Le nostre case study, tra cui quella dedicata a Raiffeisen-IT GmbH, offrono uno sguardo su progetti reali e mostrano come le nostre soluzioni funzionino nella pratica, in modo affidabile, scalabile e verificabile. Inoltre illustriamo casi d’uso concreti, criticita e valore aggiunto ottenuto. In questo modo si ottiene un’impressione autentica di come moderne soluzioni IT e di sicurezza vengano impiegate in organizzazioni diverse. Ringraziamo i nostri clienti per la fiducia e per la disponibilita a condividere pubblicamente le loro esperienze.
Su Raiffeisen-IT GmbH
La Raiffeisen-IT GmbH, con sede in Germania, opera come fornitore di servizi IT e offre prestazioni complete per diverse societa partecipanti, tra cui servizi IT per applicazioni Office, gestione di infrastruttura e rete, nonche Managed Services per sistemi operativi, database e base SAP. Le attivita vengono erogate in modo centralizzato dalle sedi di Kassel e Karlsruhe. (www.raiffeisen-it.com).
Situazione iniziale & motivazione
La crescente complessita del panorama IT, in particolare per la responsabilita centrale sui processi IT esternalizzati delle societa partecipanti, richiedeva un elevato livello di standardizzazione, trasparenza e governabilita. Inoltre, requisiti rilevanti per la revisione, derivanti dagli audit di bilancio, cosi come le direttive interne di governance, rendevano necessario non solo introdurre misure tecniche e organizzative, ma anche renderle dimostrabili in modo permanente. Proprio nella gestione di utenti privilegiati e diritti di accesso amministrativi emergeva quindi un bisogno d’azione, per garantire la tracciabilita delle attivita e prevenire efficacemente le manipolazioni. In tale contesto, anche Raiffeisen-IT GmbH ha definito prioritaria una prova solida e ripetibile dei controlli.
Marc Golenko
Responsabile team gestione SAP
Sfida
Tre domini rilevanti per i controlli erano al centro dell’attenzione:
- Gestione degli accessi (ZM) in particolare in AD e Azure AD
- Gestione delle modifiche (AM) ad esempio in paesaggi di sistemi SAP
- Rete & infrastruttura (NI) incluse le componenti centrali per l’erogazione dei servizi
Per proteggere gli accessi privilegiati, ad esempio al database SAP, mancava finora uno strumento per una tracciabilita completa, a prova di revisione. Tuttavia, in un contesto fortemente regolamentato, questa carenza pesava in modo significativo rispetto a controlli di sicurezza conformi alle norme ISO. Di conseguenza, Raiffeisen-IT GmbH doveva colmare il gap senza rallentare l’operativita.
Obiettivi
Nel contesto di ISO/IEC 27001:2022 dovevano essere affrontati i seguenti requisiti: Inoltre, Raiffeisen-IT GmbH puntava a standardizzare le evidenze per audit interni ed esterni, cosi da rendere comparabili i controlli nel tempo.
| Obiettivo | Focus | Norma / quadro di riferimento |
|---|---|---|
| Tracciabilita delle attivita privilegiate tramite documentazione completa di sessioni e azioni. | Session Recording (schermo/tasti/dati meta delle app) | ISO 27001 Privileged Access Rights ISO 27001 Assessment of Events |
| Reazione rapida agli incidenti di sicurezza tramite rilevamento e contenimento in tempo reale di azioni rischiose. | Analisi in tempo reale & risposta automatica (blocco/terminazione processi) | ISO 27001 Response to Incidents ISO 27001 Monitoring Activities |
| Conservazione delle prove per audit e forensics tramite dati di sessione esportabili, protetti e a prova di revisione. | Export a prova di revisione & prontezza per audit/forensics | ISO 27001 Collection of Evidence |
| Controllo degli accessi basato sui ruoli per evitare conflitti di ruolo e abusi di account condivisi. | RBAC, regole di contesto & autenticazione secondaria | ISO 27001 Segregation of Duties ISO 27001 Information Access Restriction |
| Monitoraggio live e allerta per l’individuazione precoce di accessi privilegiati sospetti o non autorizzati. | Session Monitoring, allarmi & escalation | ISO 27001 Monitoring Activities |
Soluzione
Per realizzare questi obiettivi e stata introdotta la soluzione software di Syteca, una piattaforma per Session Monitoring privilegiato & PAM che, secondo il produttore, e progettata in modo mirato per soddisfare i requisiti di ISO/IEC 27001:2022. In questo modo, Raiffeisen-IT GmbH ha potuto unire controllo operativo e richieste di audit in un’unica architettura coerente.
Perché Syteca per Raiffeisen-IT GmbH?
Integrazione fluida nell’operativita IT di Raiffeisen-IT GmbH
Valore funzionale per sicurezza e governance
Funzione | Descrizione |
|---|---|
Session Recording con riproduzione in tempo reale | Le attivita degli utenti privilegiati (ad es. amministratori SAP) vengono registrate integralmente e archiviate in modo ricercabile. |
Analisi dei metadati ed Event Logging | Ogni interazione viene registrata con dati contestuali (ad es. applicazioni avviate, battute sulla tastiera, dispositivi USB) |
Analisi dei metadati ed Event Logging | Ogni interazione viene arricchita con dati contestuali (ad es. applicazioni avviate, battute sulla tastiera, dispositivi USB). |
Ruolo di Techway GmbH
La Techway GmbH opera come partner di distribuzione autorizzato di Syteca nell’area DACH e ha accompagnato Raiffeisen-IT GmbH lungo l’intero progetto, sia sul piano tecnico sia su quello metodologico. In qualita di partner di integrazione, Techway ha curato installazione e messa in esercizio della piattaforma Syteca, includendo system design, configurazione e adattamenti specifici applicativi. Inoltre, l’implementazione e avvenuta in stretto coordinamento con i responsabili operativi e di governance. Di conseguenza, Syteca ha potuto integrarsi senza soluzione di continuita nel sistema di controllo esistente e nei processi di IT service management di Raiffeisen-IT GmbH.
Conclusione
Con Syteca, Raiffeisen-IT GmbH non solo ha colmato una lacuna centrale nell’attuazione dell’IKS, ma ha anche migliorato in modo mirato la conformita a ISO/IEC 27001:2022. La soluzione fornisce una base robusta per trasparenza, accountability e auditabilita nella gestione degli accessi privilegiati. Inoltre offre la flessibilita necessaria per sviluppare ulteriormente il sistema di controllo interno in linea con i requisiti regolatori. In prospettiva, Raiffeisen-IT GmbH dispone cosi di un impianto di evidenze piu solido e di processi decisionali piu rapidi in caso di anomalie.
Per un primo colloquio senza impegno o per offerte su servizi e prodotti software per progetti di Cyber Security, scriveteci un messaggio. Il nostro team vi contattera il prima possibile. Attendiamo con interesse la vostra richiesta.
Siamo volentieri a vostra disposizione: scriveteci
Per un primo colloquio senza impegno e per referenze concrete, scriveteci un messaggio. In alternativa, potete anche contattarci telefonicamente.
Siamo a vostra disposizione e attendiamo il vostro messaggio!