• Registrazione degli accessi su sistemi client e server in rete (Regi.A) Registrazione Accessi alla fonte.
• Registrazione degli accessi su sistemi client e server in rete (Regi.A - agentless) Registrazione Accessi centralizzata.
• Server di raccolta e monitoraggio dei log (Regi.A) console centrale.
• Anagrafe degli amministratori (El.A.S.) Elenco Amministratori Sistemi.
• Identity Security (PQA) Password Quality Auditing.
• Logon in pool (LogIPo) per sistemi con utenza utilizzata da più amministratori/utenti.
• Utenze in pool (UtIPo) per utenze amministrative assegnate dinamicamente a individui identificati.
• Registrazione degli accessi ad apparati di rete.
• Controllo remoto a norma (RCON).

• Privilegi temporanei agli utenti (PTU).
• Password iniziale agli utenti (PIU).
• Amministratori locali con chiave hardware driverless (S3P – Secure3 Portable).
• Protezione computer VIP.
  

Registrazione degli accessi su sistemi client e server in rete – Regi.A (Registrazione Accessi):

• Abilitazione automatica continua degli eventi Windows richiesti, con verifica di non elusione.

• Filtro degli eventi irrilevanti o indesiderati.

• Trasformazione dell'event log Windows in formato leggibile da programmi di elaborazione di syslog standard.

• Garanzia di completezza e inalterabilità tramite veicolazione del log di Windows in syslog-signed (standard IETF).

• Rilevazione e log di altri eventi rilevanti ai fini della sicurezza, come utilizzo di memorie USB, connessione contemporanea a più reti (es. Bluetooth/Wifi/Modem/...), o come l'abilitazione indesiderata di accessi Wifi, e altri su richiesta.

• Su richiesta, possibilità di aggiungere moduli per veicolazione sicura e trattamento a norma di log proprietari, ad esempio provenienti da applicazioni.

• Trasmissione affidabile dei log ai server di raccolta, con supporto alle indisponibilità temporanee di comunicazione.

• Incanalamento differenziato dei record di log a seconda di tipo e priorità, sia per il monitoraggio in tempo reale degli eventi critici, sia per ridurre la necessità di server di raccolta in alta affidabilità (HA), sia per disporre fin dalla fonte di una sorta di backup.

• Accorgimenti per il contenimento del traffico generato in rete.

• Per i computer Linux e Unix, forniamo consulenza per la configurazione e l'utilizzo di log secondo i requisiti del Garante.

Registrazione degli accessi su sistemi client e server in rete (Regi.A - agentless) Registrazione Accessi centralizzata.

• Le funzionalità sono le stesse della versione con agent distribuito, salvo che la rilevazione viene fatta solo sui server, perdendo la garanzia di rilevazione alla fonte, ma evitando la distribuzione dell'agent negli ambienti dove non sia già presente o dove la distribuzione non sia applicabile a breve.

Server di raccolta e monitoraggio dei log – Regi.A (console centrale):

• Software per firma e archiviazione dei log, previ controlli di congruenza e generazione di report sintetici che certificano ed elencano gli estremi del contenuto dei log stessi, preparando gli archivi per backup (il Garante richiede disponibilità per almeno 6 mesi).

• Si può utilizzare qualsiasi server compatibile con RFC5424, RFC5425, RFC5426 e IETF syslog-signed, su richiesta forniamo consulenza per esigenze specifiche.

Anagrafe degli amministratori – El.A.S. (Elenco Amministratori Sistemi):

• Software centrale che non necessita di agent o installazione di software sui server di rete.

• Acquisizione automatica di dati e credenziali delle utenze per i domini Windows ed altri sistemi per cui sia stato previsto il modulo di acquisizione.

• Acquisizione semiautomatica (importazione) per i sistemi non interfacciabili direttamente o automaticamente (es. IBM RACF, Linux, unix, …)

• Acquisizione manuale per tutti gli altri sistemi.

• Controllo dei dati mancanti, e della congruenza dei dati presenti.

• Controllo di congruenza degli account amministrativi rispetto ai log degli accessi amministrativi acquisiti da server e client in rete.

• Reportistica sia per gli adempimenti agli obblighi, sia per approfondire utili controlli di sicurezza.

Identity Security – PQA (Password Quality Auditing)

Mentre El.A.S. soddisfa il requisito di censire gli amministratori, con PQA si tiene sotto controllo il rischio di abuso o indebito utilizzo di tali onnipotenti utenze, evenienza possibile soprattutto nel caso la password non sia adeguata al ruolo coperto. A differenza dei normali programmi di cracking, PQA non rivela né memorizza alcuna password.

• Rilevazione dei dati:

  • Rilevazione automatica dai domini Windows dei dati delle utenze e relativi hash delle password.

  • Rilevazione semi-automatica dai sistemi Linux, Unix e IBM RACF.

  • Su richiesta, implementazione di altri moduli di rilevazione.

• Controlli:

  • Controllo del rispetto dei requisiti di legge 196/03.

  • Su richiesta, controllo di conformità alle policy aziendali.

  • Controllo dell'adeguatezza delle credenziali ai ruoli assegnati.

  • Calcolo del rischio, sia a livello individuale che aziendale.

  • Possibilità di correlare il rischio per ciascun utente su più sistemi (ad esempio, utenze RACF che sarebbero sicure se non fossero vanificabili da omologhe utenze Windows).

• Reportistica:

  • Elenco anomalie legge 196/03, con motivazioni dettagliate.

  • Elenco altre anomalie che incidono sul livello di rischio.

  • Vari report di dettaglio.

• Possibilità di follow-up automatico, con invio di email cifrate a interessati ed eventualmente ai loro responsabili, con l'esito della verifica. E' molto efficace e utile specialmente per gli amministratori.

Registrazione degli accessi ad apparati di rete.

Stiamo approntando una soluzione basata su server Radius con registrazione degli accessi nelle stesse modalità previste da Regi.A

In attesa del suo rilascio, per chi ha già un controllo accessi centralizzato ma non a norma, siamo disponibili allo studio di soluzioni per adeguare i sistemi in essere ai requisiti del Garante.

• Controllo remoto (modo grafico in foreground e modo testo in background).

• Rispetto della privacy dell'utente remoto.

• Registrazione “a norma” centralizzata dei contatti di assistenza, con gli estremi identificativi di assistenti e assistiti e modalità di accesso.

• Possibilità di differenziare modalità di accesso e operazioni consentite su client diversi e anche su client rispetto a server.

• Gestione enterprise: ampia configurabilità degli assistenti, con possibilità di consentire l'accesso solo ad alcune aree, in modo gerarchico.

• Comunicazione cifrata e sistema di autenticazione basato su criteri crittografici e chiave hardware.

• Possibilità di funzionare in modo server-less.

• Leggero: installazione sui client in un'unica cartella.

• Possibilità di definire script da eseguire su liste di computer.

• Rilevazione automatica dati per inventario hardware e software.

Privilegi temporanei agli utenti (PTU).

E' una soluzione che snellisce l'assistenza agli utenti quando sui loro PC deve essere eseguita un'installazione che richiede privilegi maggiori di quelli dell'utente coinvolto.

Invece di affiancare l'utente in controllo remoto, o assegnare all'utente privilegi con il rischio che non vengano resettati, con PTU all'utente vengono assegnati i privilegi (tipicamente di "Power User")  temporaneamente, ed il reset è automatico dopo il tempo definito.

Lassegnazione viene debitamente tracciata, e l'utente può eseguire in autonomia le attività privilegiate, senza escludere la possibilità di affiancamentocon il controllo remoto, l'attività di assistenza viene ridotta e snellita con conseguente riduzione dei costi.

Password iniziale agli utenti (PIU).

PIU è utile per gestire automaticamente due condizioni che possono essere critiche per la sicurezza di un sistema Windows: la gestione delle password iniziali (di default), e delle utenze non utilizzate da tempo.

1. Quando si crea una nuova utenza, generalmente, le si assegna una password iniziale prestabilita, uguale per tutti, poi si richiede all'utente di cambiarla al primo utilizzo.
   Spesso tra la creazione dell'utenza ed il suo utilizzo possono passare anche diversi giorni, in questo tempo la password iniziale rimane valida, anche se viene superata la scadenza prevista dalle policies aziendali e definita sui server.
   In questo intervallo di tempo, potenzialmente, chiunque conosca la password iniziale è in grado di utilizzare quella utenza, effettuando accessi non autorizzati che a volte non è possibile rilevare in modo tempestivo.
2. Quando un'utenza Windows non viene utilizzata da tempo, l'ultima password impostata rimane valida, anche se il sistema è stato impostato per far scadere le password dopo un certo periodo.

Amministratori locali con chiave hardware driverless (S3P – Secure3 Portable).

Il Garante richiede di registrare gli accessi a sistemi ed archivi da parte degli amministratori di sistema e di registrare e conservare gli estremi identificativi delle persone fisiche amministratori di sistema.
S3P è utile per adempiere agli obblighi di legge nei casi in cui sia necessario accedere ai computer utilizzando l'utenza amministrativa locale, per identificare la persona fisica che effettua l'accesso e registrare l'evento, come richiesto dal Garante.

L'utenza amministrativa locale di Windows, definita su tutte le stazioni di lavoro, non può essere disabilitata e normalmente si usa di rado perché le operazioni che richiedono privilegi amministrativi possono essere effettuate anche da un utente amministratore di dominio.
Per semplicità organizzativa, molto spesso la password di questo utente viene impostata in modo uguale per tutti i computer aziendali, oppure si utilizza un criterio che la rende diversa da computer a computer, ma il criterio può essere comunque individuato.
Spesso la password impostata non è sufficientemente sicura, ed è individuabile con semplici programmi di cracking in pochi minuti.
Un utente che scopre la password amministrativa locale del proprio computer (ad esempio effettuando il boot con un altro sistema operativo) potenzialmente può conoscere la password amministrativa locale dei computer di tutti i suoi colleghi. E se un utente scopre la password amministrativa del proprio computer o il criterio con la quale viene costruita, è necessario intervenire su tutti i computer per cambiarla.

Con S3P la password dell'utente amministratore locale viene cambiata periodicamente in modo diverso da computer a computer. Solo chi possiede la chiave hardware è in grado di ottenere la password valida su un certo computer in un certo momento. La password è impostata in modo da richiedere un tempo notevole per essere individuata da un programma di cracking, ...nel frattempo è già cambiata, in modo automatico.

S3P non interferisce con la password dell'utente di dominio, cioè il normale utilizzatore del computer, perché gestisce solo la password dell'amministratore locale, che in genere viene utilizzato raramente.
In pratica, chi deve accedere ad un computer con l'utenza amministrativa locale, deve prima ottenerne la password, usando una applicazione protetta dalla chiave hardware.

Con  S3P possono essere gestite anche utenze di dominio. Le chiavi hardware affidate agli amministratori di sistema possono essere protette da password, e possono essere configurate in modo da ottenere la password solo per utenze, domini e computer definiti tramite wildcards.

La richiesta della password viene registrata, con gli estremi identificativi di chi effettua la richiesta, ed inoltrata centralmente in modo affidabile, con le caratteristiche di completezza e inalterabilità richieste dal Garante.

Protezione computer VIP.

 Il Garante per la Privacy pone l'attenzione su rischi e criticità insite nello svolgimento delle mansioni degli amministratori di sistema che comportano di regola la concreta capacità, per atto intenzionale, ma anche per caso fortuito, di accedere in modo privilegiato a risorse del sistema informativo e a dati personali cui non sono legittimati ad accedere, rispetto ai profili di autorizzazione attribuiti.
Anche chi, in modo fraudolento, è in grado di ottenere diritti amministrativi, può usufruire di questo potere.

Se questo può essere socialmente inaccettabile e aziendalmente fastidioso per i dati dei normali utenti, può essere aziendalmente devastante nei confronti degli utenti VIP, cioè quelle persone che rivestono ruoli strategicamente importanti all'interno dell'azienda e quindi si trovano a gestire informazioni riservate o comunque critiche per le strategie ed il business aziendale.
Generalmente gli utenti VIP non sono amministratori di sistemi informatici e possono non avere cariche di responsabilità, ad esempio un addetto della Segreteria di Direzione, dell'ufficio legale o dell'auditing oppure chi ha elevati poteri di firma .
Spesso gli utenti VIP utilizzano gli strumenti informatici pur non essendo esperti nella loro sicurezza e sono costretti ad appoggiarsi agli amministratori di sistema per installazioni, risoluzione di problemi e in generale supporto informatico.

La soluzione proposta ha l'obbiettivo di proteggere le risorse informatiche usate dai VIP, in modo che siano gestibili e allo stesso tempo riservate anche nei confronti degli amministratori di sistema o di chi, persona o software, ne assuma indebitamente i diritti.
I dati trattati dai VIP transitano nei computer in loro possesso: questi devono quindi essere protetti, sia quando spenti, sia quando accesi.