la tutela delle informazioni end-to-end al tempo della ...€¦ · copyright 2011 fujitsu alcuni...
TRANSCRIPT
Copyright 2011 FUJITSU
Fujitsu :
La tutela delle informazioni
end-to-end al tempo della “ubiquity”
Ing. Roberto CherubiniIT Architect - Fujitsu Technology Solutions
[email protected] Chieti, 1 ottobre 2011
Copyright 2011 FUJITSU
Fujitsu
Business Segments:
Technology Solutions
Ubiquitous Solutions
Device Solutions
3rd largestIT services player
Business philosophy:Think Global, Act Local
Established:
June 1935
Employees:
172,000
Revenue:
US$ 50B
R&D
investment:
US$ 2.5B
2
Copyright 2011 FUJITSU
Evoluzione tecnologica…
3
Proliferazione di dispositivi di accesso:- Cellulari
- Smartphone
- Tablet
- Notebook/Netbook
- Desktop
Sempre maggiore velocità di propagazione della tecnologia“Quanti anni sono serviti per arrivare a 50 milioni di utenti per queste tecnologie?”
Radio
TV
Internet
iPod
Ed anche:
- Facebook ha raggiunto oltre 200 milioni di utenti attivi in meno di un anno
- 1 coppia su 8, sposata negli USA si è conosciuta via Social Web
- 80% delle aziende, negli USA, utilizzano i Social Media per reclutare personale,
95% di loro utilizza allo scopo Linkedin
13 anni
4 anni
3 anni
38 anni
Copyright 2011 FUJITSU
Da dove provengono le possibili minacce
Sicurezza e Gestione
Viruses
Unauthorized
Use
Social
Engineering
Theft & Lost
Damage
Intrusion
Spam
Software
Modification
Unsafe
Passwords
Insufficient
Access
Control
Spyware
Keyloggers
Ci affliggono sia
come privati che
come aziende
4
Copyright 2011 FUJITSU
Alcuni recenti fatti
5
The Sun, dati in fuga
Trafugati migliaia di dati personali, appartenenti ad altrettanti lettori del quotidiano di
News International. Una ritorsione contro gli errori di Murdoch. Non è chiaro se la
mano sia ancora di LulzSec…
Antisec colpisce ancora in Italia - Bucata per la seconda volta xxxxx
L'italiana xxxx, azienda che gestisce diversi sistemi informatici per la difesa, il
controllo del traffico aereo e i trasporti, è finita per la seconda volta in tre
giorni nel mirino della crew di hacktivisti di AntiSec.
72 nazioni sotto attacco. McAfee rivela una massiccia
azione durata cinque anni
Agenzie governative, imprese, associazioni. Persino il Comitato
Olimpico. Un soggetto statale dietro gli attacchi.
Privacy: informative di rischio per cloud e smartphone
Nella sua relazione annuale il Garante illustra le azioni svolte lo scorso
anno e accende i riflettori su cloud e smartphone. La consapevolezza
fondamentale per mitigare i rischi, ma un ruolo chiave toccherebbe ai
provider.
Copyright 2011 FUJITSU
Le preoccupazioni circa la sicurezza
Furto dispositivi
Perdita dei dati
Accesso non autorizzato a dati societari
(confidenziali)
Virus, worms
Accesso non autorizzato alle reti aziendali
Rating System 1-5
*Network Specialist; 2009
6
Copyright 2011 FUJITSU
Mantenete i vostri „segreti“…
Interruzione dei processi
Downtime
Perdita dei dati
Proprietà intellettuale
Documenti „strategici“
Perdita di tempo
Perdita di denaro
Perdita di business
Immagine danneggiata
Reputazione e confidenza dei clienti
Insolvenza
Effetti
Problemi finanziari
Valore delle azioni
Relazioni con
fornitori/clienti
IT come opportunità per
gestione dei rischi
La sicurezza è uno dei problemi in cima alla lista degli IT managers
Rischi connessi alla sicurezza
€
7
Copyright 2011 FUJITSU
Aumento dei costi per la sicurezza
2003 2005 2007 2009
500k
750k
1,000k
1,250k
1,500k
1,750k
> 600k
750k
1,350k
Average total costs per reporting company was $4.8
million per data breach (2006 Annual Study: The cost of data breach, Ponemon Institute, 2007
Unità
rubate
Anni
Incremento dei costi legati a furti o smarrimento dei notebook aziendali
The average value of a lost laptop is $49,246.
This value is based on seven cost components: replacement cost,
detection, forensics, data breach, lost intellectual property costs, lost
productivity and legal, consulting and regulatory expenses. Study: The Cost of a Lost Laptop. Ponemon Institute, LLC, April 2009
8
Copyright 2011 FUJITSU
Quanto valgono i Vs dati personali?
9
Ai cybercriminali i dati personali fruttano circa 400€
Una patente “taroccata” costa fino a 200 euro
Gli estremi di un conto corrente fino a 180 euro.
Nuova identità viene circa 250 euro tramite siti Internet dedicati alla
compravendita di documenti falsi.
(siti raggiungibili facilmente tramite i normali motori di ricerca….)
Spesso sono gli stessi utenti a “facilitare” il lavoro a chi,
per professione (!?), si occupa del furto di identità.
Da una ricerca recente emerge che spesso, in modo
molto disinvolto, si forniscono i propri dati personali:
- l'82,5% fornisce liberamente il proprio nome e cognome,
- il 59% ci aggiunge la data di nascita,
- il 48% il proprio indirizzo
- il 33% completa il tutto con il numero del cellulare.
Identity management
Copyright 2011 FUJITSU
Cancellazione sicura dei dati: un obbligo non recepito…
10
In Italia il tema della cancellazione sicura dei dati, sebbene regolato da vincoli
normativi e di legge è ancora poco sentito.
81% del campione preso in esame non provvede ad una
cancellazione sicura dei propri dati
11% del campione non ha nemmeno l'idea di quale sia
il tipo di cancellazione adottata in azienda.
Quindi solo l'8% delle aziende, già provvede ad una cancellazione sicura e affidabile
dei dati al termine del loro ciclo di vita.
Eppure:
normativa privacy (D.Lgs 197/2003) e provvedimento del Garante per la Privacy
in materia di Raee e di sicurezza dei dati personali prevedono che i dispositivi
digitali sui quali possono essere archiviate informazioni personali anche sensibili
DEBBANO ESSERE COMPLETAMENTE CANCELLATI prima di poter essere
smaltiti, riciclati, riutilizzati o donati.
l'omessa cancellazione dei dati rappresenta una violazione di legge sanzionata
penalmente e civilmente.
Data Management
Copyright 2011 FUJITSU
Metodi più utilizzati per la cancellazione
11
Le poche aziende virtuose che già provvedono alla cancellazione
sicura utilizzano prevalentemente:
la sovrascrittura (67% dei casi),
la demagnetizzazione (20% dei casi)
la punzonatura o la deformazione meccanica (13% dei casi)
Data Management
Copyright 2011 FUJITSU
Accesso – Il logon dell’utente è sicuro?
Molti sistemi di sicurezza si basano su password “segrete”.
Necessità di ricordare molteplici password
Le password spesso sono estremamente facili (admin/admin, data di
nascita, nome della moglie/marito…)
85% delle password possono essere facilmente scoperte
Se costretto ad usare password “complicate” l’utente, tende ad annotarla
(e la conserva in cassetti, attaccata a monitor, tastiere…)
Spesso le password sono condivise
con altri utenti / colleghi
12
Copyright 2011 FUJITSU
Gestire le sfide della sicurezza
Protezione fisicaProtezione in
remoto
Protezione in
locale
Anti-theft protection
Sensitizing users
Advanced Theft Protection
System tracking
Remote lock
Remote wipe
Access control
Data protection
Secure communication
System recovery
13
Copyright 2011 FUJITSU
Livello di Sicurezza
Audit-proof Protection
Data Protection
Access Protection
System Protection
• Password
• Biometrics
• SmartCard
• BIOS
• SSO
• TPM
• HDD Password
• Software- based Encryption
• Hardware-based Encryption
• Advanced Theft Protection
• EraseDisk
• Kensington
• Intrusion Detection
14
Copyright 2011 FUJITSU
Sicurezza: Diversi Sistemi
Password su disco fisso
Password su Bios
Kensington Lock
Lettore Impronte digitali
Smart Card Reader
Password sistema operativo
VPN
Pin code
Intrusion switch (desktops)Invia una segnalazione al sistema di system management,
se e quando il cabinet viene aperto
Component change alert
15
Copyright 2011 FUJITSU
Accesso ristretto ad informazioni protette ai soli autorizzati
Autenticazione
Qualcosa che l’utente conosce(password)
Qualcosa che fa parte dell’utente(dati biometrici, fingerprint, palm vein, iride, voce, viso)
Qualcosa che l’utente possiede(chip card, token, smartCard, security token)
Strong Authentication
Combinazione di due o più fattori di autenticazione(es: qualcosa che l’utente possiede + qualcosa che conosce)
Encryption
Ovvero rendere inutilizzabile l’informazione ad
utenti non autorizzati
Protezione per accesso a dati ed applicazioni
16
Copyright 2011 FUJITSU
very high
high
middle
low
very low
very low low middle high
Ease of use
Security
Password
Cryptography
SmartCard
PIN
very high
Accesso: Diversi Metodi
17
Copyright 2011 FUJITSU
Modulo TPM
Chip montato sulla motherboard dei PC
Core della TPA (Trusted Platform Architecture)
Chiave di criptazione protetta sul silicio
• Unica e connessa ad uno specifico dispositivo
• A prova di manomissione
• Gerarchia delle chiavi
• Sicura archiviazione delle chiavi per cifrare e decifrare i dati
sul disco rigido
Elementi chiave
• Generatore di numeri casuali per la generazione della chiave
• Memoria non-volatile per la chiave
• Supporto di Microsoft® BitLocker
Accesso: TPM
18
Copyright 2011 FUJITSU
Dati: Cifratura dei dati
Esistono differenti modi per cifrare i dati:
Cifratura Software-based
Cifratura di tutto il disco
Software-based Encryption (ISV Product)
Beneficio: indipendente dall’hardware
Svantaggi:
• Impatto sulle performance del sistema
• L’installazione iniziale può richiedere 2 o più ore
Full Disk Encryption
Benefici:
• Minimo impatto sulle performance
• Dati sempre ed automaticamente cifrati
• La password dell’hard disk come dato nel BIOS
19
Copyright 2011 FUJITSU20
ETERNUS: Controllo dei dati sensibili mediante
cifratura
Mettere
picturona e 3 /
4 messaggi
positivi da
ricordare
?????????
LUN non cifrate
LUN cifrate
123123123
123123123
?????????
Metodo di cifratura basato su protocollo standard (AES)
Massima protezione in caso di accesso fraudolento ai dati
I dati sensibili sono sicuri anche in caso di swap del disco a causa di fault/furto
Protezione dei dati anche in caso di rinnovo tecnologico
20
Copyright 2011 FUJITSU
EraseDisk
Funzionalità:
Cancella i dischi senza alcuna possibilità di recupero ed utilizzo fraudolento
dei dati (i dischi SSD non possono essere cancellati in modo sicuro)
Integrato nel BIOS Nessun sistema operativo o DVD necessario
Report di verifica (su USB key) disponibile per conferma dell’avvenuta cancellazione con
successo
Scopo:
Evitare la perdita di dati critici quando:
• Si eliminano i sistemi
• Si vendono i sistemi agli impiegati, o per operazioni di re-marketing
• Si riassegnano sistemi all’interno dell’azienda
Protezione dell’ambiente: riutilizzo del disco vs sua distruzione fisica
EraseDisk è una caratteristica unica di Fujitsu (implementata nel
UEFI-BIOS) (patent pending)
Consente la cancellazione dei dati per proprio conto
Riduzione costi (nessun software aggiuntivo; nessuna necessità di servizi di società terze)
21
Copyright 2011 FUJITSU
Erase Disk – Algoritmo di cancellazione
EraseDisk offre quattro opzioni di cancellazione, dalla “fast” (con un ciclo di
cancellazione) alla “very secure” (con 35 cicli di cancellazione):
Zero Pattern (1 passaggio)
German BSI/VSITR (7 passaggi)
DoD 5220.22-M ECE (7 passaggi)
Guttmann (35 passaggi)
Il report attestante la completa cancellazione del disco, valido come documento
allo scopo di “audit proof”, può essere conservato, copiandolo su supporto
esterno (drive USB).
Abilita l’utilizzatore ad essere conforme con leggi e regolamentazioni correnti,
quali:
•EU 95/46/EG (EU);
•BDSG (GER);
•Basel II (EU);
•HIPAA (US);
•Sarbanes-Oxley (US);
•Gramm-Leach-Bliley (US)
22
Copyright 2011 FUJITSU
Fujitsu Advanced Theft Protection
Track it!
Controlla e traccia gli asset
Resiste alle manomissioni
Genera allarmi
Erase it!
Cancella i dati sensibili da remoto
Distrugge automaticamente i dati sensibili
Crea log validi ai fini di audit
Disable it!
Rende il notebook inutilizzabile
Utilizza comandi remoti o trigger automatici
basati su timer
Sblocca facilmente il notebook qualora
venga recuperato
Recover it!
Consente di avvisare la polizia e recuperare
l’oggetto rubato (3 notebook rubati su 4
vengono recuperati)
3 notebook rubati
su 4 sono recuperati
!!!
23
Copyright 2011 FUJITSU