INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I Milano I SERVIZI DI CONSULENZA. info@axxea.it

Transcript

1 INFORMATION SECURITY I SERVIZI DI CONSULENZA. AXXEA Srl Via Francesco Soave, 24 I Milano info@axxea.it

2 INDICE 1. SICUREZZA DELLE INFORMAZIONI ANALISI DELLO STATO DELL ARTE VERIFICA DELLA SICUREZZA DELLE INFORMAZIONI PROCEDURE E POLITICHE AZIENDALI IN MATERIA DI SICUREZZA VALUTAZIONE DEGLI IMPATTI SUL BUSINESS GESTIONE DEL RISCHIO VALUTAZIONE DEI PROCESSI SENSIBILI IN MATERIA DI SICUREZZA BUSINESS CONTINUITY PLANNING E DISASTER RECOVERY GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI AXXEA SRL - All Rights Reserved Page 2 of 6

3 1. SICUREZZA DELLE INFORMAZIONI Per information security s intende una specifica politica aziendale, fatta di organizzazione, processi e procedure, finalizzata a tutelare l intero patrimonio in termini di dati e di informazioni, siano essi di carattere personale che strategico ovvero privilegiato. Le informazioni riguardanti: progetti industriali, dati tecnici, contabilità, anagrafiche clienti, statistiche e report, previsioni e budget, proprietà intellettuale e brevetti, sono minacciati continuamente ed in vari modi, sia dall esterno ma soprattutto dall interno. Le imprese, però, continuano a spendere in sicurezza delle informazioni aziendali cifre molto basse in relazione al valore intrinseco delle informazioni da proteggere. La sicurezza dei sistemi informativi è spesso percepita come un costo, piuttosto che come un investimento a tutela della privacy e del valore strategico delle informazioni aziendali. La redditività di un investimento in information security è facilmente quantificabile. Molte aziende hanno compreso l'importanza ed il valore dell information security solo quando il danno reale si era ormai verificato (perdita di dati, fuoriuscita di informazioni riservate, accessi non autorizzati al sistema informatico aziendale, eccetera). La protezione della disponibilità, integrità e riservatezza dei dati, oltre ad essere un buon investimento è tra l'altro un obbligo legislativo Occuparsi di Information Security vuol dire attitudine all innovazione, competenza ed orientamento ai risultati in modo concreto e semplice, rispondendo alla necessità di effettuare analisi e valutazioni con metodo e professionalità utilizzando tecniche e strumenti collaudati e consolidati. Tutte le situazioni aziendali coinvolte nel processo di adeguamento alla sicurezza, devono essere affrontate con competenza al fine di individuare ed implementare le soluzioni più adeguate, costituite sì dall innovazione tecnologica, ma anche da un approccio gestionale fondato su componenti organizzative e di processo. Per questo motivo, vengono assicurate ai nostri Clienti sia competenze tecnologiche specifiche, sia competenze di processi aziendali, coadiuvate da capacità di interagire con tutti i livelli dell'organizzazione aziendale. La protezione del patrimonio informativo dell impresa richiede attente analisi ed approcci pragmatici e rigorosi, al fine di valutare con efficienza la natura e la magnitudo del rischio a cui l azienda è esposta, i fattori critici del suo sistema informativo e dei suoi processi aziendali, per arrivare a definire con quali interventi organizzativi, tecnologici e di processo è possibile risolvere le criticità che minano la sicurezza delle informazioni in azienda, sia dall interno che dall esterno. 1.1 ANALISI DELLO STATO DELL ARTE Vengono effettuate macro-analisi per selezionare in breve tempo tutti gli ambiti, all interno dell organizzazione, che presentano aspetti di maggiore criticità e rischio, al fine di provvedere alla gestione immediata delle problematiche più delicate ed urgenti. Il risultato dell analisi porta ad una generale quantificazione dei rischi e delle non conformità dell ambiente informativo aziendale mettendo in luce gli aspetti di maggiore ed evidente criticità. Obiettivo di questo servizio è quello di fornire un quadro di massima, chiaro ed oggettivo, in tempi brevissimi, sullo stato di sicurezza del sistema informativo, per poter pianificare tempestivamente sia interventi immediati sia verifiche più approfondite in seguito. Tutto il processo di analisi e valutazione viene effettuato tenendo in considerazione specifici parametri standard, "ponderati" in funzione di alcuni indicatori, fra gli altri: il livello di sicurezza medio sostenibile del segmento di appartenenza dell'azienda di riferimento (telecomunicazioni, industria, grande distribuzione, pubblica amministrazione, bancario assicurativo ecc.), la struttura della rete informatica, la struttura organizzativa ed i meccanismi di trasferimento delle informazioni, la tipologia dei dati trattati, ecc. L analisi e la valutazione prevedono interviste mirate verso dipendenti chiave, coinvolti nei processi informativi aziendali. - AXXEA SRL - All Rights Reserved Page 3 of 6

4 1.2 VERIFICA DELLA SICUREZZA DELLE INFORMAZIONI La gestione del rischio operativo è legata al trasferimento delle informazioni sia all interno che all esterno dell azienda, e prevede, secondo gli standard ISO 27001, la valutazione rigorosa di tutti i dispositivi infrastrutturali dei sistemi informativi (formalizzati, non formalizzati e basati su computer) sotto l aspetto della sicurezza tecnologica, organizzativa e sociale. Penetration Test. Partendo unicamente dagli URL accessibili da internet, vengono solitamente effettuate azioni di verifica, simulando i tentativi di violazione ed abuso del sistema informativo target. La logica utilizzata è volta a riprodurre le situazioni d attacco su livelli di sicurezza minimi raccomandati dagli STD ISO La tecnica sia manuale che supportata da programmi automatici, simulerà realisticamente il comportamento illegale di personale non autorizzato. Le attività sono volte a garantire un analisi, su diversi livelli di abilità e scenari attuativi con complessità differenti, della penetrabilità potenziale del sistema target indicato. L output di questo servizio è costituito da un resoconto sia tecnico che organizzativo in cui sono evidenziati: il percorso di attacco, le non-conformità riscontrate e le possibili soluzioni a copertura dei rischi riscontrati. Social Engineering. Vengono messe in atto tecniche di Ingegneria Sociale a verifica di azioni non tradizionali d attacco basate sullo studio del comportamento umano, in tutte le sue forme, unito all utilizzo di tecniche avanzate di comunicazione, relazione, negoziazione, persuasione, consuasione e business intelligence al fine di procurarsi informazioni. Viene inoltre analizzata la componente umana interna ed i relativi aspetti afferenti all azienda in quanto realtà di cultura e di persone, quindi la sua sfera socio-organizzativa. Un documento finale di analisi mette in evidenza le aree organizzative coinvolte e le possibili aperture pericolose verso intrusioni esterne o abusi interni. Vulnerability Assessment. Vengono fornite, dall ente richiedente, tutte le informazioni e le chiavi d accesso necessarie per eseguire un analisi approfondita delle vulnerabilità e/o mal configurazioni. Viene effettuato uno screening, eseguito da rete interna senza le protezioni perimetrali, delle vulnerabilità potenziali dei sistemi aziendali, mediante l utilizzo di strumenti software, seguito da una verifica personalizzata, effettuata manualmente. Un summary report, sia tecnico che organizzativo, rende conto delle vulnerabilità rilevate, relativa pericolosità e rischi incombenti. Network Security Audit. In relazione ai sistemi di protezione di rete, sono analizzati tutti i dispositivi strutturali ed infrastrutturali inerenti alla sicurezza delle reti aziendali, i protocolli, l interconnessione con altre reti (aziendali e fornitori) e gli accessi esterni autorizzati al fine di individuarne punti deboli e criticità e di valutarne l aderenza agli standard di sicurezza. Un Summary Report dà evidenza delle non conformità di sicurezza, indica il livello di esposizione e la natura dei rischi, associandone il livello di criticità e relative raccomandazioni. Possibili soluzioni, interventi ed azioni correttive potenzialmente applicabili sono riassunti in un piano attuativo di gestione del rischio. 1.3 PROCEDURE E POLITICHE AZIENDALI IN MATERIA DI SICUREZZA Nelle organizzazioni, per aumentare la sicurezza di un sistema informativo, occorre sia un intervento di tipo tecnologico, sia organizzativo. Bisogna sempre progettare politiche di sicurezza efficaci e che al tempo stesso non ingessino i processi e la gestione delle informazioni nell'azienda. La progettazione è un'attività complessa che riguarda la definizione delle procedure di sicurezza, dei regolamenti e delle linee guida da adottare per regolamentare, all interno dell azienda, l'utilizzo di strumenti per il trattamento dei dati e le procedure delle diverse funzioni aziendali. È necessario fornire sia direttive generali, rivolte cioè a tutto il personale, sia direttive specifiche, quindi dedicate a regolamentare precisi ambiti aziendali o un numero ristretto di addetti, per esempio coloro che appartengono a dipartimenti in cui i dati trattati hanno elevata sensibilità e riservatezza. Ogni regolamento deve naturalmente seguire le leggi vigenti, con particolare attenzione verso il diritto del lavoro, il testo unico sulla privacy, le leggi che sanzionano i reati informatici, nonché gli standard ISO AXXEA SRL - All Rights Reserved Page 4 of 6

5 La tutela della sicurezza informatica e le politiche aziendali organizzative che la disciplinano sono di fondamentale importanza per tutte le organizzazioni, l attenzione ai rischi informatici in azienda deve essere rivolta sì all'esterno, ma anche e soprattutto verso il personale interno all'azienda da cui derivano spesso i maggiori danni sia economici che di immagine. 1.4 VALUTAZIONE DEGLI IMPATTI SUL BUSINESS Il servizio prevede l identificazione delle risorse aziendali critiche, l'assegnazione delle priorità ai processi aziendali strettamente collegati con il business e la stima degli eventuali danni e conseguenti perdite sia in termini quantitativi che qualitativi dovute all interruzione dei flussi informativi nei processi aziendali identificati. Si valuta il livello e la tipologia di rischi rispetto al settore di appartenenza e all organizzazione ed interdipendenza delle attività aziendali. L'attività di valutazione può avere come ambito sia l'intera azienda che uno specifico processo. Le analisi e le raccomandazioni prodotte nel corso di questa attività vengono utilizzate come valida base di lavoro per le successive attività di Business Continuity Planning e di Risk Management. 1.5 GESTIONE DEL RISCHIO Viene effettuata un analisi approfondita e di dettaglio per evidenziare tutte le aree aziendali che presentano problemi di rischio reale proponendo per ciascuna eventuali interventi e soluzioni. Il risultato di base dell attività di Risk Management è il piano principale di sicurezza, dove vengono dettagliati: il livello di vulnerabilità dei sistemi informativi aziendali, la loro non conformità agli standard di sicurezza, la magnitudo e la natura dei rischi relativi alle risorse aziendali da proteggere, associandone il livello di criticità e relative raccomandazioni che possono contenere ipotesi di intervento organizzativo, applicativo e di rete, al fine di incrementare il livello globale di sicurezza. 1.6 VALUTAZIONE DEI PROCESSI SENSIBILI IN MATERIA DI SICUREZZA Quest attività scaturisce dalle indicazioni risultanti dalle precedenti analisi e valutazioni (sopra specificate) concentrandosi solo su quei processi che risultano delicati e prioritari. È un analisi specifica effettuata su particolari processi aziendali strettamente collegati alle problematiche di sicurezza e di Rischio Operativo. In ogni processo vengono controllati strutture, flussi ed interdipendenze dei dati gestiti, quindi consigliate le eventuali misure di protezione da attuare per garantire confidenzialità, integrità e disponibilità dei medesimi. Viene data evidenza sia degli impatti organizzativi che ne conseguono e quindi degli eventuali interventi di miglioramento, sia degli interventi hardware e software da effettuare. 1.7 BUSINESS CONTINUITY PLANNING E DISASTER RECOVERY Il Business Continuity Planning è un attività progettata per definire un efficace piano di attuazione di una serie di misure preventive preposte a garantire la continuità di servizio in situazioni critiche, permettendo il ripristino delle attività di elaborazione delle informazioni e di comunicazione elettronica e limitando le interruzioni alle consuete attività di business. Insieme con il servizio di Business Continuity viene fornito quello di Disaster Recovery anch esso tipicamente costituito da una serie di piani di intervento e di misure di contingenza da adottare però in situazioni di estrema emergenza. - AXXEA SRL - All Rights Reserved Page 5 of 6

6 2. GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI Il servizio offre il supporto dei nostri consulenti alla gestione totale e al mantenimento nel tempo della sicurezza delle informazioni aziendali, in termini di rispetto sia delle leggi vigenti sia delle politiche aziendali. Si va dagli interventi organizzativi (ruoli, responsabilità, competenze ed attività), agli interventi di miglioramento processi, alla redazione/aggiornamento delle procedure specifiche e relativo controllo attuativo. È una soluzione concreta per la protezione dei dati, delle informazioni e dei sistemi organizzativi e tecnologici coinvolti, permette di gestire le conformità alla sicurezza delle informazioni senza effettuare particolari investimenti in risorse umane. La soluzione offre servizi di consulenza, sia in remoto che presso il Cliente, alleggerendo così la struttura aziendale di tutti i tempi, le procedure e i costi di gestione, mantenimento e aggiornamento. È un attività delicata che richiede esperienza e competenze specifiche, garantendo all azienda sempre e comunque il controllo su tutta l organizzazione e sugli adempimenti di legge necessari ed obbligatori. - AXXEA SRL - All Rights Reserved Page 6 of 6