Il governo della sicurezza ICT in Ferrovie dello Stato
Genova, 18 febbraio 2011
La Governance della Sicurezza delle Informazioni In Italia: stato dell’arte e nuove prospettive
Alessandro Musumeci
Direttore Centrale Sistemi
Informativi
2
1927: gli albori……
Nel 1927 le Ferrovie dello Stato installano, prime in Italia e seconde
in Europa, macchine IBM a schede perforate per la contabilità di
magazzino, la revisione generale delle giacenze e l’analisi delle
scorte inutilizzate. Qualche anno più tardi la meccanizzazione viene
estesa alla contabilità introiti (passeggeri e merci) e alle statistiche
sul traffico ferroviario
3
1927: gli albori……
Gli impianti meccanografici delle Ferrovie dello Stato installati
al Servizio Materiali e Trazione di Firenze e al Controllo Merci
di Torino.
4
1954: i primi passi……
I più importanti Servizi delle Ferrovie dello Stato (Approvvigionamenti, Lavori e Costruzioni, Materiale e Trazione, Commerciale e del Traffico, Ragioneria e Contabilità Generale, Personale e Affari Generali) adottano l'impostazione meccanografica per risolvere diversi problemi dal controllo delle scorte giacenti nei magazzini all'analisi del trasporto merci (carri caricati, tonnellaggio, tonnellate-chilometro, introiti), dal calcolo di paghe e stipendi alla valutazione del consumo di combustibile e lubrificanti nelle locomotive
5
Quasi un milione di schede perforate vengono elaborate mensilmente dal
Servizio Materiale e Trazione delle Ferrovie dello Stato per determinare le
competenze accessorie di lavoro al personale di macchina, basate su
numerosi elementi variabili (dal consumo di combustibile delle locomotive ai
chilometri di percorrenza).
1957: i primi passi……
6
Altre tappe tecnologiche significative…
• Installazione del primo elaboratore elettronico IBM presso la Ragioneria (inizio anni ’70)
• Piattaforma commerciale TPN-Siemens (dal 1970 al 2000)
• Controllo Centralizzato Rotabili-CCR (anni ’70)
• Controllo Centralizzato Linee-CCL-Siemens Roma-Napoli (anni ’75/80)
• Controllo Centralizzato Linee-CCL-Unisys Milano-Bologna (anni ’75/80)
• Rete Hermes a livello europeo (1985)
7
L’evoluzione dei processi di outsourcing in Ferrovie
• Luglio 1988: ipotesi di costituzione della società Fersystems fra Ferrovie dello Stato e Cap Gemini Geda
• 1992: ipotesi di costituzione della società Datasint (Ferrovie 51%, BNC 4%, Finsiel 15%, IBM 15%, Olivetti 15%)
• Agosto 1996: aggiudicazione tramite gara dell’outsourcing dei sistemi informativi Ferrovie alla società TSF
• Novembre 2010: aggiudicazione, tramite gara, della gestione e sviluppo sistemi informativi ad un RTI formato da Almaviva, Ansaldo STS, Engineering e Telecom Italia
8
• Dipendenti: 77.000
• Treni/giorno: 9.600
• Linee: 16.537 km
• Stazioni e fermate: 2400
• Passeggeri/anno 500 milioni
• Merci/anno 80 milioni Tonnellate
• 8000 km di fibra ottica
Il Gruppo FS oggiPresenza internazionale in:
-Repubblica Ceca
-Polonia
-Egitto
-Algeria
-Venezuela
-Arabia Saudita
-Turchia
-Brasile
-Uruguay
Accordi internazionali con
-Francia (Veolia)
-Germania (Arriva)
2009
9
Il Piano Industriale di Ferrovie dello Stato conferma l’obiettivo del raggiungimento dell’equilibrio
economico e finanziario dell’azienda ed individua i seguenti elementi chiave:
Leadership nel mercato domestico
Mantenimento della leadership del mercato passeggeri domestico, in particolare per il servizio AV e
merci
Concentrazione e specializzazione
Concentrazione della produzione nelle aree a maggior valore e specializzazione delle società del
Gruppo lungo la filiera produttiva
Eccellenza Operativa
Miglioramento degli indicatori di puntualità, leadership europea nella sicurezza, miglioramento dei livelli
di pulizia dei rotabili, gestione più efficace delle informazioni ai clienti
Sviluppo Internazionale
Sviluppo dell’offerta di servizi passeggeri e merci sul mercato internazionale
Miglioramento tecnologico continuo
Perseguimento dei programmi d’innovazione tecnologica (SCC, SCMT, SSC, GSM-R, ETCS)
Il Piano d’Impresa di Ferrovie dello Stato
10
Obiettivi 2011 dell’ICT nel Gruppo Ferrovie
• Assicurare l’indirizzo e il governo del sistema ICT di Gruppo garantendo il costante allineamento delle strategie ICT con le strategie e le priorità di business del Gruppo attraverso il presidio dell’evoluzione tecnologica, della pianificazione dei Sistemi del Gruppo, dell’ottimizzazione delle risorse e lo sviluppo e l’implementazione di una idonea strategia di sourcing, utilizzando il nuovo contratto settennale di servizi.
Sistemi di
Ferrovie
dello Stato SPA
Indirizzo e
Governo ICT
di Gruppo
11
Il sistema ICT di Ferrovie dello Stato è un sistema complesso, eterogeneo,
distribuito, con più di 77.000 utenti interni e con, potenzialmente, milioni di
utenti esterni
Il Piano strategico di Ferrovie dello Stato considera l’ICT lo strumento
abilitante ai servizi per i diversi interlocutori:
– Il ruolo dei sistemi ICT e della DCSI richiede quindi una profonda evoluzione nel
passaggio da “centro di costo” e da “parziale” gestore dell’ICT di Ferrovie
nell’unico “fornitore di servizi ICT” e di “centro di competenze ICT”
La sicurezza ICT deve essere pervasiva a tutti i livelli ed in tutti i dispositivi,
ed essere ben bilanciata
La sicurezza ICT non è un insieme di prodotti-soluzioni, ma un processo
continuo che deve essere gestito day-by day e che deve evolvere in
funzione delle nuove esigenze, dell’evoluzione tecnologica e dei nuovi
rischi
L’attuazione della sicurezza ICT dev’essere normata attraverso l’uso di
opportune policy (come quella per tutto il personale dell’agosto 2009 o quella
per l’uso delle reti Wi-Fi)
Il ruolo della sicurezza informatica in Ferrovie
12
L’orientamento della DCSI a fornitore di servizi e
competenze ICT
SISTEMI
ICT
S
E
R
V
I
Z
I
I
C
T
DC 1
DC n
Interlocutore 1
Interlocutore 2
Interlocutore n
DC 2
SLA
SLA
Utenti interni &
Interlocutori esterni
DCSI
Fornitore ICT 1
Fornitore ICT 2
Fornitore ICT n
SLA
SLA
SLA
.
.
Ferrovie
.
.
Includono anche indicatori di sicurezza
13
La sicurezza ICT nella visione concettuale dell’ICT Governance
Ambiente
di produzione
ICT
Ambiente
di sviluppo
Ambienti
di sviluppo
(IDE, RAD, ecc.)
test e controllo delle prestazioni
Ambiente
di pre- produzione
(staging)
test e controllo delle funzionalità,
della qualità e delle prestazioni
Ferrovie dello Stato
processi, organizzazione, strategie, business
Strumenti
decisionali
ICT EA
Gestione
Infrastruttura
ICT
Gestione
applicativi
ICT
Gestione
Sicurezza
ICT
Gestione
Richieste
ICT
Gestione strategica
Principali elementi per la sicurezza ICT
14
Dal piano strategico alle policy ed agli interventi per la sicurezza ICT
Piano Strategico di Ferrovie dello Stato
Piano Strategico ICT ICT Enterprise Architecture
Piano DCSI sicurezza ICT
Linee di indirizzo (strategia)
Policy (il “cosa” operativo)
Procedure (il “come”operativo)
Compliance a leggi e normative
Progetto architetturae definizione standard
Progetto soluzione Messa in produzione
Aspettitecnici
Aspettiorganizzativi
Policy (il “cosa” operativo)
Procedure (il “come”operativo)
Progetto soluzione Messa in produzione
15
Procedura di Sicurezza
Indica lo scopo di un’attività, ciò che deve essere fatto e chi lo deve fare, quando
e/o come deve essere fatto, quali strumenti e attrezzature devono essere
utilizzati e come dovranno essere controllati e registrati.
Finalità: documentare con accuratezza le istruzioni e le prassi operative vigenti
all’interno dell’Ente.
Linee di indirizzo
Descrivono gli indirizzi a più alto livello, con una vista strategica e pluriennale nell’ambito
dell’eviluzione dell’EA
Policy di Sicurezza
Indica un insieme di regole e norme che specificano o regolamentano le modalità con cui
un sistema o un'organizzazione fornisce servizi di sicurezza per proteggere risorse critiche
o riservate.
Finalità: far prendere coscienza all’Ente dei propri asset e del loro valore, prescrivendo un livello di sicurezza applicabile, misurabile e verificabile.
Come
Cosa
Linee di indirizzo, Policy e Procedure
16
Passato, presente e futuro di minacce ICT
Infrastrutturaglobale
Impatto a livello regionale
Reti multiple
Singola rete
Singolosistema
1a generazione
• Boot virus
2a generazione
• Macro virus
• DoS
• Packing limitati
3a generazione
• DoS e DDoS
• Attacchi multipli (worm + virus + Trojan)
• Turbo worms
• Attacchi su più sistemi
4a generazione
• Minacce istantanee
• Flash threats
• Attacchi worm massicci
• Virus e worm offensivi sul carico utile
• Attacchi alle infrastrutture
• Virus per cellulari e palmari
Obiettivo e scopo del
danno
1980s 1990s 2000 Odierni e futuri
Secondi
Minuti
Giorni
Settimane
• Le velocità di attacco attuali non sono più gestibili a livello “umano”• La prevenzione e l’analisi dei dati deve essere il più possibile automatizzata
Fonte: “La sicurezza digitale” di M. Bozzetti
17
Dal costo della sicurezza ICT al costo della “non sicurezza”
Il costo della sicurezza deve essere paragonato al costo della “non sicurezza”, ossia ai danni diretti ed indiretti che possono essere causati Analisi del Rischio
Nel costo complessivo, la quota maggiore è per gli aspetti organizzativi (chi fa che cosa, chi controlla il controllore, formazione, sensibilizzazione, addestramento, …) più che per gli aspetti tecnici
I costi assicurativi sul rischio residuo diminuiscono al crescere del livello di sicurezza in atto
Forte e crescente l’impatto dell’adeguamento per la conformità alle diverse normative e leggi che impattano sulla sicurezza e sulla gestioni dei sistemi informatici
Se non si ha e non si implementa una idonea policy per la sicurezza ICT:
si incorre in sanzioni amministrative e/o penali: Legge 196 sulla privacy, Legge 231 sulla Governance, IAS, …
non si possono produrre e vendere prodotti e servizi, oltre a non poter essere quotati in determinate Borse: IAS, SOX, HPPI, ...
18
Gli obiettivi del piano della sicurezza ICT per il 2011
1. Incrementare in maniera bilanciata il livello di sicurezza sia fisico che logico dell’intero sistema informativo di Ferrovie dello Stato, facendo riferimento alle più consolidate best practice e standard ed utilizzando il nuovo contratto di outsourcing:
• In particolare tempestiva ed automatica rilevazione di eventuali incidenti di sicurezza;
2. Definizione architettura sicurezza ICT, definendo gli standard relativi da specificare nei Capitolati emessi da Ferrovie dello Stato, in particolare per garantire l’idonea sicurezza intrinseca della “nuove” applicazioni
3. Effettuare l’analisi del rischio per taluni ambiti applicativi ed infrastrutturali considerati più critici per le attività/servizi di Ferrovie dello Stato
4. Mettere in esercizio gli idonei strumenti per una effettiva gestione della sicurezza ICT sia in termini tecnici che organizzativi:
• Chiara definizione dei ruoli e delle responsabilità della sicurezza ICT
• Definizione e pubblicazione (anche via Intranet) delle policy e delle procedure
• Monitoraggio delle primarie funzionalità di tutti i server
• Definizione e monitoraggio SLA sicurezza (anche verso fornitori)
• Creazione del comune ed unico CMDB via strumenti automatici open source di discovery ed inventory
• Gestire in maniera omogenea l’identificazione e l’autenticazione degli utenti e delle deleghe, in particolare per gli amministratori di sistema, sia dei server che dei PC
19
Gli obiettivi del piano per gli anni successivi
Arco temporale 2012-13:
– Consolidamento e messa a punto degli strumenti tecnici ed organizzativi introdotti a
partire dal 2009 e consolidati con il nuovo contratto di outsourcing
– Definizione, attuazione e gestione delle SLA di sicurezza per i servizi ICT
– Ampliamento dell’analisi del rischio
– Sensibilizzazione, formazione ed addestramento utenza alla sicurezza informatica
(piano security awareness da concordare con FS Formazione)
– Introduzione strumenti di identificazione biometrica per accessi ad aree riservate del
CED o per uso di programmi molto critici
– Attuazione piano di Disaster Recovery
Arco temporale 2014-15
– Introduzione logiche di risk management e mitigazion nell’ambito della securirity
governance, parte dell’ICT Governance
– Consolidamento e messa a punto degli strumenti tecnici ed organizzativi introdotti in
precedenza