Gestione integrata dei rischi e data protection: casestudy

Dimensione: px

Iniziare la visualizzazioe della pagina:

Download "Gestione integrata dei rischi e data protection: casestudy"

Paola Salvatori
5 anni fa
Visualizzazioni

1 Gestione integrata dei rischi e data protection: casestudy Bologna, 11 maggio 2017 Ing. Paolo Levizzani (Acantho) 1

2 AGENDA Acantho: chi siamo e cosa facciamo La nostra Road Map Processi, responsabilità e gruppi di lavoro Analisi rischi con Magerit/Pilar 2

3 AGENDA Acantho: chi siamo e cosa facciamo La nostra Road Map Processi, responsabilità e gruppi di lavoro Analisi rischi con Magerit/Pilar 3

4 ACANTHO: I NOSTRI SERVIZI Accesso Internet Voce (call management) Centralino IP Vdc e Vds Vpn Fibra Ottica Xdsl Dark Fiber Peering Internet RETE ACANTHO DATACENTER ACANTHO Housing / Hosting Backup / Disaster Rec. Saas / Cloud Videostreaming Security 4

5 AGENDA Acantho: chi siamo e cosa facciamo La nostra Road Map Processi, responsabilità e gruppi di lavoro Analisi rischi con Magerit/Pilar 5

6 AGENDA Acantho: chi siamo e cosa facciamo La nostra Road Map Processi, responsabilità e gruppi di lavoro Analisi rischi con Magerit/Pilar 6

7 Mappatura Processi Strategia e sviluppo del territorio, rinnovo tecnologia Strategia di marketing Contratto caricato a sistema Pianificazione e Sviluppo Asset Pianificazione Asset Marketing Definizione Piano Marketing Delivery Attivazione / variazione contratto Progettazione e Realizzazione Asset Presidio infrastruttura Sistema rete e infrastrutture funzionanti Sistema rete funzionante Gestione e Manutenzione Gestione risorse di rete e infrastrutture Manutenzione Ordinaria Manutenzione Straordinaria Servizio erogato Efficienza rete e sistemi Gestione Marketing Operativo Esecuzione Piano di Marketing Esecuzione Piano di Marketing Vendita Gestione e Sviluppo Forza Vendita Acquisizione Clienti Order Entry Contratto caricato a sistema Cessazione contratto Attivazione / cessazione servizi Attivazione Servizi Gestione Rapporti con Clienti Applicazione tariffe Presidio Livelli di Servizio Manutenzione contratti e assistenza commerciale Clienti Assistenza tecnica Clienti Presidio ricavi Contratto gestito

8 8 PERSONALE & ORGANIZZAZIONE

9 9 Politiche di gestione della Sicurezza

10 SAL - Gruppi di Lavoro ISO Obiettivi dei gruppi di lavoro Ø Approfondire la conoscenza sulla Sicurezza all interno del gruppo attraverso: Incontri di formazione Revisione documentazione ISO27001 Revisione punti di controllo Ø Presa in carico alcuni processi della ISO27001 Ø Preparazione al nuovo audit 0

11 SAL - Punti aperti e criticità Osservazioni 1) Il collaudo del DR deve coprire la fase di recovery 2) Il Manuale non descrive al meglio le modalità di comunicazione 3) Impatto della sicurezza sulla nuove attività di progettazione Altri punti emersi dagli incontri 1) Consapevolezza, istruzione, formazione e addestramento sulla sicurezza delle Informazioni (A.7.2.2) 2) Contatti con gruppi specialistici (A.6.1.4) 3) Revisione del processo di ingaggio delle reti nelle attivazione dei servizi 1

12 Revisione modello organizzativo Modello integrato ISO La nuova impostazione dell ISO9001 e della ISO27001:2013 prevede una forte integrazione fra i due modelli di gestione. ISO9001 mette a fattor comune gli aspetti generali di gestione ed ISO27001 gli aspetti di specializzazione inerenti la sicurezza delle informazioni. In comune quindi troviamo ad esempio : Manuale integrato del sistema di gestione sistema documentale e registrazioni azioni correttive e preventive verifiche ispettive interne non conformità e reclami Ecc. Va da se che anche alcune componenti organizzative sono da integrare 2

13 GAP ANALYSIS A.7 Human resources security A.7.1 Prior to employment Objective: To ensure that employees and contractors understand their responsibilities and are suitable for the roles for which they are considered A Screening Control Background verification checks on all candidates for employment shall be carried out in accordance with relevant laws, regulations, and ethics, and shall be proportional to the business requirements, the classification of the information to be accessed, and the perceived risks. A Terms and conditions of employment Control The contractual agreements with employees and contractors shall state their and the organization s responsibilities for information security. A.7.2 During employment Objective: To ensure that employees and contractors are aware of and fulfil their information security responsibilities. A Management responsibilities Control Management shall require all employees and contractors to apply information security in accordance with the established policies and procedures of the organization. A Information security awareness, education, and training Control All employees of the organization and, where relevant, contractors shall receive appropriate awareness education and training and regular updates in organizational policies and procedures, as relevant to their job function. A Disciplinary process Control There shall be a formal and communicated disciplinary process in place to take action against employees who have committed an information security breach. A.7.3 Termination and change of employment Objective: To protect the organization s interests as part of the process of changing or terminating employment A Termination or change of employment responsibilities Control Information security responsibilities and duties that remain valid after termination or change of employment shall be defined, communicated to the employee, or contractor and enforced. 3

14 GAP ANALYSIS Approccio a 360 4

15 GAP ANALYSIS Approccio a 360 5

16 GAP ANALYSIS Approccio a 360 6

17 AGENDA Acantho: chi siamo e cosa facciamo La nostra Road Map Processi, responsabilità e gruppi di lavoro Analisi rischi con Magerit/Pilar 7

18 Analisi dei rischi Magerit/Pilar Fasi del Modello ISO Caratterizzazione degli asset 2 - Valorizzazione degli asset 3 - Valorizzazione delle minacce 4 - Valorizzazione delle contromisure esistenti 5 - Valutazione del rischio 6 - Definizione del livello di rischio ritenuto accettabile 7 - Individuazione del Piano di Interventi volto a ridurre il rischio a livello accettabile 8

19 Analisi dei rischi Magerit/Pilar Caratterizzazione degli asset ISO Servizi (erogati) Siti Strumenti Organizzazione (personale) Infrastrutture per il cliente Elementi ausiliari Siti fisici NW Server Storage Media NW Server Storage Media 9

Analisi dei rischi Magerit/Pilar I Prossimi passi ISO-27001 - Caricamento degli asset - Definizione delle

Valorizzazione delle contromisure esistenti - Analisi dei risultati con il gruppo di lavoro - Individuazione

20 Analisi dei rischi Magerit/Pilar I Prossimi passi ISO Caricamento degli asset - Definizione delle relazioni alla base del modello degli asset - Valorizzazione degli asset - Prima valutazione sulle Minacce - Valorizzazione delle contromisure esistenti - Analisi dei risultati con il gruppo di lavoro - Individuazione del rischio residuo - Analisi dei risultati con il gruppo di lavoro - Consolidamento dei risultati con il CSI 0

21 1 ANALISI RISCHI: ASSET

22 2 ANALISI RISCHI: MINACCE

23 3 ANALISI RISCHI: CONTROMISURE

24 4 ANALISI RISCHI: RISULTATI E VALUTAZIONI

25 Contatti Grazie per l attenzione! Ing. Paolo Levizzani paolo.levizzani@acantho.com 5

Documenti analoghi

Gestione integrata dei rischi e data protection: casestudy

Gestione integrata dei rischi e data protection: casestudy Bologna, 11 maggio 2017 Ing. Paolo Levizzani (Acantho) 1 AGENDA Acantho: chi siamo e cosa facciamo ENISA: Framework AgID: Misure minime PA ISO: