Sicurezza Informatica

Transcript

General Computer Controls
Bozza per discussione
Indice
1
2
Introduzione e scopo ................................................................................................... 3
Descrizione generale dei Sistemi Informativi............................................................. 4
2.1
La Rete Aziendale e sue estensioni..................................................................... 4
3 Organizzazione della Direzione IT ............................................................................. 6
3.1
Organizzazione della Sicurezza IT Aziendale .................................................... 6
4 Software applicativo presente in azienda.................................................................... 7
5 Modalità di esecuzione delle modifiche/nuovi sviluppi software............................... 8
6 Sicurezza logica e fisica.............................................................................................. 9
6.1
Sicurezza Fisica .................................................................................................. 9
6.2
Sicurezza Logica................................................................................................. 9
6.2.1
Gestione Accessi utenze di Rete ................................................................. 9
6.2.2
Gestione Accessi utenze applicative........................................................... 9
6.2.3
Variazioni di organico............................................................................... 10
6.2.4
Accesso Internet e accessi dall’esterno..................................................... 10
6.2.5
Posta elettronica ........................................................................................ 10
6.2.6
Sistema Antivirus...................................................................................... 10
7 Business Continuity e Disaster Recovery Plan......................................................... 11
7.1
Backup .............................................................................................................. 11
8 Conformità Legale .................................................................................................... 13
9 Progetti pianificati e in corso di attuazione............................................................... 14
10
Conclusioni ........................................................................................................... 15
1 Introduzione e scopo
Il presente documento riporta i risultati delle interviste condotte presso la Società.
Lo scopo del lavoro è quello di fornire una review ad alto livello del sistema informativo
dell’Azienda.
Nel presente documento si è deciso di aggiungere un controllo relativo agli aspetti legali
connessi alla gestione di dati personali all’interno dei sistemi informativi, considerando
l’entrata in vigore il 31 Marzo 2006 del nuovo Testo Unico in materia di Privacy.
Le informazioni che sono state raccolte riguardano le seguenti aree:
1.
2.
3.
4.
5.
6.
7.
8.
Descrizione generale dei Sistemi Informativi
Organizzazione della Direzione IT
Software applicativo
Modalità di esecuzione delle modifiche/nuovi sviluppi software
Sicurezza logica e fisica
Business Continuity e Disaster Recovery Plan
Conformità legale
Progetti in corso di attuazione
Per rilevare le informazioni di cui sopra sono state intervistate le seguenti persone:
-
Responsabile Applicazioni Gestionali
-
Responsabile Infrastruttura
2 Descrizione generale dei Sistemi Informativi
Il core business della Società è …
La Società è sorta nel …., è quotata in borsa dal …., e ha ottenuto la certificazione ISO –
9001 del Sistema di Gestione della Qualità nel …. Tale certificazione riguarda,
progettazione, produzione e commercializzazione di ...
La Società è presente fisicamente, come sede centrale, in via … …(BO), dove risiedono i
sistemi informativi centrali.
La Società opera inoltre sul territorio nazionale tramite stabilimenti produttivi presso ...
(BO) e …(BO), e tramite una filiale distributiva in …, oltre ad avvalersi dell’operato di
agenti su tutto il territorio nazionale.
Il sistema informativo conta globalmente circa 200 utenze registrate di cui circa 120
abilitate all’uso dello ERP JdE.
2.1 La Rete Aziendale e sue estensioni
L’infrastruttura di comunicazione per via telematica della Società evidenzia quattro
ambiti di applicazione diversi:




Rete Locale LAN – Intranet
Rete dedicata con terze parti WAN – Extranet
Accesso Remoto VPN
Rete pubblica – Internet
La rete locale (LAN), la rete dedicata esterna (WAN) e l’accesso remoto tramite VPN
permettono ai dipendenti di collegarsi ai sistemi di elaborazione centrali e ai file Server,
tra cui il Gestionale Oracle-JdE, la Tesoreria, la BI di COGNOS, SAM, Gestione
Personale, la Posta Aziendale, etc.
Il collegamento con la rete Internet permette agli utenti Aziendali di usufruire dei servizi
di navigazione via Web tra cui l’accesso ad alcune banche dati aziendali pubblicate da
SicurWeb.
I collegamenti con terze parti coinvolgono



xxx S.p.A.;
yyy S.r.l.;
Incaricati esterni
Il sistema Informativo è costituito sostanzialmente dalle seguenti piattaforme operative:





Piattaforma Windows per tutti i sistemi ORACLE
Piattaforma Windows per il Gestionale JdE
Piattaforma Windows per tutte le altre applicazioni Client-Server aziendali
Piattaforma Mac per la gestione dell'ufficio Pubblicità e Direzione
Piattaforma Linux per la gestione della mail Aziendale, sistema di sicurezza, FTP,
navigazione Web
I Server che girano su S.O. NT, 2000 e 2003 offrono i seguenti servizi:






Domain Controlling
DB Server
Application Server
Terminal Server
Web Server
File Sharing
I Server che utilizzano S.O. Linux Slackware e RedHat offrono i seguenti servizi:





File Sharing
Mail Server
Web Server
FTP Server
Proxy
Le postazioni Client sono circa 200 e funzionano principalmente su Sistemi Windows
2000 e Windows XP. Sono presenti anche alcune postazioni con Sistemi Operativi datati
per esigenze specifiche e/o di cui è impossibile la migrazione.
Le applicazioni di riferimento per la Società risiedono in generale su sistemi centralizzati,
in particolare per JdE, salvo condizioni in cui determinate Aree aziendali utilizzano
applicativi specifici, installati nelle Postazioni di Lavoro e operanti in locale su di queste.
3 Organizzazione della Direzione IT
La struttura organizzativa della Direzione IT è illustrata nella figura seguente.
Direzione
Responsabile
Applicazioni
Gestionali
Responsabile
Infrastruttura
Staff
Staff
1
Persona
1 Persona
Staff
1 Persona
Staff
1 Persona
3.1 Organizzazione della Sicurezza IT Aziendale
Nell’ottica della gestione della sicurezza IT, per i processi critici al fine di raggiungere gli
obiettivi di sicurezza Aziendali, è stata rilevata la seguente matrice delle responsabilità.
Processo Chiave
Inventario e Gestione
degli Asset
Gestione delle
configurazioni e
Standard Tecnologici
Gestione delle Patch
Vulnerability
Assessment
Monitoraggio e gestione
degli eventi di sicurezza
Gestione della Crisi e
Incident Response
Sistemi Informativi
X
Altre Direzioni
X
Terze Parti
-
X
-
-
X
-
-
-
-
-
-
-
-
-
Non sono previste procedure di Vulnerability Assessment e non viene effettuato un
monitoraggio degli eventi sulla sicurezza. Le misure intraprese in tema di sicurezza sono
limitate alla prevenzione delle intrusioni tramite firewall ed alla presenza di anti-virus su
tutte le postazioni di lavoro e sul server di posta.
4 Software applicativo presente in azienda
Tabella 1 illustra i principali pacchetti software applicativi aziendali, a supporto del
Business, utilizzati dalla Società.
ID Applicativo
Office di
Windows
JdE – Oracle
Funzione svolta
Office Automation
Caratteristiche tecniche/ Note
Applicazione Client
Sistema
Client
Suite di Sistema gestionale che, con i suoi
relativi moduli implementati, supporta i
seguenti cicli/processi:
Applicazione client server, con
DB Oracle 8.1.6.0., linguaggio di
programmazione proprietario
Oracle.
eoapp01 (IBM HS20)
eoent01 (IBMHS40)
eotse01-Terminal Server
(IBM HS20)
(IBM HS20)
(IBM HS20)
(IBM HS20)
eoweb01 (IBM HS20)
wmvare IBM HS20 (Test
Server)
eoent01 (IBMHS40)






Amministrazione
Controlling
Ciclo Attivo
Ciclo Passivo
Supply Chain
Manufacturing
Modulo
Tesoreria
Gestione Tesoreria
COGNOS
Business Intelligence
Nicim
Gestione Produzione
Zucchetti - Apri
Amministrazione del personale
Zucchetti Rilev
Gestione
Gestione Rilevazione presenze del
personale
Gestione Anagrafiche Tecniche, Distinte
Base e gestione etichette
Gestione Specifiche Componenti di
Acquisto
Gestione Stampi e Plastiche
GesSpe
Plastiche
Sviluppato da Proxima,
linguaggio in Delfi gestito su DB
Oracle
Applicazione Client Server
Applicazione Client Server su
Oracle
Applicazione Client su DB
Proprietario
Applicazione Client Server su
DB Microsoft SQL
Access
Access
Microsoft SQL
cognos01 (IBM HS20)
NICIM01 (HP LC2000)
File Server
IBM Netfinity 3500 M20
sql01 (IBM HS20)
File Server
File Server
LH3UT (HP LH3)
Tabella 1. Lista dei principali applicativi
5 Modalità di esecuzione delle modifiche/nuovi sviluppi
software
Non esiste un processo formalizzato e costantemente monitorato per la gestione di
modifiche e/o nuovi sviluppi del software.
Nonostante la Società sia dotata di ambienti separati per lo sviluppo/test e per l’esercizio,
in particolare per lo ERP JdE, anche il passaggio in produzione non avviene dietro
formale autorizzazione e non viene formalizzato.
Nel caso di progetti significanti (es. aggiornamento della versione di JdE), pur non
esistendo una procedura formalizzata, viene effettuata maggiore attenzione alla gestione
degli stessi ed in particolare sono effettuati test, anche per lunghi periodi, in ambienti
separati dopo aver provveduto a trasferire (mediante apposito tool fornito da JdE) le
customizzazioni e/o personalizzazioni sulla nuova release.
6 Sicurezza logica e fisica
6.1 Sicurezza Fisica
Il CED della sede di … è situato al secondo piano della palazzina degli uffici.
L’accesso alla sala server è limitato al personale autorizzato e possibile solo tramite una
porta controllata da una apposita serratura con chiave elettronica.
La porta della sala server non è tagliafuoco e le pareti non sono ignifughe. E’ presente un
sistema di allarme antincendio. Nel locale è sistemato un estintore ma, non è presente un
sistema antincendio a gas estinguente.
Non sono presenti sensori antiallagamento anche se si rileva che essendo la sala situata al
secondo piano e lontana da possibili fonti di allagamento, il rischio di possibili
infiltrazioni d’acqua è piuttosto remoto.
La sala server è adeguatamente climatizzata e la temperatura ideale è garantita
dall’utilizzo di tre condizionatori montati a parete.
6.2 Sicurezza Logica
6.2.1 Gestione Accessi utenze di Rete
L’unico sistema di autenticazione adottato è il riconoscimento tramite user-id e password.
La lunghezza minima delle password è fissata a cinque caratteri ed ogni utente ha
l’obbligo di cambiarla ogni sei mesi. (Si veda anche capitolo 8)
6.2.2 Gestione Accessi utenze applicative
Per quanto riguarda l’accesso agli applicativi, gli amministratori creano le utenze
replicando la coppia user-id e password utilizzata dall’utente per l’accesso alla
rete/sistema operativo.
Le politiche per la gestione delle password sono quindi le medesime applicate per le
utenze dei sistemi operativi.
6.2.3 Variazioni di organico
Non esistono procedure formalizzate per la gestione delle utenze da aggiungere o
eliminare. Solitamente viene data comunicazione via mail al responsabile delle
applicazioni gestionali per la richiesta di creazione di un utenza e nello stesso modo
vengono gestite le eliminazioni.
La procedura di creazione ed eliminazione è demandata allo stesso responsabile IT e non
esistono verifiche automatiche o formalizzate per tracciare la procedura stessa.
6.2.4 Accesso Internet e accessi dall’esterno
L’acceso ad internet è effettuato da tutti gli utenti (indipendentemente dalla sede) tramite
la rete aziendale.
La connessione ad internet è resa sicura mediante l’uso di un firewall (PIX).
L’aggiornamento del software di base del firewall viene effettuato periodicamente
(seguendo anche i suggerimenti della yyy srl) ma, non vengono monitorati su base
sistematica i file di log.
Non viene effettuato un penetration test su base periodica esponendo l’azienda a rischi di
intrusione e di compromissione dei dati aziendali.
E’ presente una DMZ sulla quale sono attestati il server di posta pubblico e quello ftp.
Utenti mobili aziendali, partner ed alcuni fornitori di servizi possono accedere alla rete
aziendale mediante VPN ma, hanno accesso limitato ad alcuni servizi (es. posta
elettronica e file server) inoltre, vengono monitorati periodicamente i log degli accessi ed
esiste un sistema di alerting automatico che segnala agli amministratori di sistema
tentativi di connessione non riusciti.
6.2.5 Posta elettronica
La posta degli utenti è gestita internamente su uno dei server tramite l’applicativo
courirer. Su questo server tutta la posta viene filtrata da un anti-virus per garantire la
protezione contro virus provenienti dall’esterno.
6.2.6 Sistema Antivirus
Tutte le postazioni di lavoro sono protette dall’anti-virus Norton vers. 10.0. che viene
distribuito in modalità push.
Analogamente, il serve di posta eletronica è dotato di anti virus Norton vers. 10.0 per la
scansione di tutta la posta ricevuta.
7 Business Continuity e Disaster Recovery Plan
La Società ad oggi non ha ancora predisposto in piano di Business Continuity e di
Disaster Recovery.
Per quanto concerne la fault tollerance i più recenti sistemi blade sono dotati di
alimentatori ridondati, di doppio controller per accesso alla SAN.
Tutti i sistemi del blade center sono configurati per adottare soluzioni RAID il cui livello
è funzione della criticità delle applicazioni gestite (in alcuni casi RAID 1 in altri più
critici RAID 5).
Il CED è alimentato da un gruppo elettrogeno, sottoposto a manutenzione periodica, per
garantirne il funzionamento anche in caso di assenza di alimentazione da parte della rete
elettrica.
7.1 Backup
Le principali procedure di backup su nastro sono state implementate sul sistema HewlettPackard Open View - Data Protector versione A.05.50.
Questo software, installato su un server dedicato (BCK01), ha ad oggi licenze per
controllare simultaneamente 2 unità fisiche di backup:
1. LTO2 400x23 GB compressi con unità autoloader - IBM 3582 (connessa a
BCK01);
2. DAT 40 GB compressi - HP DAT40 (connessa a SRV03);
L’unità di backup LTO2 risiede in un edificio diverso da quello in cui è presente il CED.
L’unità di backup DAT risiede presso lo stabilimento di Crespellano a cui è dedicata.
Il software viene amministrato in maniera centralizzata e fornisce tutte le normali attività
di copia/verifica dei dati su nastro.
I log delle varie specifiche di backup (consultabili dall’apposita console di comando)
vengono inoltrati agli amministratori di sistema sotto forma di messaggi di posta
elettronica.
Sede
Descrizione
File Server
Caselle Posta Elettronica
Directory, DNS, DHCP, WINS
Archive LOG DB Oracle
Frequenza
Tipo
Conservazione
Giornaliera
Incrementale
4 settimane
7:00 10:00
12:00 14:00
16:00 18:00
Giornaliera
20:00
Full
3 settimane
Full
6 settimane
Settimanale
Full
4 settimane
Settimanale
Full
2 settimane
Export DB Oracle
Settimanale
Full
6 settimane
File Server
File Server
File Server
File Server
File Server
Giornaliera
Full
7 giorni
Giornaliera
Incrementale
4 settimane
Settimanale
Full
4 settimane
Giornaliera
Incrementale
4 settimane
Settimanale
Full
4 settimane
Export DB Oracle Dati
Transazionali
(Sistema JdE Ent. One)
…
….
…
…
File Server
Data File Oracle
Per quanto concerne la sede di …., gli utenti utilizzano esclusivamente servizi remoti
(erogati dalla sede principale) pertanto non sono presenti ne server ne dati locali e quindi
non sono presenti funzionalità di backup.
Si osservi che sono presenti anche altre procedure di backup che non sono state riportate
in questo documento in quanto relative a sistemi in phase out.
8 Conformità Legale
L’azienda dispone di un Documento Programmatico sulla Sicurezza (DPS) aggiornato nel
quale sono riportate le procedure, le politiche e la descrizione degli strumenti per
assicurare la rispondenza all’attuale normativa in materia di sicurezza sui dati.
Tranne la lunghezza minima delle password (cinque caratteri invece di otto) ed il cambio
password obbligatorio al primo accesso, sono rispettati i requisiti minimi di sicurezza
dettati dal Dlgs 196/03.
9 Progetti pianificati e in corso di attuazione
Relativamente alle attività future per l’evoluzione del sistema informativo e il
miglioramento della sicurezza delle informazioni Aziendali sono stati identificati i
seguenti progetti o attività in corso di realizzazione:
Progetti In corso di Attuazione





Migrazione di Macchine con S.O. 95 e 98 a IBM/Windows 2000 o XP
Unificazione di Alcuni Domini Aziendali su Dominio Unico
Sostituzione, Integrazione e Upgrade Server e SAN per Upgrade SI
Upgrade Sistema Informativo Gestionale e Tesoreria
Introduzione di un DataWarehouse Aziendale per Business Intelligence
Progetti a BUDGET





Sales Force Automation
Implementazione Magazzino Avanzato
Gestione Radiofrequenze
Storicizzazione di dati Obsoleti
Implementazione Software gestione Consolidato
10 Conclusioni
Il sistema informativo aziendale denota un’organizzazione sufficiente per gli scopi di
efficacia, efficienza, affidabilità e sicurezza a cui è preposto.
Generalmente le procedure (sia relative all’area change management che a quella di
gestione degli utenti) non sono formalizzate.
Non vengono svolte attività di monitoraggio della sicurezza degli accessi via internet
(Firewall) ne Penetration Test.
La sala CED di … andrebbe dotata di un sistema di un sistema antincendio a gas
estinguente al fine di limitare il danneggiamento dei sistemi in caso di incendio ed evitare
il propagarsi delle fiamme agli uffici adiacenti, tenendo conto che la sala CED non è
dotata ne di pareti ignifughe ne di porta taglia fuoco.
La Società non ha ancora definito un piano di Business Continuity e Disaster Recovery.
Per quanto concerne la compliance con il “Documento Programmatico sulla Sicurezza”
non risultano ancora rispettate le politiche sulle password (lunghezza e scadenza) che
dovrebbero essere aggiornate entro Gennaio 2007.

Sicurezza Informatica

Transcript

Documenti analoghi

il regime fiscale di attrazio ne eu ro pea il regime fiscale di attrazio

Nota del traduttore

esempio numerico - Enzo Martinelli

COMUNICATO DEL 17 FEBBRAIO 2017

A chi è rivolto: • Amministratore Database Prerequisiti: • Conoscenza

CIO Ai nastri di partenza SMAU 2009

Creare Form Mail automatici con IGWiki (Bozza) (Documento

nome azienda logo azienda

Ciak! Si gira un kolossal