Come utilizzare gli standard di sicurezza per una maggiore efficienza e riducendo i costi

Transcript

1 Come utilizzare gli standard di sicurezza per una maggiore efficienza e riducendo i costi È possibile trasformare la sicurezza delle informazioni da costo percepito ad investimento e opportunità di business? Autore F.Cirilli

2 Docente Fabrizio Cirilli Oltre 25 anni di esperienza nell ambito dei progetti ICT per aziende pubbliche e private. Dal 1983 lavora per aziende internazionali e nazionali nelle quali ha ricoperto differenti ruoli nella gestione, nello sviluppo e nell audit dei sistemi informativi ed in particolare per la sicurezza delle informazioni. Dal 2001 è amministratore unico della Project Development Consulting & Auditing Srl. Certificazioni E certificato come lead auditor in registri nazionali ed internazionali per gli schemi ISO 9001, ISO/IEC 27001, ISO/IEC e TL 9000 ed opera con organismi di certificazione a livello nazionale ed internazionale in qualità di lead auditor e di ICT Sector Manager. Dal 2007 è impegnato in audit contrattuali su scala internazionale per player mondiali delle TLC. Docenze Dal 2000 è progettista e docente dei corsi di qualifica per lead auditor negli schemi ISO 9001, ISO/IEC e ISO/IEC (corsi riconosciuti/accreditati in Italia e all estero). Dal 2005 è docente presso alcuni Master in Italia per le tematiche inerenti gli audit sui SGSI e sui SGSIT. Normazione Founder del Capitolo Italiano degli Utenti Internazionali dei Sistemi di Gestione per la Sicurezza delle Informazioni (ISMS IUG Italy) e membro attivo del Comitato ISO JTC1/SC27/WG1 per lo sviluppo della ISO Nel 2006 è stato membro della ISO/IEC Task Force responsabile della pubblicazione della ISO/IEC Nel 2007 ha supportato l avvio dell ISMS IUG Spain. Nel 2011 ha partecipato alla traduzione italiana della ISO/IEC :2011. Attualmente è impegnato, all interno del Gruppo di Lavoro di UNINFO, per l aggiornamento dello standard. Rappresentanza Partecipa attivamente al programma di Risk Awareness di ENISA. È uno degli specialisti italiani coinvolti nel progetto Domino della Presidenza del Consiglio dei Ministri. È stato Advisory Board Member nel progetto EU European network for the Security of Control and Real-Time Systems. Associazioni E membro AIIC, CLUSIT, ICT-Academy, ISACA-AIEA Milano, ISO, ISSA-AIPSI, ITSMF, UNINFO. Pubblicazioni Autore di pubblicazioni ed articoli sul tema della sicurezza delle informazioni. CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 2

3 Abstract La sicurezza delle informazioni è un business in crescita ma quando ne parliamo all interno della nostra azienda, per noi stessi, viene percepita come un costo. Come mai? Forse perché viene associata ad aspetti formali e documentali, burocratici che non aggiungono valore. O forse perché evoca in tutti noi la tanto sofferta l'esperienza "ISO 9001"? Eppure tutti gli standard ISO prevedono pochi documenti formali di controllo, allora perché sicurezza delle informazioni diviene sinonimo di costo associato al formalismo privo di valore aggiunto? Forse perché non abbiamo mai fatto nulla per comprenderne il senso ed il contenuto. O forse perché non abbiamo tempo e per altri mille motivi altrettanto validi. In realtà implementare un Sistema di Gestione per la Sicurezza delle Informazioni comporta pochi e semplici passi basati su dati in gran parte preesistenti, che spesso vanno solo riorganizzati. Il costo per queste poche attività è irrisorio considerando i benefici che procura in cambio. Non ci credete? Eppure è così. Se volete comprendere come si fa e come far funzionare uno standard come la ISO parliamone insieme. Magari riusciamo anche a tracciare un percorso efficiente CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 3

4 Premessa Il panorama degli standard ISO si va via via ampliando ed aggiornando, costituendo una vastissima collezione di best practice per settore e tematica, come ad esempio lo standard per gli aspetti di sicurezza delle informazioni nel cloud computing. Inoltre, le liasons con i più accreditati gruppi di interesse (come ad esempio: ISACA proprietaria di COBIT) forniscono l opportunità per integrare gli standard ISO con altri modelli/framework IT, già fortemente diffusi ed utilizzati a livello mondiale, e addirittura fra diversi standard ISO (come nel caso della ISO/IEC e della ISO/IEC 27001). Questo scenario sembra in forte contrasto con quello che conosciamo come il mercato delle certificazioni ISO. Il valore delle certificazioni ISO, spesso travisato o addirittura incompreso dal mercato, deve quindi essere rimesso in discussione conducendo le organizzazioni (pubbliche e private) ad una rivalutazione dell impiego degli standard ISO, non per la sola certificazione fine a sé stessa quanto per la definizione di un modello organico di riferimento e per integrare le best practice nelle proprie attività produttive. In questo senso una panoramica degli standard disponibili, della loro esatta contestualizzazione e comprensione può permetterne un uso efficiente, privo di formalismi e burocratizzazioni sterili. Un approccio concreto che parta dalle considerazioni di business, passando per la scelta del percorso più idoneo per approdare alla certificazione solo come atto finale di un percorso di efficientamento dell azienda. È l utilizzo improprio degli standard ISO a renderli sterili non la loro natura. Una conoscenza più approfondita ne rende certamente più semplice l utilizzazione e valutabile il ritorno in termini di investimenti. CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 4

5 Perché adottare standard/modelli Avere modelli organizzativi di riferimento consolidati (per l ICT) che consentano di costruire processi snelli, flessibili ed efficienti capaci di adattarsi rapidamente ai cambiamenti imposti da mercato e tecnologie Disporre di certificazioni riconosciute e spendibili sul mercato Riutilizzare esperienze, modelli, processi per efficientare le organizzazioni (evitando processi/attività non direttamente riconducibili al business o comunque limitandone l esistenza) CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 5

6 Standard e modelli per l ICT Sistemi di IT governance (ISO 38500, COBIT ) Sistemi di gestione per la qualità dei processi (ISO 9001) Sistemi di gestione dell erogazione dei servizi (ISO , ITIL) Sistemi di Gestione della Sicurezza delle informazioni (ISO 27001) Aspetti ambientali (ISO 14001), di sicurezza sul lavoro (OHSAS 18001), di etica (SA8000), di risparmio energetico (ISO 50001) ecc. Con l unico obiettivo di sincronizzare gli sforzi, ottimizzare i costi, rispettare le leggi e competere sulla base di standard riconosciuti e certificabili da organismi indipendenti CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 6

7 Modelli e standard di riferimento La sicurezza delle informazioni È uno dei modelli di IT governance più diffusi nel mondo, proviene dagli USA creato da ISACA La qualità dei processi, anche per l ICT COBIT IT Governance È il modello per l IT Service Delivery/Support per eccellenza, proviene dall UK creato dall OGC L IT Service management e l IT Service support ITIL Service Delivery & Service Support CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 7

8 La famiglia ISO/IEC Unica certificabile!!! 27001:2005 ISMS requirements 27000:2009 Vocabulary 27002:2005 Code of practice 27003:2010 Implementation guidance 27004:2009 Measurements 27005:2008 Risk Management ISMS auditing 27008:2011 Audit on ISMS controls Inter-sector communications 27011:2008 Telecommunications ISO/IEC and ISO/IEC Security governance 27031:2011 Incident management Cyber Security 27033:2009 Network Security Application Security 27035:2011 Business continuity Security for suppliers 27006:2007 Requirements for audit & cert. bodies Financial and insurance ISM Economics Digital evidences 2704x Investigation Cloud computing 270xx. CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 8

9 Un esempio per l uso e l integrazione degli standard Risk Management 27005:2008 Risk Management 27004:2009 Measurements BIA 27002:2005 Code of practice ISO/IEC :2009 Vocabulary Security governance ISO/IEC and ISO/IEC :2010 Implementation guidance 27001:2005 ISMS requirements Unica certificabile!!! ROSI ISM Economics ISMS auditing Audit on ISMS controls CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 9

10 Il tema della compliance Aspetti comuni La privacy La responsabilità amministrativa I reati informatici PEC Dematerializzazione Aspetti settoriali MiFID Direttive BdI Tutela del risparmio e disciplina dei mercati finanziari Fascicolo Sanitario Elettronico Firma Digitale CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 10

11 Le mode Cloud Computing Dematerializzazione Open xxxxx Outsourcing Cyber Crime Cyber War E non solo tecnologico-informatiche: Efficientamento Riduzione costi ICT Green ICT Green Security CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 11

12 Infrastrutture critiche Direttiva UE sulle infrastrutture critiche L'8 dicembre 2008 è stata promulgata la Direttiva Europea 2008/114/EC relativa all individuazione e alla designazione delle infrastrutture critiche europee e alla valutazione della necessità di migliorarne la protezione. Il D.Lgs 61/2011 stabilisce le procedure per l'individuazione e la designazione delle Infrastrutture Critiche Europee (ICE) nei settori dell energia e dei trasporti,nonchè le modalità per la valutazione della sicurezza e le prescrizioni minime di protezione delle ICE, in conformità a quanto disposto dalla direttiva europea che recepisce. CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli

13 Unico approccio possibile. L integrazione dei sistemi di gestione: controllo e governo dell ICT per un approccio olistico alle soluzioni organizzative Facile a dirsi ma. CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 13

14 Problematiche comuni Visione limitata e compartimentalizzata Assenza di obiettivi comuni e di una struttura organizzativa adeguata Budget limitato (falso problema?) Sistemi di rendicontazione inadeguati Scarsa consapevolezza Formazione inadeguata CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 14

15 Buone prassi per l adozione di uno standard Committment Correlazione al business Approccio progettuale (scadenze, responsabilità, milestone, deliverables ) Il committente interno come il cliente strategico Budget e rendicontazioni Formazione adeguata CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 15

16 Da dove iniziare Per quali servizi/contratti/leggi abbiamo bisogno di dimostrare efficacia e conformità rispetto ad uno standard In quali scenari di criticità i servizi/contratti potrebbero comportare le maggiori perdite/impatti Quali conseguenze si sarebbe costretti ad affrontare in tali scenari In quali casi le conseguenze potrebbero diventare irreversibili al punto di pregiudicare l esistenza stessa dell azienda CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 16

17 I fondamentali per la ISO Il Plan-Do-Check-Act (PDCA) è una metodologia ed un utile strumento per definire, attuare e controllare le azioni correttive ed i miglioramenti in un Sistema di Gestione. Metodologia PDCA Plan Stabilire gli obiettivi ed i processi necessari per fornire risultati in conformità con i requisiti del cliente, con i requisiti cogenti e le politiche dell'organizzazione; Do Attuare i processi; Check Monitorare e misurare i processi a fronte delle politiche, degli obiettivi e dei requisiti per il prodotto/servizio riportandone i risultati; Act Intraprendere azioni per migliorare continuamente le prestazioni dei processi. Il PDCA è una metodologia dinamica che può essere implementata all'interno di ciascuno dei processi dell'organizzazione. Principi OCSE 1. Consapevolezza 2. Responsabilità 3. Risposta 4. Etica 5. Democrazia 6. Valutazione del rischio 7. Progettazione e attuazione della sicurezza 8. Gestione per la sicurezza 9. Rivalutazione CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli

18 BIA NIST SP CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 18

19 ROSI BIA CLUSIT ROSI v2 CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 19

20 In fin dei conti non è così complesso BIA ROSI Fasi Plan e Do della ISO/IEC 27001:05 Approvazione per l implementazione dell ISMS Definizione dell ambito e della politica dell ISMS Conduzione dell analisi organizzativa Valutazione del rischio e opzioni di trattamento Progettazione dell ISMS Approvazione del management ad avviare il progetto per il SGSI Campo di applicazione e perimetro del SGSI Politica del SGSI Requisiti del SGSI Asset del SGSI Risultato della valutazione dei rischi Approvazione scritta del management per l implementazion e del SGSI Piano trattamento dei rischi Piano di implementazione finale del SGSI Dichiarazione di applicabilità ISO/IEC Un progetto in 5 fasi con tanto di approvazioni e deliverables! CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 20

21 Perimetro e campo di applicazione Definire il campo di applicazione e i limiti del SGSI in riferimento alle caratteristiche del business, all organizzazione, alla sua localizzazione, a beni e tecnologia adottata, includendo dettagli e motivazioni per ogni esclusione dal campo di applicazione UNI CEI ISO/IEC 27001:06 CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 21

22 Perimetro e campo di applicazione Perimetro Perimetro Parte dell organizzazione Intera organizzazione Fornitori di servizi Scopo Clienti Servizi IT CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 22

23 Politica Definire una politica del SGSI, in riferimento alle caratteristiche del business, all organizzazione, alla sua localizzazione, a beni e strutture tecnologiche, la quale: 1. includa una struttura metodologica per fissare gli obiettivi e stabilisca un indirizzo generale e i principi di azione concernenti la sicurezza delle informazioni; 2. consideri i requisiti derivanti dal business e le prescrizioni legali o regolamentari, nonché gli obblighi contrattuali relativi alla sicurezza; 3. si allinei al contesto di gestione dei rischi strategici dell organizzazione, all interno del quale avranno luogo l attuazione e la manutenzione del SGSI; 4. stabilisca i criteri rispetto ai quali ponderare i rischi (vedere punto 4.2.1c)); e 5. sia approvata dalla direzione. NOTA: Ai fini della presente Norma Internazionale la politica del SGSI è considerata di livello superiore rispetto alla politica per la sicurezza delle informazioni. Dette politiche possono essere descritte in un unico documento. UNI CEI ISO/IEC 27001:06 CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 23

24 Beni identificare i beni all interno del campo di applicazione del SGSI e i responsabili (1) di tali beni; (1) Il termine responsabile identifica un individuo o entità in possesso di riconosciute responsabilità gestionali verso il controllo della produzione, dello sviluppo, della manutenzione, dell utilizzo e della sicurezza dei beni. Il termine responsabile non sottintende alcun diritto di proprietà verso il bene. UNI CEI ISO/IEC 27001:06 CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 24

25 Metodologia di valutazione dei rischi Definire l approccio alla valutazione del rischio dell organizzazione. Identificare una metodologia di valutazione del rischio adeguata al SGSI e ai requisiti individuati per la sicurezza delle informazioni relative al business,nonché alle prescrizioni legali e regolamentari. sviluppare criteri per accettare i rischi e identificare i livelli di rischio accettabili (vedere punto 5.1f)). La metodologia scelta per la valutazione del rischio deve assicurare che le valutazioni dei rischi forniscano risultati comparabili e riproducibili. NOTA: Esistono differenti metodologie per la valutazione del rischio. Esempi di metodologie vengono trattate nello ISO/IEC TR , Information Technology Guidelines for the management of IT Security Techniques for the management of IT Security. UNI CEI ISO/IEC 27001:06 CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 25

26 Criticità nella gestione dei rischi Gestire i rischi Valutare i rischi Definire il contesto e gli obiettivi CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 26

27 Metodologia vs tool CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 27

28 Metodologia vs tool CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 28

29 Risk management ISO ISO/IEC Da rischio di business..a rischio dell InfoSec CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 29

30 Metodologie e modelli derivati CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 30

31 Finora abbiamo percorso 4.Sistema di gestione per la sicurezza delle informazioni 4.1 Requisiti generali 4.2 Stabilire e gestire il SGSI Stabilire il SGSI Attuare e condurre il SGSI Monitorare e riesaminare il SGSI Mantenere attivo, aggiornato e migliorare il SGSI 4.3 Requisiti relativi alla documentazione Generalità Tenuta sotto controllo dei documenti Tenuta sotto controllo delle registrazioni 5 Responsabilità della direzione 5.1 Impegno della direzione 5.2 Gestione delle risorse Messa a disposizione delle risorse Formazione e addestramento, consapevolezza e competenza 6 Audit interni del SGSI 7 Riesame del SGSI da parte della direzione 7.1 Generalità 7.2 Elementi in ingresso per il riesame 7.3 Elementi in uscita dal riesame 8 Miglioramento del SGSI 8.1 Miglioramento continuo 8.2 Azioni correttive 8.3 Azioni preventive CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 31

32 Il ruolo della Direzione nella fase Plan 5.1 Impegno della direzione La direzione deve fornire evidenza del suo impegno per stabilire, attuare, condurre, monitorare, riesaminare, mantenere attivo e migliorare il SGSI: a) Istituendo una politica relativa al SGSI; b) Assicurando che siano definiti gli obiettivi e i piani del SGSI; c) Definendo ruoli e responsabilità per la sicurezza delle informazioni; d) Comunicando all organizzazione l importanza di conseguire gli obiettivi per la sicurezza delle informazioni e mantenendo la conformità alla politica per la sicurezza delle informazioni, alle proprie responsabilità legali e alle esigenze di miglioramento continuo; e) Fornendo sufficienti risorse per stabilire, attuare, condurre, monitorare, riesaminare, mantenere attivo, aggiornato e migliorare il SGSI (vedere punto 5.2.1); f) Decidendo i criteri per l accettazione dei rischi e i livelli di rischio accettabili; g) Assicurando che gli audit interni del SGSI vengano effettuati (vedere punto 6); e h) Conducendo i riesami da parte della direzione del SGSI (vedere punto 7). UNI CEI ISO/IEC 27001:06 CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 32

33 Il ruolo della Direzione nella fase Do 5.1 Impegno della direzione La direzione deve fornire evidenza del suo impegno per stabilire, attuare, condurre, monitorare, riesaminare, mantenere attivo e migliorare il SGSI: a) Istituendo una politica relativa al SGSI; b) Assicurando che siano definiti gli obiettivi e i piani del SGSI; c) Definendo ruoli e responsabilità per la sicurezza delle informazioni; d) Comunicando all organizzazione l importanza di conseguire gli obiettivi per la sicurezza delle informazioni e mantenendo la conformità alla politica per la sicurezza delle informazioni, alle proprie responsabilità legali e alle esigenze di miglioramento continuo; e) Fornendo sufficienti risorse per stabilire, attuare, condurre, monitorare, riesaminare, mantenere attivo, aggiornato e migliorare il SGSI (vedere punto 5.2.1); f) Decidendo i criteri per l accettazione dei rischi e i livelli di rischio accettabili; g) Assicurando che gli audit interni del SGSI vengano effettuati (vedere punto 6); e h) Conducendo i riesami da parte della direzione del SGSI (vedere punto 7). UNI CEI ISO/IEC 27001:06 CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 33

34 La documentazione nella fase Plan 4.3 Requisiti relativi alla documentazione Generalità La documentazione deve includere le registrazioni delle decisioni della direzione, assicurare che le azioni intraprese siano tracciabili a fronte delle decisioni della direzione e delle politiche e assicurare che i risultati registrati siano riproducibili. E' importante essere in grado di dimostrare la relazione tra i controlli selezionati e i risultati del processo di valutazione e di trattamento del rischio nonché, successivamente, rispetto alla politica e agli obiettivi del SGSI. La documentazione del SGSI deve includere: a) Le dichiarazioni documentate della politica (vedere punto 4.2.1b)) e degli obiettivi del SGSI; b) Il campo di applicazione del SGSI (vedere punto 4.2.1a)); c) Le procedure e i controlli a supporto del SGSI; d) Una descrizione della metodologia della valutazione del rischio (vedere punto 4.2.1c)); e) Il rapporto della valutazione del rischio (vedere punti da 4.2.1c) a 4.2.1g)); f) Il piano di trattamento del rischio (vedere punto 4.2.2b)); g) Le procedure documentate necessarie all organizzazione per assicurare l efficace pianificazione, l operatività e il controllo dei propri processi di sicurezza delle informazioni e per descrivere come misurare l efficacia dei controlli (vedere punto 4.2.3c)); h) Le registrazioni richieste dalla presente Norma Internazionale (vedere punto 4.3.3); e i) La Dichiarazione di Applicabilità. NOTA 1: Dove, nella presente Norma Internazionale, viene utilizzato il termine procedura documentata, ciò significa che tale procedura è stabilita, documentata, attuata e mantenuta attiva. NOTA 2: L estensione della documentazione del SGSI può variare da un organizzazione all altra a causa: - della dimensione dell organizzazione e della tipologia delle sue attività; e - del campo di applicazione, della complessità dei requisiti di sicurezza e del sistema in gestione. NOTA 3: I documenti e le registrazioni possono essere in ogni formato o tipo di supporto. UNI CEI ISO/IEC 27001:06 CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 34

35 La documentazione nelle altre fasi 4.3 Requisiti relativi alla documentazione Generalità La documentazione deve includere le registrazioni delle decisioni della direzione, assicurare che le azioni intraprese siano tracciabili a fronte delle decisioni della direzione e delle politiche e assicurare che i risultati registrati siano riproducibili. E' importante essere in grado di dimostrare la relazione tra i controlli selezionati e i risultati del processo di valutazione e di trattamento del rischio nonché, successivamente, rispetto alla politica e agli obiettivi del SGSI. La documentazione del SGSI deve includere: a) Le dichiarazioni documentate della politica (vedere punto 4.2.1b)) e degli obiettivi del SGSI; b) Il campo di applicazione del SGSI (vedere punto 4.2.1a)); c) Le procedure e i controlli a supporto del SGSI; d) Una descrizione della metodologia della valutazione del rischio (vedere punto 4.2.1c)); e) Il rapporto della valutazione del rischio (vedere punti da 4.2.1c) a 4.2.1g)); f) Il piano di trattamento del rischio (vedere punto 4.2.2b)); g) Le procedure documentate necessarie all organizzazione per assicurare l efficace pianificazione, l operatività e il controllo dei propri processi di sicurezza delle informazioni e per descrivere come misurare l efficacia dei controlli (vedere punto 4.2.3c)); h) Le registrazioni richieste dalla presente Norma Internazionale (vedere punto 4.3.3); e i) La Dichiarazione di Applicabilità. NOTA 1: Dove, nella presente Norma Internazionale, viene utilizzato il termine procedura documentata, ciò significa che tale procedura è stabilita, documentata, attuata e mantenuta attiva. NOTA 2: L estensione della documentazione del SGSI può variare da un organizzazione all altra a causa: - della dimensione dell organizzazione e della tipologia delle sue attività; e - del campo di applicazione, della complessità dei requisiti di sicurezza e del sistema in gestione. NOTA 3: I documenti e le registrazioni possono essere in ogni formato o tipo di supporto. UNI CEI ISO/IEC 27001:06 CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 35

36 Il ruolo della ISO/IEC Gestione dei beni Politica per la sicurezza Organizzazione della sicurezza Sicurezza delle risorse umane Gestione delle comunicazioni e delle operazioni Sicurezza fisica e ambientale Controllo accessi Acquisizione, sviluppo e manutenzione dei sistemi Gestione degli incidenti Conformità Gestione della continuità aziendale It s a supermarket shop list! CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 36

37 E guardando bene la stessa norma ci suggerisce qualcosa PLAN DO CHECK ACT Prima l efficacia f (4.3.1) 5.2 (4.2.2.b) 6 (4.2.3.c) a d 8 P P ( ) Poi la conformità 7.3.a e d 8.3.d 4.3 P ( g) Coll. Ind. Coll. Dir. CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 37

38 Quando saremo efficaci? Quando saremo in grado di: dimostrare la relazione tra i controlli selezionati e i risultati del processo di valutazione e di trattamento del rischio nonché, successivamente, rispetto alla politica e agli obiettivi del SGSI. UNI CEI ISO/IEC 27001:06 Efficacia: Grado di realizzazione delle attività pianificate e di conseguimento dei risultati Pianificati (UNI EN ISO 9000:2005) CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 38

39 Quando saremo efficienti? Quando saremo in grado di dimostrare che l efficacia richiesta è stata raggiunta : con le risorse (budget) assegnate, senza ulteriori spese impreviste (azioni correttive e incidenti), individuando miglioramenti della sicurezza raggiungibili per mezzo: dei risparmi indotti dal corretto funzionamento del SGSI dalle conseguenti economie di scala ottenibili a parità di budget. Efficienza: rapporto tra i risultati ottenuti e le risorse utilizzate per ottenerli (UNI EN ISO 9000:2005) CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 39

40 La fase Check Mo nitorare e riesaminare il SGSI L organizzazione deve compiere le seguenti azioni: a) Eseguire procedure di monitoraggio e di riesame, nonché altri controlli per: 1) individuare prontamente errori nei risultati delle elaborazioni; 2) identificare prontamente le violazioni relative alla sicurezza e gli incidenti, sia tentati sia riusciti; 3) dare la possibilità alla direzione di stabilire se le attività relative alla sicurezza delegate alle persone o attuate attraverso tecnologie informatiche, si stanno svolgendo come atteso; 4) agevolare l individuazione degli eventi relativi alla sicurezza e quindi prevenire incidenti relativi alla sicurezza, attraverso l utilizzo di indicatori; e 5) stabilire se le azioni intraprese per rimediare ad una violazione della sicurezza sono state efficaci. b) Svolgere dei riesami regolari sull efficacia del SGSI (includendo sia la conformità alla politica e il raggiungimento degli obiettivi del SGSI, sia il riesame dei controlli relativi alla sicurezza) tenendo in considerazione i risultati degli audit della sicurezza, gli incidenti, i risultati delle misurazioni dell'efficacia, i suggerimenti e le informazioni di ritorno di tutte le parti interessate. c) Misurare l efficacia dei controlli per verificare che i requisiti di sicurezza siano stati soddisfatti. d) Riesaminare le valutazioni dei rischi a intervalli pianificati, riesaminare i rischi residui e i livelli accettabili di rischio residuo già identificati, tenendo in considerazione i cambiamenti relativi a: 1) organizzazione; 2) tecnologia adottata; 3) obiettivi e processi relativi al business; 4) minacce identificate; 5) efficacia dei controlli attuati; e 6) eventi esterni, quali cambiamenti del quadro legale o regolamentare, variazioni degli obblighi contrattuali e cambiamenti nel clima sociale. e) Condurre gli audit interni del SGSI a intervalli pianificati (vedere punto 6). NOTA: Gli audit interni, talvolta denominati audit di prima parte, sono condotti dalla stessa organizzazione o per suo conto, esclusivamente per finalità interne. f) Effettuare un riesame da parte della direzione del SGSI a cadenza regolare per assicurarsi che il campo di applicazione rimanga adeguato e i miglioramenti dei processi del SGSI siano identificati (vedere punto 7.1). g) Aggiornare i piani per la sicurezza al fine di tenere in considerazione le risultanze emerse dalle attività di monitoraggio e riesame. h) Registrare le azioni e gli eventi che potrebbero avere un impatto sull efficacia o sulle prestazioni del SGSI (vedere punto 4.3.3). UNI CEI ISO/IEC 27001:06 CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 40

41 Come misurare l InfoSec ISO/IEC CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 41

42 Come misurare l InfoSec ISO/IEC CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 42

43 Come misurare l InfoSec ISO/IEC CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 43

44 Come misurare l InfoSec ISO/IEC CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 44

45 Il valore degli audit interni UNI EN ISO 19011:03 CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 45

46 Il valore degli audit interni 19011:03 Linea guida audit SG ISMS auditing 27008:2011 Audit on ISMS controls Approccio corretto agli audit interni per i SGSI CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 46

47 Il valore degli audit interni Audit: processo sistematico, indipendente e documentato per ottenere evidenze e valutare con obiettività, al fine di stabilire in quale misura i criteri dell audit sono stati soddisfatti. Criteri dell audit: insieme di politiche, procedure e/o requisiti. Evidenze dell audit: registrazioni, dichiarazioni di fatti o altre informazioni verificabili, pertinenti ai criteri. Le evidenze dell audit possono essere qualitative o quantitative. Risultanze dell audit: risultati della valutazione delle evidenze raccolte rispetto ai criteri. Le risultanze possono indicare conformità, non conformità, segnalare opportunità di miglioramento. Conclusioni dell audit: esito di un audit fornito dal gruppo di audit dopo aver preso in esame gli obiettivi dell audit e tutte le risultanze. UNI EN ISO 19011:03 EVIDENZE Risultanze CONCLUSIONI CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 47

48 Ma il contesto è certamente più ampio NIST SP (contingency plan) ISO/IEC ISO/IEC ISO/IEC (& ISO/IEC ) ISO/IEC Risk Management ISO/IEC BIA ROSI ISO/IEC ISO/IEC Societal Security Obiettivo principale: la riduzione di eventuali tempi di disservizio e dei relativi costi/impatti sul business in caso di incidente (ISO/PAS 22399) CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 48

49 In definitiva 1. Approcciare la sicurezza delle informazioni come uno degli aspetti della sicurezza dell azienda (societal security) 2. Partendo dal business e dagli aspetti di compliance (BIA) 3. Per definire un budget sostenibile ed un ritorno degli investimenti (ROSI) 4. Valutando i rischi effettivamente riconducibili al business e definire solo le contromisure sostenibili e funzionali agli obiettivi (risk management) 5. Implementando un SGSI capace di sostenere la sicurezza delle informazioni limitando i danni in caso di incidente ed assicurare la continuità del business. CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 49

50 Problematiche comuni dei SGSI Definizione del perimetro del campo di applicazione del numero di persone incluse nel perimetro dei siti inclusi nel perimetro del grado di complessità in base ai processi produttivi e di sicurezza Presenza di una metodologia consolidata di risk assessment e di valutazioni ripetibili e confrontabili che dimostrino il miglioramento nella gestione dei rischi Definizione del livello di rischio accettabile e accettazione del livello di rischio residuo da parte della Direzione Dimostrazione dell efficacia delle contromisure adottate a fronte dei rischi valutati del SGSI Completamento di almeno un programma di audit interni (che abbiano verificato e dimostrato la conformità ad ogni requisito della norma e ad ogni altro requisito definito) Completamento di almeno due cicli (PDCA) in modo da dimostrare il miglioramento continuo CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 50

51 Problematiche comuni dei SGSI Scarsa conoscenza degli aspetti legali e contrattuali (dlg 196/03, dlg 231/01, L 262/05, SLA, carte dei servizi ecc.) e delle interazioni con altre discipline (ad es. sicurezza sul posto di lavoro) Management disattento alla sicurezza delle informazioni ( è un costo, è un ostacolo ) Scarso collegamento della sicurezza con gli aspetti economico finanziari (tagli, budget insufficienti o inesistenti, ROI) Poco orientati agli utilizzatori ed al mercato (complessi e burocratici) + conformità efficacia (certificazione invece che sicurezza) Troppo tecnicismo e poca organizzazione (+ firewall - cultura) Outsourcing indiscriminato inclusi audit interni (scarso controllo) Documentazione eccessiva (rispetto alle reali esigenze), obsoleta (rispetto al reale stato del SGSI) o incompleta (rispetto a quanto richiesto dalla norma) Scarsa disponibilità al confronto con altre realtà ed alla partecipazione a eventi e gruppi di studio Maggior orientamento alla gestione dell incidente anziché alla prevenzione degli incidenti Scarsa propensione alle prove (Murphy è in agguato!) Metodologia PDCA ignorata o sconosciuta CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 51

52 Vantaggi Approccio razionale alla sicurezza delle informazioni La sicurezza delle informazioni in relazione al business ed agli effetti in caso di incidente Livello di sicurezza sostenibile Processo in top-down alla ricerca del giusto equilibrio in relazione ai rischi effettivi riconducibili agli scenari di business Misurabilità dell efficacia: relazione tra i controlli selezionati e i risultati del processo di valutazione e di trattamento del rischio nonché rispetto alla politica ed agli obiettivi del SGSI Valorizzazione degli asset Consapevolezza dei rischi e delle contromisure adottate Responsabilizzazione delle risorse umane Esatta definizione del perimetro di sicurezza Coinvolgimento e ruolo proattivo del management Attenzione alle vulnerabilità ed alla prevenzione degli incidenti Analisi degli aspetti contrattuali end-to-end della sicurezza delle informazioni.. CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 52

53 Q&A Grazie per la vostra attenzione e partecipazione. Per qualsiasi ulteriore chiarimento/informazione: Fabrizio Cirilli fabrizio.cirilli@pdca-srl.it Mobile CLUSIT Standard ISO e certificazioni per l'ict - F.Cirilli 53