CollaborationCollaboration
Applications• Multicompany
supply chain management
• Collaborative product development
• Collaborative (B2B2C) selling
• Collaborative customer service
• Collaborative vendor managed inventory
• Collaborative logistics management
03/03/2003 2003 Copyright(C) CryptoNet SpA
25Aperti e sicuri
Security Policy, Infrastruttura fisica sicura, servizi di piattaforma, networking, PKI, Directory services, Smart Card management
Help Desk e supporto centralizzato
MES SAGING
HUMAN
RESOURCES
E-PROCUREMENT
COOP
ENGINEERING
End Users
S
F
A
E-CRM
E
R
P
Qual’ e’ l’ architettura di riferimento?
03/03/2003 2003 Copyright(C) CryptoNet SpA
26Aperti e sicuri
Necessita’ di un approccio evolutivo
Nel mondo dei sistemi distribuiti, la security cessa di essere uno strato applicativo a se’ stante, specifico ad ogni applicazione, e diviene un elemento fondante della infrastruttura. Questo e’ l’unico modo per ottenere coerenza, gestibilita’, semplicita’ d’ uso.
La migrazione dalla security come fatto applicativo alla security come fatto infrastrutturale non puo’ prescindere dallo Status Quo, e richiede gradualita’ ed interventi pianificati.
Occorre inoltre effettuare scelte che tengano conto dell’ inerzia legata alle infrastrutture: se una architettura applicativa dura 10 anni, una architettura infrastrutturale ne dura dai 20 ai 30.
Per consentire alla Corporate di sfruttare le potenzialita’ offerte dal mondo *net e’ necessario separare lo strato dell’ Authentication -organizzativo- da quello dell’ accesso ai sistemi -tecnologico-, mediato da quello dell’ Authorization -organizzativo, ancora-.
In questo modo, la tendenza della tecnologia verso la maturazione di vere e proprie Privilege Management Infrastructures viene introdotta in maniera raccordata a quanto gia’, nellevarie infrastrutture tecnologiche, e’ stato messo a punto nel corso degli anni.
03/03/2003 2003 Copyright(C) CryptoNet SpA
27Aperti e sicuri
Conclusioni
La complessita’ della Security e’ legata all’ intreccio di aspetti legali, tecnologici, organizzativi. Per dominare la complessita’ occorre un approccio ORGANICO.
Le linee guida di un approccio organico sono:
1. Chiara definizione di RUOLI e RESPONSABILITA’2. GESTIBILITA’ (lato Corporate), 3. UNIFORMITA’ e SEMPLICITA’ D’ USO (lato Utente),4. Economicita’ di esercizio
Senza una visione organica la sicurezza “non scala”: se non gestite a livello architetturale, le inconsistenze esistenti tra le varie tecnologie ne paralizzano il deployment. Implementare un firewall, un IDS ed una VPN, e sperare che questi componenti si integrino nella gestione non e’ realistico.
Altro esempio: usare tokens per one-time passwords per l’ authentication rendera’ complessa l’ introduzione della firma digitale e delle smart cards.Oppure: introdurre sistemi di authentication specifici a livello applicativo genera la crescitaesplosiva del numero delle passwords, con conseguente inefficienza e, in ultima istanza, diminuzione della sicurezza
La security e’ fondamentale per l’ e-business per motivi legali, di rispetto della privacy, difiducia tra business partners e con i Clienti, e sopratutto per abilitare il cambiamento.