smau milano 2011 - aipsi

1

Milano, 19 - 21 ottobre - Fieramilanocity

Pubblica amministrazione: Cloud Computing, Privacy & Security

Dall’avvento di Internet all’era del Cloud.

Massimo Chirivì – 19 ottobre 2011

2


L’impegno per l’innovazione

• Consulente ICT dal 1995 • Al servizio delle aziende per lavoro• Al servizio della P.A. per hobby e passione dal 1998

Associazioni• AIPSI - Associazione Italiana Professionisti della Sicurezza Informatica• ICAA - International Crime Analisys Association• AICA - Associazione Italiana per il calcolo automatico• Federazione Italiana Privacy• ISSA - Information Systems Security Association• CLUSIT - Associazione Italiana per la Sicurezza Informatica


3


AIPSI – Associazione Italiana Professionisti Sicurezza Informatica

AIPSI Capitolo Italiano di ISSA

Associazione di singoli

professionisti

Oltre 10.000 esperti in tutto

il mondo

200 soci in Italia


4


Obiettivi:

• Organizzazione di forum educativi• Redazione di documenti e pubblicazioni specializzate• Interscambio di esperienze fra i professionisti del

settore (nazionali e internazionali)• Riferimento per la ricerca di professionisti di sicurezza

IT• Interazione con altre organizzazioni professionali• Rilascio di attestati e certificazioni specifiche

AIPSI – Associazione Italiana Professionisti Sicurezza Informatica


5


Innovazione ICT nella P.A.

Privacy

CAD

Trasparenza

Cloud Computing

Open Source

Sicurezza

Accessi Perimetro


6


Registrazione degli accessi

Identificazione sistemi da monitorare

Analisi dei rischi

Attuazione misure di raccolta,

conservazione e cancellazione

Attuazione delle misure volte ad

assicurare completezza, inalterabilità e

verifica dell’integrità


7


• Accessi logici all’area Admin

• Accessi Logici ai DB

• Accessi logici ai sistemi operativi

• Accessi logici ai sistemi operativi

Server

ClientNetworking

D.B.M.S.

Definizione del

perimetro


8


SaaS: Software as a Service - Consiste nellutilizzo di programmi in remoto, spesso attraverso un server web. Questo acronimo condivide in parte la filosofia di un termine oggi in disuso ASP (Application Service Provider)

PaaS: Platform as a Service - uno o più programmi vengono eseguiti in remoto su una piattaforma software che può essere costituita da diversi servizi, programmi, librerie

IaaS Infrastructure as a Service - Utilizzo di risorseCloud Computing e PA hardware in remoto. Questo tipo di Cloud è quasi un sinonimo di Grid Computing (fondamentalmente calcolo distribuito), ma le risorse vengono utilizzate su richiesta al momento in cui un cliente ne ha bisogno, non vengono assegnate a prescindere dal loro utilizzo effettivo.

Insieme di tecnologie informatiche che permettono l’utilizzo remoto di risorse hardware o software distribuite potenzialmente ovunque nel mondo.

Tipologie di Cloud Computing :


9


La Pubblica Amministrazione tramite il CLOUD COMPUTING deve garantire:


10


Criticità e rischi del Cloud Computing

• Dati vulnerabili ad attacchi e a manomissioni, o alla perdita o danneggiamento a seguito di disastri.

• Limiti della rete Internet. • Conformità a standard/normative.• Dove sono i miei dati?• Chi tiene i miei dati?• Sotto quale giurisdizione?• Sono protetti?


11


OPEN SOURCE

CLOUDDocument Management

E-CollaborationApplicazioni Verticali

Applicazioni residenti Office AutomationApplicazioni Verticali

Sistemi Operativi Linux


12


OPEN SOURCE

Quanto costa innovare la P.A.?Quali sono i tempi?Quali problemi bisogna affrontare?


13


L'esplosione di Internet e delle grandi reti Intranet della posta elettronica:

se da una parte hanno reso più flessibile la comunicazione e l’accesso ai servizi, dall’altra hanno aperto varchi verso il mondo esterno che possono essere utilizzati in modo fraudolento e criminoso.

Ciò ci deve far riflettere sulla necessità di proteggere le informazioni, e i dati che circolano quotidianamente da un computer all'altro.


14


• Ancora oggi, molti pensano che l’installazione di un antivirus sia la soluzione a tutti i problemi di Sicurezza Informatica e quindi affrontano il problema in modo inadeguato

• Possiamo indicare una delle “Cause scatenante problemi sulla sicurezza” la mancanza di cultura della sicurezza informatica .

• Gli enti spesso non si rendono effettivamente conto dei potenziali rischi che possono generarsi in un Sistema Informativo


15


La sicurezza totale infatti è un’astrazione e come tale non esiste nella realtà.

Si deve allora seguire la logica secondo cui un progetto di sicurezza ha l'obiettivo di ridurre il rischio.

Diffondere la cultura della Sicurezza Informatica presso le organizzazioni, sia Militari che della Pubblica Amministrazione e i cittadini è uno degli strumenti più efficaci per far fronte ai problemi della sicurezza informatica.


16


DisponibilitàDisponibilità Integrità

Sicurezza

Le risorse informatiche e le informazioni sono

accessibili agli utenti autorizzati nel

momento in cui servono

Limitare l’accesso alle Inform.e risorse HW alle sole persone autorizzate.

Per l’HW consiste in: elaborazione corretta dei dati,livello adeguato delle prestazioni, corretto instradamento dei dati.Per le Inform. L’integrità viene meno quando i dati sono alterati, cancellati o inventati, per errore o per dolo.


17


Problemi da affrontare:

• Cultura della sicurezza informatica;• Investimenti in tecnologia e conoscenza;

– Meglio un’opera pubblica che si vede o software, corsi di formazione, ecc.ecc.

– Interessi e contaminazioni economiche.• Trasparenza amministrativa vs. Innovazione

Tecnologica;• Le linee guida e le normative ci sono, ma pochi le

rispettano;• Personale impiegato negli enti;


18


IL CAD (Codice dell’amministrazione digitale)?

• Il nuovo Codice dell’amministrazione digitale (CAD) stabilisce le regole per la digitalizzazione della pubblica amministrazione

• Questo decreto legislativo segna il passaggio dall’amministrazione novecentesca fatta di carta e timbri all’amministrazione del XXI secolo digitalizzata e sburocratizzata


19


Cosa prevede?• Digitalizzazione dell’attività amministrativa;• Rapporti tra pubbliche amministrazioni e imprese;• Trasparenza;• Pagamenti informatici;• Firme digitali;• Customer Satisfaction;• Utilizzo della PEC;• Dematerializzazione dei documenti;• Protocollo informatico e fascicolo elettronico;• Conservazione dei documenti;• Accesso ai servizi in rete;• Istanze alle pubbliche amministrazioni;• Continuità operativa e disaster recovery;• Scambi di dati;• Dati Pubblici;


20


A che punto siamo?

La strada è lunga e tortuosa!

“Riuso” e “Condivisione” devono diventare parole comuni.

Rispettiamo il CAD.

Utilizzare la tecnologia esistente senza sprechi.


21


Domande & Risposte


22


Informazioni finali

•www.massimochirivi.net•[email protected]•Facebook•Skype: mchirivi•Linkedin•Sito smau – www.smau.it•Sito AIPSI -- www.aipsi.org


23


Grazie per l’attenzione


smau milano 2011 - aipsi

Technology