Sicurezza

L’era digitale è caratterizzata da un’ampia disponibilità di potere  computazionale e di dati eterogenei che vengono prodotti e accumulati costantemente. La capacità di analizzare, comporre, correlare ed elaborare questi dati può essere decisiva nell’individuazione di minacce e vulnerabilità e nella previsione di incidenti in vari contesti di interesse o di importanza critica nella nostra società: cyber security, cyber warfare, antifrode, protezione di infrastrutture critiche, sono esempi rilevanti delle attività che Engineering svolge quotidianamente per i propri data center e i data center dei clienti.

Sicurezza fisica

 

I locali e le infrastrutture presenti nei Data Center sono stati progettati per garantire la massima continuità di servizio e sicurezza. Pertanto i Data Center prevedono i seguenti sistemi di sicurezza fisica:

  • Guardiania 24 ore per 7 gg.
  • TVCC (con log videoregistrato)
  • Sistemi anti-intrusione
  • Sistemi anti incendio (rilevazione e spegnimento a gas)
  • Sistema di supervisione e controllo impianti computerizzato

Le modalità per il controllo degli accessi alle aree riservate e strutturali sono basate sulla suddivisione dell’edificio in aree distinte: sono quindi definite delle aree ad accesso controllato da un lettore di badge, a tali zone si accede solo in base alle autorizzazioni stabilite dal Delivery Manager di riferimento per il sito e preventivamente chieste, a mezzo e-mail, alla Funzione Servizi Generali. Quest’ultima provvede all’autorizzazione del badge di riconoscimento del personale.

Dispositivi antintrusione

Sono collegati al servizio di sorveglianza interno o a servizi di pronto intervento specializzati. Il controllo antintrusione è basato su rilevatori volumetrici nei corridoi e dai contatti magnetici su tutte le uscite di sicurezza.

Protezione dal fuoco

Dispositivi per la rilevazione e spegnimento incendi sono installati in tutto il sito secondo quanto previsto dalle normative vigenti; i locali normalmente non presidiati, che contengono apparecchiature o dati critici, sono dotati di dispositivi di rilevazione e spegnimento automatici. Tutto il personale dipendente è stato addestrato in materia di prevenzione e di comportamento in caso di segnalazione di incendio. Vi sono sensori ottici in tutti i locali dell’edificio. Nelle aree bunker vi è sistema di spegnimento automatico basato su gas naturale.

Protezione dall’acqua

Sono installati dispositivi per segnalare e intervenire successivamente per eliminare eventuali allagamenti dovuti a perdite da tubi idraulici, infiltrazioni o inondazioni.

Centralizzazione degli allarmi

Il Data Centre dispone di una centrale operativa computerizzata ove confluiscono i segnali (incendio, inondazione, intrusioni, temperatura, ecc.) dai relativi sensori.  Tele centrale operativa, presidiata 7x24, è implementata in maniera tale da garantire la tempestiva rilevazione degli allarmi in caso di malfunzionamenti o tentativi di effrazione.

Manutenzione preventiva

Per quanto riguarda tutte le infrastrutture tecnologiche che compongono il Data Centre (impianti elettrici, UPS, gruppo elettrogeno, impianto di condizionamento, accessi, antincendio, ecc.) viene effettuata un’attività di manutenzione preventiva e  programmate secondo un  “Piano degli interventi preventivi e relative periodicità” che prevede interventi giornalieri, settimanali, mensili, con lo scopo di  verificare l’integrità e il buon funzionamento di tutte le parti: aero refrigeratore, pompe sommerse, impianto idraulico sanitario, impianto spegnimento fuoco, impianto antincendio, gruppi frigo, torri evaporative, centrale termica, condizionatori, elettropompe, under, impianti elettrici (trasformatori, cabina, quadro generale, quadro di distribuzione, locale batterie (UPS), gruppo elettrogeno, gruppo di continuità, quadri elettrici bunker), accessi (badge).

Sicurezza logica

 

La sicurezza logica dei Data Center si basa sui seguenti elementi:

•             Sicurezza perimetrale tramite distinti livelli logici di protezione (front-end e back-end) oltre ad una logica separazione degli ambienti tramite segregazione delle LAN (Virtual LAN);

•             Disattivazione di servizi non necessari (hardening) e gestione di liste di accesso (access list) sugli apparati di rete;

•             Monitoraggio della sicurezza tramite specifici apparati (Intrusion Detection System) 

LAN di Front-End e di Back-End, VLAN

A livello di LAN del Data Center si possono distinguere diversi livelli infrastrutturali raggruppabili in : LAN di Front-End e LAN di Back-End.

LAN di Front-End rappresentate una zone così detta demilitarizzate (DMZ) ovvero segmenti isolati di LAN raggiungibili sia da reti interne che esterne che ospitano tutti i sistemi che pubblicano applicazioni e servizi. Tale configurazione viene normalmente utilizzata per permettere ai server posizionati sulla DMZ di fornire servizi all'esterno senza compromettere la sicurezza della rete aziendale interna nel caso di attacco informatico. Per chi si connette dall'esterno dell'organizzazione la DMZ è infatti una sorta di "strada senza uscita" o "vicolo cieco".

LAN di Back-End nelle quali risiedono i dati effettivi, ovvero i dati che vengono acceduti dalle applicazioni. Non sono direttamente accessibili dal mondo esterno ma interagiscono con quest’ultimo tramite le LAN di Front-End.

In entrambe le tipologie di LAN è possibile implementare una tecnologia che permette di segmentare il dominio di broadcast che si crea in una rete locale basata su switch in più reti non comunicanti tra loro. Si parla quindi di VLAN (Virtual LAN). Le applicazioni di questa tecnologia sono tipicamente legate ad esigenze di separare il traffico di gruppi di lavoro o dipartimenti di una azienda, per applicare diverse politiche di sicurezza informatica.

L’implementazione delle LAN (Front-End e Back-End) non può prescindere dalla presenza di apparati firewall ovvero da apparati di rete hardware o software che filtrano tutti i pacchetti entranti ed uscenti, da e verso una rete o un computer, applicando regole che contribuiscono alla sicurezza della stessa. Il filtro viene concretamente realizzato attraverso la definizione di policies (regole) distinte.

Firewall e IDS

Sono presenti Firewall software ed hardware in high availability per garantire la ridondanza del servizio in caso di malfunzionamenti hardware / software di uno di essi.

Il servizio Firewall comprende anche una componente che protegge la rete dagli attacchi utilizzando una intelligente tecnologia di sicurezza. Viene controllata in particolare la conformità dei pacchetti ricevuti rispetto alle regole dei vari protocolli di rete, e vengono bloccati i pacchetti anomali.

Questa tecnologia fornisce la protezione da:

  • Denial of Service: SYN Flood, LANd
  • IP attacks: IP fragmentation, Malformed packets
  • Application vulnerability: DNS attacks, Trojan horses, Protocol non-compliance attacks
  • HTTP Worms: Code Red, Nimda

Per quanto riguarda la deep packet inspection, ed in particolare la verifica della conformità o delle anomalie sulla parte applicativa di pacchetti “leciti”, la soluzione di sicurezza si appoggia sul sistema di Intrusion Detection descritto qui sotto.

Intrusion Detection System Un sistema IDS (Intrusion Detection System) è un dispositivo hardware e software (a volte la combinazione di tutti e due, sotto forma di sistemi stand-alone pre-installati e pre-configurati) utilizzato per identificare, tramite “signature”, tentativi di intrusioni ed attacchi ai computer o alle reti locali.

Certificazioni aziendali

 

Il Sistema di Gestione della Sicurezza delle Informazioni (SGSI) di Engineering è collocato all’interno di un sistema integrato che raccoglie e collega la documentazione relativa a diverse norme standard a cui l’Azienda, con i suoi vari ambiti e processi, aderisce da tempo:

  • ISO 9001:2008   (Qualità)
  • ISO/IEC 20000   (Processi e Servizi, già «ITIL»)
  • ISO/IEC 27001:2013  (Sicurezza delle Informazioni)

Engineering ha definito un proprio Sistema Gestione Qualità aziendale come strumento manageriale essenziale, espressione di valori, che permeano l'intera Azienda. Primo fra gli obiettivi strategici descritti nella Politica per la Qualità è la "Soddisfazione del Cliente", vista come condizione indispensabile per garantire il successo dell'"impresa". Oltre ad un forte "Orientamento al Cliente", il Sistema Gestione Qualità di Engineering si ispira anche ai seguenti principi:

  • Miglioramento continuo (caratterizzato da obiettivi "progressivi" dei quali si verifica, di volta in volta, il raggiungimento).
  • Centralità del processo (non il prodotto, bensì il processo diventa il punto su cui concentrare gli sforzi di miglioramento).
  • Coinvolgimento di tutta la struttura Aziendale (tutte le risorse produttive appartenenti all'Azienda sono coinvolte nel processo di attuazione del Sistema Gestione Qualità).

Oltre alle numerose certificazioni professionali dei nostri dipendenti, segnaliamo le certificazioni aziendali inerenti i servizi continuativi:

UNI EN ISO 9001:2008

UNI EN ISO 27001

ISO/IEC 20000-1:2011

Certificazione ITIL

Certificazione PCI- DSS