La gestione del processo aziendale, per la sicurezza dei sistemi, rappresenta il plus che permette un'ottimizzazione dei livelli di sicurezza. Un'efficace analisi dei processi, che parte dalla Privacy e analizza le minacce e le vulnerabilità, permette di definire un piano di Disaster Recovery efficace e di ottenere elevati standard di sicurezza con l' ottimizzazione nella gestione continua del business e del processo di Continuità operativa previsto in modo obbligatorio per le aziende pubbliche.
Il progetto nasce in collaborazione con l’associazione Nazionale per la difesa della privacy (ANDIP) ed ha come scopo di business abbassare i costi della sicurezza censendo al suo interno tutti i nodi cruciali del sistema lavoro di una azienda o di un ente.
Anche aziende come ITS-factory hanno deciso di affiancarci come Stakeholder nello sviluppo del progetto.
Security summit2015 evoluzione della sicurezza inail- v06
Imhotep presentazione v.1.1
1.
2. Progettare oggi, significa apportare innovazione, semplicità, aumento della
produttività, creare valore aggiunto durante le normale attività di lavoro, sempre
senza generare attriti tra la produzione e il business. Noi Pensiamo di riuscirci perché,
"QUANDO C'E' UNA META, ANCHE IL DESERTO DIVENTA STRADA"
IMHOTEP. Visir del faraone Djoser, architetto, matematico, medico, letterato, a lui si
deve l'invenzione della piramide a gradoni di Saqqara per il suo faraone.
Il Prodotto prende il suo nome perché costruito a moduli (gradoni) che ne permettono la
robustezza e la tenuta, sarà cosi all’interno dei vostri progetti aziendali
“senza intaccare funzionalità e produttività”
3. La tecnologia da sola, ormai non riesce più a proteggere la sicurezza dei dati ne tanto
meno a ripristinare le giuste politiche di business dopo aventi dannosi o meno.
Oggi alle politiche di sicurezza si devono accompagnare delle serie regole e norme che
provvedano a standardizzare le attività da mettere in campo per procedere senza
generare caos.
Gli enti pubblici oggi si fanno guidare dal nuovo codice dell’amministrazione digitale,
Imhotep è compliance con tali regole, ma le ha gestite in modo che queste possano
essere valide e robuste anche per il settore privato.
Perché IMHOTEP
4. Il Nostro deserto è dare le giuste definizioni a:
Disaster Recovery – Con tale termine si intende l'insieme di misure tecnologiche atte a
ripristinare sistemi, dati/infrastrutture necessarie all'erogazione di servizi di business a
fronte di gravi emergenze.
Business Continuity /Piano di Continuità Operativa - Con tale termine si intende la
capacità dell'azienda di continuare ad esercitare il proprio business a fronte di eventi
catastrofici o menoche possono colpirla.
Privacy – Con tale termine si intende la capacità di proteggere le informazioni rendendole
disponibili e riservate
La nostra meta è raggiungere degli obiettivi chiari e quantificabili come:
Un progetto di Disaster Recovery – Imhotep si pone l’obiettivo di determinare e costruire
un progetto per il ripristino di uno o più servizi IT entro un tempo stabilito ;
Un progetto di Business Continuity/Piano di Continuità operativa - Imhotep si pone
l’obiettivo della continuità del servizio, costruendo le regole in modo incrementale durante
l’uso del prodotto;
Un progetto Privacy - Imhotep si pone come obiettivo di rendere la privacy uno dei primi
tasselli della sicurezza e quindi ne verifica anche gli aspetti normativi.
"QUANDO C‘ E' UNA META, ANCHE IL DESERTO DIVENTA STRADA"
5. Il disegno
IMHOTEP vi permetterà di:
• Formulare in modo esplicito gli obiettivi e definire un budget preventivo di azione
• Rappresentare un strumento di comunicazione interna per condividere obiettivi e strategie
• Verificare il controllo dell’effettivo concretizzarsi degli obiettivi formulati
Tecnologia Hosting – l’hosting assolve ad uno dei primi dettami del CAD, che prevede il
salvataggio dei dati in una location diversa da quella dove risiedono i dati stessi;
CMS Drupal – CMS duttile che oltre a gestire i contenuti permette di lavorare su campi
aggiunti attraverso i quali si può costruire un db.
Alcuni standard tecnici di prodotto:
•Presenza su tutte le pagine della mappa del sito e di come ci si dovrebbe muovere;
•Colori usati sempre con le stesse regole in modo che sia possibile una lettura intuitiva;
•Add-on - al momento non presenti sul mercato, almeno in unica soluzione come ad
esempio:
• Sviluppa aggiornamenti in automatico;
• Eliminazione di materiale obsoleto, nel concetto che obsoleto uccide la credibilità;
• Permette di assolvere all’obbligo formativo perché esso stesso fa formazione;
• Un add-on specifico e di valore per il prodotto è la visita almeno trimestrale che i
clienti ricevono e che permette di verificare il corretto svolgersi delle attività
6. L’approccio
Il nostro è un approccio globale (ad es. al Disaster Recovery (DR)), quindi necessariamente
non solo dal punto di vista dell’ infrastruttura: ma includendo e gestendo anche il business
si deduce quali sono i sistemi critici che necessitano di continuity.
• Si parte dal lato del business più critico, poi si incrementa il piano prendendo le criticità
minori e lo si costruisce per passi.
• Si ingloba la metodologia per lo sviluppo del piano di continuità, con tutti gli aggiornamenti,
i trends e le raccomandazioni del mercato.
La gestione del processo aziendale, per la sicurezza dei sistemi, rappresenta il plus che
permette un'ottimizzazione dei livelli di sicurezza.
Un'efficace analisi dei processi, che parte dalla Privacy e analizza le minacce e le
vulnerabilità, permette di definire un piano di Disaster Recovery efficace e di ottenere
elevati standard di sicurezza con l' ottimizzazione nella gestione continua del business e del
processo di Continuità operativa previsto in modo obbligatorio per le aziende pubbliche.
7. Alcune attività
Determina le persone coinvolte
Censisce le applicazioni critiche e non
Detemina il tempo massimo
di interruzione del servizio
Determina i danni collaterali
Calcola l’impatto economico
Identifica le risorse e crea la nomina per la
singola responsabilità
Costruisce l’inventario per i beni sw e Hw
rilevandone le criticità
Per ogni servizio critico o meno gestisce il
tempo di inattività
Elenca i danni non economici o comunque
non di impatto
Calcola il danno economico relativo al
guasto ad esempio per:
• danno accidentale
• denuncia – es. mancato rispetto privacy
8. Norme e disposizioni
Sezione di consultazione delle leggi o di eventuali regolamenti
interni ad uso aziendale. Attraverso il campo cerca è possibile
ricercare direttamente tra tutte le tipologie di documento
consultabili. In questa sezione è poi possibile consultare
direttamente il sito dell’Associazione Nazionale difesa della
Privacy o il sito del Garante e comunque quelli che si desidera
aggiungere. E’ anche possibile richiedere informazioni o
assistenza via mail attraverso l’opzione richiedi info.
9. Attività
Si provvede qui ad identificazione dei "dati aziendali vitali", set di
informazione necessari per riattivare servizi e garantire la
continuità di business in ottica di disaster recovery, la rilevazione
avviene per tutti i beni aziendali partendo dagli immobili
passando per sw e hw dando il giusto risalto anche alla
documentazione.
Qui si formalizzano le responsabilità e gli obblighi per utenti
interni ed esterni all'azienda e per tutte le risorse individuate vi è
la possibilità di avere una scheda riepilogativa delle sue attività in
attica DR e PCO;
12. Attraverso al costruzione delle policy e l’inserimento dei rischi aziendali si da forma da
un lato al manuale contenente le linee guida per la sicurezza aziendale che di colta in
volta verranno pubblicate ed inviate via mail, dall’altro si provvede a gestire il rischio
aziendale associando ai vari bene le minacce e la relativa probabilità
Le regole
13. Si provvede ad inserire la policy aziedali
attraverso la compilazione di questi paragrafi
che faranno poi parte integrante del manuale
delle policy aziendali sulla sicurezza.
Scopo – breve descrizione della regola e di
cosa vuole disciplinare;
Policy – Indica a chi si rivolge tale azione
policy;
Policy – descrive nel dettaglio la policy
aziendale;
Tecnologie approvate – Indica le eventuali
tecnologie compatibili con questa policy;
Applicazione – Indica in modo chiaro a chi e
cosa si applica questa regola;
Definizioni – Breve glossario per eventuali
sigle utilizzate nella descrizione;
Le regole
14. All’interno dell’analisi del rischio sarà possibile censire prima le
minacce poi le vulnerabilità e per ultime associare queste ai beni
potendo inserire anche una percentuale di probabilità. Sono
queste le azioni principali per determinare un corretto piano di
disaster recover oltre che soprattutto per poter definire
correttamente le politiche giuste per le contromosse da
adottare caso per caso.
Le regole
18. Sono qui riportati tutti i manuali aziendali creati durante la gestione del progetto, e si
possono conservare qui anche eventuali manuali e o disposizioni non generati dal prodotto
ma che si desidera facciano parte della manualistica per la sicurezza
Manualistiche