HACKING THE ISO La Sicurezza della Gestione della Sicurezza

Transcript

1 HACKING THE ISO La Sicurezza della Gestione della Sicurezza Manno - Centro Galleria 2 - Sala Primavera 30 novembre :15 18:20 ISO 27001: context, awareness, capability, maturity LUIGI PAVANI, CISA, LA 27001, LA RINA Services SpA

2 Who we are RINA is a multi-national Group fully capable of supporting its clients in the development and management of the various phases of their activities, offering through dedicated companies consulting engineering, certification services, testing and inspections.

3 Why RINA Over 150 years of experience Tailored high innovative solutions Specialized skills coverage throughout project life cycle Prompt responses Global network

4 International RINA Network Level of RINA presence Over 163 offices 60 countries

5 Mln 400 Numbers (millions of euro) Human resources over 2750 Average age: Forecast

6 Our services by Turnover CE* Operation&Maintenance Consulting Engineering Design TIC* Classification Certification Testing Inspection Training * CONSULTING ENGINEERING * TESTING INSPECTION AND CERTIFICATION

7 RINA SERVICES TIC SERVICES Classification Native Marine Business Certification System, Product, Personnel and Project Certification Testing & Inspection Inspection, Site supervision and Testing for Oil&Gas (O&G) and Transport&Infrastructures (T&I) Clients IACS Founding Member 1 st Italian certification body Global Network + 30 years of experience in offshore platform certification

8 ENVIRONMENT & SUSTAINABILITY INNOVATION RINA Business ENERGY MARINE BUSINESS ASSURANCE TRANSPORT & INFRASTRUCTURES 19% Turnover 46% Turnover 28% Turnover 7% Turnover

9 Certification & Testing OUR SERVICES Management Systems Certification Product Certification Personnel, Processes & Project Certification Periodical Inspections Testing of Equipment, Materials and products

10 Certification & Testing OUR ACHIEVEMENTS Over 100 certification schemes in portfolio Over 22,000 Management System certificates Over 42,000 Personnel & Processes certificates Over 30,000 Product certificates About 29,000 inspections of equipment and plants Over 330 auditors worlwide

11 LA NORMA ISO/IEC 27001:2013

12 LO SVILUPPO DELLE CERTIFICAZIONI ISO/IEC

13 LO SVILUPPO DELLE CERTIFICAZIONI ISO/IEC

14 LO SVILUPPO DELLE CERTIFICAZIONI ISO/IEC

15 LO SVILUPPO DELLE CERTIFICAZIONI ISO/IEC

16 LO SVILUPPO DELLE CERTIFICAZIONI ISO/IEC

17 LO SVILUPPO DELLE CERTIFICAZIONI ISO/IEC

18 LO SVILUPPO DELLE CERTIFICAZIONI ISO/IEC ,000 25,000 20,000 15,000 10,000 5,000, ISO/IEC Worldwide total Middle East Central and South Asia East Asia and Pacific Europe North America Central / South America Africa

19 LO SVILUPPO DELLE CERTIFICAZIONI ISO/IEC

20 LO SVILUPPO DELLE CERTIFICAZIONI ISO/IEC

21 LA COMUNICAZIONE

22 LA COMUNICAZIONE

23 LA COMUNICAZIONE

24 LA COMUNICAZIONE

25 LA COMUNICAZIONE ISO/IEC 27018:2014 Information technology -- Security techniques -- Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors

26 LA COMUNICAZIONE

27 Directory-Search/Certificate-Client- Directory-Search- Results/?searchkey=company%3dmi crosoft&licencenumber=is LA COMUNICAZIONE

28 LA COMUNICAZIONE

29 I FRAINTENDIMENTI 4 Context of the organization Campo di applicazione limitato all interno dell azienda (Ad esempio, direzione IT interna; area di prodotto / servizio, ): - I confini perimetrali esterni non sono sotto il controllo dell ISMS e quindi possono intervenire rischi importanti - Portineria, - registrazione visitatori e consegna badges, - apparecchi di scansione dei colli e delle persone, - guardiania,

30 I FRAINTENDIMENTI 4 Context of the organization Campo di applicazione limitato all interno dell azienda (Ad esempio, direzione IT interna; area di prodotto / servizio, ): - Le funzioni aziendali di security e gestione immobile non sono coinvolte nel sistema di gestione - Videosorveglianza esterna e interna, sistemi rilevazione movimento, fumo, acqua, allarmi, impianti elettrici, power supply, condizionamento, generatore di emergenza

31 I FRAINTENDIMENTI 4 Context of the organization Campo di applicazione limitato all interno dell azienda (Ad esempio, direzione IT interno; area di prodotto / servizio, ): - Le funzioni aziendali di supporto (esempio HR selezione e training, Security, Acquisti) non sono coinvolte nel sistema di gestione - Pianificazione ed erogazione del training, definizione dei profili di competenze per gli aspetti di security, clausole di sicurezza nei contratti dei servizi di utiility e di servizio,.

32 I FRAINTENDIMENTI 4 Context of the organization Se il campo di applicazione è limitato all interno dell azienda (Ad esempio, direzione IT interno; area di prodotto / servizio, ): Le responsabilità dell ISMS potrebbero non essere sufficientemente autorevoli verso il resto dell azienda Es. richieste di sicurezza perimetrale, richieste di assegnazione di ruoli e responsabilità all interno dell organigramma aziendale,

33 I FRAINTENDIMENTI 4 Context of the organization Campo di applicazione limitato all interno dell azienda (Ad esempio, Direzione IT interna; area di prodotto / servizio, ): - Non sono verificati i rischi ai confini del contesto stesso - Ad esempio, punti di ingresso alle aree coperte dallo scopo non protetti (es. aree di sviluppo SW, etc.)

34 I FRAINTENDIMENTI 4 Context of the organization Campo di applicazione limitato all interno dell azienda (Ad esempio, direzione IT interno; area di prodotto / servizio, ): - Non sono identificati tutti i portatori di interesse aziendale - Audit Interno - Ufficio Legale - Utenti interni dei servizi IT erogati - Enti di regolamentazione (AGID, Garante, ) NB non ho mai visto il caso in cui non venga considerata Banca d Italia!

35 I FRAINTENDIMENTI 4 Context of the organization In tutti i casi: - Non sono identificati tutti i portatori di interesse all esterno dell azienda - Utenti dei servizi erogati / commercializzati dall Azienda - Clienti dell Azienda - Fornitori di servizi generali

36 I FRAINTENDIMENTI 5 Leadership Assicurare le risorse Richiesta di sconti e riduzioni del prezzo al Certificatore Politica La politica è firmata e pubblicata sulla intranet e lì resta! Revisione? Aggiornamento? Frasi diverse dagli statement della norma stessi?

37 I FRAINTENDIMENTI 6 Planning Risk Assessment - Identificazione Risk Owners veri (molto spesso al di fuori dello scopo ovvero nel «business») - Analisi di risorse e rischi NON tecnici - Asset trascurati es. mobile devices, physical security, - Giustificazioni per esclusione e inclusione mancanti nel SOA - Tracciabilità dei controlli del SOA nel piano di trattamento - Definizione realistica del rischio residuo ovvero correlata alle effettive perdite/impatti conseguenti

38 I FRAINTENDIMENTI 7 Competence A7 HR security - Formazione per il personale esterno? - Formazione per i neoassunti prevista e pianificata, ma per chi opera già nel contesto? - La guardia giurata non deve sapere nulla? Il / la receptionist? - Corso sulla ISO OK: ma sulle politiche aziendali? Sui controlli aziendali? - Profilo delle competenze relative all ISMS? Job description? I tecnici avranno competenze su firewall, router, etc - Screening? Background check? Ove possibile si chiede il casellario penale

39 I FRAINTENDIMENTI 9 Performance evaluation - Internal audit e Management review sono fatti secondo l eredità della ISO Check List: - Sicuramente l Annex A per verificare che ci siano i controlli - E il corpo della norma? Niente audit sull analisi del rischio? - E la procedure aziendali? - E i controlli, se ci sono, sono applicati? Funzionano? Sono efficaci?

40 I FRAINTENDIMENTI A.8 Asset Management - Ownership of Asset: tuti gli asset sono del dipartimento IT. - Disposal of media: OK, perforiamo tutti gli hard disk: - e la registrazione della perforazione? - Disposal of Media: OK, affidiamo per lo smaltimento i PC e gli HD a una ditta specializzata: - siamo sicuri che li renda inservibili e illeggibili (se non lo facciamo noi) oltre che smaltirli in conformità alla normativa ambientale?

41 I FRAINTENDIMENTI A.9 User Access - Review of User access rights: Asset owners shall review - Chi lo fa? L IT? L IT con HR? - L IT con il Business owner? - Remove upon termination: upon? - Use of privileged utility programs: - concesso privilegio di amministratore a tutti e uso di tool di cancellazione sicura dei files.

42 I FRAINTENDIMENTI A.11 Physical and environmental security - Sistemi anti allagamento sotto il pavimento e se si rompe la tubazione dell acqua del soffitto? Meglio verificare i layout degli impianti idraulici se disponibili - Sistema x-ray di scan della merce in consegna il gate suona cosa controllo? Che verifiche devono fare le guardie? - Clear screen OK, perché automatica; ma clear desk? Vorremmo mica dare l impressione di non avere nulla da fare?

43 I FRAINTENDIMENTI A.11 Physical and environmental security - Alimentazione tramite cabina elettrica di media tensione, di proprietà. - Corto circuito : black-out. Una analisi termografica del calore di dissipazione ogni tanto? - Incluso nel contesto del SGSI?

44 I FRAINTENDIMENTI A.12 Operations Security - Change Management: - spesso un processo di change management formalizzato e strutturato non è disponibile - Il change è identificato con l autorizzazione all acquisto. - Information System Audit controls: - spesso si fa riferimento agli audit di sistema

45 I FRAINTENDIMENTI A.14 System Acquisition, development and maintenance - Secure System Engineering principles: - definizione requisiti di sicurezza applicativa, - definizione dei test per tali requisiti, - tracciabilità dei requisiti nella fase di test,

46 I FRAINTENDIMENTI A.15 Supplier relationship - Tipicamente i contratti contengono clausole di riservatezza - Sono effettivamente calate sulla realtà e sul tipo di servizio erogato? - Ad esempio, viene regolamentato l utilizzo e/o la distribuzione dei token di accesso (es. chiavi, badge) - Il personale del fornitore conosce tali clausole? Conosce le politiche di sicurezza aziendale? Come viene gestita la rotazione del personale?

47 I FRAINTENDIMENTI A.15 Supplier relationship - Managing changes to supplier services Esiste un «piano di migrazione» da un fornitore ad un altro (es. fornitori di servizi cloud) per garantire l integrità e la continuità?

48 I FRAINTENDIMENTI A.16 Information Security incident management - Definizione di un Security Incident - Collection of Evidence

49 I FRAINTENDIMENTI A.17 Business Continuity Test del DR e delle ridondanze: tutto OK, Fatto il sabato, con personale selezionato, per non creare intoppi, test funzionale con attività previste anche al sabato mattina. E il fattore workload? E il fattore sorpresa? E la parte operativa (dichiarazione dello stato di crisi, escalation, reperibilità, etc?)

50 Luigi Pavani Business Development Manager RINA SERVICES S.p.A. Via Corsica, Genoa - Italy Ph Cell