1
Sicurezza delle informazioni: oltre la tecnologia
27 aprile 2015
Ing. Diego Mezzina
Sicurezza delle informazioni: oltre la tecnologia
Obiettivo:
Fornire una visione d’insieme sul concetto di sicurezza delle informazioni e della sua gestione secondo delle norme internazionali (famiglia ISO 27xxx), e secondo i dettami di una normativa italiana cogente (D. Lgs. 196/2003 – Codice sulla privacy)
Scaletta:
Concetti inziali: sicurezza, rischio, sistema di gestione
Il sistema di gestione per la sicurezza delle informazioni secondo le norme ISO 27xxx:
La normativa sulla privacy e l’impatto sulla sicurezza delle informazioni
Concetti iniziali
3
Cosa intendiamo per sicurezza?
Sicurezza delle informazioni (information security): Mantenimento delle proprietà di disponibilità, integrità e riservatezza dell’informazione: possono essere inoltre coinvolte altre proprietà quali autenticità, responsabilità, non ripudio ed affidabilità
Disponibilità (availability): Proprietà di essere accessibile ed utilizzabile dietro richiesta di un’entità autorizzata
Riservatezza (confidentiality): Proprietà per cui l’informazione non è resa disponibile o comunicata a individui, entità o processi non autorizzati
Integrità (integrity): proprietà di accuratezza e completezza
Autenticità (authenticity): Proprietà per cui un’entità è ciò che dice di essere Non ripudio (non-repudiation): capacità di dimostrare l’occorrenza di un evento o un’azione dichiarata e le relative entità di origine
Affidabilità (reliability): proprietà di consistenza tra il comportamento atteso e i risultati
Definizioni secondo la norma ISO/IEC 27000:2014
Fattori da considerare
5
Esiste la sicurezza assoluta?
Tutto cambia nel tempo…
Cambiamenti controllati/controllabili in
Controlli * Beni aziendali Valore
Cambiamenti incontrollati/incontrollabili in
Minacce
Vulnerabilità
Requisiti normativi
E allora quale approccio seguire?
6
Il concetto di rischio
Rischio (risk): effetto dell’incertezza sugli obiettivi
Gestione del rischio (risk management): attività coordinate per dirigere e controllare un’organizzazione relativamente al rischio
Accettazione del rischio (risk acceptance):decisione informata di accettazione di un rischio
7
La tecnologia da sola può essere l’unica risposta?
…tra le minacce alla sicurezza troviamo anche:
Social engineering
Comportamenti incauti degli addetti Comportamenti dolosi degli addetti
Come si possono implementare adeguate contromisure?
8
Il concetto di sistema di gestione
Sistema di gestione (management system)
Insieme di elementi di un’organizzazione collegati o interagenti per stabilire politiche e obiettivi e processi per raggiungere tali obiettivi
Un sistema di gestione può riguardare una o più discipline
Gli elementi del sistema di gestione possono includere tutte le aree di un’organizzazione
L’ambito del sistema di gestione può riguardare l’intera organizzazione o parte di essa
Può essere implementato il Sistema di Gestione per la Sicurezza delle Informazioni (SGSI)
9
Il Sistema di Gestione per la Sicurezza delle informazioni e la famiglia di norme ISO 27xxx
10
Definizione di SGSI
SGSI (information security management system – ISMS)
sistema di gestione per la sicurezza delle informazioni: quella parte del sistema di gestione globale, basata su approccio al rischio, per istituire, attuare, operare, monitorare, riesaminare, mantenere e migliorare la sicurezza delle informazioni. Il
sistema di gestione comprende la struttura, le politiche, le attività di pianificazione, le responsabilità, le prassi, le
procedure, i processi e le risorse dell’organizzazione
(ISO/IEC 27000:2014)
La famiglia di norme ISO 27xxx per i sistemi di gestione
12
La norma UNI CEI ISO/IEC 27001:2014 E’ una norma
volontaria
internazionale certificabile
che definisce i requisiti per impostare e gestire un Sistema di Gestione della Sicurezza delle Informazioni (SGSI o ISMS
dall'inglese Information Security Management System), ed include aspetti relativi a
sicurezza logica sicurezza fisica
sicurezza organizzativa.
Ciclo di vita SGSI
14
Approccio al rischio - definizioni
Rischio (risk): effetto dell’incertezza sugli obiettivi
Gestione del rischio (risk management): attività coordinate per dirigere e controllare un’organizzazione relativamente al rischio
Valutazione del rischio (risk assessment): processo globale di identificazione, analisi e stima del rischio
Identificazione del rischio (risk identification): processo di ricerca, riconoscimento e descrizione dei rischi
Analisi del rischio (risk analysis): processo per comprendere la natura del rischio e determinarne il livello di rischio
Stima del rischio (risk evaluation): processo di comparazione del rischio stimato con dati criteri di rischi per determinare l’importanza del rischio
Trattamento del rischio (risk treatment): processo di trattamento della scelta e dell’attuazione delle misure per modificare il rischio
Accettazione del rischio (risk acceptance):decisione informata di accettazione di un rischio
15
Approccio al rischio - visivamente
16
… e tutto porta a
Dichiarazione di applicabilità (statement of applicability):
documento che descrive gli obbiettivi del controllo e i controlli che sono rilevati e applicabili al SGSI dell’organizzazione, basato sui risultati e sulle conclusioni dei processi di valutazione del rischio e di trattamento del rischio
17
Altri elementi importanti
Ruoli e responsabilità chiari (assegnati e comunicati) Controlli regolari e riesame della direzione
Controlli: siccome il sistema cambia, e cambiano anche gli agenti esterni Riesame: per essere sicuri di mantenere la rotta voluta
Obbligo al miglioramento continuo
Gestione di tutte le non conformità
Analisi delle cause, azioni correttive, verifiche di efficacia…
Miglioramento del sistema nel tempo
18
CONTROLLI
19
Controlli previsti
La norma UNI CEI ISO/IEC 27001:2014 prevede
114 controlli 35 categorie 14 sezioni
I controlli sono allineati con la norma ISO/IEC 27002:2013
«Information technology — Security techniques — Code of practice for information security controls»
20
Colpo d’occhio sui temi affrontati
21
http://www.iso27001security.com/html/27002.html http://www.iso27001security.com/html/27002.html http://www.iso27001security.com/html/27002.html http://www.iso27001security.com/html/27002.html
Le categorie di controllo - 1
Section 5: Information security policies
5.1 Management direction for information security
Section 6: Organization of information security
6.1 Internal organization
6.2 Mobile devices and teleworking
Section 7: Human resource security
7.1 Prior to employment 7.2 During employment
7.3 Termination and change of employment
22
Le categorie di controllo - 2
Section 8: Asset management
8.1 Responsibility for assets 8.2 Information classification 8.3 Media handling
Section 9: Access control
9.1 Business requirements of access control 9.2 User access management
9.3 User responsibilities
9.4 System and application access control
23
Le categorie di controllo - 3 Section 10: Cryptography
10.1 Cryptographic controls
Section 11: Physical and environmental security
11.1 Secure areas
11.2 Equipment security
24
Le categorie di controllo - 4
Section 12: Operations management
12.1 Operational procedures and responsibilities 12.2 Protection from malware
12.3 Backup
12.4 Logging and monitoring
12.5 Control of operational software
12.6 Technical vulnerability management
12.7 Information systems audit considerations
13 Communications security
13.1 Network security management 13.2 Information transfer
25
Le categorie di controllo - 5
Section 14: System acquisition, development and maintenance
14.1 Security requirements of information systems 14.2 Security in development and support processes 14.3 Test data
15: Supplier relationships
15.1 Information security in supplier relationships 15.2 Supplier service delivery management
Section 16: Information security incident management
16.1 Management of information security incidents and improvements
26
Le categorie di controllo - 6
Section 17: Information security aspects of business continuity management
17.1 Information security continuity 17.2 Redundancies
Section 18: Compliance
18.1 Compliance with legal and contractual requirements 18.2 Information security reviews
27
Gestione degli eventi di sicurezza / vulnerabilità
Obbligatorio prevederla in modo da poterla attivare quando (non se!) accade qualcosa di inaspettato o anomalo
Definizioni
Evento relativo alla sicurezza delle Informazioni (o, per brevità, Evento di sicurezza):
Identificazione dello stato di un sistema, servizio o rete che indica una possibile violazione delle politiche di sicurezza, un fallimento dei controlli di sicurezza o una situazione
precedentemente sconosciuta che può essere rilevante dal punto di vista della sicurezza.
Incidente relativo alla sicurezza delle Informazioni (o, per brevità, Incidente di sicurezza):
Singolo o serie di eventi relativi alla sicurezza delle informazioni non voluti o inaspettati che hanno una significativa probabilità di compromettere l’operatività dell’organizzazione e minacciare la sicurezza delle informazioni.
Vulnerabilità: debolezza di un sistema o di una contromisura che può essere sfruttata da una o più minacce che possono minare la sicurezza delle informazioni.
28
Un esempio di requisiti cogenti: la normativa sulla privacy e gli impatti sulla sicurezza delle informazioni
29
30
Il concetto di privacy
Nel linguaggio comune privacy significa il diritto di proteggere la propria sfera privata
Il termine privacy deriva da un concetto giuridico di fine 800 e significa “diritto a essere lasciati soli”
Nel linguaggio giuridico attuale Privacy significa il diritto di controllare l’uso e la circolazione dei propri dati personali.
Il diritto alla privacy è un diritto fondamentale delle persone e viene sancito anche dalla Carta dei diritti fondamentali dell’
Unione Europea (art.8)
In Italia: Codice della Privacy (D.Lgs. 196/2003) + Provv. del
Garante della privacy 27/11/2008 (Amm. di sistema)
Tipologie di dati personali
Dato che non può essere associato ad un interessato identificabile
31
Qualunque informazione relativa a persona fisica identifi- cabile, anche indirettamente, mediante riferimento a qual- siasi altra informazione
Dato personale idoneo a rivelare l’origine razziale, le
convinzioni religiose o filosofiche, le opinioni politiche nonché i dati personali idonei a rivelare lo stato di salute e la vita
sessuale
Dato personale idoneo a rivelare provvedimenti in materia di casellario giudiziale, anagrafe delle sanzioni ammini-strative dipendenti da reato e dei relativi carichi pendenti
Dato personale, idoneo a rivelare lo stato di salute e la vita sessuale, trattato dagli esercenti le professioni sanitarie e gli organismi sanitari pubblici
32
Vista sui dati personali
Il livello di tutela dei dati personali cresce all’aumentare della riservatezza
Titolare
Responsabile
Amministratore
di sistema Incaricato
Attivi
33
I soggetti coinvolti
Interessati
Passivi
34
I soggetti coinvolti
INTERESSATO: La persona fisica cui si riferiscono i dati personali TITOLARE: La persona fisica, giuridica, la P.A. cui competono le decisioni in ordine alle finalità, alle modalità di trattamento e agli strumenti utilizzati, ivi compreso il profilo della sicurezza
RESPONSABILE: La persona fisica, giuridica, la P.A. e preposti dal titolare al trattamento dei dati personali
INCARICATO: La persona fisica autorizzata a compiere operazioni di trattamento dal titolare o dal responsabile.
AMMINISTRATORE DI SISTEMA: Figura professionale finalizzata alla gestione e alla manutenzione di un impianto di
elaborazione o di sue componenti.
35
Trattamento dei dati
Trattamento = Qualunque operazione effettuata sui dati
Un trattamento è un processo che contempla tutto il ciclo di vita del dato dalla sua acquisizione alla sua eliminazione
I dati personali devono essere trattati per finalità lecite
I dati personali trattati devono essere pertinenti e non eccedenti rispetto alle finalità
Raccolta, registrazione, utilizzo, consultazione, modificazione, comunicazione, diffusione, cancellazione, distruzione
36
Misure di sicurezza - 1
I dati personali oggetto di trattamento devono venir custoditi e controllati per ridurre al minimo:
I rischi di distruzione o perdita I rischi di accesso non autorizzato
Il trattamento non consentito o non conforme le finalità
Gli strumenti da adottare non sono prefissati ma devono tener conto:
Delle conoscenze tecniche acquisite in base al progresso tecnologico Della natura dei dati
Delle specifiche caratteristiche del trattamento
37
Misure di sicurezza - 2 Misure Minime
Misure individuate dal Legislatore volte ad assicurare un livello minimo di Sicurezza
Sono elencate nel Codice e dettagliate nel Disciplinare Tecnico
Il non rispetto delle misure minime comporta responsabilità penali
Misure Idonee
Misure non individuate dal Legislatore, ma suggerite dal contesto
tecnologico, dalla natura dei dati trattati e dalle modalità di tratta-mento La scelta e l’applicazione di misure idonee è demandata al Titolare del Trattamento
Il mancato rispetto delle misure idonee comporta responsabilità civili
38
Misure minime nei trattamenti con strumenti elettronici Autenticazione Informatica
Adozione di procedure di gestione delle credenziali di autenticazione
Utilizzazione di un sistema di autorizzazione
Aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito agli incaricati e agli addetti
Protezione degli strumenti elettronici da accessi illeciti e trattamenti non consentiti
Adozione di procedure per il salvataggio e ripristino dei dati
Adozione di tecniche di cifratura o di codici identificativi per
trattamenti di dati sanitari
39
Misure minime nei trattamenti senza strumenti elettronici Agli incaricati sono impartite istruzioni scritte finalizzate al
controllo e alla custodia degli atti e documenti contenenti dati personali
I documenti contenenti dati sensibili o giudiziari utilizzati dagli incaricati devono venir custoditi e vigilati fino al termine delle operazioni affidate
L’accesso agli archivi contenenti dati sensibili o giudiziari è controllato
Deve essere presente un registro per gli accessi fuori orario L’accesso deve venir preventivamente autorizzato
40
Provvedimento 27 novembre 2008 del G.d.P. - 1
Amministratore di sistema: figura professionale finalizzata alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti
Criticità del ruolo:
Responsabili di specifiche fasi lavorative che possono comportare rischi elevati rispetto alla protezione dei dati
Fiduciari con possibilità di accesso ai dati illimitate e incontrollate Cardini dell’ attuazione delle misure di sicurezza aziendali
41
Provvedimento 27 novembre 2008 del G.d.P. - 2
Impone ai Titolari dei trattamenti effettuati con strumenti elettronici alcune misure e alcuni accorgimenti di:
Ordine amministrativo Ordine tecnico
Le incombenze previste possono venir assolte dal Titolare o dal Responsabile esterno (punti d, e)
a)
Valutazione delle caratteristiche soggettive dei soggetti da designare amministratori di sistema
b)
Designazioni individuali recanti l’elencazione analitica degli
ambiti di operatività consentiti
42
Provvedimento 27 novembre 2008 del G.d.P. - 3
c)
Gestione degli elenchi delle persone fisiche amministratori di sistema. I nomi devono essere presenti in un documento
interno che deve venir aggiornato periodicamente
d)
Servizi in outsourcing. Il Titolare o il Responsabile esterno
devono conservare direttamente gli estremi identificativi degli amministratori di sistema
e)
Verifica delle attività. L’operato degli amministratori di sistema deve essere oggetto di una attività di verifica
f)
Registrazione degli accessi. Devono essere adottati sistemi idonei alla registrazione degli accessi logici ai sistemi di
elaborazione. Le registrazioni devono essere conservate per
almeno sei mesi
43