co_87_lazzini_fabio_intro.pdf - [mides]...
Post on 06-Oct-2018
250 Views
Preview:
TRANSCRIPT
Sogei S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma
Relatore
1
ing. Fabio LAZZINI, Responsabile Security Governance & Privacy
L’evoluzione della cybersecurity tra vincoli normativi e
necessità di protezioneFOURSec: l’approccio multicompliance Sogei per la PA
23 Maggio 2017
Sogei S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma
Presidenza del Consiglio (DIPE)
Ministero dell’Interno
Agenzia per la coesione territoriale
Ministero dei beni culturali
Ministero dell’istruzione e della ricerca
Corte dei conti
AgID (Agenzia per l’Italia Digitale)
Ministero dell’Economia e delle Finanze Altre istituzioni
Dipartimento dell'Amministrazione Generale, del Personale e dei Servizi
Dipartimento del Tesoro
Ragioneria Generale delloStato
Dipartimento delle Finanze
Guardia di Finanza
2
Agenzia delle Entrate
Agenzia delle Dogane e dei Monopoli di Stato
Agenzia del Demanio
Equitalia
Uffici di direttacollaborazione con ilMinistro
Scuola di formazione del MEF (Scuola Nazionaledell’Amministrazione)
Da oltre 40 anni opera nel settore ICT del Ministero dell’Economia e delle Finanze, avendo curato la progettazione e
realizzazione dell’Anagrafe Tributaria, la conduzione e lo sviluppo del Sistema In formativo della Fiscalità, dalle origini della
riforma del sistema. Da luglio 2013, con l’incorporazione del Ramo IT della Consip S.p.A., è diventata partner tecnologico
unico del MEF da cui è interamente controllata
Sogei S.p.A.
Sogei S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma
GIOCO REGOLATO
• sistema delle entrate erariali del gioco “regolato”
(scommesse ippiche e sportive, apparecchi, gioco on-
line, controllo e convalida dei giochi, giochi numerici a
totalizzatore nazionale)
BILANCIO
• formazione del bilancio dello Stato
• gestione delle fasi di bilancio
• gestione decreti di variazione
• bilanci degli enti
INTELLIGENCE, CONTROLLI, GEOMATICA E MISURE SATELLITARI
• soluzioni di intelligence connesse alle fasi di ausilio alle indagini e al controllo
• prodotti per la georeferenziazione e la misura satellitare di precisione
• sviluppo di nuove applicazioni per la prevenzione e repressione di fenomeni di evasione fiscale
CONTABILITÀ PUBBLICA
• gestione dei pagamenti della PA
• sistema contabile PA (SICOGE)
• monitoraggio della Spesa pubblica
FINANZA
• debito pubblico
• monitoraggio finanza statale e locale
• piattaforma per la certificazione dei crediti
• modelli di previsione ed analisi statistiche a supporto
delle decisioni di politica economica
PERSONALE DELLA PA
• buste paga, presenze e gestione giuridica del
personale del MEF
• buste paga per le amministrazioni pubbliche
DOGANE E ACCISE
• sistema fiscale doganale, dichiarazioni doganali per
merci in arrivo e uscita dal territorio nazionale (frontiere,
porti e aeroporti), IVA e accise su prodotti energetici,
alcool e tabacchi
SANITÀ
• rilascio e governo del sistema Tessera
Sanitaria/Codice Fiscale/TEAM per il
monitoraggio della spesa sanitaria
• certificati medici e ricette digitali
FISCO
• ciclo dichiarativo (persone fisiche e imprese), accertamento
e riscossione coattiva.
• comunicazioni ai contribuenti su attività di verifica (controlli
formali e sostanziali).
• sistema catastale (catasto e conservatorie) e demanio del
patrimonio pubblico
3
Ambiti operativi
Sogei S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma
Fisco
Catasto
229 Mln F24 pagamento imposte/anno
100 Mln Documenti trasmessi per dichiarazione redditi/anno
40 Mln Proprietari fabbricati
41 Mln di contribuenti di cui oltre 5 Mln di partite IVA
24 Mln Proprietari terreni
72 Mln U.I. urbane
70 Mln Visure catastali/anno
Dogane18 Mln Dichiarazioni doganali/anno
30 Mln Documenti/anno
Sanità
Spese PA
Bilancio e Finanza pubblica
1,4 Mln Titoli di spesa annui
22.000 Bilanci consuntivi enti
Giochi
7 Mln Conti di gioco (aperti)
3,5 Mld Transazioni di gioco/anno
830 Mln Ricette/anno
60 Mln Assistiti
25 Mln Certificati/anno
812.000 Progetti opere pubbliche
1,1 Mln Progetti di programmazione1,8 Mln Cedolini mensiliPersonale PA
Fatture PA 52 Mln di fatture/anno verso le PA centrali e locali
1,8 Mln Fatture gestite su SICOGE
28 Mln Fatture/Note credito registrate su piattaforma per la certificazione dei crediti
Banche dati
4
Sogei S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma
Corte dei conti: 3 Mln / 569.000
Dipartimento dell’Amministrazione Generale: 862.000 / 312.000
Dipartimento del Tesoro: 492.000 / 127.000
Agenzia del Demanio: 13,6 Mln / 1,5 Mln
Agenzia delle Dogane e dei Monopoli: 76 Mln / 12,8 Mln
Agenzia delle Entrate: 650,7 Mln / 132,7 Mln
Equitalia: 62,8 Mln / 9,3 Mln
Dipartimento delle Finanze: 28,5 Mln / 3,7 Mln
Giustizia Tributaria: 3,1 Mln / 315.000
Portale MEF: 4,3 Mln / 1,3 Mln
Ragioneria Generale dello Stato: 6,7 Mln / 1,3 Mln
Portale Tessera Sanitaria: 38,4 Mln / 7,3 Mln
Portali (pagine/visitatori 2016)
5
Sogei S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma
SDI Sistema Di Interscambio
per la Fatturazione Elettronica
15 Ministeri e organi di rilievo costituzionale
29 Mln di trasmissioni (file)
170 Mln di documenti trasmessi
289.000 Utenti abilitati
Telematico
Doganale30 Mln Documenti / 18 Mln Dichiarazioni doganali
Sistema TSSanità
Contabilità e Finanza
pubblica
560.000 Apparecchi 1.600 sistemi VLT certificatiSistemi di
gioco
90.000 Soggetti abilitati
3,5 miliardi Transazioni
830 Mln Ricette 25 Mln Certificati malattia
62 Mln File accolti
310.000 Medici 16.000 Farmacie 18.000 Strutture specialistiche
56.000 soggetti pubblici riceventi
FISCONLINE 6,9 Mln di transazioni/documenti
5,8 Mln di utenti e piccole imprese
SISTER2,6 Mln di atti registrati
289.000 Utenti
880.000 Imprese emittenti
44 Mln di ispezioni ipotecarie e 54 Mln di visure
485.000 PREGEO e 2 Mln DOCFA
ENTRATEL
393.000 Operatori
64,8 Mln di file scambiati
52 Mln fatture (200.000 di flusso giornaliero)
15.000 Enti per bilanci 26.000 Imprese per certificazione crediti
NoiPA2 Mln Utenti
1,8 Mln Cedolini/mese
Servizi ICT
6
Sogei S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma
169.000 CAF ed esperti contabili
120.000 Altri soggetti abilitati (assicurazioni, associazioni categoria, agenzie di mediazione, grandi imprese)
Agenzia Entrate
Agenzia Dogane e Monopoli
SPC (PAC + PAL)
RGS – DAG
ADM Telematico Doganale - EDI
Entratel
Fisconline
SDI
TS - CNS
SISTER
880.000 imprese emittenti
56.000 soggetti pubblici riceventi
289.000 Utenti
5,8 Milioni di cittadini e piccole imprese
310.000 Medici
16.000 Farmacie
18.000 Strutture sanitarie
VLT
64.300 Utenti MEF
55.000
Conti di gioco 7 Milioni intestati a persone fisiche
Sale Bingo 210
Ippodromi 50
400.000New Slot
2 Milioni utenti e 100 soggetti giuridici
collegati a NoiPA
15.000 Enti per Bilanci
23.000 Enti per Certificazioni crediti
26.000 Imprese per Certificazioni crediti
19 Ministeri e organi di rilievo
costituzionale per SICOGE
M. Interno ANPR
393.000 Operatori
8.000 Anagrafi comunali
61 Milioni di cittadini
Network
7
Sogei S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma
45.000 Agenzia delle Entrate
12.300 Agenzia delle Dogane e dei Monopoli
6.500 Ragioneria Generale dello Stato
3.550 Sogei
2.900 Dipartimento delle Finanze
2.000 Dipartimento dell’Amministrazione Generale, del Personale e dei Servizi
1.600 Dipartimento del Tesoro
1.300 Agenzia del Demanio
Oltre 75.000 (desktop e laptop) comprese quelle Sogei
Postazioni di lavoro
8
Sogei S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma
Connettività Elaborazione
Storage Sicurezza
600 nodi
1.300 reti locali
2 Mainframe (32.100 Mips)
1.600 server fisici
8.100 server virtuali
11 Petabyte SAN
1 Petabyte Mainframe
50 Firewall centrali/500 Firewall periferici
10 Sistemi IPS centrali
2 Disaster Recovery sites
Rete CED930 switch/30 router
80 bilanciatori
RETE GeograficaIntranet MEF 1.350 uffici periferici
1.200 router/6.000 switch/800 access-point
Rete Giochi 310 concessionari SPC/diretti
Internet e Infranet SPC
80 concessionari in VPN/75 enti connessi
Progettazione,
sviluppo,
manutenzione e
gestione operativa
di applicazioni e
servizi software
1.000 kit che garantiscono il funzionamento operativo e consentono di
gestire i processi di lavoro di 1.500 uffici (oltre 75.000 postazioni di lavoro)
Kit applicativi
Banche dati218 (escluse quelle asservite alla Business Intelligence)
Domini84 (argomenti di business)
Infrastruttura e sviluppo software
9
Gestione dei Data Center e
dell’infrastruttura periferica del
MEF
Elevate potenze elaborative e di
storage
Sogei S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma
Servizi DHCP e DNS
160.000 IP pdl e VOIP
200 domini esterni
Servizi VOIP
74.000 end-point VOIP su 6 domini
350 gateway VOIP
Centro di interconnessione
Collaboration e Unified
Communication
circa 15.000 utenti abilitati
Centro servizi
multimediale
Servizi di accesso ad
internet/ Servizi di
comunicazione video-voce
e collaboration on-net
circa 60 domini di posta/90.000caselle per 130 TBcirca 60.000 caselle con Archivingper 105 TBOltre 670 mln di messaggi (ultimi 6mesi) per un totale di circa 10 TBmese (90% scartati per verifichespam/reputation/malware)
Posta elettronica ordinaria
circa 40 domini PEC circa 2.850 caselle di posta certificatacirca 9 milioni di messaggi PEC/mese
Posta elettronica certificata
Servizi di accesso ad Internet 80.000 utenti6 servizi distinti con funzioni white e black list20 milioni accessi/mese per 20 TB mese
Servizi di Call Center circa 1.000 operatoricirca 12 servizi/canalicirca 3,3 milioni di contatti annui
Infrastruttura e servizi tecnologici
10
Sogei S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma
Dati e Infrastrutture
Servizi ICT
Posti di lavoro / end-point
Convenzione con la Polizia di Stato per la condivisione di procedure d’intervento e scambio di
informazioni utili alla prevenzione e al contrasto degli attacchi informatici, in collaborazione con il
C.N.A.I.P.I.C. della Polizia Postale e delle Comunicazioni. Accordo stipulato in attuazione del DM del
Ministro dell’Interno del 9 gennaio del 2008, che ha individuato le infrastrutture critiche informatizzate
d’interesse nazionale
Infrastruttura critica nazionale
Sogei, infrastruttura critica nazionale
11
Sogei S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma
Servizi ICT
Dati e infrastrutture
Posti di lavoro / End-point
Presidio armato GdF
Controllo accessi persone e veicoli
TVCC e Sistemi di protezione passiva
Sicurezza fisica Sicurezza logica
Protezione delle comunicazioni
(Firewall, Sonde IPS, AntiDDoS,
VPN)
Gestione delle identità
Individuazione delle minacce
Gestione degli incidenti
Data Center Automation
Software Defined Data Center
Sicurezza by designProcesso di certificazione dei servizi
Linee guida di sviluppo
Requisiti di Sicurezza
Disegno architetturale
Verifica di qualità e sicurezza del sw (penetration test)
Monitoraggio e analisi dei dati
Sicurezza end-pointAntimalware
Antiramsonware
Antispam
Reputation filter (mail/HTTP)
Certificati
Cybersecurity - Protezioni
12
Sogei S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma
Le principali certificazioni con impatto sulla information security in Sogei
Certificazioni Aziendali
> Sistema di Gestione per la Sicurezza delle informazioni certificato ISO/IEC 27001
> Sistema di Gestione per la Qualità certificato ISO/IEC 9001
> E’ in corso la verifica della conformità alla recente norma ISO/IEC 25024 (ottobre 2015) sulla Qualità dei dati.
Certificazioni professionali individuali
> Certified Digital Forensic Examiner (CDFE)
> Certified Ethical Hacker (CEH), Qualified Ethical Hacker (QEH)
> Certified Information Forensics Investigator (CIFI)
> Certified Information Security Manager (CISM)
> Certified Information Systems Auditor (CISA)
> COBIT5 Foundation
> Computer Hacking Forensic Investigator (CHFI)
> ISMS Auditor ISO 27001
> Cyber Security Fundamentals – CSX
> Auditor Sistemi di Gestione dei Servizi IT (ISO 20000)
> ITIL V3 Foundation
> OSSTMM Professional Security Analyst (OPSA)
> OSSTMM Professional Security Tester (OPST)
> OWASP Web Security Tester
> Offensive Security Certified Professional (OSCP)
> Project Management Professional (PMP, Prince2)
> Quality Assessor (ISO 9001)
> TOGAF® 9 Certified
oltre 30.000 ore di formazione tecnico-specialistica e normativa erogate nel 2016
> Professional Engineer
> Security Specialist
> VPN security Specialist
> Network security Administrator
> Network security Professional
> Firewall Architect
> Firewall Engineer
> IPS Architect
> IPS Engineer
> Firewall Management Administrator
> Product Administrator
Cybersecurity - Persone
13
Sogei S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma
792 cyber event gestiti nel 2016 vs i 347 del 2015 (oltre il 128% rispetto all’ anno precedente )
TIPOLOGIA DI EVENTO
356 45% Malware
289 36% Spam/Phishing
67 8% Patch/Change
31 4% Vulnerabilità
30 4% Minaccia
14 2% Diffusione informazioni
5 1% DDoS
AREA DI IMPATTO
645 81% Sogei/MEF
69 9% MEF
32 4% Sogei
17 2% Agenzia delle Entrate
15 2% Equitalia
10 1% Agenzia del Demanio
3 0,4% Dipartimento Finanze
1 0,1% Geoweb
FONTE DELLA SEGNALAZIONE
295 37% Interna Sogei
258 33% USL MEF
131 17% CNAIPIC
34 4% CERT-PA
14 2% Equitalia
13 2% SOC Sogei
12 2% Agenzia del Demanio
11 1% Agenzia delle Entrate
8 1% NSC
7 1% CERT-EU
7 1% DIS
1 0,1% Esterna Sogei
1 0,1% Dipartimento Finanze
L’aumento degli eventi gestiti nel 2016, più che raddoppiati rispetto all’anno precedente, conferma il CERT
Sogei punto di riferimento per la cybersecurity sia interna all’azienda che verso i Clienti
Distribuzioni cyber event 2016 per
CERT Sogei focal point per la security del MEF
CERT Sogei – Key Figures
14
Sogei S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma
Security Operations
Manutenzione infrastrutture tecnologiche di sicurezza
2 Infrastrutture di strong authentication su tokenOTP (hardware e software)
3 Sistemi antimalware, antispam e antiphishingdi posta elettronica
2 Sistemi antimalware, URL filtering eApplication control per la navigazione internet
3 Sistemi di Identity & Access Management perutenti interni ed esterni (7,5 M)
287.000 Eventi registrati e bloccati dagli IPS relativi allanavigazione (media mensile)
178.000 Eventi bloccati dagli IPS relativi ai servizi ICTesposti (media mensile)
4.800.000 Occorrenze malware intercettate dai sistemiantimalware di posta (totale annuo)
21.000.000 E-mail di spam/phishing intercettate daisistemi antimalware di posta (totale annuo)
12.000.000 E-mail di spam/phishing messe in quarantenadai sistemi antimalware di posta (totale annuo)
161.000.000 Occorrenze malware bloccate dai sistemiantimalware di navigazione internet (totaleannuo)
8.200.000 Spam/Phishing intercettato dal sistemiantimalware di navigazione internet (totaleannuo)
890.000 Occcorrenze malware intercettate dai sistemiantimalware degli endpoint (totale annuo)
570 Segnalazioni da CERT analizzate e risolte
20 Incidenti analizzati, gestiti e risolti
80.000 Endpoint client e Server protetti centralmente
550 Firewall centrali e periferici
30 Server per Intrusion Prevention Systems
25 Firewall XML, Application Firewall
2 Sistemi per Firewall Assurance, NetworkAssurance e Risk Control
1 Controllo Accessi dedicato agli Amministratoridi Sistema
SOC Sogei – Key Figures 2016
15
Sogei S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma
Sede Legale Via M. Carucci n. 99 - 00143 Roma
www.sogei.it
16
top related