• Non ci sono risultati.

Organizzare la la sicurezza, sicurezza , ovvero

N/A
N/A
Protected

Academic year: 2021

Condividi "Organizzare la la sicurezza, sicurezza , ovvero"

Copied!
47
0
0

Testo completo

(1)

Organizzare

Organizzare la la sicurezza, sicurezza , ovvero

ovvero come legare come legare il il cane al cane al palo palo

Pierluigi D’Ambrosio

p.dambrosio@businesssecurity.it

(2)

©2002-2014 Business Security 2

`

Possiedo un cane, un palo, della corda, della catena

`

Devo assicurarmi che: il cane non scappi o non possa essere sottratto

`

Ma, nel contempo, non soffra, possa muoversi liberamente, possa crescere, non diventi aggessivo e… viva felice

Problema:

Problema:

(3)

Creare un sistema di sicurezza che soddisfi i requisiti e garantisca i risultati attesi

Soluzione:

Soluzione:

(4)

©2002-2014 Business Security 4

Come?

Come?

(5)

Perch

Perch é é ? ?

(6)

©2002-2014 Business Security 6

L L ’ ’ Universo Digitale e la sua evoluzione Universo Digitale e la sua evoluzione

(7)

Alcuni dati:

Alcuni dati:

• • Nel 2013 l Nel 2013 l ’ ’ Universo Digitale ha prodotto, gestito, Universo Digitale ha prodotto, gestito, archiviato 4,4

archiviato 4,4 Zettabytes Zettabytes (10 (10

2121

) di informazioni (nel 2004 ) di informazioni (nel 2004 erano 2

erano 2 Exabytes Exabytes ) )

• • 1,5 ZB generati da imprese 1,5 ZB generati da imprese

•2,9 ZB generati da consumatori • 2,9 ZB generati da consumatori

Fonti: IDC,

Fonti: IDC, ImationImation

(8)

©2002-2014 Business Security 8

Alcuni dati:

Alcuni dati:

• • Dei 2,9 ZB generati da consumatori, l Dei 2,9 ZB generati da consumatori, l ’ ’ 85% (2,3 ZB) 85% (2,3 ZB) sono in qualche modo gestiti da imprese (

sono in qualche modo gestiti da imprese ( touched touched ) )

•Le imprese sono • Le imprese sono “ “ responsabili responsabili ” ” di 3,8 ZB (86% dell’ di 3,8 ZB (86% dell ’UD) UD)

Fonti: IDC Fonti: IDC

(9)

Alcuni dati:

Alcuni dati:

• • Nel 2013 i Nel 2013 i “ “ mercati maturi mercati maturi ” ” generavano il 60% dell generavano il 60% dell ’ ’ UD UD

•Nel 2020 genereranno il 40% dell • Nel 2020 genereranno il 40% dell ’UD ’ UD

•Nel 2017 i • Nel 2017 i “ “ mercati emergenti mercati emergenti ” ” supereranno i supereranno i “ “ mercati mercati maturi

maturi ” ”

• • Nel 2020 l Nel 2020 l ’ ’ UD sar UD sar à à di 44 ZB di 44 ZB

Fonti: IDC Fonti: IDC

(10)

©2002-2014 Business Security 10

Alcuni dati:

Alcuni dati:

• • La crescita esponenziale dell La crescita esponenziale dell ’ ’ UD sar UD sar à à dovuta soprattutto dovuta soprattutto all all ’ ’ esplosione dell esplosione dell ’ ’ Internet of Internet of Things Things

•Nel 2013 il numero totale di dispositivi connettibili era di • Nel 2013 il numero totale di dispositivi connettibili era di 187 miliardi di cui il 7%

187 miliardi di cui il 7% IoT IoT

•Nel 2020 i dispositivi saranno 212 miliardi di cui • Nel 2020 i dispositivi saranno 212 miliardi di cui IoT IoT il il 15% 15%

•Nel 2020 • Nel 2020 IoT IoT genererà generer à il 10% dell’ il 10% dell ’UD UD

Fonti: IDC Fonti: IDC

(11)

Alcuni dati:

Alcuni dati:

• • Oggi l Oggi l ’ ’ UD UD è è costituito da: costituito da:

42% General IT &

42% General IT & Metadata

Metadata 33% Sorveglianza

33% Sorveglianza

17% Consumer & Mobile

17% Consumer & Mobile

8% Data from Embedded Systems

8% Data from Embedded Systems

•Nel 2020 sar • Nel 2020 sar à à costituito da: costituito da:

53% General IT &

53% General IT & Metadata Metadata

16% Sorveglianza

16% Sorveglianza

10% Consumer & Mobile

10% Consumer & Mobile

21% Data from Embedded Systems

21% Data from Embedded Systems

Fonti: IDC Fonti: IDC

(12)

©2002-2014 Business Security 12

Alcuni dati:

Alcuni dati:

• • I dati provenienti dagli Embedded Systems I dati provenienti dagli Embedded Systems

rappresenteranno una grossa percentuale dei Target rappresenteranno una grossa percentuale dei Target - - Rich Rich Data (Big Data) Data (Big Data)

Fonti: IDC Fonti: IDC

(13)

Sicurezza e UD Sicurezza e UD

• • Il 57% dei dati non necessitano di protezione: Il 57% dei dati non necessitano di protezione:

foto su cellulari, video streaming, dati open source, foto su cellulari, video streaming, dati open source, contenuti web pubblici,

contenuti web pubblici, … …

• • Il 43% necessita di protezione: Il 43% necessita di protezione:

dati finanziari aziendali, informazioni personali, account dati finanziari aziendali, informazioni personali, account utente, dati sanitari,

utente, dati sanitari, … …

Fonti: IDC Fonti: IDC

(14)

©2002-2014 Business Security 14

Sicurezza e UD Sicurezza e UD

• • Solo il 48% dei dati che necessitano di sicurezza Solo il 48% dei dati che necessitano di sicurezza è è effettivamente protetto, il

effettivamente protetto, il 52% non lo 52% non lo è è ! !

Fonti: IDC Fonti: IDC

(15)

Concentriamoci quindi sulle esigenze di sicurezza delle

organizzazioni

(16)

©2002-2014 Business Security 16

Un’organizzazione manifesta esigenze di sicurezza che riguardano complessivamente la sua struttura.

La sicurezza auspicata da un’organizzazione è la

sicurezza dell’organizzazione in quanto tale

(17)

Comitati di studio hanno, nel tempo, elaborato Standard, linee guida e raccomandazioni orientati alla sicurezza di software e prodotti tecnologici:

ISO/IEC-IS 15408 Common criteria for information technology security evaluation

TCSEC Trusted computer security evaluation criteria

ITSEC Information technology security evaluation criteria ITSEM Information technology security evaluation

Approccio

Approccio object object oriented oriented

(18)

©2002-2014 Business Security 18

La risposta alle esigenze di sicurezza dei sistemi

informativi del 3 ° millennio è sistemica, vale a dire è basata su uno o più processi

Si tratta di processi trasversali che “contaminano” tutti (o buona parte) i processi aziendali

Approccio

Approccio process process oriented oriented

(19)

Aggregazioni di attività finalizzate al raggiungimento di uno stesso obiettivo

Es.: tutte le attività svolte per trasformare le materie prime in prodotti finiti costituiscono il processo di

produzione

Definizione di processo

Definizione di processo

(20)

©2002-2014 Business Security 20

Un processo deve essere:

-Descrivibile -Controllabile -Replicabile

Caratteristiche del processo

Caratteristiche del processo

(21)

Sicurezza totale?

NO!

Obiettivi realistici, si!

Es.: possibilità di identificare le cause di una breccia nel sistema di sicurezza

Obiettivi di un processo di sicurezza

Obiettivi di un processo di sicurezza

(22)

©2002-2014 Business Security 22

I processi di sicurezza attengono a:

-Problematiche tecnologiche -Problematiche organizzative -Problematiche logistiche -Problematiche formative -Problematiche legali

-Problematiche economiche -Problematiche culturali -Problematiche sociali -Problematiche sanitarie -…

Come organizzare la sicurezza?

Come organizzare la sicurezza?

(23)

La risposta è, indubbiamente, sì!

Ma esiste la soluzione…

Lo sviluppo di un sistema di sicurezza Lo sviluppo di un sistema di sicurezza è è

complesso?

complesso?

(24)

©2002-2014 Business Security 24

Implementare

Implementare un SGSI (ISMS) secondo lo Standard un SGSI (ISMS) secondo lo Standard

ISO/IEC 27001:2005

ISO/IEC 27001:2005

(25)

`

BS ISO/IEC 27001:2005 (ISO 27001) - Information technology - Security techniques - ISMS Requirements

`

BS ISO/IEC 27002:2005 (ISO 27002) - Information technology - Security techniques - Code of practice for Information Security Management

`

BS ISO/IEC 27003:2010 (ISO 27003) - Information technology - Security techniques – Information security management system implementation guidance

Riferimenti:

Riferimenti:

(26)

©2002-2014 Business Security 26

`

BS ISO/IEC 27004:2009 (ISO 27004) - Information technology - Security techniques - Information security management -

Measurement

`

BS ISO/IEC 27005:2011 (ISO 27005) - Information technology - Security techniques -

Information security risk management

`

BS ISO/IEC 27006:2011 (ISO 27006) - Information technology - Security techniques – Requirements for bodies providing audit and certification of information security management systems

Riferimenti:

Riferimenti:

(27)

`

BS ISO/IEC 27007:2011 (ISO 27007) - Information technology - Security techniques – Guidelines for information security

management systems auditing

`

BS ISO/IEC 27010:2012 (ISO 27010) - Information technology - Security techniques - Information security management for inter- sector and inter-organizational communications

`

BS ISO/IEC 27011:2008 (ISO 27011) - Information technology - Security techniques – Information security management guidelines for telecommunications organizations based on ISO/IEC 27002

Riferimenti:

Riferimenti:

(28)

©2002-2014 Business Security 28

`

BS ISO/IEC 27033-1:2009 (ISO 27033) - Information technology - Security techniques - Network security - Part 1: Overview and

concepts

`

BS ISO/IEC 27033-2:2012 (ISO 27033) - Information technology - Security techniques - Network security - Part 2: Guidelines for the design and implementation of network security

`

BS ISO/IEC 27033-3:2010 (ISO 27033) - Information technology - Security techniques - Network security - Part 3: Reference networking scenarios -- Threats, design techniques and control issues

Riferimenti:

Riferimenti:

(29)

`

ISO 27799:2008 Health informatics - Information security management in health using ISO/IEC 27002

`

Alan Calder/Steve Watkins (2007) - IT Governance – A Manager’s Guide to Data Security and BS 7799/ ISO 17799 (3

rd

Edition) -

Kogan Page Publishing

Riferimenti:

Riferimenti:

(30)

ISO 27001 ISO 27001

Roadmap Roadmap

©2002-2014 Business Security 30

(31)

ISO 27001

` ISO 27001 fornisce un modello per istituire, implementare, operare, monitorare, revisionare, mantenere e migliorare un Sisrtema di Gestione della Sicurezza delle Informazioni

(SGSI) Information Security Management System (ISMS).

` L’ adozione di un SGSI deve tradursi in una scelta strategica per ogni organizzazione. La definizione e l’implementazione del SGSI è influenzata dalle esigenze e dagli obiettivi

perseguiti, dai requisiti di sicurezza, dai processi impiegati e dalla dimensione e struttura dell’organizzazione.

` La soluzione implementativa di un SGSI sarà sempre scalata in accordo con le esigenze dell’organizzazione e la sua

evoluzione nel tempo.

` Lo Standard ISO 27001 può essere utilizzato per valutare la conformità con le parti interessate interne ed esterne.

(32)

©2002-2014 Business Security 32

ISO 27002

` ISO 27002 è il Code of practice for Information Security Management e stabilisce le linee guida ed i principi generali per l’inizializzazione, l’implementazione, il mantenimento, ed il miglioramento della gestione della sicurezza delle

informazioni in una organizzazione.

` Gli obiettivi delineati nel norma internazionale forniscono indicazioni generali sulle finalità comunemente accettate di un sistema di gestione della sicurezza delle informazioni.

` Gli obiettivi di controllo e i controlli dello Standard sono intesi per essere implementati per soddisfare i requisiti identificati da una valutazione del rischio.

` La norma può servire come una guida pratica per lo sviluppo di standard di sicurezza aziendali ed efficaci pratiche di gestione della sicurezza e per contribuire a costruire fiducia nelle attività inter-organizzative.

(33)

Ottenere il supporto del Management

` Il Management deve supportare attivamente la sicurezza all'interno dell'organizzazione attraverso una chiara

direzione, dimostrando impegno, esplicitando gli incarichi, e con il riconoscimento delle responsabilità derivanti dalla sicurezza delle informazioni.

` Il Management deve approvare la politica della sicurezza delle informazioni, attribuire i ruoli di sicurezza, coordinare e riesaminare l’implementazione della sicurezza in tutta

l'organizzazione.

(34)

©2002-2014 Business Security 34

Definire l’ambito d’applicazione del

SGSI

` Definire l’ambito d’applicazione ed i confini del SGSI nei termini delle caratteristiche del business, dell’organizzazione generale, della distribuzione geografica, degli assets e della tecnologia adotta, e includendo dettagli e giustificazioni per tutte le esclusioni dall’ambito d’applicazione.

` L’eventuale esclusione di controlli rilevati come necessari per soddisfare i criteri d’accettazione dei rischi è

indispensabile sia giustificata.

(35)

Inventariare gli Asset Informativi

` Tutti gli asset devono essere chiaramente identificati e un inventario di tutte gli asset importanti, deve essere

compilato ed aggiornato.

` L’inventario deve includere tutte le informazioni necessarie al recupero degli asset a seguito di un evento disastroso, cioè:

Tipo asset;

Formato (es. informazioni, software, materiali, servizi, persone, intangibili);

Localizzazione;

Informazioni di Backup;

Licenze;

(36)

©2002-2014 Business Security 36

Effettuare una Valutazione dei Rischi

` La valutazione del rischio deve individuare, quantificare e prioritizzare i rischi in base ai criteri di accettazione del rischio e degli obiettivi specifici per

l'organizzazione.

` I risultati dovrebbero guidare e determinare l'azione di gestione appropriata e le priorità per la gestione dei rischi per la sicurezza dell'informazione e per

l’implementazione dei controlli selezionati per la protezione contro tali rischi.

` Il processo di valutazione dei rischi e la selezione dei controlli, potrebbe essere necessario eseguirlo un certo numero di volte per coprire differenti parti

dell'organizzazione o di singoli sistemi informativi.

` La valutazione dei rischi deve avvalersi di un approccio sistematico per stimare l'entità dei rischi (risk analysis)e per il processo di comparazione dei rischi rilevati sulla base di criteri di rischio per determinarne la rilevanza (risk evaluation).

` La valutazione dei rischi della sicurezza delle informazioni, deve essere condotta entro un’ambito ben definito ai fini della sua efficacia, e, se del caso, dovrebbe includere i rapporti di interazione con le valutazioni del rischio condotte in altri ambiti.

(37)

Preparare la dichiarazione di

applicabilità

` Una Dichiarazione di Applicabilità (Statement Of Applicability SOA) è un documento che elenca gli obiettivi di controllo dell’organizzazione ed i controlli applicati.

` La dichiarazione di applicabilità (SOA) e derivata

direttamente dai risultati della valutazione dei rischi, in essa:

Viene definito l’approccio al rischio;

Vengono identificati tutti i requisiti legali e normativi, e sono valutati gli obblighi contrattuali;

Vengono riviste le esigenze proprie del business dell'organizzazione e si effettua una valutazione dei

(38)

©2002-2014 Business Security 38

Preparare il piano di gestione del rischio

` L'organizzazione deve formulare un piano di gestione del rischio (Risk Treatment Plan - RTP) che identifica

l’opportuna azione di gestione, le risorse, le responsabilità e le priorità per la gestione dei rischi per la sicurezza delle informazioni.

` Il Piano di gestione del rischio deve essere impostato nel contesto della politica di sicurezza delle informazioni dell'organizzazione e deve identificare chiaramente

l'approccio al rischio ed i criteri per l'accettazione del rischio.

` Il Piano di gestione del rischio è il documento fondamentale che lega tutte e quattro le fasi del ciclo Plan, Do, Check, Act (PDCA) per il SGSI.

(39)

` Il modello "Plan-Do-Check-Act" (PDCA) è applicato per strutturare tutti i processi del SGSI.

` Il diagramma illustra come un SGSI

prende come input i requisiti di sicurezza delle informazioni e le aspettative delle parti interessate e, attraverso le

necessarie azioni e processi, produce risultati di sicurezza che soddisfano requisiti ed aspettative.

(40)

• Plan (Definire il SGSI)

– Definisce la politica del SGSI, gli obiettivi, i processi e le procedure relative alla gestione del rischio e il miglioramento della sicurezza delle informazioni per fornire risultati in accordo con le politiche generali di un'organizzazione e degli obiettivi.

• Do (Implementare ed attivare il SGSI)

– Implementa e attiva la politica del SGSI, i controlli, i processi e le procedure.

• Check (Monitorare e riesaminare il SGSI)

– Valuta e, se del caso, misura le prestazioni del processo nei confronti della politica del SGSI, gli obiettivi e l'esperienza acquisita, per riferire i risultati al management per la revisione.

• Act (Mantenere e migliorare il SGSI)

– Intraprende azioni correttive e preventive, sulla base dei risultati degli audit interni ed il riesame del management o altre informazioni rilevanti, per conseguire il

miglioramento continuo del SGSI.

©2002-2014 Business Security 40

(41)

Sviluppare un piano di implementazione

del SGSI

` Implementare il piano di gestione dei rischi, al fine di raggiungere gli obiettivi di controllo identificati, il che

implica una valutazione dei finanziamenti e l'assegnazione di ruoli e responsabilità.

` Implementare i controlli selezionati durante la definizione del SGSI per raggiungere gli obiettivi di controllo.

` Definire parametri d’efficacia dei controlli per permettere al management ed al personale di determinare in quale misura i controlli raggiungono gli obiettivi di controllo pianificati.

` Implementare programmi di formazione, informazione e consapevolezza.

(42)

©2002-2014 Business Security 42

Sistema di Gestione della Sicurezza delle Informazioni

` E’ importante essere in grado di dimostrare la relazione tra i controlli selezionati, i risultati della valutazione dei rischi ed il processo di gestione del rischio, e fino alla politica e gli obiettivi del SGSI.

` La documentazione del SGSI deve comprendere:

Dichiarazioni documentate sulla politica e gli obiettivi del SGSI;

L’ambito di applicazione del SGSI;

Procedure e controlli a supporto del SGSI;

Una descrizione della metodologia adottata per la valutazione dei rischi;

Il report della valutazione dei rischi;

Il piano di gestione dei rischi;

Procedure documentate necessarie all'organizzazione per

assicurare l'efficace pianificazione, il funzionamento e il controllo dei propri processi di sicurezza delle informazioni e descrizione della misura dell'efficacia dei controlli;

Registrazioni richieste dalla norma;

La Dichiarazione di Applicabilità.

(43)

Azioni correttive Revisioni di

conformità

` Il management riesamina il SGSI dell'organizzazione ad intervalli pianificati (almeno una volta all'anno) per assicurarne la continuità, l’adeguatezza e l’efficacia.

` L'esame comprende la valutazione delle opportunità di

miglioramento e la necessità di modifiche al SGSI, compresa la politica di sicurezza delle informazioni e gli obiettivi di sicurezza delle informazioni.

` I risultati delle verifiche devono essere chiaramente documentati e le registrazioni devono essere conservate.

Ciò avviene durante la fase di 'Check' del ciclo PDCA e le

(44)

©2002-2014 Business Security 44

Valutazione di pre-certificazione

` Prima della revisione esterna, il consulente per la sicurezza delle informazioni dovrebbe effettuare una revisione globale del SGSI e SOA.

` Nessun audit può avvenire fino a quando è trascorso un tempo sufficiente per l'organizzazione per dimostrare la conformità con il ciclo PDCA e con la clausola 8 della ISO 27001 (esigenza di miglioramento continuo).

` Gli Auditor ricercheranno le evidenze che il SGSI è soggetto al miglioramento continuo, non che esso è solamente

implementato.

(45)

Audit di certificazione

` La certificazione comporta la valutazione del SGSI dell'organizzazione. Un SGSI certificato, assicura che l'organizzazione ha avviato un processo di valutazione dei rischi e ha individuato e implementato un sistema di gestione dei controlli adeguati alle esigenze di sicurezza delle informazioni determinate dal business.

` La prova che un'organizzazione è conforme allo standard, e tutta la documentazione integrativa, è costituita nella forma di un documento di certificazione o certificato.

` Gli organismi di certificazione ricercano le evidenze che la valutazione dei rischi della sicurezza delle informazioni dell’organizzazione, rifletta le peculiarità del business e si estenda ai confini ed alle interfacce delle sue attività come definito nello Standard.

` Gli organismi di certificazione devono confermare che questo si riflette nel piano

(46)

©2002-2014 Business Security 46

Miglioramento continuo

` L’organizzazione deve migliorare continuamente l’efficacia del proprio SGSI mediante l’uso di:

Politica della sicurezza delle informazioni;

Obiettivi di sicurezza delle informazioni;

Risultati di audit;

Analisi degli eventi monitorati (esperienza!);

Azioni correttive e preventive;

Riesame da parte del management.

(47)

“La sicurezza è un processo… non un prodotto.“

(Bruce Schneier)

Riferimenti

Documenti correlati

La presente Politica per la Qualità, Salute e Sicurezza sui luoghi di lavoro e di Sicurezza delle Informazioni è stabilità ed attuata per soddisfare i requisiti applicabili delle

In particolare KPMG, tenendo conto del proprio contesto di riferimento, si impegna a sviluppare, a mantenere attivi e a migliorare i propri strumenti per la Gestione per la

Tutte le informazioni, i dati e i documenti contenenti PII devono essere chiaramente etichettati in modo che tutti gli utenti siano consapevoli della proprietà, della

y Quando il televisore viene lasciato incustodito e non in uso per un lungo periodo, scollegare il cavo di alimentazione dalla presa a muro per evitare possibili danni derivanti

Per avvisare della presenza di una tensione potenzialmente pericolosa, quando il tester rileva una tensione ≧ 30 V o un sovraccarico di tensione (OL) in V, mV, AutoV, PV..

L’attrezzo è stato progettato e costruito per essere utilizzato da una sola persona alla volta.. In caso di nausea, vertigini, dolori o qualsiasi sintomo fisico anomalo, smettere

Questo livello del volume viene impostato immediatamente quando si seleziona questo ingresso sorgente e non può essere modificato utilizzando il pannello frontale o il telecomando

InfoCamere predispone idonee misure di controllo degli accessi fisici e regole di accesso per il personale e prevede la sicurezza nella gestione degli