18.06.2014_barba - Security Summit

Fine Vita di XP e CNI - Il punto di vista di un
system integrator di Cyber Security
Angeloluca BARBA
© Copyright Selex ES S.p.A 2014 All rights
reserved
L’opportunita’ digitale
• L’adozione di infrastrutture digitali su larga scala
e’ un’opportunita’ per tutti gli attori pubblici e
privati del sistema paese
Siamo qui
• Le catene del valore si spostano sempre piu’
sul digitale anche in settori economici
tradizionali ( es. Turismo)
• Il digitale rappresenta una rivoluzione
nell’erogazione dei servizi al cittadino dalla
salute all’amministrazione, dalla sicurezza alla
mobilita’ (es. Agenda Digitale)
• Applicazioni sempre piu’ connesse
Source: Peter Hinssen, the new normal, media NV, 2010
• Nuovi servizi, benefici con riduzione dei costi
© Copyright Selex ES S.p.A 2014 All rights
reserved
La “Relazione annuale sulla politica dell’informazione
per la sicurezza” del SIS
• “l’attività informativa è stata dunque ampliata secondo una nozione di sicurezza
nazionale che incorpora la competitività, la crescita economica e la
connessa coesione sociale fra i beni essenziali da difendere, partendo da una
prioritaria individuazione – condivisa con le Amministrazioni centrali rappresentate nel CISR –
dei settori strategici del Sistema Paese.»
• «Pur costituendo la protezione delle infrastrutture critiche informatizzate
target prioritario per l’intelligence, atteso che un’aggressione alle stesse è
potenzialmente in grado di danneggiare o paralizzare il funzionamento dei gangli vitali dello
Stato, il monitoraggio informativo svolto nel corso del 2013 ha consentito di rilevare come la
concentrazione degli eventi cibernetici di maggior rilievo si sia tradotta in un significativo
incremento di attività intrusive finalizzate all’acquisizione di
informazioni sensibili e alla sottrazione di know-how pregiato. Ciò in
danno del patrimonio informativo di enti governativi, militari, ambasciate, centri di ricerca, nonchè
di società operanti nei settori aerospaziale, della difesa e dell’energia, anche di fonte alternative.
Alcune esperienze dal passato….
© Copyright Selex ES S.p.A 2014 All rights
reserved
• Windows NT su sistemi critici certificati ITSEC/CC
−
−
−
−
Hardware Shortage
Software Shortage
Skill Shortage
Porting
Ed è stato un passaggio molto meno invasivo!
• SCO Open Server su sistemi fortemente integrati con HW proprietario
−
−
−
−
Hardware Shortage
Software Shortage
Skill Shortage
Portabilità su altri sistemi
4
…qualche pezza…
• Archeologia/Spare parts
© Copyright Selex ES S.p.A 2014 All rights
reserved
− Mai cercato un disk array compatibile NT4.0 nel 2010 ?
• Virtualizzazione/Isolamento
• Programmi di supporto
− Microsoft ha ancora un supporto per XP
• Porting !
− E’ uno UNIX lo ricompili! %&$@@@@!!!!
− E il testing ? La certificazione ? La messa in campo ? Il training ?
5
… e qualche considerazione generale
© Copyright Selex ES S.p.A 2014 All rights
reserved
• Pianificare, pianificare, pianificare
− Pianificare in fase di offerta/acquisizione
− Pianificare in fase di esecuzione
− Pianificare ora !
• Cambiamento culturale
−
−
−
−
−
Il software è ovunque non si può ignorare
Internet of Things
Cyber Security come l’Assicurazione Qualità : una necessità imprescindibile
Qualità del prodotto : bisogna chiedere
Qualità del Servizio
• Partnership : serve un partner affidabile che accompagni l’organizzazione
giorno per giorno
6
Protezione delle IC
Il life-cycle della Protezione delle IC e le relative capacità tecnologiche necessarie
 Risk Analysis
 Self appraisal
Prevention
Protection,
Preview
ID &
Designation


PDCA (plan, do,
check, act)
Threat
assessment
Indication &
Warning

Pre Event
Crisi emergente
o in atto:
riconoscimento
stato di crisi
Mitigation


Circoscrizione del
problema per
arginarne il
dilagare
Mobilitazione
squadre di
reazione
Response

Gestione della
crisi e
risoluzione
Reconstruction


Ritorno allo
status quo
Ripristino regime
Post Event
Contesto delle Minacce e
Pianificazione
Continuità operativa e QoS
Principali
competenze
Governance della Sicurezza (inclusa Sicurezza Organizzativa)
Sicurezza Fisica e Cyber Security
Training e Formazione
© Copyright Selex ES S.p.A 2014 All rights reserved
7
© Copyright Selex ES S.p.A 2014 All rights
reserved
L’approccio SELEX ES : gli standard come chiave
ASSESSMENT,
DESIGN AND
REVIEW
IDENTIFICATION
COMPREHENSIVE
PROTECTION
ICS /SCADA
Specific Intelligent
Protection Technologies
DATA &
NETWORK
SECURITY
MANAGEMENT
CYBER INTELLIGENCE
M/490 Mandate
8
Grazie per l’attenzione!
Angeloluca BARBA
angeloluca.barba@selex-es.com
Via Laurentina 760
00143 Roma – Italia
www. selex-es.com