La nuova ISO e lo scenario europeo: ambiti di implementazione

Transcript

1 La nuova ISO e lo scenario europeo: ambiti di implementazione TIS Innovation Park Bolzano Cyber security e sicurezza delle informazioni 11 dicembre SAFER, SMARTER, GREENER

2 DNV GL Con l obiettivo di salvaguardare la vita, la proprietà e l ambiente, DNV GL consente alle organizzazioni di incrementare la sicurezza e la sostenibilità delle proprie attività. DNV GL fornisce servizi di classificazione e verifiche tecniche oltre a software e a servizi di consulenza indipendente per i settori marittimo, oil & gas e dell energia. Inoltre, fornisce servizi di certificazione a clienti operanti in svariati settori. Opera in oltre 100 Paesi con professionisti impegnati ad aiutare i propri clienti a rendere il mondo più sicuro, più intelligente e più verde. 2

3 Obiettivo, Vision e Valori Obiettivo La salvaguardia della vita, della proprietà e dell ambiente Vision Impatto globale per un futuro sicuro e sostenibile Valori Costruiamo fiducia e affidabilità Non veniamo a compromessi sulla qualità o sull integrità Ci impegniamo per il teamwork e l innovazione Abbiamo cura dei nostri clienti e dei nostri colleghi Accogliamo i cambiamenti e conseguiamo risultati 3

4 Il Gruppo DNV GL 4

5 Global reach local competence 150 anni 350 uffici 100 paesi 16,000 dipendenti 5% di profitti investiti in ricerca e innovazione 5

6 DNV GL Group DNV GL Group Headquarter: Oslo, Norvegia Maritime Oil & Gas Energy Business Assurance Headquarter in Headquarter in Headquarter in Headquarter in Hamburg, Germania Høvik, Norvegia Arnhem, Olanda Vimercate, Italia classificazione navale e di piattaforme offshore, consulenza nel settore marittimo gestione dei rischi, consulenza e verifiche tecniche per la filiera oil & gas consulenza, test e verifica per il settore energetico certificazione, verifica assessment e training per tutti i settori Middle East & Africa India, Sri Lanka &Bangladesh Central & Southern America Northern Europe Asia & Pacific North America Central Europe Greater China Southern Europe 6

7 DNV GL - Business Assurance Headquarter: Via Energy Park 14, Vimercate (MB) Leader Tra gli enti di certificazione in Italia Certificati 10 sedi Torino, Milano, Venezia, Genova, Bologna, Firenze, Roma, Napoli, Bari, Catania Più di 250 persone Dati a Settembre

8 Il sistema della certificazione 8 SAFER, SMARTER, GREENER

9 ISO L ISO è la più grande organizzazione mondiale per lo sviluppo di standard normativi. A partire dal 1947, l ISO ha pubblicato più di standard, legate ad agricoltura, costruzioni, ingegneria, apparati medici, nuovi sviluppi dell information technology, ecc. ISO è l acronimo di International Organization for Standardization. ISO non è strettamente un abbreviazione, ma deriva dal greco isos Fonte: 9

10 IEC L International Electrotechnical Commission (IEC) è la più grande organizzazione mondiale che prepara e pubblica standard internazionali per tutte le tecnologie legate a elettrotecnica, elettronica, ecc. L IEC collabora con la ISO. In IEC ci sono atualmente 94 comitati tecnici e 80 Subcomitati ISO/IEC collabora anche con altri enti quali ITU International Telecommunication Union. ITU è un trade body che coordina le telecomms organizations to enable worldwide communications. Distribuisce ad esempio le radio frequenze per minimizzare le interferenze e incoraggiare i costruttori di apparecchi radio che possano essere usati in contesti internazionali. ISO/IEC JTC 1 ISO/IEC Joint Technical Committee for information technology ISO/IEC JTC 1/SC 2 Coded character sets ISO/IEC JTC 1/SC 6 Telecommunications and information exchange between systems ISO/IEC JTC 1/SC 7 Software engineering ISO/IEC JTC 1/SC 17 Identification cards and related devices ISO/IEC JTC 1/SC 22 Programming languages, their environments and system software interfaces ISO/IEC JTC 1/SC 23 Optical disk cartridges for information interchange ISO/IEC JTC 1/SC 24 Computer graphics and image processing ISO/IEC JTC 1/SC 25 Interconnection of information technology equipment ISO/IEC JTC 1/SC 27 IT security techniques ISO/IEC JTC 1/SC 28 Office equipment ISO/IEC JTC 1/SC 29 Coding of audio, picture, multimedia and hypermedia information ISO/IEC JTC 1/SC 31 Automatic data capture ISO/IEC JTC 1/SC 32 Data management services ISO/IEC JTC 1/SC 34 Document description and processing languages ISO/IEC JTC 1/SC 35 User interfaces ISO/IEC JTC 1/SC 36 Information Technology for Learning, Education and Training ISO/IEC JTC 1/SC 37 Biometrics Fonte: 10

11 Altri enti ed organizzazioni Forum, fondazioni, enti esteri The itsmf is the only truly independent and internationally-recognised forum for IT Service Management professionals worldwide (ISO 20000) Ufficio del Segretario della Difesa USA (OSD), Carnegie Mellon Software Engineering Institute (SEI) (CMM) QuEST Forum è un organizzazione di provider di servizi e produttori che operano nella supply chain delle telecomunicazioni (TL 9000) ISACA (Information Systems Audit and Control Association) associazione americana degli auditor dei sistemi informativi (Control Objectives for Information and related Technology (COBIT)) European Foundation for Quality Management (EFQM) CEPAA (Council of Economical Priorities Accreditation Agency) BSI British Standards è l'ente normatore inglese che pubblica oltre 2,000 norme ogni anno BSI Federal Office for Information Security (Germania) IT-Grundschutz NIST National Institute for standard and technology è un'agenzia del governo degli Stati Uniti d'america che si occupa della gestione delle tecnologie 11

12 Organizzazioni per l accreditamento (ISO) L Accreditamento riduce il rischio nelle certificazioni assicurando che gli organismi accreditati sono competenti nel lavoro che fanno. Accreditano i certificatori! IAF International Accreditation Forum: i suoi membri devono operare secondo standard internazionali (ci sono standard che regolano anche i comportamenti degli enti di accreditamento e di certificazione). I certificati rilasciati dai suoi membri secondo lo IAF Multilateral Recognition Arrangement (MLA) sono riconosciuti in tutto il mondo. Internazionale L European co-operation for Accreditation (EA) è un organizzazione non profit il cui scopo è dare consistenza in Europa ad una interpretazione comune degli standard utilizzati dai propri membri (è Special Recognition Regional Group dello IAF). Europeo ACCREDIA: Sistema Nazionale di Accreditamento degli Orgaismi di Certificazione e Ispezione - Italian Federation for Accreditation. Italia ed membro IAF e EA La ISO/IEC è certificabile sotto questo sistema di accreditamento. 12

13 Standard verificabili vs. linee guida Standard verificabile: uno standard con specifiche rispetto alle quali può essere condotto un audit da parte di personale indipendente Linee guida: manuali o raccolte di best practices disponibili per una loro selezione al fine di raggiungere un certo obiettivo Standard Verificabili ICT (Sistemi di gestione): ISO/IEC Sistemi di gestione per la sicurezza delle informazioni ISO/IEC Sistemi di gestione per i servizi IT ISO Sistemi di gestione per la continuità operativa 13

14 Standard principali pubblicati dal WG1 - ISO/IEC 270* 27000: Information security management systems overview and vocabulary 27001: Information security management systems - requirements 27002: Code of practice for information security controls 27003: Information security management systems implementation guidance 27004: Information security management Measurements 27005: Information security risk management 27006: Requirements for bodies providing audit and certification of information security management systems 27007: Guidelines for information security management systems auditing 27008: Guidelines for auditors on information security controls 27010: Information security management for inter-sector and inter-organisational communications 27011: Information security management guidelines for telecommunications organizations based on ISO/IEC : Guidelines on the integrated implementation of ISO/IEC and ISO/IEC : Governance of information security 27015: Information secuirty management guidelines for financial services 27016: Information security management Organizational economics Information technology Security techniques Code of practice for information security controls based on ISO/IEC for cloud services 27018:2014 Information technology Security techniques Code of practice for protection of Personally Identifiable Information (PII) in public clouds acting as PII processors 27019: Information security management guidelines based on ISO/IEC for process control systems specific to the energy utility industry Information technology Security techniques Competence requirements for information security management professionals Information technology Security techniques Mapping the Revised Editions of ISO/IEC and ISO/IEC Information technology Security techniques Guidelines for information and communications technology readiness for business continuity Information technology Security techniques Guidelines for cybersecurity Information technology Security techniques Network security Information technology Security techniques Application security Information technology Security techniques Information security incident management IT Security Security techniques Information security for supplier relationships Information technology Security techniques Guidelines for identification, collection, acquisition, and preservation of digital evidence Information technology Security techniques Specification for digital redaction Information technology Security techniques Selection, deployment and operation of intrusion detection and prevention systems (IDPS) 27040: Information technology - Security techniques - Storage security Information technology Security techniques Guidelines on assuring suitability and adequacy of incident investigative methods Information technology Security techniques Guidelines for the analysis and interpretation of digital evidence Information technology Security techniques Incident investigation principles and processes Information technology Security techniques Guidelines for security information and event management (SIEM) Information technology Security techniques Electronic discovery 14

15 La gestione delle informazioni (ISO/IEC 27001) 15 SAFER, SMARTER, GREENER

16 Informazioni Un informazione è il risultato della raccolta e dell elaborazione di dati elementari, significativi e utili al processo decisionale Le informazioni sono un asset importante, essenziale al business di un organizzazione. Le informazioni possono esistere in molte forme. Possono essere stampate o scritte su carta, gestite con strumenti informatici, trasmesse via posta o con mezzi elettronici, presentate in film o dette in conversazioni. ISO/IEC 27002:2005 Documento: informazioni e il loro supporto (IT e non IT) Mezzo di supporto: carta, strumenti informatici (computer, hard disk, chiavi USB, CD, eccetera), ma anche radiografie (si pensi agli ospedali), fotografie e persone. 16

17 Sicurezza delle informazioni Definizione Per sicurezza delle informazioni si intende la preservazione della loro: Riservatezza: proprietà di un informazione di non essere disponibile o rivelata a individui, entità o processi non autorizzati; Integrità: proprietà di accuratezza e completezza [proprietà di non essere alterata o distrutta da parte di individui o entità non autorizzati]; Disponibilità: proprietà di essere accessibile e utilizzabile alla richiesta di un entità autorizzata [entro i tempi previsti]. L'autenticità, il non ripudio e l'affidabilità sono considerati casi particolari di "integrità" 17

18 Come si stabilisce, si realizza e si conduce, si controlla, riesamina e migliora un SGSI? Attraverso il CONTROLLO dei PROCESSI DO Condurre le attività operative cap. 8 a P c d PLAN Pianificare cap. 4,6 4. Organizzazione e suo contesto, parti interessate e loro aspettative 6. Azioni per affrontare rischi ed opportunità a c p D ANNEX A. A.5 Politiche per la sicurezza delle informazioni A.6 Organizzazione della sicurezza delle informazioni A.7 Sicurezza delle risorse umane A.8 Gestione degli asset A.9 Controllo degli accessi A.10 Crittografia A.11 Sicurezza fisica ed ambientale A.12 Sicurezza delle attività operative A.13 Sicurezza delle comunicazioni A.14 Acquisizione, sviluppo e manutenzione dei sistemi A.15 Relazioni con I fornitori A.16 Gestione degli incidenti A.17 Continuità operativa A.18 Conformità a C p d A p c d CHECK Monitorare e riesaminare cap. 9 ACT Migliorare cap. 10

19 Una differenza fondamentale La sicurezza si garantisce attraverso processi organizzativi e prodotti adeguati. Buoni processi organizzativi portano a scegliere ed usare prodotti adeguati. Non è vero l'inverso. Esempio: non garantiscono sicurezza Wi-fi non configurate, firewall nella scatola o non adeguati (firewall SOHO per grandi reti), mal configurati, mal gestiti nel tempo. Un buon progetto organizzativo fa sì che ci sia pianificazione, scelta requisiti, scelta prodotto ottimale, formazione personale addetto per la configurazione, manutenzione adeguata nel tempo. 19

20 A quali settori si applica? 20 SAFER, SMARTER, GREENER

21 Il Processo di Risk Management Definizione del contesto (obiettivi, parti interessate, ecc.) Definizione dell ambito e DEI PROCESSI CHIAVE Valutazione del rischio Identificazione del rischio E applicabile a tutti I settori Analisi del rischio Ponderazione del rischio Trattamento del rischio 21

22 Definizione del contesto ( 4.1) CONTESTO ESTERNO ambiente culturale, sociale, ambiente politico, normativo, ambiente regolamentare, ambiente finanziario, economico, ambiente tecnologico, ambiente naturale, ambiente competitivo internazionale, nazionale, regionale o locale, elementi con potenziale impatto sugli obiettivi, CONTESTO INTERNO Governance, struttura organizzativa, ruoli, responsabilità Politiche, obiettivi, strategie Capacità, cultura dell organizzazione Relazioni con i portatori di interesse interni, loro percezione e valori Sistemi, flussi informativi Modelli organizzativi Relazioni contrattuali relazioni con le parti interessate esterne, loro percezioni e valori 22

23 Quali settori? 23

24 ISO/IEC Dati ISO e Accredia 24 SAFER, SMARTER, GREENER

25 ISO/IEC Dati ISO Secondo i dati ISO, alla fine del 2014 a livello internazionale, sono stati emessi almeno certificati secondo lo standard ISO/IEC, con un trend positivo rispetto all anno precedente del 7%. Anche a livello europeo, alla fine del 2014, la certificazione ISO/IEC ha avuto un trend positivo del 9,53%. Fonte: Ricerca ISO Dicembre 2014 (Pubblicata a settembre 2015) 25

26 ISO/IEC Dati ISO a livello europeo Il grafico mostra il trend positivo che la certificazione ISO/IEC ha avuto negli ultimi anni a livello europeo. Alla fine del 2014, a livello europeo l Italia si collocava al secondo posto per numero di certificati ISO/IEC 27001, preceduta dalla Gran Bretagna e seguita dalla Romania. Country Numero cert United Kingdom Italy 970 Romania 893 Spain 701 Germany 640 Netherlands 337 Bulgaria 330 Poland 310 Hungary 297 Czech Republic 276 Other Countries Totale Fonte: Ricerca ISO Dicembre 2014 (Pubblicata a settembre 2015) 26

27 ISO/IEC Dati Accredia a livello Italia Anche sul mercato locale risulta, dai dati Accredia, un trend positivo. A novembre 2015 l'italia registra un incremento percentuale del 9,76% rispetto a dicembre 2014, con un numero di certificati emessi pari a 405. Il trend di DNV GL, invece, è pari a 32,95%. Fonte: Dati Accredia dicembre 2014 novembre

28 SAFER, SMARTER, GREENER 28