Home l'Altra P.A.      

Ci siamo trasferiti! Continua a seguirci su: http://portal.forumpa.it/, il canale web di FORUM PA dedicato all'innovazione.
ATTENZIONE: gli articoli privi di data in queste pagine, fanno riferimento a documenti precedenti al 2007

home redazione guest book newsletter cerca
dossier studi oltreconfine norme articoli vetrina trends
versione stampabile
TMPL2
ne parliamo con
La sicurezza informatica: un nodo cruciale


Dionigi Spadaccia - direttore centrale Sistemi Informativi e Telecomunicazioni Inps

del 22/03/2007

Come avviene la gestione dei vostri dati?
Consideri che i soggetti amministrati dall'INPS sono 42 milioni, tra aziende, cittadini, pensionati, lavoratori... Nonostante ciò, tutti i dati dell'utenza (anagrafici, reddittuali, contributivi..) sono raccolti e gestiti telematicamente.
Il sistema informativo dell'Istituto è completamente automatizzato ed accessibile su rete multicanale cioè utilizzando canali innovativi e altamente tecnologici oltre a quelli tradizionali di comunicazione. Proprio per l'utilizzo spinto di sistemi aperti web-based, la sicurezza informatica è uno dei fattori chiave per l'Istituto che deve garantire riservatezza e protezione di dati personali.
Com'è strutturata la vostra banca dati?
Da un punto di vista dell'utente esterno il nostro è un unico sistema informativo mentre internamente disponiamo di diverse banche dati come l'archivio anagrafico unico, il casellario dei pensionati, dei lavoratori attivi, dei lavoratori dipendenti, Artigiani, Commercianti e così via...
Le nostre banche dati sono aggiornate e integrate, oltre che dagli utenti finali (cittadini e aziende), da diverse fonti derivanti da altre pubbliche amministrazioni come i comuni, le camere di commercio e altri enti ed associazioni.
L'archiviazione dei dati, inoltre, avviene sia in forma telematica che forma cartacea.
Come avviene la gestione dei "dati sensibili"?
Il decreto 196/2003 del Codice in materia di protezione dei dati personali ha posto a carico dei soggetti pubblici, che effettuano trattamento dei dati, l'onere di adottare misure per rendere sempre più garantite e riservate le informazioni di natura personale e sensibile in loro possesso.
In virtù della nuova normativa, pertanto, l'Istituto, quale soggetto pubblico che tratta dati personali, sensibili e giudiziari ha provveduto ad introdurre ulteriori misure di sicurezza: informatiche, organizzative, logistiche e procedurali atte a configurare più elevati livelli di protezione così come previsti agli articoli 31-35 del Codice.
Le misure di sicurezza richieste dal Codice e adottate dall'Istituto, come descritte dal Documento Programmatico sulla Sicurezza (DPS), sono articolate in due gruppi:
 misure "minime", la cui mancata adozione comporta sanzioni penali per chiunque, pur essendovi tenuto, ometta di adottarle;
 misure più ampie o "idonee", decise in autonomia dal titolare in relazione alle specificità della propria attività e che, se non adottate, in caso di danno concorreranno all'individuazione delle responsabilità e del conseguente risarcimento economico.
Di quali soluzioni disponete per la gestione delle autenticazioni e degli accessi alle applicazioni aziendali?
L'Istituto ha un sistema informativo che si articola su un'architettura sia di tipo open che legacy.
In merito all'architettura open i sistemi di autenticazione si basano generalmente su un sistema Microsoft Active Directory mentre per quella legacy i sistemi di autenticazione sono di tipo Racf.
Inoltre è stata avviata la progettazione di un sistema di Identity ed Access Management da utilizzare come unico punto di accesso alle procedure e profilazione di tutti gli utenti Inps.
Il sistema prevede varie tipologie di accesso: login e password, certificato digitale compreso quello Inps, Carta Nazionale dei Servizi, Carta di Identità Elettronica, PIN. Esso contempla inoltre, allo scopo di conformare l'Istituto alle misure minime di sicurezza inerenti la tracciabilità, la gestione centralizzata dei logs.
L'infrastruttura INPS di sicurezza centrale realizzata per garantire il controllo del traffico è costituito da:
 Sistema di firewalling permette il blocco dei flussi dati non consentiti e difende i Centro Elaborazione Dati dai possibili attacchi provenienti sia da Intranet che da Internet, dalle intrusioni, dai virus.
 Sistema di intrusion prevention permette il monitoraggio dei flussi consentiti (http, ftp etc.), per il controllo in tempo reale degli eventi di rete, 24 ore al giorno e la segnalazione alle strutture preposte di eventuali attacchi informatici in atto.
Il sistema è costituito da una piattaforma di Analisi\Rilevazione e correlazione eventi di sicurezza sul traffico dati core della rete, gestita mediante un Centro operativo della sicurezza (SOC).
Come valuta la possibilità di un "attacco informatico" ai vostri sistemi? E con quali "armi" siete pronti a difendervi?

Qualsiasi sistema di sicurezza tende a diminuire l'effetto più o meno rilevante di un attacco informatico e a ridurre il rischio di intrusione da parte di soggetti non autorizzati ma non può azzerare completamente la possibilità di un attacco informatico.
Avendo aderito al contratto quadro SPC1 (Sistema pubblico di connettività - Cnipa), l'Istituto ha provveduto a dotarsi di tutti i servizi in esso previsti a tutela dei requisiti di sicurezza ed integrità della propria rete. Abbiamo previsto l'adozione di quelle che riteniamo essere le opportune contromisure rispetto ad un potenziale attacco informatico.
Utilizziamo quindi servizi di sicurezza perimetrale come Firewall Management, Network address traslation, Antivirus e Content Filtering, Network Intrusion Detection system, Event log monitoring e test vulnerability.
Le principali attività effettuate dal servizio di Intrusion Detection e Real Time monitoring sono:
 Analisi e Rilevazione degli eventi di sicurezza sul traffico dati che transita per il core della rete;
 Real Time Monitoring degli eventi di sicurezza attraverso un attività di correlazione anche tra fonti dati non eterogenee;
 Report delle attività anomale rilevate su base richiesta attraverso opportuni strumenti messi a disposizione presso le infrastrutture dell'Istituto;
 Vulnerability Assessment ripetuto interno alla rete su base richiesta per misurare lo stato di sicurezza dei sistemi server interni alla rete.

Il nostro sistema informatico è inoltre segmentato per aree applicative in modo da confinare gli effetti derivanti da eventuali attacchi, pertanto, in caso di intrusione esterna, l'impatto che ne deriva è estremamente limitato.
Inoltre l'utilizzo di diversi sistemi di sicurezza derivanti da più vendors su una stessa area applicativa fa aumentare notevolmente il grado di affidabilità dei nostri sistemi.
Quanto incide la spesa in materia di sicurezza informatica sul vostro budget IT complessivo?
Tra il 5% e il 10%.
Esiste un'unità organizzativa che si occupa di sicurezza informatica?
esiste un'area composta da circa 20 persone dedicata alla sicurezza e integrità sistemi con le funzioni di:
 Assicurare adeguati livelli di sicurezza degli asset informatici dell'Istituto, mediante la definizione di processi di gestione della sicurezza logica e fisica della gestione del rischio
 Garantire il rispetto delle norme relative alla privacy e alla protezione dei dati personali.
Gestire l'infrastruttura di sicurezza logica in termini di monitoraggio dello stato di protezione,definizione e controllo delle regole di accesso alle risorse informatiche, distribuzione e controllo delle credenziali di accesso.
 
 partners
Nortel Networks
Siav
SAS
Microsoft
 appuntamenti
 news
Deprecated: Function split() is deprecated in /data/fs/re-set/forumpa/admin/util.php3 on line 733 Deprecated: Function split() is deprecated in /data/fs/re-set/forumpa/admin/util.php3 on line 733 Deprecated: Function split() is deprecated in /data/fs/re-set/forumpa/admin/util.php3 on line 733

18/03 - In Belgio su e-bay con la carta d'identità elettronica

18/03 - Un canale youtube per la città di Genova

18/03 - Il Telefono Azzurro vince il "Premio WWW" de "Il Sole 24 Ore"

home redazione guest book newsletter cerca