gestione di dispositivi one time passwordgestione di dispositivi one time password roberto...

Gestione di DispositiviOne Time Password

Roberto Apollonio, CISA,[email protected] Italia, Internal Audit Dpt

Sessione di Studio AIEARoma, 25 Marzo 2013

2003 – 2013: 3 Italia compie 10 anni

Il 3 marzo 2003, 3 Italia ha iniziato la sua avventura nel mondo delle TLC mobili

lanciando, per prima al mondo, i servizi di comunicazione mobile di terza

generazione con tecnologia UMTS. Oggi “3” offre un’ampia gamma di servizi di

comunicazione, Internet e TV in mobilità a 9,5 milioni di clienti.

3 Italia si é sempre distinta per il suo approccio innovativo e pionieristico che le ha

permesso di raggiungere diversi primati:

• nel 2004, il lancio dell’UMTS;

• nel 2006, il lancio della prima TV Digitale Mobile DVB-H al mondo, la prima

Il Gruppo 3 Italia

1Roberto Apollonio, 3 Italia, CISA, CISM Sessione di Studio AIEA, Roma 25 Marzo 2013

• nel 2006, il lancio della prima TV Digitale Mobile DVB-H al mondo, la prima

offerta commerciale HSDPA e la prima chiavetta Internet ricaricabile per

accedere al Web in banda larga mobile;

• nel 2010 prende il via La3, la TV autoprodotta da 3 Italia, il social media

channel oggi in onda su Digitale Terrestre, sulla piattaforma Sky, sugli

smartphone e i tablet “3” oltre che sul sito www.la3tv.it;

• nel 2011 l’azienda si aggiudica per 305 milioni di euro il 25% delle frequenze

LTE messe a gara dal governo italiano e avvia un piano biennale da 1

miliardo per potenziare ulteriormente la propria rete;

• nel 2012 lancia i suoi servizi di Internet veloce con tecnologia 4G LTE con

l’obiettivo di estendere la copertura a 100 mega alle principali aree urbane e

a una serie di località in digital divide.

Fonte www.tre.it

Il Gruppo 3 Italia

Oggi 3 Italia dispone di una copertura del 93% della popolazione e di una rete

all’avanguardia, che le ha permesso di ottenere sul fronte dei servizi Internet

mobile veloce a 42 mega un primato sul mercato nazionale collegando l’83%

italiani in oltre 4.100 comuni.

Tutto questo é stato possibile grazie al supporto di Hutchison Whampoa, azionista

di riferimento di “3”, che ha investito in Italia più di 10 miliardi di euro, il più

cospicuo investimento estero diretto nel nostro Paese dai tempi del piano

Marshall.

Hutchison Whampoa è una multinazionale tra le prime 500 nella classifica


Hutchison Whampoa è una multinazionale tra le prime 500 nella classifica

Fortune, una delle più grandi imprese quotate alla borsa di Hong Kong, operativa

in 53 Paesi con più di 250 mila dipendenti e un fatturato di 50 miliardi di dollari nel

2011 e di 25 miliardi di dollari nei primi sei mesi del 2012.

Fonte www.tre.it

Indice

• Introduzione

• Il progetto


• Punti di Attenzione

• Conclusioni

Indice

• Introduzione

• Il progetto



• Conclusioni

Obiettivo

Obiettivo

Applicazione Procedura

Per gli operatori di diversi settori, commerciali-tecnici-sicurezza,

l’introduzione dello strumento del token costituisce una svolta

vincente e una misura di sicurezza efficace per il controllo degli

accessi a applicazioni e sistemi.

Un progetto di tale rilevanza richiede:

• un’attenta gestione delle diverse componenti informatiche

dell’infrastruttura di sicurezza su cui poggia la soluzione dei

token;


Applicazione Procedura Gare Commissioning

Per un campione di 10 gare nel periodo Q4/11-Q1/12

token;

• l’adozione di efficienti procedure di gestione dello strumento

che, se non ben indirizzate, possono introdurre elementi di

rischio per il successo della soluzione.

Obiettivo dell’intervento è di illustrare e condividere l’esperienza del

quotidiano nella gestione tecnico/operativa e logistica dei token in

una realtà aziendale di rilievo e con grandi numeri.

Token

Il Token


Un token per la sicurezza (chiamato anche token hardware, token per l'autenticazione, token crittografico, o

semplicemente token) è un dispositivo fisico attraverso il quale

poter effettuare una autenticazione one time password

(tipicamente una autenticazione a due fattori).

Un token si presenta spesso sotto forma di dispositivo elettronico portatile di piccole dimensioni, alimentato

a batteria con autonomia nell'ordine di qualche anno, dotato di




a batteria con autonomia nell'ordine di qualche anno, dotato di

uno schermo e talvolta di una tastiera numerica.

Alcuni token possono essere collegati ad un computer tramite una

porta USB per facilitare lo scambio di dati.

Un token può anche essere di tipo software, ove le informazioni

necessarie risiedono direttamente nel computer dell'utente, e non

in un oggetto esterno.


Autenticazione a 2 Fattori

Aut.ne

2

Fattori

Per autenticarsi a sistemi digitali vengono distinte tre diverse

tecniche sulla scorta di:

• una cosa che si conosce, per esempio una password o

il PIN;

• una cosa che si hai, come un telefono cellulare, una carta di

credito o un oggetto fisico come un token;

• una cosa che si è, come l'impronta digitale, il timbro vocale,

la retina o l'iride, o altre caratteristiche di riconoscimento

attraverso caratteristiche uniche del corpo umano




Fattori attraverso caratteristiche uniche del corpo umano

Si dice che un sistema fa leva su un’autenticazione a due fattori quando si basa su due diversi metodi di autenticazione tra

quelli sopra elencati.

Le più comuni forme di autenticazione a due fattori usano "una

cosa che si conosce" (una password) come primo dei due fattori,

mentre come secondo fattore viene utilizzato o "una cosa che si

ha" (un oggetto fisico) o "una cosa che si è" (una caratteristica

biometrica come ad esempio un’impronta digitale).


Tipologie Token

Tipologie




Tipologie

Token

Comune

Software

Biometrico

Indice

• Introduzione

• Il progetto



• Conclusioni

Le Fasi del Progetto

Realiz

zazio

ne

Il progetto può essere suddiviso in modo semplice come segue:

1. Fase preparatoria• Studio/conoscenza dei requisiti affinchè l’obiettivo finale sia

pertinente e che rientri nella strategia aziendale.

• Questa fase, generalmente qualificata di Pre-Progetto,

deve concludersi con l'elaborazione di documenti e azioni

che formalizzano il progetto e indichino le condizioni

organizzative dello svolgimento.

2. Fase di realizzazione• Fase operativa di creazione del progetto, gestita da un

system integrator, in collaborazione con la committenza.


Realiz

zazio

ne

system integrator, in collaborazione con la committenza.

• Questa fase comincia con la ricezione del “capitolato” e si

chiude con la realizzazione del progetto.

3. Fase finale• Consegna della soluzione con il fine di assicurare che il

progetto sia conforme alle attese e far si che la sua

"installazione" sia avvenuta correttamente.

4. Gestione Operativa• Set di istruzioni operative che rendono “live” l’oggetto del

progetto nel tempo.

Liv

e

• Censimento sistemi e applicazioni

• Restrizioni tecniche• Censimento utenze

• Supporto tecnico• Scadenza token• Magazzino• Distribuzione

• Supporto tecnico• Consegna token• Registrazione token• PIN/Password reset

Timeline e Punti di Attenzione

Fase Preparatoria

Fase Realizzazione

Fase Finale

GestioneOperativa

• I Punti d’Attenzione della fase realizzativa vanno annoverati tra quelli


• Censimento utenze• Valore del token• Privacy• Utenti con più profili• Magazzino• Distribuzione• Formazione • Outsourcers• …

• Distribuzione• Spare • Rottura, furto,

smarrimento• …• …

• PIN/Password reset• Quadrature e

riconciliazioni• …• …

annoverati tra quelli tipici di un progetto informatico di integrazione e non rientrano nello scope dell’intervento.

Indice

• Introduzione

• Il progetto



• Conclusioni

• Censimento sistemi e applicazioni– Verificare tipologia di sistemi e applicazioni

• Restrizioni tecniche– Non tutte le utenze possono migrare ad autentucazione

con token (es. utenze in script di sistema) • Censimento utenze

– Quali utenze, dove sono dislocate, piano di migrazione• Valore del token

– Prevedere eventuale lettera di consegna• Privacy

Punti di Attenzione

Fase Preparatoria

• Censimento sistemi e applicazioni

• Restrizioni tecniche• Censimento utenze

Maggiori Dettagli


• Privacy– Ove necessario, predisporre lettera di assegnazione ai

fini della responsabilità in ambito Priovacy• Utenti con più profili

– Assistenti, operatori, tecnici• Magazzino

– Chi lo gestisce, dove è collocato, come è alimentato• Distribuzione

– Quali modalità della 1°distribuzione e le successive• Formazione

– Prevedere un piano di formazione all’utilizzo del token• Outsourcers

– Assegnazione del token (ad personam, all’outsourcer), dislocazione geografica e integrazioni a contratto

• Censimento utenze• Valore del token• Privacy• Utenti con più profili• Magazzino• Distribuzione• Formazione • Outosurcers• …• …

Punti di Attenzione

Fase Finale

• Supporto tecnico• Consegna token• Registrazione token• PIN/Password reset

Maggiori Dettagli

• Supporto tecnico– Staff tecnico– Procedure di registrazione token, sostituzione e rottura,

password reset• Consegna del token

– Distribuzione geografica degli utenti• Registrazione del token

– Quale approccio: a) registrazione massiva dei token e distribuzioneb)distribuzione e registrazione a carico utente


• PIN/Password reset• Quadrature e

riconciliazioni• …• …

b)distribuzione e registrazione a carico utente• Quadrature tra sistemi

– Quadrature e riconciliazioni tra i sistemi, le applicazioni e l’infrastruttura di sicurezza con i token

Punti di Attenzione

Gestione Operativa

• Supporto tecnico• Scadenza token• Magazzino• Distribuzione

Maggiori Dettagli

• Supporto tecnico– Procedure di registrazione token, sostituzione e rottura,

password reset• Scadenza del token

– Monitoring & reporting della scadenza dei diversi lotti di token

• Magazzino– Modalità operative di gestione del magazzino token al

fine di soddisfare tutte le richieste interne provenienti dai dipartimenti e/o da enti esterni


• Distribuzione• Spare • Rottura, furto,

smarrimento• …• …

dipartimenti e/o da enti esterni• Spare

– Quantificare e rendere disponbili spare token su tutte le sedi operative per assicurare la sostituzione a fronte di qualsiasi evenienza

Indice

• Introduzione

• Il progetto



• Conclusioni

Fattori

Critici

Conclusioni

Fase Preparatoria

• ------• ------• ------• ------

Fase Finale

• ------• ------• ------

Gestione Operativa

• ------• ------

La resa finale del progetto per l’introduzione e l’utilizzo del token dipende fortemente dalla


• ------• ------• ------• ------• ------• ------

• ------• ------• ------• ------• ------• ------• ------

• ------• ------• ------• ------• ------• ------• ------• ------

dipende fortemente dalla capacità di affrontare e indirizzare in maniera efficace tutti gli ambiti in relazione diretta e indiretta con la gestione operativa.

Grazie


Grazie

[email protected]

gestione di dispositivi one time passwordgestione di dispositivi one time password roberto...

Documents