INDICE My Newsroom è una risorsa aziendale creata per aumentare la funzionalità e la fruibilità delle redazioni tradizionali online e promuovere le attività sui social media e i contenuti multimediali diffusi da un’azienda. My Newsroom è destinata a favorire il dialogo e la condivisione delle informazioni. A differenza di una sala stampa online chiusa, il contenuto è accessibile non solo ai giornalisti, ma anche a tutti coloro con i quali l'azienda si impegna - clienti, partner e investitori - dando loro facile accesso alle notizie in tempo reale, ai contenuti redazionali, alle immagini, all’audio, ai video e ad altri file multimediali.
PRIMO PIANO
6
4
ATTUALITÀ
6 L’evoluzione del concetto di sicurezza Stefano Paganelli
11 Garantire la continuità operativa? Una nostra priorità
DISASTER RECOVERY E BUSINESS CONTINUITY
12
Giuseppe Ceglie
La continuità operativa delle pubbliche amministrazioni
15
Per accedere ai contenuti da QRCode, devi utilizzare un lettore QR. Inquadra il codice QR tramite la fotocamera digitale del tuo telefono. Il tuo cellulare aprirà l’indirizzo corrispondente. Se non hai un lettore QR installalo sul tuo cellulare o smartphone, puoi trovarne molti gratuiti nei negozi/store di applicazioni per il tuo cellulare (iTunes, App store, Android market, Blackberry Appworld, Ovi store, ecc.).
Information Security n° 26 lug/ago 2014
QR
Giovanni Rellini Lerz
1
INDICE
WEB SECURITY
24 Attacchi NTP il tempo per le aziende sta per scadere Ivan Straniero
10 Ancora pi첫 sicurezza per le PMI: Trend Micro presenta Worry-Free 9.0
Information Security n째 26 lug/ago 2014
26
2
VETRINA
BUSINESS SOLUTION
EDITORIALE
di Maria Giulia Mazzoni Direttore Responsabile
BUSINESS CONTINUITY, ECCO PERCHÉ È (SEMPRE PIÙ) IMPORTANTE l’obbligo di assicurare la continuità dei processi che presiedono all’erogazione dei propri servizi quale presupposto per garantire il corretto e regolare svolgimento della vita nel Paese. Riuscirci quindi diventa imperativo. Con la preziosa guida del dott. Giovanni Rellini Lerz, responsabile della continuità operativa dell’Agenzia per l'Italia Digitale, approfondiremo scopi e strategie messe in campo dalla PA al fine di tracciare un quadro quanto più possibile esaustivo delle competenze statali. Ma in questo numero di Information Security non si parlerà solo di questo. Assieme al dott. Straniero vedremo come nell’anno in corso si sia fatto particolarmente notare un meccanismo di attacco DDoS (Distributed Denial of Service) che prevede l’utilizzo del protocollo NTP (Network Time Protocol) per amplificare i volumi di traffico generati dagli attaccanti. Gli attacchi a riflessione NTP – ci spiega Straniero - sfruttano i server NTP presenti su Internet finalizzati a sincronizzare gli orologi dei nostri laptop, smartphone, tablet e altri dispositivi connessi alle infrastrutture di rete. Sempre in questo numero vi presenteremo infine le evidenze emerse dal Global Threat Intelligence Report, che riferisce come il mutevole mondo delle minacce abbia appena cominciato a impattare le implementazioni di sicurezza a lungo termine, e di come continuerà a plasmare l’ambito della sicurezza informatica aziendale in futuro.
Information Security n° 26 lug/ago 2014
n un mondo sempre più informatizzato, garantire la Continuità operativa diventa una priorità imprescindibile. Come farlo nel migliore dei modi? A questa domanda cercheremo di rispondere oggi proponendovi due esempi concreti: quello messo in campo da Lombardia Informatica e quello attuato dalla Pubblica Amministrazione. Partiamo dal primo. Nelle prossime pagine leggerete come la Business Continuity di Lombardia Informatica abbia identificato un mix di processi organizzativi e soluzioni tecnologiche in grado di consentirle di ripristinare i servizi nel più breve tempo possibile ed entro i tempi contrattualmente stabiliti. Le architetture in Cluster geografico per le basi dati, le infrastrutture ICT e la componente network sono abilitanti all’erogazione di servizi ad elevata disponibilità tra i due data-center, con la gestione di eventuali failover infrastrutturali completamente trasparenti agli host. Completata l’architettura infrastrutturale abilitante, Lombardia Informatica ha poi anche realizzato servizi di business continuity per la posta elettronica e per la navigazione internet. Per quanto riguarda la Pubblica Amministrazione invece si parte da un assunto chiave: lo Stato, inteso in senso lato, ha
3
ATTUALITÀ
Chieti è la capitale della sicurezza informatica Il super-computer che monitora il Web è a Chieti Scalo nella sede della Selex Es. Il sito abruzzese che conta circa 160 dipendenti altamente specializzati, è stato definito “la centrale di controllo del crimine informatico più importante del mondo dopo quello degli Usa”. Le principali tecnologie sviluppate riguardano la Cyber Security Intelligence & Information Assurance, le comunicazioni militari e professionali, gli apparati avionici di comunicazione e identificazione. Alla inaugurazione del nuovo centro di eccellenza per la Cyber Security avvenuta lo scorso giugno, erano presenti i rappresentanti delle Istituzioni tra i quali il ministro dell'Interno Angelino Alfano, il presidente di Finmeccanica, Gianni De Gennaro, il neo governatore della Regione Abruzzo, Luciano D'Alfonso.
A Torino ‘apre’ un Cyber Center sulla sicurezza informatica Il problema della sicurezza informatica continua ad essere cruciale e fortemente attenzionato. Recentemente, Narus <http://www.narus.com/> , una delle società sussidiarie di Boeing e il Politecnico di Torino <http://www.polito.it/> , una delle principali università di ricerca in Italia, hanno annunciato la creazione del nuovo Narus Cyber Innovation Center. Il nuovo centro sarà focalizzato su progetti di ricerca nell’ambito della sicurezza informatica e delle applicazioni Internet, offrirà la possibilità di stimolare la didattica nell’ambito della tecnologia, dell’ingegneria e dell’informatica, e allo stesso di tempo permetterà di favorire la creazione di nuove tecnologie che possano concorrere all’identificazione e alla risoluzione delle minacce cibernetiche.
Information Security n° 26 lug/ago 2014
‘Guerra di sicurezza’ all’Ateneo di Perugia
4
La sicurezza informatica è divenuta una priorità e si moltiplicano le iniziative volte alla sensibilizzazione dei problemi condivisi. Tra le tante una delle più curiose si è svolta presso l’Ateneo di Perugia che ha recentemente ospitato una competizione sulla sicurezza informatica che ha visto impegnate tre squadre, due formate da studenti del locale corso di laurea in informatica, ed una ospite collegata dall’Università di Catania. Semplici le regole ‘di ingaggio’. Ad ogni squadra è assegnata una macchina server da proteggere e vince quella che resterà inviolata. Sarà infine possibile vedere direttamente i risultati della disputa in un pagina web ‘segnapunti’, appositamente dedicata.
ATTUALITÀ
Attività ricettive, cresce l’attenzione alla sicurezza Cresce (esponenzialmente) il numero delle strutture ricettive che nascono nella provincia di Trapani e, proporzionalmente, crescono le problematiche legate alla sicurezza informatica derivate dalla presenza e condivisione di un accesso web nella loro struttura. Il Convegno "La Sicurezza Informatica per le Attività Ricettive", organizzato dalla Informatica S.r.l., in collaborazione con l'Ordine degli Ingegneri e con l'Osservatorio per la Legalità di Trapani, ha spiegato l'Avv. Vincenzo Maltese, mira a fornire un quadro completo sulle minacce informatiche esistenti e sulle strategie di difesa da attuare per raggiungere un livello di sicurezza che tuteli la struttura ricettiva e ne migliori la customer satisfaction fornendo ai clienti una navigazione più sicura.
Microsoft smantella una rete di cyber criminali Microsoft sfida (e vince) il cybercrimine. Grazie ad una intensa attività è stata messa fuori uso una rete di criminali informatici con basi in Kuwait e Algeria. A dare la notizia è stata la stessa società di Redmond che nel frattempo ha anche spiegato di aver lanciato quello che spera sia lo sforzo privato di maggior successo nello smantellare una rete criminale. Di fatto l'unità anti cyber-crime dell'azienda avrebbe infatti interrotto i canali di comunicazione fra hacker e pc 'infetti', potenziali veicoli di attacchi. L'operazione è cominciata lunedì 30 giugno dopo il via libera della corte federale del Nevada ad agire contro software 'dannosi' conosciuti come Bladabindi e Jenxcus che secondo Microsoft sono stati scritti e distribuiti da sviluppatori in Kuwait e Algeria.
Cybercrime, quanto costa la ‘pulizia’ post attacco?
Information Security n° 26 lug/ago 2014
La criminalità informatica pesa sull'economia globale causando ingenti danni alle imprese. Stando a quanto emerge da un rapporto del Center for Strategic and International Studies (Csis) per conto di McAfee, il cybercrime costa circa 445 miliardi di dollari ogni anno e compromette commercio, competitività e innovazione. La maggior parte dei danni è connessa ai costi di recupero di un'organizzazione che ha subito un attacco ed in questo senso l'Italia è citata come esempio: nel nostro Paese le perdite dovute ad attacchi hacker sono state di 875 milioni di dollari, ma i costi di “pulizia” sono stati di 8 miliardi e mezzo di dollari. Peggio sarebbe andato poi a Stati Uniti, Cina, Giappone e Germa i paesi che, stima il report, sono stati in assoluto i più danneggiati.
5
PRIMO PIANO
pp
L’EVOLUZIONE DEL CONCETTO DI SICUREZZA
Stefano Paganelli
Information Security n° 26 lug/ago 2014
Line of Business Network Integration & Security di Dimension Data Italia
6
Le minacce informatiche non sono statiche e continuano a lavorare attivamente ai danni di infrastrutture, applicazioni, informazioni e del personale delle organizzazioni. Per affrontare la trasformazione di questo scenario, la sicurezza aziendale deve evolvere per includere risposte veloci, agili e attive, non solo nei confronti delle nuove minacce ma anche e soprattutto di quelle esistenti e note che molte aziende non sono ancora riuscite a mitigare. Contrastare questo nuovo scenario con soluzioni tradizionali è sinonimo di fallimento. Tutte le organizzazioni, indipendentemente dalle dimensioni e dal settore in cui operano, sono interessate da una continua estensione del perimetro aziendale dettata dall’introduzione dei nuovi dispositivi mobili richiesti dai dipendenti per poter avere sempre accesso a risorse e funzionalità aziendali, destabilizzando così il ruolo dei controlli di sicurezza tradizionali. Pertanto, le organizzazioni devono rispondere con approcci differenti e un mo-
dello di sicurezza che non è più legato al concetto di protezione dei singoli dispositivi ma alla protezione di funzionalità e dati. Senza basi di sicurezza appropriate, le organizzazioni non sono in grado di abilitare le capacità avanzate e dinamiche necessarie per contrastare le nuove minacce. La sicurezza deve essere insita nelle applicazioni che stanno cominciando a diventare portatrici e, in alcuni casi, fonte di rischi aziendali. Non è più tanto una questione di quanto l’applicazione sia sicura ma di come sia stata sviluppata, architettata, configurata e mantenuta nel tempo in modo sicuro. IL MUTEVOLE PANORAMA DELLE MINACCE INFORMATICHE La sicurezza consta di miglioramenti continui, vigilanza e risposte alle dinamiche dei cambiamenti. Alcune recenti violazioni ad alto livello testimoniano la necessità di fondamentali di sicurezza consolidati e di come sia importante osser-
vare alcuni controlli basilari come il mantenere una segmentazione di rete appropriata, un processo dinamico per la gestione delle patch e un processo di risposta agli eventi. Il Global Threat Intelligence Report, realizzato dalle aziende del gruppo NNT, tra cui Dimension Data, descrive come il mutevole mondo delle minacce abbia appena cominciato a impattare le implementazioni di sicurezza a lungo termine e come continuerà a plasmare l’ambito della sicurezza informatica aziendale in futuro. Mentre il rischio si modella dinamicamente, la velocità e l’agilità di business, legate all’elevata mobilità delle nuove organizzazioni, hanno modificato profondamente il significato e l’impatto dei passati investimenti nella sicurezza. Gli individui, a livello personale e professionale, stanno consumando, movimentando e archiviando oggetti di dati come mai prima d’ora. E questi dati non sono più confinati alla rete aziendale, ma piuttosto distribuiti su vasti domini all’interno del-
PRIMO PIANO
Per affrontare la trasformazione, oggi in atto, dello scenario, la sicurezza aziendale deve necessariamente evolvere per includere risposte veloci, agili e attive, non solo nei confronti delle nuove minacce, ma anche e soprattutto di quelle esistenti. Molte aziende non ci sono ancora riuscite
curezza continua a crescere e ad estendersi. Le organizzazioni per la sicurezza devono affrontare molte sfide nell’ambito dei modelli operativi di sicurezza esistenti per mantenere l’involucro attorno ai “data-objects”, soprattutto quando ambienti esterni e interni vengono indirizzati differentemente. Mentre le aziende sono costrette a seguire una sicurezza proprietaria, i cyber-terroristi e le organizzazion criminali stanno incalzando il ritmo degli attacchi informatici. Gli incidenti legati a queste attività non sono più solo eventi di sicurezza isolati ma rappresentano un cambiamento verso incursioni a lungo termine. La responsabilità della sicurezza consiste nel garantire la continuità dell’operatività di business in ambienti completamente differenti rispetto a quello che le capacità proprietarie sono chiamate a gestire. Non si tratta più della protezione delle infrastrutture critiche ma della sicurezza e della protezione dell’organizzazione, dei dati e delle persone. La sicurezza di base
intrinseca diventa così un nuovo modus operandi dell’azienda e non un elemento secondario. ALCUNI DATI Il Report sottolinea che il perimetro di rete tradizionale è sempre più sottile e i singoli endpoints stanno diventando il baluardo per la mitigazione attiva delle minacce, come dimostrato da alcuni dati quali: • Il 43% degli ingaggi per rispondere agli incidenti è legato a malware verso un particolare terminale, evidenziando una mancanza di controlli di base (anti-virus, anti-malware) e della gestione efficace del ciclo di vita di applicazioni, sistemi operativi e strumenti di sicurezza. • Il 54% dei malware creati per insediarsi nei sistemi compromessi non vengono rilevati dalle soluzioni di antivitrus in essere. Inoltre, anche il 71% dei nuovi malware creati a scopo di lucro o per sottrarre informazioni da questi sistemi non sono stati rilevati. Questo dato sup-
Information Security n° 26 lug/ago 2014
l’organizzazione, su cloud pubblici e privati, tra i social media. La protezione dei dati non è più legata ai confini aziendali ma si estende all’interno di un ambiente fluido complesso che supera i confini geografici e organizzativi. I flussi di dati ora sono radicati nel contesto aziendale, in quanto le applicazioni, gli utenti e le reti spostano le informazioni dove necessario, possibilmente archiviandole localmente in caso di richieste di accesso future. A tutto ciò si lega la responsabilità della sicurezza e la gestione del crescente valore delle informazioni che può essere preteso dal flusso di dati. Le applicazioni non sono solo una capacità a disposizione degli utenti finali ma piuttosto l’involucro della sicurezza che gestisce il contenitore di questi flussi di dati. La proliferazione dei “data-objects” è diventata un’entità vivente effettiva e separata, un Internet of Things, e continuerà a evolvere in futuro. Con ciò, la rete dell’ambiente per la manutenzione della si-
7
PRIMO PIANO
Information Security n° 26 lug/ago 2014
porta il presupposto che le semplici soluzioni antivirus non sono in grado di difendere completamente gli endpoint da molti degli attacchi moderni e devono essere rafforzate con la rilevazione dei malware di rete e soluzioni progettate allo scopo. • Un ambiente aperto come quello dell’istruzione detiene la più alta percentuale (42%) di eventi di malware. Questo è dovuto in gran parte ai modelli di accesso aperti, tipici delle università, e dall’incapacità di rafforzare i controlli di sicurezza delle migliaia di dispositivi detenuti dagli studenti. La sicurezza delle applicazioni è sempre stata vista come un’aggiunta all’effettiva capacità di business e rappresenta ancora troppo spesso un punto di debolezza delle organizzazioni. Questo viene dimostrato da: • La sicurezza di base delle applicazioni è spesso la causa principale degli incidenti. All’interno di questo report vengono riportati come molti dei costi associati a mitigare gli incidenti sono dovuti alla mancanza o a impropri controlli di base, pianificazioni inadeguate e
8
mancanza di formazione. • Le organizzazioni devono comprendere il reale costo di un incidente, inclusi i costi diretti e indiretti che intaccano la reputazione, e imparare come un piccolo investimento possa ridurre le perdite di circa il 95%. • Il 77% delle organizzazioni supportate durante le attività di risoluzione degli incidenti non aveva implementato un piano di risposta agli incidenti. Il dato inquietante che emerge è quindi che la maggior parte delle organizzazioni ha investito poco o niente nella definizione e validazione (attraverso test efficaci) di un piano per superare gli eventi critici e minimizzare così i danni ai propri sistemi, ai clienti e nei confronti della propria reputazione. • Il 31% degli ingaggi per rispondere agli incidenti è relativo ad attacchi Distributed Denial of Service (DDoS). Molte organizzazioni non hanno ancora compreso l’impatto che un simile attacco può avere o credono che non saranno mai prese di mira. In questo modo trascurano il budget per controlli proatti-
vi per mitigare gli attacchi DDoS. Il fatto di ricorre a budget, all’acquisto di soluzioni e all’ottenere l’approvazione per implementare controlli mentre un attacco DDoS è in corso si è dimostrato essere inefficace. • Gli attacchi botnet corrispondono al 34% degli eventi osservati nel 2013. Il 60% di questi attacchi hanno come primo obiettivo il settore sanitario, tecnologico e finanziario. Questo riflette come molti di questi mercati si affidino all’uso e al flusso di informazioni e come siano dipendenti dal mantenere la sicurezza delle applicazioni per la continuità di business. Maggiore è il focus sulla sicurezza in una specifica area, minore è il rischio per la stessa area. Se questa può sembrare una considerazione ovvia, risulta invece difficile da quantificare realmente. Le metriche degli investimenti per la sicurezza delle informazioni non devono necessariamente essere paragonate direttamente al successo. Tuttavia le organizzazioni che accelerano verso ruoli più proattivi hanno ottenuto delle riduzioni rispetto a pro-
PRIMO PIANO
“
RACCOMANDAZIONI Molte sono le opportunità per le aziende di migliorare il proprio profilo contro le minacce ed enfatizzare le tecniche avanzate per individuare, studiare e rispondere agli attacchi. Il Report illustra come
”
molte organizzazioni non stiano mantenendo i controlli di base e, in virtù del fatto che le minacce stanno diventando sempre più sofisticate, le organizzazioni devono evolvere per indirizzare i trend e gli attacchi attuali. Le informazioni del Report possono essere utilizzate per migliorare la sicurezza operativa e dimostrano come un’implementazione e una gestione appropriate insieme a un adattamento di controlli comprovati possano aiutare le organizzazioni a ridurre il rischio, evitando minacce e comprimendo la tempistica di mitigation. • Rispondere alle minacce al perimetro. Come indicato precedentemente, le minacce stanno cambiando e il peri-
prestare attenzione alle problematiche che potrebbero incorrere nel mondo reale e devono garantire priorità alle contromisure contro questi exploit. • Definire e testare le risposte agli incidenti. Ancora troppe organizzazioni dispongono di programmi di risposta agli incidenti non testati, immaturi o inesistenti. Questo le rende impreparate ad attacchi inevitabili, soprattutto in un mondo in continua evoluzione dove le organizzazioni non sono più sicure. Una risposta appropriata agli incidenti è cruciale per minimizzare l’impatto delle violazioni della sicurezza. Tutte le organizzazioni necessitano di documentare, testare e mantenere efficaci pro-
metro aziendale sta mutando completamente rispetto a quello concepito tradizionalmente. Per soddisfare un perimetro più ridotto, i componenti chiave che possono essere introdotti oggi includono l’utilizzo della gestione delle patch e programmi di anti-virus per mantenere un’ultima difesa. Se combinato con inventari accurati degli asset e aumento degli SLA, questi controlli di base possono aiutare le organizzazioni a limitare i rischi derivanti da vulnerabilità note e dagli elementi di attacco più comuni. • Utilizzare una gestione efficace delle patch per proteggersi da minacce reali. La gestione efficace delle patch non è semplice e l’installazione tempestiva di ogni singola patch su ogni singolo sistema è spesso impraticabile. Inoltre, gli attentatori spesso si avvantaggiano dei lunghi tempi di remedition dei vendor. Le organizzazioni devono
cedure di risposta agli incidenti. • Beneficiare delle nuove tecniche e tecnologie. Anche se la gestione delle patch e gli anti-virus sono componenti critici di un programma di sicurezza, diventeranno sempre meno fondamentali nei prossimi anni. Le nuove tecnologie includono funzionalità come le tecniche di isolamento delle applicazioni, micro VM, gli ambienti di test e apprendimento automatico. Queste tecnologie si focalizzano sul controllo e l’isolamento delle applicazioni, il contenimento degli incidenti e la rilevazione rapida attraverso analitiche comportamentali. Queste tecnologie partono dall’assunto che il perimetro cederà con un inevitabile danno per l’azienda e anche se alcune tecniche preventive possono aiutare, il miglior approccio difensivo è quello di limitare l’esposizione e individuare (e rispondere) velocemente agli incidenti.
Information Security n° 26 lug/ago 2014
pri pari meno focalizzati. • Le organizzazioni che adottano le indicazioni Payment Card Industry (PCI) riescono a indirizzare meglio le vulnerabilità legate al perimetro. Le organizzazioni che effettuano periodicamente analisi esterne tramite PCI Authorized Scanning Vendor (ASV) presentano minori casi di vulnerabilità così come un miglior tempo di remediation (35%) rispetto a organizzazioni che effettuano analisi ma senza requisiti normativi simili. • La gestione matura delle vulnerabilità riduce l’esposizione alle minacce e le organizzazioni che utilizzano un processo di Vulnerability Lifecycle Management (VLM) beneficiano di un risparmio del 20% nelle tempistiche di risoluzione. Le misure per la sicurezza in essere, di base e ripetibili, sono il fulcro per il successo di un’organizzazione nel soddisfare le sfide di sicurezza immediate così come nell’indirizzare la direzione futura della sicurezza delle informazioni. Questo viene dimostrato da dati come: • Il 50% delle vulnerabilità rilevate nel 2013 erano già state identificate ed etichettate come Common Vulnerabilities and Threats (CVE®) tra il 2004 e il 2011. Questo indica un gap significativo tra le fasi di rilevazione e risoluzione di VLM, che indica, ancora una volta, una mancanza dei controlli di sicurezza di base. • Le organizzazioni sono sempre di più a rischio vulnerabilità. I dati raccolti nel 2013 dimostrano che molte organizzazioni non sono protette contro le comuni vulnerabilità. • I cosiddetti “Exploit Kits” stanno aumentando la loro potenzialità di sfruttare vulnerabilità recenti. Le ultime ricerche indicano che gli sviluppatori di questi “kits” stanno sia utilizzando gli exploits meno recenti che promuovendone di più nuovi, come dimostrato dal fatto che il 78% degli attuali “exploit kits” sfruttano vulnerabilità create meno di due anni fa.
Mentre le aziende sono costrette a seguire una sicurezza proprietaria, i cyber-terroristi e le organizzazioni criminali stanno incalzando il ritmo degli attacchi informatici
9
per info
BUSINESS SOLUTION
www.trendmicro.it
ANCORA PIÙ SICUREZZA PER LE PMI: TREND MICRO PRESENTA WORRY-FREE 9.0
Information Security n° 26 lug/ago 2014
Protezione completa per gli utenti e sicurezza dei dispositivi mobili integrata
10
Trend Micro Incorporated leader globale nella sicurezza dei contenuti, presenta la versione 9.0 di Trend Micro™ Worry- Free™ Business Security. La soluzione offre alle PMI una sicurezza di classe entrerprise che protegge dalle minacce tutti gli endpoint, dai desktop fino ai dispositivi mobili. La soluzione Trend Micro è l’unica sul mercato a offrire alle PMI una protezione completa degli utenti integrata con la sicurezza dei dispositivi mobili, con l’ulteriore opzione di una gestione cloud. “Da quando le PMI hanno sperimentato una crescita del BYOD, Trend Micro si è impegnata nel fornire una sicurezza dinamica e affidabile, che permette grandi funzionalità e semplicità d’uso. Integrando la protezione per i dispositivi mobili, Worry-Free permette un approccio integrato alla sicurezza, sia dentro che fuori l’ufficio. Inoltre abbiamo pensato anche ai nostri partner di canale, con un tool di gestione cloud-based che rende più facile e profittevole l’offerta di sicurezza ai clienti.” Ha dichiarato Maurizio Martinozzi Manager Sales Engineering Trend Micro. Secondo le stime di IDC, negli ultimi due anni negli Stati Uniti l’utilizzo di smart-
phone nelle PMI è cresciuto dal 53% all’88%. Nello stesso periodo, l’utilizzo di tablet è passato dal 30% al 56%. Questi dati, che rispecchiano l’andamento globale, dimostrano la necessità che hanno le PMI di evolvere le strategie di sicurezza per proteggere tutti gli endpoint: dai PC e Mac alle piattaforme mobili. Uno studio Trend Micro presentato a marzo 2014 rivela inoltre che i malware per i dispositivi mobili hanno raggiunto i 2 milioni. Le caratteristiche di WorryFree Business Security 9.0 rispondono a tutte le minacce e problematiche attuali. Nel dettaglio, Worry-Free Business Security 9.0: • È integrato con Microsoft Exchange ActiveSync per una gestione semplificata dei dispositivi mobili • Ha ancora più policy di sicurezza, comprese capacità di pulizia da remoto e controllo dell’accesso per rimuovere in sicurezza tutti i dati dal dispositivo - in caso di furto o violazione dei dati • Supporta Windows 8.1, Microsoft Exchange 2013 e ha una sicurezza per le piattaforme Mac migliorata • Ha performance ancora più elevate,
come ad esempio tempi di installazione e scansione più rapidi • È ancora più facile da usare e ha capacità di rilevamento potenziate A supporto dei suoi partner di canale Trend Micro offre Worry-Free Remote Manager, un tool cloud-based che permette una gestione centralizzata dei clienti on-premise e hosted e che aiuta ad aumentare la profittabilità riducendo i costi di gestione e servizio.
PROTAGONISTI DISASTER RECOVERY E BUSINESS CONTINUITY Nell’ambito di una sempre maggiore attenzione ai problemi legati alla sicurezza informatica, la comunicazione è chiamata ad una costante evoluzione. Alla luce di questa esigenza, la Rivista Information Security pubblica “Prota-
gonisti”, una serie di Speciali monotematici che affrontano verticalmente una tematica del piano editoriale, rendendo in questo modo protagonisti sia gli autori sia le aziende di riferimento.
PRIVACY E SICUREZZA Uscita: Gennaio/Febbraio
SICUREZZA DISPOSITIVI MOBILI Uscita: Marzo/Aprile
CLOUD COMPUTING SECURITY Uscita: Maggio/Giugno
IDENTITÀ DIGITALE Uscita: Settembre/Ottobre Information Security n° 26 lug/ago 2014
CYBERCRIME Uscita: Novembre/Dicembre
11
PROTAGONISTI DISASTER RECOVERY E BUSINESS CONTINUITY
“ Information Security n° 26 lug/ago 2014
La Business Continuity messa in campo da Lombardia Informatica, identifica i processi organizzativi e le infrastrutture tecnologiche in grado di erogare un servizio in continuità a fronte dei rischi analizzati. Tale obiettivo è raggiungibile attraverso il mix di adozione di processi organizzativi e soluzioni tecnologiche
12
”
DISASTER RECOVERY E BUSINESS CONTINUITY
GARANTIRE LA CONTINUITÀ OPERATIVA? UNA NOSTRA PRIORITÀ
Giuseppe Ceglie Responsabile Dipartimento Esercizio Lombardia Informatica
Per dare l’idea delle dimensioni infrastrutturali ormai raggiunte possiamo indicare alcuni dati : 2 Data Center, oltre 1500 Server fisici e vrituali (con un livello di virtualizzazione che supera il 70%, circa 20 TByte di RAM installata, oltre 300 apparati di rete e sicurezza, 1 Petabyte (1000 Terabyte) di dati attivi su quattro sistemi storage di due tecnologie differenti di fascia Enterprise). Inoltre l’esigenza di convergenza dei costi dei servizi in linea con i parametri di mercato determina una continiua ricerca delle ottimizzazioni dei costi operativi, mantenendo inalterati (se non incrementati) i livelli di servizio richiesti. Considerando la tipologia del dato, va da se che la questione ‘sicurezza’ risulta fondamentale. Cosa significa quindi ‘proteggere il dato’? Lombardia Informatica gestendo non solo grandi volumi, ma anche dati personali e sensibili ha il compito di garantire piena continuità operativa delle piattaforme ICT dedicate all’erogazione dei servizi di Regione Lombardia, in linea con le normative e standard in tema di sicurezza. L’approccio alla protezione del dato è gestito in Lombardia Informatica non solo attraverso le più innovative soluzioni tecnologiche presenti sul mercato,
Information Security n° 26 lug/ago 2014
Il Data center di Lombardia Informatica è una realtà da ‘grandi numeri’. Cerchiamo di dare un’idea ai nostri lettori: quale tipologia di dato vi trovate a gestire e di quale ordine di grandezza stiamo parlando? La tipologia dei dati gestiti da Lombardia Informatica è eterogenea e diversificata su oltre 300 servizi erogati ad Imprese, Cittadini e Sistema Sanitario Regionale, tra cui: le politiche per il commercio, artigianato, servizi, agricoltura e industria; la casa, la famiglia, i giovani e l’istruzione; la protezione civile, il territorio, l’ urbanistica e la qualità dell’ambiente. Per gestire questi “grandi numeri”, i Data Center di Lombardia Informatica sono dotati delle più avanzate soluzioni tecnologiche, in grado di assicurare livelli di servizio sempre più stringenti, in linea con le esigenze di continuità operativa. La quasi totalità dei servizi gestiti da Lombardia Informatica alimenta continuativamente le piattaforme di storage di dati ed informazioni, determinando una naturale crescita dei volumi gestiti. L’infrastruttura tecnologica si è evoluta nel tempo adeguando capacità elaborativa, conservazione dei dati e fruibilità massiva delle informazioni, per un sempre più vasto bacino di utenti distribuiti sul territorio.
13
DISASTER RECOVERY E BUSINESS CONTINUITY
ma in prima istanza dandosi un’organizzazione e processi interni stringenti dedicati alla protezione dei dati. Dal punto di vista infrastrutturale, possiamo citare che il tema non è legato meramente alla protezione periferica, ma è pervasivo su tutti gli ambiti legati agli accessi, al trasferimento ed al mantenimento nel tempo dell’integrità dei dati..
Information Security n° 26 lug/ago 2014
Quali tipologie di problemi potreste trovarvi a dover gestire? La valutazione delle possibili minacce è regolarmente gestita attraverso l’analisi dei rischi e degli impatti sul Business, che determina le azioni di intervento e di remediation definite a livello apicale aziendale.
14
Più in generale, qualunque disservizio in ambito “utility” (energia, acqua), mancanza di connettività fra i Siti Aziendali o evento catastrofico (meteorologico, disastro naturale, terremoto, vandalismo) che causi un’interruzione nella erogazione dei normali servizi erogati dall’Azienda, viene classificato come “disastro” e rientra quindi nell’ambito di applicabilità del piano aziendale di continuità operativa. Più in dettaglio possiamo pensare a: Distruzione o inaccessibilità di strutture in cui sono allocati uffici o impianti critici per il funzionamento del centro di elaborazione dati ed eventualmente di altre postazioni critiche (a causa di inon-
dazioni, incendi, terremoti, esplosioni,...) Interruzione dei servizi vitali (acqua, energia, linee dati, ...) Atti vandalici e sabotaggi Danneggiamenti logici e fisici di origine interna all’Azienda Indisponibilità di personale chiave per il funzionamento dell’Azienda Come esempio di analisi del rischio e successivo piano di “remediation” adottato, possiamo citare il caso di evento disastroso quale l’indisponibilità prolungata della erogazione elettrica (il riferimento è al blackout elettrico del 2001), dove i nostri Data Center sono stati progettati e dotati di impianti di gruppi elettrogeni ridondati in grado di sopperire in piena autonomia all’indisponibilità di energia elettrica. Entriamo più nel dettaglio. Un’attenzione particolare è stata posta su tutti gli aspetti che riguardano la continuità di erogazione del servizio. Come funziona la vostra Business Continuity? La Business Continuity di Lombardia Informatica identifica i processi organizzativi e le infrastrutture tecnologiche in grado di erogare un servizio in continuità a fronte dei rischi analizzati. Tale obiettivo è raggiungibile attraverso il mix di adozione di processi organizzativi e soluzioni tecnologiche in grado di consentire all’Azienda di ripristinare i servizi nel più breve tempo possibile ed entro i tempi stabiliti contrattualmente. Le architettura in Cluster geografico per le basi dati, le infrastrutture ICT e la componente network sono abilitanti all’erogazione di servizi ad elevata disponibilità tra i due datacenter, con la gestione di eventuali failover infrastrutturali completamente trasparenti agli host. Completata l’architettura infrastrutturale abilitante alla business continuity, Lombardia Informatica ha già realizzato servizi di business continuity per la posta elettronica e per la navigazione internet. Per i restanti servizi sono state avviate analisi di revisione architetturale applicativa per poter sfruttare appieno i servizi di continuità operativa realizzate a livello infrastrutturale. Per quanto riguarda invece il servizio di ‘disaster recovery’? Il regime di Disaster Recovery è previsto
in caso di indisponibilità perdurante del sito primario. La piattaforma complessiva di Recovery è di tipo always-on, ossia con apparati e sistemi sempre attivi; annullando i tempi necessari dei boot dei sistemi in caso di disastro. Il servizio di DR per Lombardia Informatica si basa sulla modalità di allineamento dati tra il sito primario di Via Don Minzoni e il secondario di Via Taramelli effettuata attraverso “mirroring asincrono”. Tale modalità prevede che la scrittura dei dati (variazioni) sul sistema di storage del Data Center secondario sia svincolata dalla scrittura sui dischi di sistema del Data Center primario, senza alcun impatto sulle applicazioni di produzione e può essere previsto anche per siti di emergenza molto distanti dal sito principale. Tale architettura consente di erogare il servizio di Disaster Recovery con un tempo massimo di disallineamento o inconsistenza dei dati al verificarsi del disastro (Recovery Point Objective RPO) dell’ordine di pochi secondi. Relativamente ai tempi di ripristino dei servizi concordemente con le indicazioni e priorità fissate da Regione Lombardia, i servizi erogati sono stati classificati per classi identificando i tempi target di ripristino in caso di eventi disastrosi. Un’ultima domanda riguarda gli scenari futuri. Posto che è sempre possibile (ed auspicabile) migliorare se stessi, quale obiettivo vi proponete di raggiungere nel prossimo futuro? Le direttrici di evoluzione che Lombardia Informatica sta perseguendo prevedono l’adozione di nuovi modelli computazionali (la nuvola lombarda) che, basati su tecnologie sempre più efficienti e con consumi energetici molto più ridotti rispetto al passato, consentano di realizzare soluzioni di data center virtuali utilizzabili anche da altre Pubbliche Amministrazioni regionali interessate ad erogare i propri servizi ICT con i nuovi paradigmi di fruizione dei servizi ICT, e mettano a fattor comune gli standard di sicurezza e continuità operativa prima evidenziati, ottenendo quindi un beneficio economico a livello di sistema ICT regionale.
“
PROTAGONISTI DISASTER RECOVERY E BUSINESS CONTINUITY
“
LA CONTINUITÀ OPERATIVA DELLE PUBBLICHE AMMINISTRAZIONI
La Pubblica Amministrazione ha l’obbligo di assicurare la continuità dei processi che presiedono alla erogazione dei propri servizi, quale presupposto per garantire il corretto e regolare svolgimento della vita nel Paese
sure di sicurezza e di soluzioni atte a garantire la continuità di funzionamento dei sistemi informativi. Vediamo come. La Continuità Operativa Generale dell’Organizzazione/Amministrazione è da sempre stata intesa come l’insieme delle attività e delle politiche adottate per ottemperare all’obbligo di assicurare la continuità nel funzionamento dell’organizzazione. Questo obbligo finora è stato assolto, a fronte di eventi che hanno avuto un impatto sul regolare funzionamento dell’organizzazione, ricorrendo a soluzioni di emergenza di tipo tradizionale quali: il trasferimento dei servizi presso gli uffici rimasti operativi, l’attivazione di procedure amministrative alternative, l’ausilio di personale aggiuntivo, ecc.. Oggi l’impiego di procedure alternative di tipo tradizionale è quasi sempre insufficiente a garantire la continuità dei servizi, atteso il diffuso utilizzo delle tecnologie informatiche. Anche qualora il procedimento amministrativo appaia “non informatizzato”, una fase del suo procedimento è stata assolta me-
”
diante applicazioni informatiche; inconvenienti di natura tecnica, pertanto, possono condizionare il normale svolgimento dei processi tradizionali, fino a comportare il blocco delle attività istituzionali anche per lunghi periodi. Come detto i dati, le informazioni e le applicazioni che li trattano sono ormai parte essenziale ed indispensabile per lo svolgimento delle funzioni istituzionali di un ente/organizzazione ed è necessario quindi garantirne la salvaguardia, la disponibilità, la sicurezza, unitamente a confidenzialità ed integrità: il tema della continuità operativa deve quindi essere parte integrante dei processi e delle politiche di sicurezza di un’organizzazione. In questa visione l’attuazione degli obblighi imposti dall’art. 50 bis del CAD conduce le Amministrazioni ad adottare un percorso complessivo in materia di sicurezza di tutta l’organizzazione, coerentemente con il quadro normativo richiamato, e può anche essere un ottima occasione per rivisitare e razionalizzare le risorse dedicate.
Information Security n° 26 lug/ago 2014
Il CAD sancisce che gli uffici pubblici devono essere organizzati in modo che sia garantita la digitalizzazione dei servizi (art. 15 “Digitalizzazione e riorganizzazione”). Da tale indicazione consegue, per la Pubblica Amministrazione (nel prosieguo PA), anche l’obbligo di assicurare la continuità dei processi che presiedono alla erogazione dei propri servizi, quale presupposto per garantire il corretto e regolare svolgimento della vita nel Paese. Questa affermazione assume oggi particolare significato a fronte del sempre maggiore utilizzo delle tecnologie ICT nella gestione dei dati e dei procedimenti dei singoli enti, che rende necessario adottare tutte le iniziative tese a salvaguardare l’integrità, la disponibilità, la continuità nella fruibilità dei dati. Quando i dati, le informazioni e le applicazioni che li trattano sono parte essenziale ed indispensabile per lo svolgimento delle funzioni istituzionali di un ente/organizzazione, diventano un bene primario per il quale è necessario garantire salvaguardia e disponibilità, anche attraverso l’adozione di mi-
Giovanni Rellini Lerz Responsabile della continuità operativa per L'Agenzia per l'Italia Digitale
15
Information Security n° 26 lug/ago 2014
DISASTER RECOVERY E BUSINESS CONTINUITY
16
Il processo di dematerializzazione promosso dal CAD, che con le sue disposizioni ha trasformato da ordinatoria a perentoria l’azione di eliminazione della carta, comporta un incremento della criticità dei sistemi informatici, visto che non si può più contare su un backup basato sulla documentazione cartacea. Anche in questo quadro l’adozione di soluzioni di DR diviene un prerequisito indispensabile per garantire la continuità di svolgimento dei processi digitalizzati. Da quanto detto consegue che la continuità dei servizi informatici rappresenta un impegno inderogabile per la PA, che deve operare in modo da limitare al massimo gli effetti negativi di possibili fermi prolungati dei servizi ICT. A titolo esemplificativo, la compromissione della continuità di un sistema informatico può essere conseguenza di: • errori/malfunzionamenti dei processi (il processo organizzativo che usa il servizio ICT non ha funzionato come avrebbe dovuto per errori materiali, errori nell’applicazione di norme ovvero per il verificarsi di circostanze non adeguatamente previste dalle stesse); • malfunzionamento dei sistemi, delle applicazioni e delle infrastrutture; • attacchi o eventi naturali di tipo accidentale; • disastri. Le espressioni Disaster Recovery, Continuità Operativa ICT e Continuità Operativa Generale dell’Organizzazione sono usate con varie accezioni e, talvolta, erroneamente come sinonimi. Proviamo a fare chiarezza sui termini e su quali siano i reciproci rapporti per meglio definire l’argomento. La Continuità Operativa Generale riguarda l’intera Organizzazione/Amministrazione e non è oggetto di questo articolo; oggetto del documento, invece, sono la Continuità Operativa ICT e il Disaster Recovery. La Continuità Operativa ICT (da questo momento soltanto CO) riguarda il processo critico ICT che, nel caso di grave e prolungata indisponibilità dei sistemi informativi (disservizio incompatibile con le esigenze di continuità di funzionamento dell’Amministrazione), prevede anche il Disaster Recovery per garantire il ripristino dello stato del Sistema Informativo (o di parte di esso), per riportarlo alle condizioni di funzionamento e
di operatività antecedenti all’evento disastroso. Sempre in una prospettiva di chiarimento complessivo sul tema della continuità, va detto che la Continuità Operativa ICT non deve preoccuparsi solo della disponibilità dei sistemi informativi (scenario risorse informatiche, di cui il Disaster Recovery è la misura estrema di continuità), ma anche della disponibilità delle risorse umane ICT (scenario risorse umane: ad esempio, in una situazione di pandemia o non previsione di risorse alternative), della disponibilità e fruibilità della logistica (scenario risorse logistiche: ad esempio, impossibilità di raggiungere il sito elaborativo o mancanza di riscaldamento/condizionamento degli ambienti del sito), della disponibilità della energia elettrica (scenario energia elettrica: ad esempio, non previsione di fonti alternative di alimentazione). Scenari che potrebbero essere, anche contemporaneamente, coinvolti dall’evento. La figura qui sopra, in modo estremamente schematico, prova a illustrare quanto detto e gli elementi essenziali della Continuità Operativa ICT, ivi compreso il DR. La figura vuole evidenziare che se - a seguito di eventi gravi e imprevisti - si decidesse di attuare le politiche di Disaster Recovery per ripristinare la normale operatività dei processi critici ICT, ma si riuscisse a superare l’emergenza nei tempi pattuiti, contenendo i danni e il disservizio in ambito puramente ICT, non sarebbe necessario adottare anche le mi-
sure previste dai piani Continuità Operativa Generale che riguardano altri e fondamentali aspetti dell’operatività aziendale (salvaguardia del personale, impianti, logistica, sicurezza degli edifici, documentazione, ecc.). Nel seguito la gestione della continuità del servizio sarà associata alle conseguenze di eventi di natura eccezionale che impattano il processo critico ICT e che quindi potrebbero avere conseguenze sui servizi istituzionali dell’Amministrazione, resi alla collettività e agli utenti. LA CONTINUITÀ OPERATIVA E IL DISASTER RECOVERY: QUALITÀ E CONTINUITÀ DI FUNZIONAMENTO DEI SERVIZI ISTITUZIONALI Come detto, la CO deve garantire la protezione dalle potenziali criticità delle funzionalità informatiche, tenendo conto delle risorse umane, strutturali, tecnologiche riferibili all’infrastruttura informatica, stabilendo le idonee misure preventive e correttive nel rispetto dei livelli prestazionali riconosciuti e concordati. A tal fine, il perimetro di competenza della CO deve comprendere almeno: • le applicazioni informatiche e i dati del sistema informativo indispensabili all’erogazione dei servizi e allo svolgimento delle attività (informatiche e non); • le infrastrutture fisiche e logiche che ospitano sistemi di elaborazione; • i dispositivi di elaborazione hardware e software che permettono la funzionalità delle applicazioni a supporto dei servizi
DISASTER RECOVERY E BUSINESS CONTINUITY
“
care, indisponibilità prolungate. La base di partenza nell’individuazione delle soluzioni di salvaguardia dei dati e delle applicazioni sono i processi critici e i servizi istituzionali che l’ente eroga in modalità ICT o mediante l’apporto delle tecnologie ICT. IL PERCORSO DELL’ART. 50BIS E LE LINEE GUIDA: STRUMENTI A SUPPORTO PER L’INDIVIDUAZIONE DELLE SOLUZIONI DI DISASTER RECOVERY Com’è noto, l’articolo 50bis del CAD delinea gli obblighi, gli adempimenti e i compiti che spettano alle PPAA e all’Agenzia per l’Italia Digitale, ai fini dell’attuazione della CO e delle indispensabili soluzioni di DR, richiedendo che le PPAA definiscano i PCO e i PDR sulla base di appositi e dettagliati studi di fattibilità tecnica” [per i quali] “è obbligatoriamente acquisito il parere” dell’Agenzia. Per supportare le PPAA nell’attuazione degli adempimenti previsti dal citato articolo a novembre 2011 sono state emanate le “Linee guida per il Disaster Recovery delle PPAA“ e la relativa Circolare del 1 dicembre 2011, n. 58, mettendo, inoltre, a disposizione delle Amministrazioni: • un apposito strumento di autovalutazione come ausilio nella valutazione della criticità dei servizi offerti all’utenza e nell’individuazione delle soluzioni tecniche a supporto della loro continuità; • raccomandazioni a supporto dell’individuazione dei servizi minimi essenziali per l’adozione delle soluzioni di DR, in linea con l’art. 50bis del CAD; • indicazioni a supporto delle attività di redazione dei documenti da allegare alla richiesta di parere sugli studi di fattibilità tecnica; • suggerimenti per la redazione dei piani, per la individuazione delle componenti essenziali all’attuazione di soluzioni di CO e di DR, nonché per la verifica e la manutenzione della soluzione. Compito dell’Agenzia per l’Italia Digitale è quello di mantenere costantemente aggiornate le Linee Guida pubblicate a no-
”
vembre 2011 sia alla luce dell’esperienza maturata nell’emissione dei pareri sugli studi di fattibilità tecnica, sia tenendo conto delle evidenze emerse dalle attività di verifica del costante aggiornamento e manutenzione delle soluzioni di DR, nonché delle eventuali evoluzioni tecnologiche che dovessero rendersi disponibili, mettendo a disposizione della PA - in tal modo - uno strumento dinamico in grado di fornire un supporto operativo sempre aggiornato. In tal senso le linee guida sono state aggiornate nel 2013 (l’aggiornamento è disponibile all’indirizzo http://www.agid.gov.it/sites/default/files/linee_guida/linee-guida-dr.pdf). Ad oggi, al fine di coadiuvare le Amministrazioni, è stata realizzata un’applicazione online (sul sito istituzionale di AGID) per la valutazione della criticità dei processi che erogano servizi all’utenza. Sono state definite nel numero e nei contenuti i servizi ritenuti attinenti al tema CO/DR; questo lavoro, essendo stato condiviso con le rappresentanze dei fornitori, costituisce un vero e proprio standard di riferimento nazionale (e verrà diffusamente illustrato nel corso dell’articolo). Andiamo ancora avanti. Anche se non solamente legata al DR delle PA, in adempimento di quanto disposto dall’Articolo 33/septies del DL 179/2012, è stata avviata un’importante iniziativa nel campo dei data center della PA, costituita da una rilevazione di alcune caratteristiche essenziali di detti data center, fra cui varie relative alla sicurezza IT; questa iniziativa ha costituito un fondamentale elemento di partenza per considerazioni sulla razionalizzazione dei DC della PA, in linea con quanto disposto del resto dalla legge n. 221/2012. Il raggiungimento di un adeguato livello di CO può essere descritto come un “Processo” articolato che interessa varie componenti tecniche e organizzative, e vari livelli dell’Organizzazione. Le attività di pianificazione, progettazione e definizione della soluzione (quali momenti del ciclo di attuazione della CO), nel
Information Security n° 26 lug/ago 2014
dell’Amministrazione; • le componenti di connettività locale e/o remota/geografica; • ciò che serve per consentire lo svolgimento delle attività del personale informatico sia interno all’Amministrazione sia, se presente, esterno ma correlato al sistema informativo stesso; • le modalità di comunicazione ed informazione al personale utilizzatore del sistema informativo all’interno dell’Amministrazione e ai fruitori esterni dei servizi del sistema informativo dell’Amministrazione, siano essi cittadini, imprese, altre Amministrazioni; • le misure per garantire la disponibilità dei sistemi di continuità elettrica (UPS e gruppi elettrogeni) e più in generale la continuità di funzionamento del sistema informativo; • la gestione dei posti di lavoro informatizzati dell’Amministrazione; • i servizi previsti per l’attuazione del CAD (fra cui ad es. la PEC; la firma Digitale ecc.). Per quanto riguarda i posti di lavoro informatizzati (PDL), agli effetti della soluzione di continuità operativa è importante, tenuto conto delle caratteristiche del sistema informativo e delle applicazioni informatiche di cui deve essere garantito il funzionamento, considerare almeno: • il numero minimo di PDL che possa garantire la funzionalità dell’ufficio o della sede dove risiedono i PDL; • la disponibilità di PDL di emergenza presso altri uffici o presso altre sedi dell’Amministrazione; • la disponibilità di dispositivi alternativi, quali portatili, nello stesso ufficio o presso sedi diverse dell’Amministrazione; • la disponibilità di connettività alternativa (collegamenti ridondati, collegamenti via UMTS); • la disponibilità di sistemi di continuità elettrica (UPS e gruppi elettrogeni). Nel dispositivo dell’art. 50bis del CAD, si definisce più propriamente, “Disaster Recovery” l’insieme delle misure tecniche e organizzative adottate per assicurare all’organizzazione il funzionamento del centro elaborazione dati e delle procedure e applicazioni informatiche dell’organizzazione stessa, in siti alternativi a quelli primari/di produzione, a fronte di eventi che provochino, o possano provo-
La CO deve garantire la protezione dalle potenziali criticità delle funzionalità informatiche, tenendo conto delle risorse umane, strutturali, tecnologiche riferibili all’infrastruttura informatica, stabilendo le idonee misure preventive nel rispetto dei livelli prestazionali riconosciuti e concordati
17
DISASTER RECOVERY E BUSINESS CONTINUITY
Information Security n° 26 lug/ago 2014
Figura 1
18
loro insieme, possono essere articolate in una serie di fasi che, sostanzialmente, prevedono: • la preliminare rilevazione della situazione attuale (in termini di strutture organizzative, processi e procedure, nonché di infrastrutture tecnologiche); • la successiva analisi degli impatti di situazioni di indisponibilità e l’analisi degli impatti del rischio, per l’individuazione delle aree problematiche e delle contromisure da adottare; • l’individuazione della soluzione; • la predisposizione dello studio di fattibilità tecnica e la richiesta e acquisizione del prescritto parere dell’Agenzia per l’Italia Digitale; • la predisposizione del PCO e del PDR, come illustrato nello schema qui sopra. Il percorso di autovalutazione proposto nel documento è uno strumento che utilizza le informazioni derivate da un assessment tecnologico interno all’organizzazione, dall’analisi dei processi e della loro interrelazione e nonché le informazioni derivanti da un’eventuale analisi del rischio. Tali azioni possono essere svolte dall’organizzazione in maniera autonoma e con gli strumenti che ritiene più idonei, (come schematicamente illustrato nella figura 2). Resta fermo che ai fini della redazione dello SFT è necessario utilizzare i risultati del tool di autovalutazione. La norma prevede anche la verifica annuale del costante aggiornamento dei PDR, con l’obiettivo di assicurare l’omogeneità delle soluzioni di CO e di infor-
mare al riguardo, con cadenza annuale, il Parlamento. A tal fine, come previsto dalla circolare 58/2011, sia le Amministrazioni che avranno chiesto e ricevuto il parere sullo Studio di Fattibilità Tecnica, sia quelle che sono tenute alla verifica annuale prevista dalla norma, devono inviare il PDR all’Agenzia: per le verifiche richieste dalla norma e per garantire il monitoraggio annuale del costante aggiornamento dei PDR delle Amministrazioni, la circolare richiamata prevede, infatti, l’invio del PDR con cadenza annuale, unitamente a una dichiarazione che: • descriva tutte le modifiche apportate al Piano di DR trasmesso e le motivazioni a supporto di tali interventi; oppure • specifichi che nell’anno di riferimento il Piano non è stato modificato in alcuna sua parte. IL CODICE DELL’AMMINISTRAZIONE DIGITALE E LA DIGITAL AGENDA: RUOLI E RESPONSABILITÀ La centralità della digitalizzazione dell’azione amministrativa e della Continuità operativa Come si è avuto modo di evidenziare nelle Linee guida pubblicate a dicembre 2013, l’importanza delle politiche che vengono adottate per garantire la continuità di funzionamento dei sistemi informativi di cui le Amministrazioni si avvalgono per lo svolgimento delle proprie funzioni istituzionali, è confermata nel quadro normativo vigente:
• dall’art. 97 della Costituzione che sancendo che gli uffici pubblici devono essere organizzati in modo che siano garantiti il buon funzionamento e l’imparzialità dell’Amministrazione, impone anche l’obbligo di assicurare la continuità dei procedimenti e servizi resi dalle PPAA, quale presupposto per garantire il corretto e regolare svolgimento della vita nel Paese; • dal Codice in materia di Protezione dei dati personali e s.m.i., dalla normativa sui collaudi, dal T.U. sulla sicurezza nel lavoro – D. Lgs. 81/2008 e s.m.i. al DPCM 01.04.2008, ecc. che impongono alle Amministrazioni l’adozione di misure e politiche di sicurezza; • dall’art. 50bis del CAD che ha reso l’adozione di soluzioni di CO e DR un obbligo cui ottemperare, predisponendo i PCO e PDR previo parere sullo Studio di Fattibilità tecnica; • dall’art. 51 del CAD (inerente la “Sicurezza dei dati, dei sistemi e delle infrastrutture”), e dalle relative regole tecniche che verranno a tal fine emanate; • dalla legge 3 agosto 2007, n. 124, così come innovata dalla legge n. 133 del 2012, attinente più in generale ai sistemi per garantire la sicurezza della Repubblica, e s.m.i; • dal quadro giuridico attinente alle infrastrutture critiche; • da quanto indicato nel DPCM del 24 gennaio 2013 recante indirizzi per la protezione cybernetica e la sicurezza informatica nazionale, diretto ad accrescere le capacità del Paese di confron-
DISASTER RECOVERY E BUSINESS CONTINUITY
Figura 2. Fasi di assessment, analisi e verifica dei rischi e degli Impatti (Business Impact Analysis), utili al percorso di autovalutazione
diritti dei cittadini e delle imprese”. La crescente complessità delle attività legate alla PA, l’intenso utilizzo della tecnologia dell’informazione e i nuovi scenari di rischio, quali quelli determinati da un attacco di tipo terroristico o anche solamente malevolo, così come gli inconvenienti di natura tecnica, che possono portare all’interruzione totale dei servizi istituzionali anche per lunghi periodi, evidenziano l’esigenza che le Amministrazioni aggiornino il livello di predisposizione a questi potenziali fermi della propria operatività. In questa ottica è quindi necessario che, in tema di sicurezza, le PPAA adottino strategie e misure tecnico-operative tali da garantire la continuità di funzionamento dei sistemi informativi attraverso i quali esse assicurano lo svolgimento dei rispettivi compiti istituzionali e l’erogazione dei servizi all’utenza. Per assicurare la CO, le PPAA devono prevedere, nella gestione ordinaria dei propri servizi ICT, metodologie, strumenti e procedure per fronteggiare ogni possibile evento che metta a rischio la disponibilità del proprio Sistema Informativo (fermi prolungati o reiterate interruzioni), al fine di evitare, o almeno minimizzare, gli impatti negativi e disservizi nei procedimenti svolti e nei servizi erogati all’utenza. L’attuazione della CO risulta quindi un adempimento inderogabile, tenuto anche conto delle disposizioni in tema di sicurezza, dematerializzazione e conserva-
zione, fra i quali, in particolare, gli articoli 42, 43, 44 del CAD (inerenti rispettivamente la “Dematerializzazione dei documenti delle Pubbliche Amministrazioni”, la “Riproduzione e conservazione dei documenti”, il sistema di conservazione dei documenti informatici e i requisiti relativi) tende cioè a creare un circolo “virtuoso”, schematicamente descritto nella figura 3. Esemplificazione del circuito virtuoso del CAD e del collegamento fra gli adempimenti imposti in tema di digitalizzazione, gestione documentale, attuazione della continuità operativa ICT, garanzia della sicurezza dei dati, sistemi e infrastrutture Il quadro normativo vigente rafforza ulteriormente l’importanza della CO. La Digital Agenda già prevede fra le varie azioni e pillar, definiti dallo Stato, l’abolizione del Digital Divide, la promozione delle reti di nuova generazione, la creazione della infrastrutture di sicurezza, nonché delle strutture di base per l’utilizzo estensivo delle tecnologie ICT sia per le attività della collettività, fra cui ad es. per le attività di e-commerce e per le fasi di pagamento, sia nell’attuazione dei procedimenti delle Amministrazioni che si avvalgono dell’ICT. Per rendere concrete e operative le azioni della Digital Agenda, l’Agenzia per l’Italia Digitale, che è succeduta nelle attività e nelle funzioni istituzionali di DigitPA1 ha fra l’altro il compito di: • svolgere le funzioni di coordinamento, di indirizzo e regolazione affidate a DigitPA dalla normativa vigente e, in par-
Information Security n° 26 lug/ago 2014
tarsi con le minacce alla sicurezza informatica e che pone le basi per un sistema organico, all’interno del quale, sotto la guida del Presidente del Consiglio, le varie istanze competenti potranno esercitare in sinergia le rispettive competenze. Il CAD ha rafforzato ulteriormente il quadro giuridico descritto e l’obbligo delle PPAA di assicurare oltreché la corretta formazione, raccolta e conservazione dei dati, la costante operatività dei sistemi informativi quale presupposto fondamentale per la qualità e costante fruibilità dei dati stessi, delle informazioni e dei servizi che le stesse PPAA rendono ai cittadini e alle imprese ad es. per le comunicazioni in via telematica, per lo scambio delle certificazioni sanitarie, per lo svolgimento dei pagamenti elettronici ecc.. L’art. 2 del CAD aggiornato (che attiene alle “Finalità e all’ambito di applicazione”) precisa che: “1. Lo Stato, le Regioni e le autonomie locali assicurano la disponibilità, la gestione, l’accesso, la trasmissione, la conservazione e la fruibilità dell’informazione in modalità digitale e si organizzano ed agiscono a tale fine utilizzando con le modalità più appropriate le tecnologie dell’informazione e della comunicazione. 2. Le disposizioni del presente codice si applicano alle PPAA di cui all’articolo 1, c. 2, del decreto legislativo 30 marzo 2001, n. 165, nel rispetto del riparto di competenza di cui all’articolo 117 della Costituzione, nonché alle società, interamente partecipate da enti pubblici o con prevalente capitale pubblico inserite nel conto economico consolidato della PA, come individuate dall’Istituto nazionale di statistica (ISTAT) ai sensi dell’articolo 1, c. 5, della L. 30 dicembre 2004, n. 311.”. L’art. 12 del CAD aggiornato (contenente “Norme generali per l’uso delle tecnologie dell’informazione e delle comunicazione nell’azione amministrativa”) confermando le finalità richiamate nel citato art. 2 prevede che: “Le PPAA nell’organizzare autonomamente la propria attività utilizzano le tecnologie dell’informazione e della comunicazione per la realizzazione degli obiettivi di efficienza, efficacia, economicità, imparzialità, trasparenza, semplificazione e partecipazione, nel rispetto dei principi di uguaglianza e di non discriminazione, nonché per la garanzia dei
19
DISASTER RECOVERY E BUSINESS CONTINUITY
Information Security n° 26 lug/ago 2014
Figura 3
20
ticolare, dall’articolo 3 del D. Lgs. 177/2009; • svolgere le funzioni affidate all’ISCOM in materia di sicurezza delle reti; • assicurare il coordinamento informatico dell’Amministrazione statale, regionale e locale, in attuazione dell’art. 117, secondo c., lettera r), della Costituzione; • assicurare l’uniformità tecnica dei sistemi informativi pubblici destinati ad erogare servizi ai cittadini ed alle imprese, garantendo livelli omogenei di qualità e fruibilità sul territorio nazionale, nonché la piena integrazione a livello europeo; • supportare e diffondere le iniziative in materia di digitalizzazione dei flussi documentali delle Amministrazioni, ai fini della piena ed effettiva attuazione del diritto all’uso delle tecnologie di cui all’articolo 3 del Codice dell’Amministrazione digitale. RUOLI E RESPONSABILITÀ PER LA REALIZZAZIONE DEI PIANI DI CO E DEI PIANI DI DR Il quadro normativo richiamato rafforza, quindi, l’importanza dell’adozione, da parte delle PPAA di soluzioni organizzative e tecniche dirette a garantire la continuità operativa e la sicurezza dei Sistemi
Informativi ed affida: • all’Agenzia per l’Italia Digitale il compito di: - definire, sentito il Garante per la protezione dei dati personali, le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche; - verificare annualmente il costante aggiornamento dei PCO e dei PDR delle Amministrazioni interessate; - informare annualmente il Ministro competente; - esprimere pareri sugli studi di fattibilità che le Amministrazioni predispongono e sulla base dei quali provvederanno a definire sia il PCO che il PDR. • alle Amministrazioni centrali, regionali, provinciali e locali, il compito di definire in prima battuta gli studi di fattibilità e sulla base di detti studi (il termine previsto era entro quindici mesi dall’entrata in vigore del D. Lgs. 235/2010) i PCO e i PDR. • al Ministro competente, il compito di: - assicurare l’omogeneità delle soluzioni di CO definite dalle diverse Amministrazioni; - informare con cadenza annuale il Parlamento.
• alle Regioni ed alle Province autonome, il compito di: - avviare al proprio interno il medesimo percorso di attuazione dell’art. 50bis del CAD; - promuovere le iniziative necessarie a generare la consapevolezza sulle specifiche necessità di CO e DR, all’interno degli enti territoriali minori, anche facilitando il percorso di realizzazione da parte delle singole realtà; - diffondere le presenti linee guida, quale strumento di agevolazione per la definizione e l’adozione dei PCO e PDR da parte degli enti territoriali minori. Le Amministrazioni sono chiamate, quindi, a elaborare studi di fattibilità:
_________________________________ 1 il D.L. n. 83/2012, così come convertito nella L. n. 134/2012, ha istituito l’Agenzia per l’Italia Digitale, che è preposta alla realizzazione degli obiettivi dell’Agenda digitale italiana, in coerenza con gli indirizzi elaborati dalla Cabina di regia di cui all’articolo 47 del D. L. 9 febbraio 2012, n. 5, convertito in L. con modificazioni dalla L. 4 aprile 2012, n. 35, e con l’Agenda digitale europea.
DISASTER RECOVERY E BUSINESS CONTINUITY
“
Come si avrà modo di evidenziare nel prosieguo, spetta più in generale alle Amministrazioni curare la gestione e manutenzione della soluzione adottata provvedendo a verificare costantemente l’adeguatezza della stessa, attraverso attività periodiche di verifica e test e a garantire il costante aggiornamento della soluzione. Ai fini delle attività di verifica attribuite all’AGID, si ritiene opportuno che le Amministrazioni provvedano successivamente anche ad inviare informazioni in merito alle verifiche periodiche effettuate e agli esiti di dette verifiche. Nella figura 4 si riporta, in forma schematica, la descrizione del procedimento desumibile dalla norma citata, ipotizzando anche per ciascuna fase, obiettivi e risultati attesi per ciascuno dei principali “attori” coinvolti nell’attuazione degli adempimenti previsti dal richiamato art. 50bis. CONTINUITÀ OPERATIVA E DEMATERIALIZZAZIONE NEL CAD Alla luce di quanto detto non si può non evidenziare la rilevanza strategica che assume l’adozione di soluzioni di CO e di DR, considerando che il CAD impone alle Amministrazioni, fra gli altri, di attivarsi, nel rispetto delle regole tecniche per la gestione informatica dei documenti, per garantire la dematerializzazione e digitalizzazione delle modalità di formazione, tenuta, conservazione e gestione del documento informatico e dei flussi documentali. Ciò rende assolutamente necessaria da parte delle Amministrazioni: • l’adozione di accurate politiche di backup, restore e refresh degli archivi e dei dati (e quindi sia dei dati strutturati presenti nei data base che dei dati quali i documenti informatici trattati nell’ambito dei sistemi di gestione documentale - che dei log relativi - che consentono di tracciare le operazioni eseguite); • l’adozione di soluzioni tecniche per la salvaguardia dei dati e delle applica-
”
zioni ed il ripristino a fronte di situazioni di emergenza, come richiesto dall’art. 50bis cui si riferiscono le presenti linee guida. Nella figura 5 successiva sono schematizzate le relazioni logiche tra gli adempimenti previsti dal CAD, ai fini della digitalizzazione e sicurezza dei servizi ICT, sia per l’attuazione del sistema di gestione documentale sia per la realizzazione di soluzioni di CO, nel rispetto delle regole tecniche per la gestione documentale e per la sicurezza dei dati, dei sistemi e delle infrastrutture, (cui si rinvia).
GLOSSARIO • Agenzia per l’Italia Digitale (AGID): istituita con la L. 134/2012 con attribuzione, tra le altre, delle competenze di DigitPA in tema di attuazione dei diritti digitali e di vigilanza sull’attuazione del CAD, con particolare riferimento, in relazione al presente documento, al rispetto delle prescrizioni dell’art. 50bis (“Continuità operativa”); • Codice dell’Amministrazione Digitale (CAD): D.Lgs. n. 82/2005 e s.m.i., aggiornato alla luce del D. Lgs. n. 235/2010, dalla L. n. 135 del 7 agosto 2012 e dalla legge n.221/2012 di conversione del D. L. n. 179 del 18 ottobre 2012; • Comitato di crisi: è l’organismo di vertice a cui spettano le principali decisioni e la supervisione delle attività delle risorse coinvolte; è l’organo di direzione strategica dell’intera struttura in occasione dell’apertura dello stato di emergenza ICT e, inoltre, condivide con il responsabile della CO la responsabilità di garanzia e controllo sulla continuità operativa di un Ente o Amministrazione. • Continuità Operativa Generale dell’Organizzazione: condizione in cui, pur in presenza di un’emergenza, sono attive tutte le misure tecnico-organizzative e gestionali volte ad assicurare, al massimo possibile, le prestazioni rese dai processi critici. Le regole per la gestione, a livello generale dell’organizzazione,
Information Security n° 26 lug/ago 2014
• valutando il proprio contesto tecnico operativo di riferimento; • verificando l’importanza dei dati rispetto ai procedimenti amministrativi svolti e/o ai servizi erogati verso l’utenza e il cittadino; • svolgendo attività di Business Impact Analysis (BIA), al fine quindi di verificare i rischi e possibili impatti che si determinano su procedimenti e servizi erogati, a fronte di situazioni di indisponibilità prolungate o di disastro e valutare le soluzioni possibili per mitigare o evitare le situazioni di rischio; • predisponendo, arricchendo e monitorando periodicamente le misure minime e le politiche di sicurezza e gli accorgimenti organizzativi e tecnici per far fronte a eventi critici o disastrosi (attraverso PCO e PDR) Le PPAA sono chiamate sia a definire le soluzioni per affrontare le conseguenze di eventi critici che possano pregiudicare la sicurezza dei dati e la continuità di funzionamento dei Sistemi Informativi, sia a tenere costantemente sotto controllo le soluzioni adottate attraverso un‘adeguata pianificazione, verifica e test delle misure e accorgimenti adottati. L’attuazione delle norme richiamate, ed in particolare gli adempimenti previsti dall’art. 50bis per l’attuazione della CO, si ritiene possano anche comportare, come del resto è nello spirito del CAD, una verifica e revisione del modo di operare delle Amministrazioni e lo stimolo ad una maggiore razionalizzazione e digitalizzazione dei servizi ICT. Tale esigenza trova particolare riscontro per una corretta gestione del sistema di conservazione di cui agli artt. 44 e 44 bis del CAD. Le Amministrazioni devono, una volta acquisito il parere obbligatorio dell’Agenzia per l’Italia Digitale sullo studio di fattibilità tecnica, definire conseguentemente i Piani per descrivere le misure organizzative e tecniche di cui intendono dotarsi per garantire la CO e il DR. Inoltre, per consentire la verifica annuale del costante aggiornamento dei PDR delle Amministrazioni ai fini dell’informativa annuale prevista dall’art. 50bis, le Amministrazioni dovranno inviare all’Agenzia per l’Italia Digitale, i PDR, nonché verificare le funzionalità dei PCO con cadenza biennale.
Spetta alle Amministrazioni curare la gestione e manutenzione della soluzione adottata provvedendo a verificare costantemente l’adeguatezza della stessa, attraverso attività periodiche e test atti a garantire il costante aggiornamento della soluzione
21
DISASTER RECOVERY E BUSINESS CONTINUITY
Information Security n° 26 lug/ago 2014
Figura 4
22
della continuità operativa dei processi critici in situazioni di emergenza viene definita in un apposito documento (Piano di Continuità Operativa Generale dell’Organizzazione) le cui prescrizioni si applicano alle situazioni di emergenza di rilievo generale; • Continuità Operativa ICT (CO): la capacità di un organizzazione di adottare per ciascun processo critico e per ciascun servizio istituzionale critico erogato in modalità ICT, attraverso accorgimenti, procedure e soluzioni tecnico-organizzative - misure di reazione e contenimento ad eventi imprevisti che possono compromettere, anche parzialmente, all’interno o all’esterno dell’organizzazione, il normale funzio-
namento dei servizi e funzioni istituzionali. Il processo ICT è un caso tipico di processo critico; • Disaster recovery (DR): nell’ottica dell’art. 50bis del CAD, l’insieme delle misure tecniche e organizzative adottate per assicurare all’organizzazione il funzionamento del centro elaborazione dati e delle procedure e applicazioni informatiche dell’organizzazione stessa, in siti alternativi a quelli primari/di produzione, a fronte di eventi che provochino, o possano provocare, indisponibilità prolungate; • Piano di Continuità Operativa Generale dell’Organizzazione: si può definire tale il Piano che fissa gli obiettivi e i principi da perseguire da parte dell’Organizza-
zione; descrive i ruoli, le responsabilità, i sistemi di escalation e le procedure per la gestione della Continuità Operativa Generale (e non solo ICT) dell’Amministrazione, tenuto conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche. In realtà particolarmente complesse il Piano può essere solo un documento di primo livello cui vanno associati, per esempio, documenti di secondo livello, quali procedure relative a servizi/processi e/o sistemi specifici (per esempio il Piano di Continuità Operativa ICT) e finanche documenti di terzo livello (per esempio sotto forma di istruzioni di lavoro che riportano indicazioni operative specifiche);
DISASTER RECOVERY E BUSINESS CONTINUITY
Figura 5. Linee Guida sulla Continuità Operativa e il DR applicate alla gestione documentale
definiti “critici”, il ripristino delle stesse, entro un arco temporale predefinito, tale da rendere, il più possibile, minime le interruzioni nell’erogazione dei servizi. Si evidenzia che il PDR/DRP è la sezione del PCO che descrive le attività di ripristino del sistema informativo, costituisce parte integrante del PCO e stabilisce le misure tecniche ed organizzative per assicurare l’erogazione dei servizi classificati come critici (e delle procedure e applicazioni informatiche correlate) tramite le risorse hw, sw e di connettività presso un CED alternativo a quello/quelli di produzione; • Responsabile della Continuità Operativa: il responsabile che ha il ruolo di supportare l’Amministrazione per predisporre tutte le misure necessarie per ridurre l’impatto di un’emergenza ICT e, reagire prontamente e in maniera efficace in caso di interruzione dei servizi ICT erogati a causa di un disastro. Inoltre ha la responsabilità’ di sviluppare e mantenere aggiornato il piano di Continuità Operativa ICT. Il Responsabile della Continuità Operativa e’ membro del Comitato di crisi; • Servizi minimi essenziali: i servizi necessari per dotarsi di soluzioni di Disaster Recovery o anche per migliorare
quelle esistenti descritti nelle Schede Servizio richiamate nel presente documento; • Soluzione Tecnica per la CO/DR: rappresenta la soluzione ICT da implementare per il soddisfacimento del Tier scelto per assicurare la CO e che viene identificato tramite lo strumento di autovalutazione; • Soluzione Tecnologica per la CO/DR (TIER): comprende la realizzazione e la gestione di tools, sistemi, tecniche, metodologie tecnico-organizzative, utili a ottenere un determinato livello di servizio per la continuità operativa; • Studio di fattibilità tecnica (SFT): lo studio sulla base del quale le Amministrazioni devono adottare il PCO e il PDR e su cui va obbligatoriamente acquisito il parere di DigitPA; • Strumento di autovalutazione:è il tool messo a disposizione dall’Agenzia sul proprio sito - ai fini della predisposizione degli studi di fattibilità tecnica e dei PCO e PDR - per supportare le Amministrazioni nell’identificazione delle soluzioni tecnologiche idonee alla CO (Tier da 1 a 6), avendo come base di partenza essenzialmente i “servizi” che l’ente eroga nei confronti della collettività.
Information Security n° 26 lug/ago 2014
• Piano di Continuità Operativa ICT (PCO): Documento operativo che descrive tutte le attività e modalità finalizzate al ripristino delle funzionalità ICT, a seguito di un evento negativo di significativa rilevanza, che determini l’indisponibilità dei servizi classificati come “critici”; per una realtà di dimensioni limitate, soprattutto sotto il profilo ICT, il Piano di Continuità Operativa ICT e il Piano di DR possono coincidere ma dovrà comunque essere presente la componente dedicata al Disaster Recovery. In realtà particolarmente complesse, all’opposto, il piano di continuità può essere solo un documento di primo livello, cui vanno associati, per esempio, documenti di secondo livello, quali procedure relative a servizi e/o sistemi specifici (ad esempio il Piano di Disaster Recovery) e finanche documenti di terzo livello, per esempio sotto la forma di istruzioni di lavoro che riportano le indicazioni operative specifiche; • Piano di Disaster Recovery (PDR/DRP): Documento operativo che descrive tutte le attività necessarie a garantire, a fronte di un evento negativo di significativa rilevanza, che determini l’indisponibilità delle funzioni ICT a supporto dei servizi
23
WEB SECURITY
ATTACCHI NTP IL TEMPO PER LE AZIENDE STA PER SCADERE Un nuovo meccanismo di attacco utilizza il protocollo NTP per amplificare i volumi di traffico generati dagli attaccanti. Questi sfruttano i server NTP presenti su Internet il cui scopo è quello di sincronizzare gli orologi dei nostri laptop, smartphone, tablet e altri dispositivi connessi alle infrastrutture di rete Ivan Straniero
Information Security n° 26 lug/ago 2014
Country Manager, Italy & SE Europe Arbor Networks
24
Le metodologie e i meccanismi di attacco sono in costante cambiamento ed evoluzione man mano che i malintenzionati scoprono nuovi metodi (o ne riutilizzano di vecchi) per tentare di raggiungere i loro scopi. Nell’anno in corso un meccanismo di attacco DDoS (Distributed Denial of Service) si è fatto davvero notare fino a questo momento: l’utilizzo del protocollo NTP (Network Time Protocol) per amplificare i volumi di traffico generati dagli attaccanti. Gli attacchi a riflessione NTP sfruttano i server NTP presenti su Internet il cui scopo è quello di sincronizzare gli orologi dei nostri laptop, smartphone, tablet e altri dispositivi connessi alle infrastrutture di rete. Alcuni server NTP possono essere usati per amplificare le capacità di un attaccante: il traffico viene diretto da questi a uno o più server NTP vulnerabili con un indirizzo di origine fittizio (corrispondente in questo caso a quello della vittima); il server NTP risponde al comando inviato dall’attaccante, ma la risposta viene di-
retta verso la vittima con un volume di traffico fino a 1000 volte superiore rispetto a quello generato originariamente dall’attaccante. Gli attacchi NTP rappresentano un serio problema a causa dell’elevato rapporto di amplificazione, del numero relativamente grande di server vulnerabili presenti su Internet, e della mancanza di filtri anti-spoofing all’interno di molte reti. Sono diventati facilmente disponibili appositi tool che lanciano attacchi e contemporaneamente rilevano i server vulnerabili, tanto che molti servizi DDoS commerciali supportano ormai questo particolare vettore di attacco. Di conseguenza per un attaccante è facile generare traffico sufficiente a saturare la connettività Internet della maggior parte delle aziende e dei data centre Internet più piccoli. Gli attacchi a riflessione NTP non sono un problema per niente nuovo, ma è solo dall’ottobre 2013 che sono apparsi sui radar di molte aziende. Numerosi attacchi NTP ben pubblicizzati sono stati lan-
ciati contro servizi di online gaming per ostacolare lo svolgimento di eventi professionali di alto profilo, interferire con i lanci di nuovi prodotti e scatenare vendette contro giocatori concorrenti. L’eco mediatico di questa sequenza di attacchi sembra aver reso popolare la riflessione NTP come vettore di attacco, portando nel primo trimestre del 2014 a quella che è stata probabilmente la tempesta più concentrata di grandi attacchi DDoS volumetrici mai registrata nella storia. Per spiegare meglio questo punto basti pensare che il sistema Arbor ATLAS, avvalendosi dei dati condivisi da oltre 290 service provider di tutto il mondo, ha osservato nel 2013 un numero di attacchi con banda oltre i 20Gb/sec più di otto volte superiore rispetto a quello del 2012. Nel primo trimestre del 2014, ATLAS ha registrato 1,5 volte il numero di attacchi oltre 20 Gb/sec di tutto il 2013! Sempre nel primo trimestre di quest’anno sono stati monitorati 72 eventi da oltre 100Gb/sec, il maggiore dei
WEB SECURITY
“
”
ABOUT ARBOR NETWORKS Arbor Networks, Inc. aiuta a proteggere le più grandi reti enterprise e service provider da attacchi DDoS e minacce avanzate. Secondo Infonetics Research, infatti, Arbor è il principale fornitore al mondo di protezione DDoS nei segmenti enterprise, carrier e mobile. Le soluzioni alle minacce avanzate di Arbor offrono una visibilità completa della rete combinando cattura dei pacchetti e tecnologia NetFlow, in modo da consentire la rapida individuazione e mitigazione di malware e minacce interne. Arbor, inoltre, fornisce risorse importanti per l’analisi storica, la visualizzazione, l’indagine e la risposta agli incidenti di sicurezza. Arbor vuole essere un “moltiplicatore di forze”, facendo rete e creando squadre di esperti. Il nostro obiettivo è quello di fornire un’immagine più accurata delle reti e del contesto di sicurezza, così che i clienti possano risolvere i problemi più velocemente e ridurre il rischio per il proprio business.Per ulteriori informazioni sui prodotti e servizi Arbor, è possibile visitare il sito web all’indirizzo arbornetworks.com. Ricerche, analisi, approfondimenti e i dati provenienti dal sistema di monitoraggio delle minacce globali ATLAS® possono essere consultati su ATLAS Threat Portal.
Information Security n° 26 lug/ago 2014
quali è stato un attacco da 325 Gb/sec diretto contro un bersaglio in Francia: si è trattato del più grande attacco verificato mai osservato su Internet. Considerate le dimensioni e la frequenza di questi attacchi, le aziende devono accertarsi di disporre di difese adeguate dal DDoS. Dai grandi ISP alle grandi imprese, tutte le aziende devono affrontare i rischi presentati dai grandi attacchi DDoS volumetrici. In presenza di servizi, configurazioni, procedure e soluzioni adeguate, le aziende possono proteggere efficacemente esse stesse e i loro clienti da questa minaccia: • Prevenendo abusi - i service provider devono assicurarsi di disporre di filtri anti-spoofing al punto di contatto tra le loro reti e quelle dei loro clienti • Bonificando i servizi NTP - le aziende dovrebbero effettuare proattivamente scansioni e bonifiche dei servizi NTP vulnerabili in modo da ridurre le capacità a disposizione degli attaccanti • Rilevando gli attacchi - le aziende devono sfruttare la telemetria di flusso per rilevare, classificare, ritracciare e segnalare proattivamente gli attacchi DDoS. Idealmente, dovrebbero essere usate configurazioni specifiche per facilitare l’individuazione e la mitigazione precoce degli attacchi a riflessione NTP • Attivando misure di mitigazione mediante la preconfigurazione di tecniche di mitigazione basate su rete (p. es. Flowspec, blackhole, meccanismi di QoS ecc.) in modo che siano già pronte quando occorre. Necessario anche il deployment di servizi e soluzioni di mitigazione intelligenti • Mitigando gli attacchi - occorre accertarsi che i team addetti alle operazioni conoscano bene i tool e i processi necessari ad affrontare efficientemente l’attuale generazione di attacchi NTP. Con la prosecuzione degli attacchi a riflessione NTP è diventato quanto mai importante che le aziende dispongano di difese attivate; configurando le infrastrutture di sicurezza e di rete in modo appropriato e ottenendo una migliore comprensione di questa minaccia, le aziende possono difendersi con successo.
In presenza di servizi, configurazioni, procedure e soluzioni adeguate, le aziende possono proteggere efficacemente esse stesse e i loro clienti: prevenendo abusi, bonificando i servizi NTP, rilevando gli attacchi, attivando misure di mitigazione e mitigando gli attacchi
25
VETRINA
UNA SOLUZIONE DI SICUREZZA PROGETTATA PER GLI AMBIENTI VIRTUALI
www.sophos.com
Abbiamo progettato Sophos Antivirus per vShield pensando a una soluzione di sicurezza capace di interagire perfettamente con tutte le piattaforme virtuali. Invece di continuare ad installare un agente antivirus su ciascun computer virtuale, abbiamo invece pensato a una funzione di scansione agile e centralizzata, capace di proteggere tutti i guest operativi sulle vostre reti host; Sophos Antivirus per vShield supera in termini di performance gli antivirus per endpoint tradizionali ed offre strumenti di protezione per ambienti virtuali estremamente competitivi. Nei test effettuati, il nostro motore di scansione estremamente efficace e all'avanguardia, ha eseguito il clean-file caching registrando un impatto del 90% inferiore sul throughput di scrittura del file server rispetto ai diretti concorrenti di mercato.
STORAGE SCALE-OUT UNIFICATO SERIE NETAPP FAS8000 PER LE GRANDI AZIENDE
www.netapp.com
Il nostro più potente storage array ibrido, FAS8080 EX (PDF), è progettato appositamente per carichi di lavoro business-critical che richiedono performance elevatissime (fino a 4 milioni di IOPS), scalabilità multi-PB e integrazione flash leader di settore, incluse le configurazioni all-flash. Grazie alla nuova architettura multi-core ad alte performance e all'accelerazione con flash a gestione automatica, offrono performance applicative costanti per una vasta gamma di carichi di lavoro SAN e NAS. La gestione semplificata e la comprovata integrazione con i cloud provider consentono di implementare senza rischi FAS8000 in un data center e in un cloud ibrido Grazie alla comprovata efficienza dello storage e a un rapporto fra prezzo e performance migliorato di due volte rispetto ai sistemi di generazione precedente, si può ridurre il consumo di capacità e migliorare il ROI a lungo termine.
26
www.vmware.com/it
Information Security n° 26 lug/ago 2014
VCLOUD SUITE VMware vCloud® Suite consente di creare ed eseguire un cloud privato basato su vSphere che offre ai service provider di servizi cloud una soluzione a costi scalabili, in grado di effettuare il provisioning delle applicazioni in pochi minuti e di garantire la gestione automatizzata delle operazioni. Integrando servizi IT virtualizzati con una gestione delle operazioni altamente automatizzata e basata su analisi è possibile raggiungere nuovi livelli di utilizzo delle risorse e produttività del personale, il risultato è un aumento significativo dell'efficienza, associato a un notevole risparmio sui costi operativi e di capitale. È possibile combinare la business continuity automatizzata basata su conformità e sicurezza virtualization-aware con vCloud Suite, una soluzione che offre elevati livelli di continuità operativa dell'applicazione e un controllo senza precedenti per quanto riguarda l'accesso, il posizionamento e i costi dei servizi IT.
VETRINA
MIGLIORI PRESTAZIONI PER LO STORAGE DEI FILE
www.dell.com/it/
L'appliance NAS (Network Attached Storage) FS8600 combinata alla tecnologia avanzata FluidFS v3 (Fluid File System v3) consente di ridurre il costo totale di proprietà del Dell Compellent Storage Center. È possibile ottenere fino a 494.000 IOPS in benchmark SPEC con una vera architettura a scalabilità orizzontale che consente di migliorare le prestazioni a un prezzo che è approssimativamente pari a un terzo rispetto alla soluzione attualmente leader del mercato. Grazie alla scalabilità lineare, le prestazioni migliorano in funzione della crescita del sistema FS8600 mediante l'aggiunta trasparente di nodi e il bilanciamento automatico del carico. La stabilità e la scalabilità delle connessioni simultanee vengono ottimizzate dal supporto avanzato per i protocolli (SMB 2.1, NFS v4). Si può incrementare la flessibilità dell'array di Storage Center con un'opzione di connettività back-end iSCSI a 10 Gb.
CENTRAL CONSOLE CONTROLLO DEGLI ACCESSI SU RETI GEOGRAFICHE
www.horus.it/cyberoam
Cyberoam Central Console (CCC) è un efficace strumento di controllo, monitoraggio e reporting dettagliato degli accessi agli apparati di rete aziendali che permette una gestione centralizzata in caso di più dispositivi Unified Threat Management dislocati in sedi periferiche. Cyberoam Central Console fornisce capacità avanzate di monitoraggio delle minacce attraverso una difesa coordinata contro gli attacchi zerohour e le minacce nascoste all’interno di network distribuiti ed estesi.Cyberoam Central Control, inoltre, consente di potenziare le policy globali di tutte le funzionalità degli UTM quali firewall, sistemi di prevenzione delle intrusioni, scansione degli anti-virus attraverso la creazione e l’implementazione di politiche di sicurezza per l’azienda estesa volte a rafforzare il livello di protezione degli uffici periferici o gestiti da remoto.I dispositivi CCC virtuali di Cyberoam possono essere implementati in qualsiasi ambiente VMware, sia server o workstation.
TIENI AL SICURO IL TUO DISPOSITIVO PIÙ PREZIOSO E PERSONALE
Information Security n° 26 lug/ago 2014
http://home.mcafee.com/
La tecnologia McAfee Active Protection™ offre protezione in tempo reale ed esegue la scansione di app, schede SD e file alla ricerca di codice nocivo. Grazie al supporto della premiata rete Global Threat Intelligence di McAfee, impedisce al malware e ad altre infezioni pericolose di colpire il tuo dispositivo. Proteggi le tue informazioni più personali e riservate da app pericolose e occhi indiscreti, limita l'accesso alle app utilizzando uno dei tre profili forniti dalla funzionalità relativa al profilo app, per creare zone "sicure" per i ragazzi, gli amici, la famiglia o gli sconosciuti. Controlla le app visualizzate dagli altri sul App Alert esegue la scansione e controlla le applicazioni, informandoti quando un'applicazione richiede capacità di accesso superiori al necessario. Inoltre, grazie al supporto della rete Global Threat Intelligence di McAfee, crea dei rapporti per aiutarti a decidere se considerare affidabile un'app.
27
COMITATO CONSULTIVO
www.informationsecuritynews.it Piero Giovanni Caporale - Sicurezza Organizzativa e Gestionale Settore ICT - DigitPA
Baldo Meo - Responsabile Comunicazione Garante per la protezione dei dati personali
Raoul Chiesa - Founder, Security Brokers Inc.
Elio Molteni - Presidente AIPSI, ISSA Italian Chapter
Isabella Corradini - Professore di Psicologia sociale della Facoltà di Psicologia dell'Università degli Studi dell'Aquila e Presidente del Centro Ricerche Themis
Alessandro Musumeci - Direttore Centrale Sistemi Informativi (DCSI), Ferrovie dello Stato
Mauro Cosmi - Value Team S.p.A Elena Ferrari - Docente del Dipartimento di Informatica e Comunicazione dell’Università dell’Insubria Pierfrancesco Ghedini - Direttore Dipartimento Tecnologie dell'Informazione e Biomediche - Azienda USL di Modena – in qualità di AISIS (Associazione Italiana Sistemi Informativi in Sanità) Gianpiero Guerrieri - Dirigente Analista. Direttore UOC Sistema Informativo, Sistema di Reporting Aziendale e ICT - Azienda Ospedaliera San Giovanni Addolorata Giovanni Hoz - Direttore Sistemi Informativi Policlinico A. Gemelli Andrea Lisi - Professore a contratto di Informatica Giuridica - Scuola Professioni Legali, Facoltà Giurisprudenza - Università del Salento, Presidente di ANORC (Associazione NazionaleOperatori e Responsabili della Conservazione Sostitutiva), Coordinatore del Digital&Law Department Studio Legale Lisi, Studio Associato D&L Business&Legal Consultancy, ICT &International Trade, Executive Management SCiNT - Study&Research Centre
Silvano Ongetta - Presidente AIEA, Associazione Italiana Information Systems Auditors Massimo F. Penco - Presidente Associazione Cittadini di Internet, Membro del Antiphishing Working Group, Vice presidente Gruppo Comodo Filomena Polito - Presidente APIHM - Associazione Privacy and Information Healthcare Manager Andrea Rigoni - Director General GC-SEC Global Cyber Security Center Giuseppe Russo - Chief Technology Officer - Oracle Hardware group Marco Scattareggia - KEY DATA ANALYICS - Practice Manager Corrado Aaron Visaggio - Ricercatore in Ingegneria del Software presso il Dipartimento di Ingegneria dell’Università degli Studi del Sannio Anthony Cecil Wright - Presidente ANSSAIF, Associazione Nazionale Specialisti Sicurezza in Aziende di intermediazione Finanziaria Stefano Zanero - Responsabile Tecnico, Secure Network
Giovanni Manca - Esperto di digitalizzazione documentale nella PA e sicurezza ICT Alberto Manfredi - MSc, CISA, CISSP, GCFA, CRISC - Presidente Cloud Security Alliance - Italy Chapter
INDICE INSERZIONISTI
Carlo Maria Medaglia - Docente e coordinatore RFID Lab - CATTID Università La Sapienza di Roma
GFI MAX WATCHGUARD FUTURE TIME TREND MICRO
II COP. III COP. IV COP. PAG. 10
Information Security Anno V - n. 26 Luglio/Agosto 2014 Direttore Responsabile Maria Giulia Mazzoni Collaboratori Alberto Blasi, Sarah Ferri Impaginazione Cecilia Lippi Francesconi Progetto grafico Giulia Pissagroia Redazione Oriana Mazzini Gestione e Servizi Ruggero Genna ROC – Registro Operatori di Comunicazione n. 17883 – Pubblicazione bimestrale registrata presso il Tribunale di Roma il 7/10/2010 n. 379 Codice ISSN: ISSN 2037-5611 Edisef Roma Poste Italiane S.p.A. Spedizione in Abbonamento Postale – D.L. 353/2003 (conv. in L. 27/02/2004 n. 46) Art. 1 Comma 1 – DCB Roma – Euro 10,00 Abbonamento annuale Euro 52,00 BONIFICO BANCARIO Banca Popolare del Lazio Ag. 45 Piazzale della Radio 41 00146 ROMA IBAN: IT80 U051 0403 205C C036 0001 434 Siti internet www.edisef.it www.ehealthnews.it www.informationsecuritynews.it
PER COLLABORARE La collaborazione è sempre gradita ma deve rispettare alcune caratteristiche tecniche. Articoli – I testi devono essere originali, liberi da diritti d’autore verso terzi e non sottoposti ad altre pubblicazioni. La decisione sull’eventuale pubblicazione è ad esclusiva discrezione della Redazione. I testi devono pervenire in formato elettronico in qualsiasi forma di Word Processing e non devono superare le 15.000 battute (spazi inclusi). Grafici, loghi e immagini a corredo devono pervenire in redazione in f.to jpg, tigg o eps con risoluzione minima di 300 dpi. Testi e immagini devono essere inviati a: redazione@edisef.it oppure visti in originale a: EDISEF - Via A. Toscani, 26 - 00152 ROMA
Abbonamenti Via Antonio Toscani, 26 00152 Roma Tel. 06.53.730.96 Fax 06.58.200.968 e-mail: info@edisef.it Finito di stampare nel mese di Luglio 2014 presso: C.S.R. SRL TIPOGRAFIA Via di Pietralata, 155 00158 Roma