1. Zero Uno_Fujitsu-Intel – Milano 21 Maggio 2013
Pag. 0
Data Protection:
Ottimizzare la gestione, aumentare la sicurezza
Breakfast con l'analista
Riccardo Zanchi
Partner NetConsulting
21 maggio 2013
2. Zero Uno_Fujitsu-Intel – Milano 21 Maggio 2013
Pag. 1
La Data Protection interessa molteplici ambiti ICT…
Fonte: NetConsulting, 2013
3. Zero Uno_Fujitsu-Intel – Milano 21 Maggio 2013
Pag. 2
I fattori di stimolo all'avvio di strategie di Data Protection
Fonte: NetConsulting, 2013
Compliance a normative
Sempre maggiore apertura delle aziende verso l'esterno
(IT Consumerization, BYOx, IoT, Cloud Computing)
Big Data
Presa di coscienza del Top Management/ Esigenza degli utenti
Disponibilità di tecnologie adeguate
Attacchi subiti recentemente
4. Zero Uno_Fujitsu-Intel – Milano 21 Maggio 2013
Pag. 3
Principali normative in tema di Data Protection: verticali
e cross industry
Servizi
finanziari
Pubblica
Ammini-
strazione
TLC e
Media
Industria e
Servizi
Normative Banca
d'Italia, circolari
ISVAP, Basilea2,
Solvency 2
Direttive
CNIPA
Sarbanes Oxley,
21 CFR part 11 (aziende
farmaceutiche), Legge 262 -
tutela del risparmio
Diritti d'autore,
Sarbanes Oxley,
Legge 262 - tutela
del risparmio
Testo Unico
sulla Privacy
Legge 231/2011
(responsabilità
amministrativa
aziendale)
Normativa PCI/
DSS
Direttiva
95/46/EC,
Unione
Europea
GDPR
(prima proposta
rilasciata a Gennaio
2012, piani per
l'entrata in vigore
entro il 2016)
Fonte: NetConsulting, 2013
5. Zero Uno_Fujitsu-Intel – Milano 21 Maggio 2013
Pag. 4
Esigenze e aree progettuali della Data Protection
Disponibilità
Integrità
Riservatezza
Tracciabilità
Continuità
Gestione identità e accessi
Gestione minacce
Analisi dei log
(Intelligence, accountability)
Governo Controllo preventivo
(controllo accessi ai dati, durata limitata)
Business Continuity
Fonte: NetConsulting, 2013
Log Management
Threat
Management
Governance/
Security
Management
Consolidamentosistemie
centralizzazionedeidati
Identity &
Access
Management
Disaster
Recovery
Backup
Mobile
Network Cloud
6. Zero Uno_Fujitsu-Intel – Milano 21 Maggio 2013
Pag. 5
La polarizzazione della domanda di soluzioni di
Sicurezza ICT
Compliance
Identity
Management
Network
Security
Cloud
Security
BC/DR
Mobile Security
Governance/Audit
Numerosità rispondenti
Prioritàdiinvestimento2013
Fonte: NetConsulting, 2013
7. Zero Uno_Fujitsu-Intel – Milano 21 Maggio 2013
Pag. 6
L'approccio al Disaster Recovery
Classificazione di informazioni
e servizi per grado di criticità
Definizione di RPO, RTO,
MTDL e MTPD
Individuazione rischi
(frequenza e gravità)
Valutazione del costo di
ogni disservizio e delle
contromisure
Identificare tecnologie e
soluzioni a supporto alla
strategia di Disaster Recovery
Test del piano
12
3
4
1
2
3
4
2
3
4
Fonte: NetConsulting, 2013
8. Zero Uno_Fujitsu-Intel – Milano 21 Maggio 2013
Pag. 7
Le tecnologie a supporto della strategia di Disaster
Recovery
Cluster/
Array
(hw e sw
ridondati)
Backup
(nastro,
disco,
storageI
Replica
dei dati
Replica di
Virtual
Machine
Replica di
storage
Tecnologie di
accesso ai
dati
Fonte: NetConsulting, 2013
Terminal Server,
View, Citrix, Thin
Client
Tutti i vendor di
storage
Vizioncore, Veam,
Trilead
Vision, QuickEDD,
rsync, SyncBack
Windows Backup,
ArcServe,
BackupExec
9. Zero Uno_Fujitsu-Intel – Milano 21 Maggio 2013
Pag. 8
Caratteristiche di un fornitore ottimale di Sicurezza e del
suo portafoglio di offerta
Valori medi da 1 (minimo) a 5 (massimo)
0 1 2 3 4 5
Competenze tech in area security
Affidabilità fornitore
Prezzo
Comprendere bisogni del cliente
Qualità delivery
Assistenza/ supporto post vendita
Competenze consul. in area sicurezza
Modularità offerta
Portabilità tecnologica
Tecnologia innovativa
Modello di licensing
Completezza offerta
Fonte: NetConsulting, 2013
Specializzazione/
Best of Breed
Competenze
Conoscenza processi
10. Zero Uno_Fujitsu-Intel – Milano 21 Maggio 2013
Pag. 9
I fattori critici di successo di una strategia di Data
Protection
Regole esterne
Framework normativi
Compliance
Regole interne
Governance
Corporate IT Security
Tecnologie fornitori
Persone, organizzazione, processi
Mappa ruoli-attività (separation & segregation of dutiess)
Competenze
Fonte: NetConsulting, 2013
Data Protection