![Page 2: "Security by design" presentata al Security Summit 2014](https://reader033.vdocuments.us/reader033/viewer/2022052909/5598ebba1a28ab6f118b45ed/html5/thumbnails/2.jpg)
Informatica Trentina
![Page 3: "Security by design" presentata al Security Summit 2014](https://reader033.vdocuments.us/reader033/viewer/2022052909/5598ebba1a28ab6f118b45ed/html5/thumbnails/3.jpg)
3
La Società
Informatica Trentina è stata costituita nel 1983 su iniziativa della Provincia Autonoma di Trento e di altri Enti Pubblici del Trentino
La Compagine azionaria (al 31 dicembre 2012):
Provincia autonoma di Trento 47,4218%
Tecnofin Trentina Spa 39,7101%
Regione Autonoma Trentino-Alto Adige 1,7199%
Comune di Trento con l’1,2433%
Camera di Commercio Industria Artigianato e Agricoltura 1,2433%
Comune di Rovereto 0,7063%
15 Comunità di Valle complessivamente 5,0046%
1 Comprensorio 0,3931%
altri 186 Comuni complessivamente 2,5577%
Alcuni dati al 31 dicembre 2012:
Fatturato: circa 60 milioni di Euro
Risorse umane: 312
Adesioni alla governance (al 31 dicembre 2012):
208 Enti Locali
![Page 4: "Security by design" presentata al Security Summit 2014](https://reader033.vdocuments.us/reader033/viewer/2022052909/5598ebba1a28ab6f118b45ed/html5/thumbnails/4.jpg)
La missione
Sempre più un ruolo di “strumento di politica economica” per lo sviluppo e la crescita del sistema economico locale nel contesto dell’Information & Communication Technology:
strumento di sistema, per l’ammodernamento della Pubblica Amministrazione trentina e per promuovere lo sviluppo del contesto socio-economico del territorio, in aderenza alle direttive provinciali
strumento di collaborazione con le imprese ICT, consentendo ai molteplici operatori del comparto di partecipare con continuità alla realizzazione dei progetti di ammodernamento e digitalizzazione della PA trentina
strumento di innovazione, per promuovere l’innovazione nella PA trentina, sostenendo il ruolo di utente innovatore dell’Ente pubblico, attraverso progetti di innovazione da realizzare in sinergiae cooperazione con le imprese ICT del territorio, ed in collaborazione con gli Enti di Ricerca ed Alta Formazione presenti sul territorio
![Page 5: "Security by design" presentata al Security Summit 2014](https://reader033.vdocuments.us/reader033/viewer/2022052909/5598ebba1a28ab6f118b45ed/html5/thumbnails/5.jpg)
I clienti
La Società eroga i propri servizi nei confronti della Pubblica
Amministrazione Locale. I principali clienti sono rappresentati da:
Provincia autonoma di Trento
Agenzie ed Enti strumentali della Provincia Autonoma di Trento
Agenzia del Lavoro, Agenzia Provinciale per la Protezione dell’Ambiente, Cassa Provinciale Antincendi, Agenzia Provinciale per la Protonterapia, Ufficio Statistico, Agenzia per l’Assistenza e la Previdenza Integrativa, Agenzia per l’Energia, Agenzia per i Pagamenti in Agricoltura
Azienda Provinciale per i Servizi Sanitari
Istituti scolastici del Trentino
Istituzioni culturali, museali e parchi naturali
Società di sistema
Fondazioni (Fondazione Mach e Fondazione Bruno Kessler)
Università degli Studi di Trento
Regione Autonoma Trentino-Alto Adige/Südtirol
Enti Locali (Comuni e Comunità di Valle del territorio provinciale)
![Page 6: "Security by design" presentata al Security Summit 2014](https://reader033.vdocuments.us/reader033/viewer/2022052909/5598ebba1a28ab6f118b45ed/html5/thumbnails/6.jpg)
6
PAT
InfoTN
PATPAT
Il “problema” della crescita ….
![Page 7: "Security by design" presentata al Security Summit 2014](https://reader033.vdocuments.us/reader033/viewer/2022052909/5598ebba1a28ab6f118b45ed/html5/thumbnails/7.jpg)
PAT
Internet
InfoTN
Telpat
PAT
PAT
Il “problema” della crescita ….
![Page 8: "Security by design" presentata al Security Summit 2014](https://reader033.vdocuments.us/reader033/viewer/2022052909/5598ebba1a28ab6f118b45ed/html5/thumbnails/8.jpg)
Il “problema” della crescita ….
![Page 9: "Security by design" presentata al Security Summit 2014](https://reader033.vdocuments.us/reader033/viewer/2022052909/5598ebba1a28ab6f118b45ed/html5/thumbnails/9.jpg)
Contesto di riferimento (2003)
Elevato numero di applicazioni: a dicembre 2003 il catasto applicazioniriportava 235 «applicazioni»
Clienti della PA locale quindi con un alta visibilità verso l’esterno
Elevata eterogeneità delle soluzioni dovute ad applicativi specifici e con unmercato ristretto
Elevata «anzianità» delle soluzioni in quanto la soluzione tecnologica èconseguenza dell’informatizzazione di un processo esistente
Elevata obsolescenza perché la migrazione verso nuove soluzioni ha sempredei costi aggiuntivi molto elevati
Mancanza di best practice: «la soluzione viene fornita prevalentemente inIntranet quindi è sufficiente proteggersi da Internet»
D.Lgs. 196/03 (Codice Privacy): con particolare riferimento all’art. 31(obblighi di sicurezza) e 34 (Trattamenti con strumenti elettronici)
![Page 10: "Security by design" presentata al Security Summit 2014](https://reader033.vdocuments.us/reader033/viewer/2022052909/5598ebba1a28ab6f118b45ed/html5/thumbnails/10.jpg)
Risultati assesment
Oltre il 90% delle applicazioni sono conformi(alla normativa ….)
Del restante 10%
Circa il la metà si può adeguare
Le rimanenti
Non è possibile intervenire direttamente
Sono comunque obsolete e di prossima sostituzione
![Page 11: "Security by design" presentata al Security Summit 2014](https://reader033.vdocuments.us/reader033/viewer/2022052909/5598ebba1a28ab6f118b45ed/html5/thumbnails/11.jpg)
Security by Design
![Page 12: "Security by design" presentata al Security Summit 2014](https://reader033.vdocuments.us/reader033/viewer/2022052909/5598ebba1a28ab6f118b45ed/html5/thumbnails/12.jpg)
Security by Design: Perché?
Fonte: www.Microsoft.com\sdl
![Page 13: "Security by design" presentata al Security Summit 2014](https://reader033.vdocuments.us/reader033/viewer/2022052909/5598ebba1a28ab6f118b45ed/html5/thumbnails/13.jpg)
Security by Design: Come?
1. «Imporre» la Security nei processi:
Non solo software
Componente applicativa
Componente infrastrutturale
Componenti non informatiche
![Page 14: "Security by design" presentata al Security Summit 2014](https://reader033.vdocuments.us/reader033/viewer/2022052909/5598ebba1a28ab6f118b45ed/html5/thumbnails/14.jpg)
Security by Design: Come?
1. «Imporre» la Security nei processi:
Non solo software
Formalizzazione requisiti di sicurezza «minimi»
Formalizzazione requisiti di sicurezza «suggeriti»
Formalizzazione condizioni contrattuali per l’outsourcing
La Funzione Sicurezza come revisore dei progetti
2. Creazione di un gruppo di lavoro (alleanze)
3. Formazione interna
4. Elaborazione di una «Enterprise Security Architecture»
Criteri per l’autenticazione
Criteri per l’autorizzazione
Criteri per la gestione delle attività degli utenti
Criteri per la validazione dei dati in input/output
Criteri per l’utilizzo di meccanismi crittografici
Criteri per il tracciamento
![Page 15: "Security by design" presentata al Security Summit 2014](https://reader033.vdocuments.us/reader033/viewer/2022052909/5598ebba1a28ab6f118b45ed/html5/thumbnails/15.jpg)
Security by Design: Come?
1. «Imporre» la Security nei processi:
Non solo software
Formalizzazione requisiti di sicurezza «minimi»
Formalizzazione requisiti di sicurezza «suggeriti»
Formalizzazione condizioni contrattuali per l’outsourcing
La Funzione Sicurezza come revisore dei progetti
2. Creazione di un gruppo di lavoro (alleanze)
3. Formazione interna
4. Elaborazione di una «Enterprise Security Architecture»
![Page 16: "Security by design" presentata al Security Summit 2014](https://reader033.vdocuments.us/reader033/viewer/2022052909/5598ebba1a28ab6f118b45ed/html5/thumbnails/16.jpg)
… e domani?
![Page 17: "Security by design" presentata al Security Summit 2014](https://reader033.vdocuments.us/reader033/viewer/2022052909/5598ebba1a28ab6f118b45ed/html5/thumbnails/17.jpg)
Security by Design: Domani
Fonte: www.Microsoft.com\sdl
Security Development Lifecycle
(SDL)
![Page 18: "Security by design" presentata al Security Summit 2014](https://reader033.vdocuments.us/reader033/viewer/2022052909/5598ebba1a28ab6f118b45ed/html5/thumbnails/18.jpg)
Un diverso approccio
1
2
3
18Fonte: www.owasp.org
![Page 19: "Security by design" presentata al Security Summit 2014](https://reader033.vdocuments.us/reader033/viewer/2022052909/5598ebba1a28ab6f118b45ed/html5/thumbnails/19.jpg)
Transformation
80%
Libraries But library use
is growing at a
staggering rate
20% Custom
Code
Fonte: www.owasp.org
![Page 20: "Security by design" presentata al Security Summit 2014](https://reader033.vdocuments.us/reader033/viewer/2022052909/5598ebba1a28ab6f118b45ed/html5/thumbnails/20.jpg)
20
Informatica Trentina SpaVia G. Gilli, 2 - 38121 Trento
www.infotn.it
Vrae?Afrikaans
Questions?English
¿Preguntas?Spanish
Domande?Italian
Вопросы?Russian
Ερωτήσεις;Greek
tupoQghachmey?Klingon
質問?Japanese
Arabic
問題呢?Chinese
Jewish
Questions?French
Fragen?German
Hindi
Quaestio?Latino