© 2008 IBM Corporation
ibm.com/services/it
Information Security Framework (ISF): Approccio Globale alla Sicurezza
© 2008 IBM Corporation
Rispondere alle aspettative crescenti dei Clienti
Garantire Conformità a leggi e standard
Garantire la ContinuitàOperativa
Garantire Collaborazione e Cooperazione Crescente
Proteggere nel tempo il patrimonio di informazioni
Ottimizzare gli investimenti
Garantire la Sicurezza e la Privacy degli asset
Semplificare i processi Migliorare il livello dei
servizi
Garantire il Governo delle soluzioni di
sicurezza
Gestire crescenti volumi di dati
Applicare le nuove tecnologie in sicurezza
I punti di attenzione in ambito Sicurezza
© 2008 IBM Corporation
Information Security Framework (ISF)Approccio globale basato su standard internazionali, esperienze progettuali e
best practices di settore
Standard Internazionali(ISO/IEC 27001,
ISO 25999)
Esperienza del team
globale IBM (Organizzativa/Tecnologica)
Best Practice
(Cobit, ITIL)
Enterprise Information Management & Privacy
IBM Information Security Framework
GovernanceGovernance
PrivacyPrivacy
Threat mitigationThreat mitigation Transaction and data integrityTransaction and data integrity
Identity andaccess management
Identity andaccess management Application securityApplication security
Physical securityPhysical security Personnel securityPersonnel security
© 2008 IBM Corporation
IBM Information Security Framework
GovernanceGovernance
PrivacyPrivacy
Threat mitigationThreat mitigation Transaction and data integrity
Transaction and data integrity
Identity andaccess management
Identity andaccess management Application securityApplication security
Physical securityPhysical security Personnel securityPersonnel security
Information Security Framework (ISF)comprendere e migliorare i “livelli di maturità” per ciascuna tematica
Identificare i livelli di maturità per i diversi obiettivi di sicurezza:
Analizzare gli attributidelle tematiche di
sicurezza:
© 2008 IBM Corporation
Information Security Framework (ISF)analisi degli attributi relativi alle tematiche di sicurezza
Security principles:Definizioni di valore che ilbusiness richiede per realizzare la sicurezza(incluso il trust model, e l’asset profile)
Security processes:Attività relative all’applicazionenell’organizzazione dipolicies e standards
Security procedures:Step operativi specificinecessari per raggiungere gli obiettiviindicati nelle policies
Security policy:Regole di sicurezza che devonoessere osservate (incluso risk analysis e risk management)
Security architecture:Specifica come integrare le tecnologie (incluso trust model, asset profile)
Security products:Prodotti specifici e tool di sicurezza
Security standards: Set di regole per applicare le policy. Gli standard forniscono indicazioni sutecnologie, metodologie, procedure operative ed altri elementi di dettaglio
© 2008 IBM Corporation
Information Security Framework (ISF)fornisce il riferimento per la misurazione dei livelli di maturità (capability)
Level 5 Optimizing : capability cresce ed abilita il business
Level 4 Efficient : capability viene misurata e funziona efficacemente
Level 3 Capable : piena approvazione aziendale di principi, policies e processi
Level 2 Basic : impegno base per sviluppare la capability, confinato ad una parte del business
Level 1 Initial : capability non è presente o esiste ad un livello primitivo di sviluppo
© 2008 IBM Corporation
Servizi consulenziali a supporto della conformità alle normative di legge / standard e verifica modello di governo
� Standard ISO/IEC 27001: Assessment impostazione del Sistema di Gestione della Sicurezza delle Informazioni (SGSI), supporto alla certificazione
� Assessment e Piano di Sviluppo della Sicurezza (basato su IBM ISF, Direttiva Stanca, Norme Unificate, Codice Amministrazione Digitale, etc.)
� Analisi e gestione dei rischi, Piano Strategico di Sicurezza, Organizzazione, Politiche e Procedure di sicurezza
� Sistemi di controllo e verifica della sicurezza (logging, monitoring e auditing system: TCIM, TSOM)
Information Security Framework (ISF): Governance
IBM Information Security Framework
GovernanceGovernance
PrivacyPrivacy
Threat mitigationThreat mitigation Transaction and data integrity
Transaction and data integrity
Identity andaccess management
Identity andaccess management Application securityApplication security
Physical securityPhysical security Personnel securityPersonnel security
© 2008 IBM Corporation
Servizi consulenziali a supporto della Privacy Governance (Dlgs 196/03 – TU Privacy)
� Assessment adempimenti legali, organizzativi e di processo e sviluppo piano di adeguamento
� Analisi dei Rischi e Assessment Misure Minime e Idonee di Sicurezza e sviluppo piano di adeguamento
� Supporto allo sviluppo e compilazione del Documento Programmatico sulla Sicurezza
� Supporto specifico per videosorveglianza, biometria
Information Security Framework (ISF): Privacy
IBM Information Security Framework
GovernanceGovernance
PrivacyPrivacy
Threat mitigationThreat mitigation Transaction and data integrity
Transaction and data integrity
Identity andaccess management
Identity andaccess management Application securityApplication security
Physical securityPhysical security Personnel securityPersonnel security
© 2008 IBM Corporation
� Disegno sicuro della rete
� Sistemi di sicurezza della rete: FW, IDS/IPS, VA, NIDS/HIDS - Soluzioni ISS
� Vulnerability assessment e penetration test
� Managed Security Services
� Security Operation Center ed integrazione con altri sistemi di sicurezza logica e di sicurezza fisica
� Processo e procedure di gestione delle anomalie e degli incidenti
Information Security Framework (ISF): Threat Mitigation
IBM Information Security Framework
GovernanceGovernance
PrivacyPrivacy
Threat mitigationThreat mitigation Transaction and data integrity
Transaction and data integrity
Identity andaccess management
Identity andaccess management Application securityApplication security
Physical securityPhysical security Personnel securityPersonnel security
© 2008 IBM Corporation
� Disegno e Realizzazione di soluzioni per la gestione delle identità ed il controllo degli accessi su tutte le piattaforme elaborative del dominio dell’amministrazione (Soluzioni Tivoli, con certificazione ISO 15408 *)
� Single sign on e strong authentication
� Gestione del ciclo di vita delle credenziali di autenticazione e dei profili di autorizzazione
� Progettazione ed integrazione di sistemi di Federated IdentityManagement
� Modello di federazione per la cooperazione applicativa
ISF - Identity & Access Management
IBM Information Security Framework
GovernanceGovernance
PrivacyPrivacy
Threat mitigationThreat mitigation Transaction and data integrity
Transaction and data integrity
Identity andAccess Management
Identity andAccess Management
Application securityApplication security
Physical securityPhysical security Personnel securityPersonnel security
(*) www.commoncriteriaportal.org
© 2008 IBM Corporation
� Site Security Assessment
� Progettazione e realizzazione di sistemi per la videosorveglianza, la gestione ed il controllo degli accessi fisici: biometria, varchi ad accesso controllato
� Attività di consulenza, disegno e integrazione dei vari componenti infrastrutturali per la gestione delle apparecchiature di controllo accessi fisico
� Progettazione e realizzazione di security control room con integrazione sicurezza fisica e sicurezza logica
Information Security Framework (ISF): PhysicalSecurity
IBM Information Security Framework
GovernanceGovernance
PrivacyPrivacy
Threat mitigationThreat mitigation Transaction and data integrity
Transaction and data integrity
Identity andaccess management
Identity andaccess management Application securityApplication security
Physical securityPhysical security Personnel securityPersonnel security
© 2008 IBM Corporation
� Firewall applicativi (XML)
� Sistemi di crittografia per archiviazione dati (tape encryption)
� Sistemi di crittografia per mascheramento dati di test
�Soluzioni end-to-end protection
� Data Loss Prevention
Information Security Framework (ISF): Transaction and Data Integrity
IBM Information Security Framework
GovernanceGovernance
PrivacyPrivacy
Threat mitigationThreat mitigationTransaction and
data integrityTransaction and
data integrity
Identity andaccess management
Identity andaccess management Application securityApplication security
Physical securityPhysical security Personnel securityPersonnel security
© 2008 IBM Corporation
� Analisi, disegno, ed implementazione di soluzioni e architetture di sicurezza integrate
� Metodologia SOA SecurityDevelopment Application
� Disegno del ciclo di vita di sviluppo del SW
�Vulnerability assessment applicazioni web
� DB security (std ISO 15408 *)
� WEB security
Information Security Framework (ISF): ApplicationSecurity
IBM Information Security Framework
GovernanceGovernance
PrivacyPrivacy
Threat mitigationThreat mitigation Transaction and data integrity
Transaction and data integrity
Identity andaccess management
Identity andaccess management
Application security
Application security
Physical securityPhysical security Personnel securityPersonnel security
(*) www.commoncriteriaportal.org
© 2008 IBM Corporation
Servizi consulenziali per il supporto formativo di sicurezza professionale
� Formazione tecnica su aree specialistiche (prodotti e servizi)
� Gestione del ciclo di vita di awareness per utenti
� Formazione specialistica su Privacy e elementi normativi con impatto sull’ICT
� Formazione su politiche e codici di condotta interni
Information Security Framework (ISF): PersonnelSecurity
IBM Information Security Framework
GovernanceGovernance
PrivacyPrivacy
Threat mitigationThreat mitigation Transaction and data integrity
Transaction and data integrity
Identity andaccess management
Identity andaccess management
Application security
Application security
Physical securityPhysical security Personnel securityPersonnel security
© 2008 IBM Corporation
Frequency
Event Class
Eve
nt C
lass
Domain
Frequency
Fre
quen
cy
Governare la sicurezza con il “cruscotto” Tivoli TSOM
© 2008 IBM Corporation
Tivoli Security Information and Event Manager (SIEM)
discovery
CCMDB
WorkflowService Desk
TSOMEvent aggregation
Real-time Correlation Security Ops Dashboard
Incident ManagementOperational reporting
ISS
Network
Infrastructure Mainframe
NetcoolOmnibus
Events
DataPowerSCM, TPM
GRC Dashboards
zSecure
Netcool Omnibus
UIs
TEC
IT Operationsescalation
TPM Automated Actions
KCIs, ReportsPortlets
KRIs, ReportsPortlets
TCIMCompliance dashboard
Regulatory reportingPrivileged user monitoring and audit (PUMA)
Database and application auditingOperating system and Mainframe auditing
Tivoli SIEM v 1.0
+
TIM
TAM
BSM Dashboards
Compliance Dashboard
© 2008 IBM Corporation
Network Event SIM/SEM
SIM/SEMSecurity Compliance
Network,Systems,DB
Compliance Dashboards
RegulatoryReports
Log Management
Alerts
SecurityOperation
Level
SecurityManagement
Level
Compliance & AuditPUMALog ManagementDatabase Audit
CollectionCorrelationAnomaly DetectionAlerts
CollectionCorrelationAlerts
ReportsForensicsAlerts KPI
TableauTicket/RemedyExt.Systems
FieldLevel
Technology & Security Information/Events
Video & SiteSecurity
Security Governace
Mod
ello
Ope
rativ
oS
ecur
ity In
form
atio
n&
Eve
ntM
anag
emen
t
Operational Dashboard Reports
© 2008 IBM Corporation
TJ Watson• Cryptographic foundations• Internet security & "ethical
hacking" • Secure systems and smart cards• IDS sensors & vulnerability
analysis• Secure payment systems• Antivirus• Privacy technology• Biometrics
Zurich• Cryptographic foundations• Java cryptography• Privacy technology• Multiparty protocols• IDS & alert correlation• Smart card systems and application
Almaden
• Cryptographic foundations
• Secure government workstation
Haifa
• PKI enablement
• Trust policies
New Dehli
• High-performance• Cryptographic
hardware & software
Tokyo• Digital
watermarking• XML security• VLSI for cryptoh
Laboratori e Centri di Ricerca
Roma
• eGovernment OSCPhysical Security CoC(Center of Competence)
• TivoliLab
© 2008 IBM Corporation
Soluzione Identity & Access ManagementCliente Area Public, Italia
Esigenze del cliente:� Single sign-on e gestione unificata delle utenze
� Limitare gli accessi alle informazioni sensibili o personali e agli asset critici
� Proteggersi dagli attacchi alla sicurezza e dai rischi di perdita/violazione di informazioni confidenziali/critiche
Soluzione IBM:Disegno e implementazione di una soluzione integrata di Identity e Access Management basata su IBM Tivoli Access Manager for e-business
� Soluzione Web – based di Single Sign-on
� Soluzione Tivoli Access Manager for e-business
� Tivoli Directory Integrator
� Tivoli Director Server
Benefici:� Ambiente sicuro e personalizzato per accedere alle applicazioni business-critical
� Semplificata la gestione degli accessi del personale
� Protezione contro utilizzi o accessi non autorizzati
� Assegnazione delle credenziali digitali agli utenti
� Single Sign on per le varie applicazioni
� Migliorata l’efficienza dei processi di controllo accessi
© 2008 IBM Corporation
Soluzione Governance della SicurezzaCliente Area Distribution e Logistica per la PA, Italia
Esigenze del cliente:� Migliorare i processi di sicurezza per contribuire ad un business in evoluzione
� Focus Sicurezza e Privacy
� Analizzare il livello di maturità del Gruppo, individuando le aree di miglioramento per la sicurezza
� Definire una roadmap di sicurezza per la gestione efficiente di futuri investimenti
Soluzione IBM:Servizi di consulenza integrata per l’analisi del livello di maturità del Sistema di Gestione della Sicurezza delle Informazioni e disegno di una soluzione evolutiva
� Standard ISO/IEC 27001: assessment di sicurezza
� Standard ISO/IEC 27001: indicazione roadmap di sicurezza
� Valutazione delle componenti tecnologiche ed organizzative
Benefici:� Metodologia basata su standard di sicurezza
� Analisi puntuale del livello di maturità e valorizzazione delle esigenze reali di sicurezza
� Identificate le aree critiche e le aree con una buona efficienza di gestione
� Estese le componenti di sicurezza efficienti alle altre funzioni del Gruppo (effetto leva delle aree efficienti)
� Fornite indicazioni puntuali per indirizzare con chiarezza gli investimenti futuri
© 2008 IBM Corporation
Soluzione Personnel SecurityCliente Area Public, Italia
Esigenze del cliente:� Garantire l’uso consapevole di tecnologie Informatiche e di Telecomunicazione (ICT) dirette alla costituzione del sistema “a rete” tra i più avanzati, completi e capillari del Paese
Soluzione IBM:Disegno e implementazione di una soluzione integrata di formazione di sicurezza che consenta di:
� Aumentare la consapevolezza degli utenti finali
� Orientare i comportamenti verso la sicurezza ICT
� Trasmettere competenze specifiche in linea con standard architetturali, tecnologici e indirizzi strategici del Gruppo
Benefici:� Uso metodologia e strumenti progettuali misurabili per la didattica in aula
� Sensibilizzazione e approccio operativo alla sicurezza
� Migliorata la consapevolezza sul corretto uso di policy in materia di security per minimizzare impatto sul business