la tutela delle informazioni end-to-end al tempo della ...€¦ · copyright 2011 fujitsu alcuni...

Copyright 2011 FUJITSU

Fujitsu :

La tutela delle informazioni

end-to-end al tempo della “ubiquity”

Ing. Roberto CherubiniIT Architect - Fujitsu Technology Solutions

[email protected] Chieti, 1 ottobre 2011

mailto:[email protected]


Fujitsu

Business Segments:

Technology Solutions

Ubiquitous Solutions

Device Solutions

3rd largestIT services player

Business philosophy:Think Global, Act Local

Established:

June 1935

Employees:

172,000

Revenue:

US$ 50B

R&D

investment:

US$ 2.5B

2


Evoluzione tecnologica…

3

Proliferazione di dispositivi di accesso:- Cellulari

- Smartphone

- Tablet

- Notebook/Netbook

- Desktop

Sempre maggiore velocità di propagazione della tecnologia“Quanti anni sono serviti per arrivare a 50 milioni di utenti per queste tecnologie?”

Radio

TV

Internet

iPod

Ed anche:

- Facebook ha raggiunto oltre 200 milioni di utenti attivi in meno di un anno

- 1 coppia su 8, sposata negli USA si è conosciuta via Social Web

- 80% delle aziende, negli USA, utilizzano i Social Media per reclutare personale,

95% di loro utilizza allo scopo Linkedin

13 anni

4 anni

3 anni

38 anni


Da dove provengono le possibili minacce

Sicurezza e Gestione

Viruses

Unauthorized

Use

Social

Engineering

Theft & Lost

Damage

Intrusion

Spam

Software

Modification

Unsafe

Passwords

Insufficient

Access

Control

Spyware

Keyloggers

Ci affliggono sia

come privati che

come aziende

4


Alcuni recenti fatti

5

The Sun, dati in fuga

Trafugati migliaia di dati personali, appartenenti ad altrettanti lettori del quotidiano di

News International. Una ritorsione contro gli errori di Murdoch. Non è chiaro se la

mano sia ancora di LulzSec…

Antisec colpisce ancora in Italia - Bucata per la seconda volta xxxxx

L'italiana xxxx, azienda che gestisce diversi sistemi informatici per la difesa, il

controllo del traffico aereo e i trasporti, è finita per la seconda volta in tre

giorni nel mirino della crew di hacktivisti di AntiSec.

72 nazioni sotto attacco. McAfee rivela una massiccia

azione durata cinque anni

Agenzie governative, imprese, associazioni. Persino il Comitato

Olimpico. Un soggetto statale dietro gli attacchi.

Privacy: informative di rischio per cloud e smartphone

Nella sua relazione annuale il Garante illustra le azioni svolte lo scorso

anno e accende i riflettori su cloud e smartphone. La consapevolezza

fondamentale per mitigare i rischi, ma un ruolo chiave toccherebbe ai

provider.

http://punto-informatico.it/3234658/PI/News/antisec-attacco-vitrociset.aspx

http://punto-informatico.it/3234658/PI/News/antisec-attacco-vitrociset.aspx


Le preoccupazioni circa la sicurezza

Furto dispositivi

Perdita dei dati

Accesso non autorizzato a dati societari

(confidenziali)

Virus, worms

Accesso non autorizzato alle reti aziendali

Rating System 1-5

*Network Specialist; 2009

6


Mantenete i vostri „segreti“…

Interruzione dei processi

Downtime

Perdita dei dati

Proprietà intellettuale

Documenti „strategici“

Perdita di tempo

Perdita di denaro

Perdita di business

Immagine danneggiata

Reputazione e confidenza dei clienti

Insolvenza

Effetti

Problemi finanziari

Valore delle azioni

Relazioni con

fornitori/clienti

IT come opportunità per

gestione dei rischi

La sicurezza è uno dei problemi in cima alla lista degli IT managers

Rischi connessi alla sicurezza

€

7


Aumento dei costi per la sicurezza

2003 2005 2007 2009

500k

750k

1,000k

1,250k

1,500k

1,750k

> 600k

750k

1,350k

Average total costs per reporting company was $4.8

million per data breach (2006 Annual Study: The cost of data breach, Ponemon Institute, 2007

Unità

rubate

Anni

Incremento dei costi legati a furti o smarrimento dei notebook aziendali

The average value of a lost laptop is $49,246.

This value is based on seven cost components: replacement cost,

detection, forensics, data breach, lost intellectual property costs, lost

productivity and legal, consulting and regulatory expenses. Study: The Cost of a Lost Laptop. Ponemon Institute, LLC, April 2009

8


Quanto valgono i Vs dati personali?

9

Ai cybercriminali i dati personali fruttano circa 400€

Una patente “taroccata” costa fino a 200 euro

Gli estremi di un conto corrente fino a 180 euro.

Nuova identità viene circa 250 euro tramite siti Internet dedicati alla

compravendita di documenti falsi.

(siti raggiungibili facilmente tramite i normali motori di ricerca….)

Spesso sono gli stessi utenti a “facilitare” il lavoro a chi,

per professione (!?), si occupa del furto di identità.

Da una ricerca recente emerge che spesso, in modo

molto disinvolto, si forniscono i propri dati personali:

- l'82,5% fornisce liberamente il proprio nome e cognome,

- il 59% ci aggiunge la data di nascita,

- il 48% il proprio indirizzo

- il 33% completa il tutto con il numero del cellulare.

Identity management


Cancellazione sicura dei dati: un obbligo non recepito…

10

In Italia il tema della cancellazione sicura dei dati, sebbene regolato da vincoli

normativi e di legge è ancora poco sentito.

81% del campione preso in esame non provvede ad una

cancellazione sicura dei propri dati

11% del campione non ha nemmeno l'idea di quale sia

il tipo di cancellazione adottata in azienda.

Quindi solo l'8% delle aziende, già provvede ad una cancellazione sicura e affidabile

dei dati al termine del loro ciclo di vita.

Eppure:

normativa privacy (D.Lgs 197/2003) e provvedimento del Garante per la Privacy

in materia di Raee e di sicurezza dei dati personali prevedono che i dispositivi

digitali sui quali possono essere archiviate informazioni personali anche sensibili

DEBBANO ESSERE COMPLETAMENTE CANCELLATI prima di poter essere

smaltiti, riciclati, riutilizzati o donati.

l'omessa cancellazione dei dati rappresenta una violazione di legge sanzionata

penalmente e civilmente.

Data Management


Metodi più utilizzati per la cancellazione

11

Le poche aziende virtuose che già provvedono alla cancellazione

sicura utilizzano prevalentemente:

la sovrascrittura (67% dei casi),

la demagnetizzazione (20% dei casi)

la punzonatura o la deformazione meccanica (13% dei casi)

Data Management


Accesso – Il logon dell’utente è sicuro?

Molti sistemi di sicurezza si basano su password “segrete”.

Necessità di ricordare molteplici password

Le password spesso sono estremamente facili (admin/admin, data di

nascita, nome della moglie/marito…)

85% delle password possono essere facilmente scoperte

Se costretto ad usare password “complicate” l’utente, tende ad annotarla

(e la conserva in cassetti, attaccata a monitor, tastiere…)

Spesso le password sono condivise

con altri utenti / colleghi

12


Gestire le sfide della sicurezza

Protezione fisicaProtezione in

remoto

Protezione in

locale

Anti-theft protection

Sensitizing users

Advanced Theft Protection

System tracking

Remote lock

Remote wipe

Access control

Data protection

Secure communication

System recovery

13


Livello di Sicurezza

Audit-proof Protection

Data Protection

Access Protection

System Protection

• Password

• Biometrics

• SmartCard

• BIOS

• SSO

• TPM

• HDD Password

• Software- based Encryption

• Hardware-based Encryption

• Advanced Theft Protection

• EraseDisk

• Kensington

• Intrusion Detection

14


Sicurezza: Diversi Sistemi

Password su disco fisso

Password su Bios

Kensington Lock

Lettore Impronte digitali

Smart Card Reader

Password sistema operativo

VPN

Pin code

Intrusion switch (desktops)Invia una segnalazione al sistema di system management,

se e quando il cabinet viene aperto

Component change alert

15


Accesso ristretto ad informazioni protette ai soli autorizzati

Autenticazione

Qualcosa che l’utente conosce(password)

Qualcosa che fa parte dell’utente(dati biometrici, fingerprint, palm vein, iride, voce, viso)

Qualcosa che l’utente possiede(chip card, token, smartCard, security token)

Strong Authentication

Combinazione di due o più fattori di autenticazione(es: qualcosa che l’utente possiede + qualcosa che conosce)

Encryption

Ovvero rendere inutilizzabile l’informazione ad

utenti non autorizzati

Protezione per accesso a dati ed applicazioni

16


very high

high

middle

low

very low

very low low middle high

Ease of use

Security

Password

Cryptography

SmartCard

PIN

very high

Accesso: Diversi Metodi

17


Modulo TPM

Chip montato sulla motherboard dei PC

Core della TPA (Trusted Platform Architecture)

Chiave di criptazione protetta sul silicio

• Unica e connessa ad uno specifico dispositivo

• A prova di manomissione

• Gerarchia delle chiavi

• Sicura archiviazione delle chiavi per cifrare e decifrare i dati

sul disco rigido

Elementi chiave

• Generatore di numeri casuali per la generazione della chiave

• Memoria non-volatile per la chiave

• Supporto di Microsoft® BitLocker

Accesso: TPM

18

https://www.trustedcomputinggroup.org/


Dati: Cifratura dei dati

Esistono differenti modi per cifrare i dati:

Cifratura Software-based

Cifratura di tutto il disco

Software-based Encryption (ISV Product)

Beneficio: indipendente dall’hardware

Svantaggi:

• Impatto sulle performance del sistema

• L’installazione iniziale può richiedere 2 o più ore

Full Disk Encryption

Benefici:

• Minimo impatto sulle performance

• Dati sempre ed automaticamente cifrati

• La password dell’hard disk come dato nel BIOS

19

Copyright 2011 FUJITSU20

ETERNUS: Controllo dei dati sensibili mediante

cifratura

Mettere

picturona e 3 /

4 messaggi

positivi da

ricordare

?????????

LUN non cifrate

LUN cifrate

123123123

123123123

?????????

Metodo di cifratura basato su protocollo standard (AES)

Massima protezione in caso di accesso fraudolento ai dati

I dati sensibili sono sicuri anche in caso di swap del disco a causa di fault/furto

Protezione dei dati anche in caso di rinnovo tecnologico

20


EraseDisk

Funzionalità:

Cancella i dischi senza alcuna possibilità di recupero ed utilizzo fraudolento

dei dati (i dischi SSD non possono essere cancellati in modo sicuro)

Integrato nel BIOS Nessun sistema operativo o DVD necessario

Report di verifica (su USB key) disponibile per conferma dell’avvenuta cancellazione con

successo

Scopo:

Evitare la perdita di dati critici quando:

• Si eliminano i sistemi

• Si vendono i sistemi agli impiegati, o per operazioni di re-marketing

• Si riassegnano sistemi all’interno dell’azienda

Protezione dell’ambiente: riutilizzo del disco vs sua distruzione fisica

EraseDisk è una caratteristica unica di Fujitsu (implementata nel

UEFI-BIOS) (patent pending)

Consente la cancellazione dei dati per proprio conto

Riduzione costi (nessun software aggiuntivo; nessuna necessità di servizi di società terze)

21


Erase Disk – Algoritmo di cancellazione

EraseDisk offre quattro opzioni di cancellazione, dalla “fast” (con un ciclo di

cancellazione) alla “very secure” (con 35 cicli di cancellazione):

Zero Pattern (1 passaggio)

German BSI/VSITR (7 passaggi)

DoD 5220.22-M ECE (7 passaggi)

Guttmann (35 passaggi)

Il report attestante la completa cancellazione del disco, valido come documento

allo scopo di “audit proof”, può essere conservato, copiandolo su supporto

esterno (drive USB).

Abilita l’utilizzatore ad essere conforme con leggi e regolamentazioni correnti,

quali:

•EU 95/46/EG (EU);

•BDSG (GER);

•Basel II (EU);

•HIPAA (US);

•Sarbanes-Oxley (US);

•Gramm-Leach-Bliley (US)

22


Fujitsu Advanced Theft Protection

Track it!

Controlla e traccia gli asset

Resiste alle manomissioni

Genera allarmi

Erase it!

Cancella i dati sensibili da remoto

Distrugge automaticamente i dati sensibili

Crea log validi ai fini di audit

Disable it!

Rende il notebook inutilizzabile

Utilizza comandi remoti o trigger automatici

basati su timer

Sblocca facilmente il notebook qualora

venga recuperato

Recover it!

Consente di avvisare la polizia e recuperare

l’oggetto rubato (3 notebook rubati su 4

vengono recuperati)

3 notebook rubati

su 4 sono recuperati

!!!

23

la tutela delle informazioni end-to-end al tempo della ...€¦ · copyright 2011 fujitsu alcuni...

Documents