Sicurezza Informatica
Transcript
Sicurezza Informatica
General Computer Controls Bozza per discussione Indice 1 2 Introduzione e scopo ................................................................................................... 3 Descrizione generale dei Sistemi Informativi............................................................. 4 2.1 La Rete Aziendale e sue estensioni..................................................................... 4 3 Organizzazione della Direzione IT ............................................................................. 6 3.1 Organizzazione della Sicurezza IT Aziendale .................................................... 6 4 Software applicativo presente in azienda.................................................................... 7 5 Modalità di esecuzione delle modifiche/nuovi sviluppi software............................... 8 6 Sicurezza logica e fisica.............................................................................................. 9 6.1 Sicurezza Fisica .................................................................................................. 9 6.2 Sicurezza Logica................................................................................................. 9 6.2.1 Gestione Accessi utenze di Rete ................................................................. 9 6.2.2 Gestione Accessi utenze applicative........................................................... 9 6.2.3 Variazioni di organico............................................................................... 10 6.2.4 Accesso Internet e accessi dall’esterno..................................................... 10 6.2.5 Posta elettronica ........................................................................................ 10 6.2.6 Sistema Antivirus...................................................................................... 10 7 Business Continuity e Disaster Recovery Plan......................................................... 11 7.1 Backup .............................................................................................................. 11 8 Conformità Legale .................................................................................................... 13 9 Progetti pianificati e in corso di attuazione............................................................... 14 10 Conclusioni ........................................................................................................... 15 Bozza per discussione 1 Introduzione e scopo Il presente documento riporta i risultati delle interviste condotte presso la Società. Lo scopo del lavoro è quello di fornire una review ad alto livello del sistema informativo dell’Azienda. Nel presente documento si è deciso di aggiungere un controllo relativo agli aspetti legali connessi alla gestione di dati personali all’interno dei sistemi informativi, considerando l’entrata in vigore il 31 Marzo 2006 del nuovo Testo Unico in materia di Privacy. Le informazioni che sono state raccolte riguardano le seguenti aree: 1. 2. 3. 4. 5. 6. 7. 8. Descrizione generale dei Sistemi Informativi Organizzazione della Direzione IT Software applicativo Modalità di esecuzione delle modifiche/nuovi sviluppi software Sicurezza logica e fisica Business Continuity e Disaster Recovery Plan Conformità legale Progetti in corso di attuazione Per rilevare le informazioni di cui sopra sono state intervistate le seguenti persone: - Responsabile Applicazioni Gestionali - Responsabile Infrastruttura Bozza per discussione 2 Descrizione generale dei Sistemi Informativi Il core business della Società è … La Società è sorta nel …., è quotata in borsa dal …., e ha ottenuto la certificazione ISO – 9001 del Sistema di Gestione della Qualità nel …. Tale certificazione riguarda, progettazione, produzione e commercializzazione di ... La Società è presente fisicamente, come sede centrale, in via … …(BO), dove risiedono i sistemi informativi centrali. La Società opera inoltre sul territorio nazionale tramite stabilimenti produttivi presso ... (BO) e …(BO), e tramite una filiale distributiva in …, oltre ad avvalersi dell’operato di agenti su tutto il territorio nazionale. Il sistema informativo conta globalmente circa 200 utenze registrate di cui circa 120 abilitate all’uso dello ERP JdE. 2.1 La Rete Aziendale e sue estensioni L’infrastruttura di comunicazione per via telematica della Società evidenzia quattro ambiti di applicazione diversi: Rete Locale LAN – Intranet Rete dedicata con terze parti WAN – Extranet Accesso Remoto VPN Rete pubblica – Internet La rete locale (LAN), la rete dedicata esterna (WAN) e l’accesso remoto tramite VPN permettono ai dipendenti di collegarsi ai sistemi di elaborazione centrali e ai file Server, tra cui il Gestionale Oracle-JdE, la Tesoreria, la BI di COGNOS, SAM, Gestione Personale, la Posta Aziendale, etc. Il collegamento con la rete Internet permette agli utenti Aziendali di usufruire dei servizi di navigazione via Web tra cui l’accesso ad alcune banche dati aziendali pubblicate da SicurWeb. Bozza per discussione I collegamenti con terze parti coinvolgono xxx S.p.A.; yyy S.r.l.; Incaricati esterni Il sistema Informativo è costituito sostanzialmente dalle seguenti piattaforme operative: Piattaforma Windows per tutti i sistemi ORACLE Piattaforma Windows per il Gestionale JdE Piattaforma Windows per tutte le altre applicazioni Client-Server aziendali Piattaforma Mac per la gestione dell'ufficio Pubblicità e Direzione Piattaforma Linux per la gestione della mail Aziendale, sistema di sicurezza, FTP, navigazione Web I Server che girano su S.O. NT, 2000 e 2003 offrono i seguenti servizi: Domain Controlling DB Server Application Server Terminal Server Web Server File Sharing I Server che utilizzano S.O. Linux Slackware e RedHat offrono i seguenti servizi: File Sharing Mail Server Web Server FTP Server Proxy Le postazioni Client sono circa 200 e funzionano principalmente su Sistemi Windows 2000 e Windows XP. Sono presenti anche alcune postazioni con Sistemi Operativi datati per esigenze specifiche e/o di cui è impossibile la migrazione. Le applicazioni di riferimento per la Società risiedono in generale su sistemi centralizzati, in particolare per JdE, salvo condizioni in cui determinate Aree aziendali utilizzano applicativi specifici, installati nelle Postazioni di Lavoro e operanti in locale su di queste. Bozza per discussione 3 Organizzazione della Direzione IT La struttura organizzativa della Direzione IT è illustrata nella figura seguente. Direzione Responsabile Applicazioni Gestionali Responsabile Infrastruttura Staff Staff 1 Persona 1 Persona Staff 1 Persona Staff 1 Persona 3.1 Organizzazione della Sicurezza IT Aziendale Nell’ottica della gestione della sicurezza IT, per i processi critici al fine di raggiungere gli obiettivi di sicurezza Aziendali, è stata rilevata la seguente matrice delle responsabilità. Processo Chiave Inventario e Gestione degli Asset Gestione delle configurazioni e Standard Tecnologici Gestione delle Patch Vulnerability Assessment Monitoraggio e gestione degli eventi di sicurezza Gestione della Crisi e Incident Response Sistemi Informativi X Altre Direzioni X Terze Parti - X - - X - - - - - - - - - Non sono previste procedure di Vulnerability Assessment e non viene effettuato un monitoraggio degli eventi sulla sicurezza. Le misure intraprese in tema di sicurezza sono limitate alla prevenzione delle intrusioni tramite firewall ed alla presenza di anti-virus su tutte le postazioni di lavoro e sul server di posta. Bozza per discussione 4 Software applicativo presente in azienda Tabella 1 illustra i principali pacchetti software applicativi aziendali, a supporto del Business, utilizzati dalla Società. ID Applicativo Office di Windows JdE – Oracle Funzione svolta Office Automation Caratteristiche tecniche/ Note Applicazione Client Sistema Client Suite di Sistema gestionale che, con i suoi relativi moduli implementati, supporta i seguenti cicli/processi: Applicazione client server, con DB Oracle 8.1.6.0., linguaggio di programmazione proprietario Oracle. eoapp01 (IBM HS20) eoent01 (IBMHS40) eotse01-Terminal Server (IBM HS20) eotse02-Terminal Server (IBM HS20) eotse03-Terminal Server (IBM HS20) eotse04-Terminal Server (IBM HS20) eoweb01 (IBM HS20) wmvare IBM HS20 (Test Server) eoent01 (IBMHS40) Amministrazione Controlling Ciclo Attivo Ciclo Passivo Supply Chain Manufacturing Modulo Tesoreria Gestione Tesoreria COGNOS Business Intelligence Nicim Gestione Produzione Zucchetti - Apri Amministrazione del personale Zucchetti Rilev Gestione Gestione Rilevazione presenze del personale Gestione Anagrafiche Tecniche, Distinte Base e gestione etichette Gestione Specifiche Componenti di Acquisto Gestione Stampi e Plastiche GesSpe Plastiche Sviluppato da Proxima, linguaggio in Delfi gestito su DB Oracle Applicazione Client Server Applicazione Client Server su Oracle Applicazione Client su DB Proprietario Applicazione Client Server su DB Microsoft SQL Applicazione Client su DB Access Applicazione Client su DB Access Applicazione Client su DB Microsoft SQL cognos01 (IBM HS20) NICIM01 (HP LC2000) File Server IBM Netfinity 3500 M20 sql01 (IBM HS20) File Server File Server LH3UT (HP LH3) Tabella 1. Lista dei principali applicativi Bozza per discussione 5 Modalità di esecuzione delle modifiche/nuovi sviluppi software Non esiste un processo formalizzato e costantemente monitorato per la gestione di modifiche e/o nuovi sviluppi del software. Nonostante la Società sia dotata di ambienti separati per lo sviluppo/test e per l’esercizio, in particolare per lo ERP JdE, anche il passaggio in produzione non avviene dietro formale autorizzazione e non viene formalizzato. Nel caso di progetti significanti (es. aggiornamento della versione di JdE), pur non esistendo una procedura formalizzata, viene effettuata maggiore attenzione alla gestione degli stessi ed in particolare sono effettuati test, anche per lunghi periodi, in ambienti separati dopo aver provveduto a trasferire (mediante apposito tool fornito da JdE) le customizzazioni e/o personalizzazioni sulla nuova release. Bozza per discussione 6 Sicurezza logica e fisica 6.1 Sicurezza Fisica Il CED della sede di … è situato al secondo piano della palazzina degli uffici. L’accesso alla sala server è limitato al personale autorizzato e possibile solo tramite una porta controllata da una apposita serratura con chiave elettronica. La porta della sala server non è tagliafuoco e le pareti non sono ignifughe. E’ presente un sistema di allarme antincendio. Nel locale è sistemato un estintore ma, non è presente un sistema antincendio a gas estinguente. Non sono presenti sensori antiallagamento anche se si rileva che essendo la sala situata al secondo piano e lontana da possibili fonti di allagamento, il rischio di possibili infiltrazioni d’acqua è piuttosto remoto. La sala server è adeguatamente climatizzata e la temperatura ideale è garantita dall’utilizzo di tre condizionatori montati a parete. 6.2 Sicurezza Logica 6.2.1 Gestione Accessi utenze di Rete L’unico sistema di autenticazione adottato è il riconoscimento tramite user-id e password. La lunghezza minima delle password è fissata a cinque caratteri ed ogni utente ha l’obbligo di cambiarla ogni sei mesi. (Si veda anche capitolo 8) 6.2.2 Gestione Accessi utenze applicative Per quanto riguarda l’accesso agli applicativi, gli amministratori creano le utenze replicando la coppia user-id e password utilizzata dall’utente per l’accesso alla rete/sistema operativo. Le politiche per la gestione delle password sono quindi le medesime applicate per le utenze dei sistemi operativi. Bozza per discussione 6.2.3 Variazioni di organico Non esistono procedure formalizzate per la gestione delle utenze da aggiungere o eliminare. Solitamente viene data comunicazione via mail al responsabile delle applicazioni gestionali per la richiesta di creazione di un utenza e nello stesso modo vengono gestite le eliminazioni. La procedura di creazione ed eliminazione è demandata allo stesso responsabile IT e non esistono verifiche automatiche o formalizzate per tracciare la procedura stessa. 6.2.4 Accesso Internet e accessi dall’esterno L’acceso ad internet è effettuato da tutti gli utenti (indipendentemente dalla sede) tramite la rete aziendale. La connessione ad internet è resa sicura mediante l’uso di un firewall (PIX). L’aggiornamento del software di base del firewall viene effettuato periodicamente (seguendo anche i suggerimenti della yyy srl) ma, non vengono monitorati su base sistematica i file di log. Non viene effettuato un penetration test su base periodica esponendo l’azienda a rischi di intrusione e di compromissione dei dati aziendali. E’ presente una DMZ sulla quale sono attestati il server di posta pubblico e quello ftp. Utenti mobili aziendali, partner ed alcuni fornitori di servizi possono accedere alla rete aziendale mediante VPN ma, hanno accesso limitato ad alcuni servizi (es. posta elettronica e file server) inoltre, vengono monitorati periodicamente i log degli accessi ed esiste un sistema di alerting automatico che segnala agli amministratori di sistema tentativi di connessione non riusciti. 6.2.5 Posta elettronica La posta degli utenti è gestita internamente su uno dei server tramite l’applicativo courirer. Su questo server tutta la posta viene filtrata da un anti-virus per garantire la protezione contro virus provenienti dall’esterno. 6.2.6 Sistema Antivirus Tutte le postazioni di lavoro sono protette dall’anti-virus Norton vers. 10.0. che viene distribuito in modalità push. Analogamente, il serve di posta eletronica è dotato di anti virus Norton vers. 10.0 per la scansione di tutta la posta ricevuta. Bozza per discussione 7 Business Continuity e Disaster Recovery Plan La Società ad oggi non ha ancora predisposto in piano di Business Continuity e di Disaster Recovery. Per quanto concerne la fault tollerance i più recenti sistemi blade sono dotati di alimentatori ridondati, di doppio controller per accesso alla SAN. Tutti i sistemi del blade center sono configurati per adottare soluzioni RAID il cui livello è funzione della criticità delle applicazioni gestite (in alcuni casi RAID 1 in altri più critici RAID 5). Il CED è alimentato da un gruppo elettrogeno, sottoposto a manutenzione periodica, per garantirne il funzionamento anche in caso di assenza di alimentazione da parte della rete elettrica. 7.1 Backup Le principali procedure di backup su nastro sono state implementate sul sistema HewlettPackard Open View - Data Protector versione A.05.50. Questo software, installato su un server dedicato (BCK01), ha ad oggi licenze per controllare simultaneamente 2 unità fisiche di backup: 1. LTO2 400x23 GB compressi con unità autoloader - IBM 3582 (connessa a BCK01); 2. DAT 40 GB compressi - HP DAT40 (connessa a SRV03); L’unità di backup LTO2 risiede in un edificio diverso da quello in cui è presente il CED. L’unità di backup DAT risiede presso lo stabilimento di Crespellano a cui è dedicata. Il software viene amministrato in maniera centralizzata e fornisce tutte le normali attività di copia/verifica dei dati su nastro. I log delle varie specifiche di backup (consultabili dall’apposita console di comando) vengono inoltrati agli amministratori di sistema sotto forma di messaggi di posta elettronica. Bozza per discussione Sede Descrizione File Server Caselle Posta Elettronica Directory, DNS, DHCP, WINS Archive LOG DB Oracle Frequenza Tipo Conservazione Giornaliera Incrementale 4 settimane 7:00 10:00 12:00 14:00 16:00 18:00 Giornaliera 20:00 Full 3 settimane Full 6 settimane Settimanale Full 4 settimane Settimanale Full 2 settimane Export DB Oracle Settimanale Full 6 settimane File Server File Server Caselle Posta Elettronica Directory, DNS, DHCP, WINS File Server Caselle Posta Elettronica Directory, DNS, DHCP, WINS File Server Caselle Posta Elettronica Directory, DNS, DHCP, WINS File Server Caselle Posta Elettronica Directory, DNS, DHCP, WINS Giornaliera Full 7 giorni Giornaliera Incrementale 4 settimane Settimanale Full 4 settimane Giornaliera Incrementale 4 settimane Settimanale Full 4 settimane Export DB Oracle Dati Transazionali (Sistema JdE Ent. One) … …. … … File Server Caselle Posta Elettronica Directory, DNS, DHCP, WINS Data File Oracle Per quanto concerne la sede di …., gli utenti utilizzano esclusivamente servizi remoti (erogati dalla sede principale) pertanto non sono presenti ne server ne dati locali e quindi non sono presenti funzionalità di backup. Si osservi che sono presenti anche altre procedure di backup che non sono state riportate in questo documento in quanto relative a sistemi in phase out. Bozza per discussione 8 Conformità Legale L’azienda dispone di un Documento Programmatico sulla Sicurezza (DPS) aggiornato nel quale sono riportate le procedure, le politiche e la descrizione degli strumenti per assicurare la rispondenza all’attuale normativa in materia di sicurezza sui dati. Tranne la lunghezza minima delle password (cinque caratteri invece di otto) ed il cambio password obbligatorio al primo accesso, sono rispettati i requisiti minimi di sicurezza dettati dal Dlgs 196/03. Bozza per discussione 9 Progetti pianificati e in corso di attuazione Relativamente alle attività future per l’evoluzione del sistema informativo e il miglioramento della sicurezza delle informazioni Aziendali sono stati identificati i seguenti progetti o attività in corso di realizzazione: Progetti In corso di Attuazione Migrazione di Macchine con S.O. 95 e 98 a IBM/Windows 2000 o XP Unificazione di Alcuni Domini Aziendali su Dominio Unico Sostituzione, Integrazione e Upgrade Server e SAN per Upgrade SI Upgrade Sistema Informativo Gestionale e Tesoreria Introduzione di un DataWarehouse Aziendale per Business Intelligence Progetti a BUDGET Sales Force Automation Implementazione Magazzino Avanzato Gestione Radiofrequenze Storicizzazione di dati Obsoleti Implementazione Software gestione Consolidato Bozza per discussione 10 Conclusioni Il sistema informativo aziendale denota un’organizzazione sufficiente per gli scopi di efficacia, efficienza, affidabilità e sicurezza a cui è preposto. Generalmente le procedure (sia relative all’area change management che a quella di gestione degli utenti) non sono formalizzate. Non vengono svolte attività di monitoraggio della sicurezza degli accessi via internet (Firewall) ne Penetration Test. La sala CED di … andrebbe dotata di un sistema di un sistema antincendio a gas estinguente al fine di limitare il danneggiamento dei sistemi in caso di incendio ed evitare il propagarsi delle fiamme agli uffici adiacenti, tenendo conto che la sala CED non è dotata ne di pareti ignifughe ne di porta taglia fuoco. La Società non ha ancora definito un piano di Business Continuity e Disaster Recovery. Per quanto concerne la compliance con il “Documento Programmatico sulla Sicurezza” non risultano ancora rispettate le politiche sulle password (lunghezza e scadenza) che dovrebbero essere aggiornate entro Gennaio 2007. Bozza per discussione