Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Transcript

1 Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative Servizi Consulenza Formazione Prodotti

2 L impostazione dei servizi offerti Le Banche e le altre imprese, sono destinatarie di molti adempimenti obbligatori relativi alla sicurezza logica, fisica ed organizzativa posta a tutela del patrimonio informativo gestito. Le diverse prescrizioni normative e gli standard internazionali convergono su alcuni fondamentali requisiti di sicurezza e di compliance che ogni impresa deve garantire. Gli esperti OASI, nei loro interventi, coniugano gli aspetti tecnologici con le prescrizioni delle normative; alcune risolutive impostazioni sono diventate standard de facto.

3 Le principali attività I complessi e articolati obblighi di legge intervengono su tutta l organizzazione aziendale e richiedono un preciso impianto organizzativo insieme a periodici adempimenti formali e sostanziali. OASI è in grado di governare molti aspetti della materia e propone interventi modulari usufruibili in parte o nel loro insieme Protezione dei dati personali Analisi dei rischi informatici Valutazione del livello di sicurezza dei dati e del network aziendale Business Continuity Supporto alla funzione ICT Auditing Servizio SecurityNet Politiche e piani di sicurezza

4 Protezione dei dati personali Con l introduzione del nuovo diritto fondamentale del cittadino alla protezione dei dati che lo riguardano, il trattamento dei dati deve avvenire con precisi criteri e modalità prescritti dal Codice. (D.lg. 96/00). Gli adempimenti interessano l intera organizzazione e richiedono precise azioni per garantire la conformità alle norme Revisione degli adempimenti di base Censimento dei trattamenti Verifica delle misure di sicurezza adottate Individuazione delle misure di sicurezza mancanti Compilazione del Documento Programmatico sulla Sicurezza Verifica dell applicazione del Codice Deontologico sui Sistemi Informativi Creditizi Predisposizione dei Regolamenti interni sull uso di strumenti elettronici, Internet e della posta elettronica Chek-up periodici Formazione Analisi dei rischi

5 Analisi dei rischi informatici Un attività emergente, sempre più necessaria e fondamentale per la IT Governance aziendale. Obbligatoria in molte circostanze. L approccio basato anche su standard ISO 700:005 suddivide la gestione del rischio IT in fasi: analisi per la classificazione delle informazioni e beni da proteggere; individuazione delle relative minacce e del livello di rischio esistente; definizione delle modalità e dei presidi per ridurre o controllare il rischio rilevato Esame degli obblighi di sicurezza finalizzati alla riduzione (idonea e preventiva) dei rischi che incombono sui dati (art. del d.lgs.96/00) e compilazione del capitolo Analisi dei Rischi sul DPS Analisi dei rischi ai fini della BIA (Business Impact Analysis) per la Business Continuity Esame e soluzioni per la gestione dei rischi operativi come definito dal Comitato di Basilea Verifica della compliance delle misure prescritte dalla Banca d Italia per il Sistema Informativo della Centrale di Allarmi Interbancaria (CAI) Individuazione degli elementi utili a definire la mitigazione del rischio di frode informatica di cui all art.640 ter del c.p. ai sensi del D.lg. /00 Ricerca di elementi di utilità probatoria ai fini dell inversione dell onere della prova (ai sensi dell art. 050 del c.c.)

6 Valutazione del livello di sicurezza dei dati e del network aziendale Le attività di Vulnerability Management e Intrusion Test (etico) permettono di stabilire, mediante una serie di controlli e una simulazione concordata di attacchi via TCP/IP, eseguiti in locale e/o da remoto: l esistenza di vulnerabilità tecnologiche e di configurazione; il livello di protezione della rete; le misure da attivare per rimuovere le criticità esistenti; le implicazioni legali in relazione alle criticità individuate. La metodologia adottata prevede l adozione di soluzioni hardware e software Studio delle criticità e delle soluzioni del network e dei sistemi aziendali Assistenza all installazione e all avvio del sistema di gestione delle vulnerabilità Erogazione del servizio Vulnerability Management Individuazione dell uso più efficiente delle risorse Redazione di rapporti periodici per la direzione e gli uffici tecnici Progettazione delle procedure di gestione incidenti informatici (incident handling) Assistenza alla gestione delle emergenze Descrizione e valutazione dei rischi di non conformità correlati alle criticità di sicurezza individuate

7 4 Business Continuity La normativa della Banca d'italia in tema di Continuità Operativa richiede alle banche la compilazione di un piano di continuità per i processi critici dell'attività della singola banca, unitamente all'adozione di soluzioni organizzative idonee a governare gli stati di crisi. La consulenza si avvale delle competenze di esperti che hanno contribuito alla predisposizione della metodologia ABI e che hanno fatto parte del Gruppo di lavoro in Banca d Italia. Supporto nell interpretazione e nell adattamento operativo della normativa di Vigilanza Predisposizione dei documenti necessari per la realizzazione della BIA (Business Impact Analysis) Supporto alla realizzazione del piano, alla manutenzione, alle verifiche e test periodici

8 5 Supporto alla funzione ICT Auditing La normativa di riferimento è coerente con gli standard internazionali ISACA (Information Systems Audit and Control Association). L approccio OASI: prevede il supporto alla verifica del sistema di controllo delle principali aree IT aziendali anche attraverso l utilizzo CobiT (Control Objectives for Information and related Technology). ha la finalità di trasferire il know-how metodologico, tecnico ed organizzativo per adeguare le attività di audit, mediante l utilizzo di un software e, insieme a uno specifico percorso formativo mirato sulle esigenze aziendali (selezione dei processi), è in grado di dar vita a una base dati organica delle verifiche e delle misure di prevenzione dei rischi Orientamento metodologico della funzione di ICT Auditing Formazione degli addetti Selezione dei processi previsti dalla metodologia di interesse Individuazione degli obiettivi e tecniche di controllo (idonee) Predisposizione di un manuale dei controlli con le linee guida per l audit Pianificazione operativa della funzione di ICT Auditing aziendale Supporto all avviamento delle attività di controllo Predisposizione e popolamento della base dati delle verifiche Monitoraggio periodico

9 6 Servizio SecurityNet Dal 99 è leader in Italia sulla ricerca, prevenzione ed assistenza agli utenti, sui fenomeni connessi ai cosiddetti virus dei computer, internet worm, codici maligni e programmi suscettibili di arrecare danno circolanti in rete. Aderiscono al servizio 54 banche, centri consortili, outsourcer informatici e società finanziarie per un totale di 8 utenti finali Monitoraggio e analisi di virus, I-worm e codice pericolosi in rete Studio e monitoraggio delle vulnerabilità dei sistemi e delle applicazioni Emanazione di comunicazioni per la prevenzione, lettere informative e alert Assistenza telefonica agli utenti, anche h-4 Compilazione annuale di statistiche e di un manuale per la prevenzione Seminari, convegni, giornate di studio riservate agli utenti Fornitura di prodotti di sicurezza quali antivirus, antispamming, IPS e tecnologie affini. (OASI è ElitePartner della McAfee)

10 7 Politiche e piani di sicurezza Sulla base delle specifiche esigenze dell impresa sono proposte, organizzate e svolte le azioni necessarie, coniugando le singole specialistiche attività in relazione agli obiettivi.

11 I princìpi e lo slogan Trasformare la sicurezza in valore, da costo a investimento, da obbligo a opportunità di miglioramento tecnologico, organizzativo, etico e di comunicazione.

12 Grazie per l attenzione OASI Diagram - Outsourcing Applicativo e Servizi Innovativi S.p.A. Sede Legale: Corso Europa, 8-0 Milano - Tel Fax Direzione Generale: Via Elio Chianesi, 0/d Roma Tel Fax