Presidente del SC27 italiano e membro del direttivo di UNINFO. Capo delegazione italiana per il JTC1/SC27 ISO/IEC

Transcript

1

2 Speaker Fabio Guasconi Presidente del SC27 italiano e membro del direttivo di UNINFO Capo delegazione italiana per il JTC1/SC27 ISO/IEC ISECOM Vice Direttore delle Comunicazioni Membro di CLUSIT, ITSMF, ANSSAIF, ISACA Roma CISA, CISM, LA27001, ITILv3, ISFS, PCI-QSA Team Manager, Senior Security Mediaservice.net

3 Sicurezza delle informazioni Conservazione della riservatezza, dell'integrità e della disponibilità delle informazioni; inoltre, possono essere coinvolte altre proprietà quali l'autenticità, la responsabilità, il non ripudio e l'affidabilità. Le nuove prescrizioni sono solo parte della sicurezza delle informazioni

4 Situazione ideale 1: Need to know i dati sono visibili solo a chi ha una necessità lavorativa per accederli e solo nel momento in cui deve accederli 2: Tracciabilità le operazioni effettuate sui dati devono essere tracciabili senza dubbio alla persona che le ha effettuate e al momento in cui sono state effettuate 3: Monitoraggio accessi anomali devono essere segnalati immediatamente in modo da attuare le misure di contenimento per limitare eventuali incidenti

5 Situazione attuale 1: Need to know Gli operatori di filiale / sede centrale hanno molti più dati a disposizone del necessario "per non legare l operatività" 2: Tracciabilità Sono tracciate solo le operazioni dispositive, a volte anche quelle di modifica di dati anagrafici 3: Monitoraggio Pochissimo monitoraggio sulle attività degli incaricati, eventualmente utilizzato solo in caso di incidente

6 Come soddisfare il Garante Misure necessarie Designazione dell'outsourcer quale responsabile del trattamento Tracciamento delle operazioni Conservazione dei log di tracciamento delle operazioni Implementazione di alert Audit interno di controllo Rapporti periodici Soluzioni Accordi contrattuali con gli outsourcer Configurazione del logging opportuno sui DB / sulle applicazioni (registriamo tutto?) Impostazione locale / centrale del retention time per 24 mesi Definizione di cosa deve generare un alert e del suo uso Regolamentazione dell attività da effettuarsi

7 Come soddisfare il Garante Misure opportune Informativa all'interessato Informazioni all'interessato Comunicazioni al Garante Soluzioni Aggiornamento delle informative Estrazione dai report di audit (servizio a pagamento?) Notifica al Garante in caso di incidente fraudolento, quando si coinvolgono le autorità

8 Come soddisfare il Garante Bisogna aggiungere "per ora"? Ci sono 30 (25!) mesi di tempo per iniziare a lavorare e portare a termine un progetto complesso per chiarificare i requisiti sulla base delle domande che arriveranno per cambiare idea sui requisiti, sui tempi etc. L esperienza passata non è una buona testimone ma prevenire è sempre meglio che curare.

9 Punti di poca chiarezza? "Devono essere adottate idonee soluzioni informatiche per il controllo dei trattamenti condotti sui singoli elementi di informazione presenti sui diversi database." Sui singoli campi? Una query complessa può generare molti log, eventualmente si possono aggregare? "Negli strumenti di business intelligence devono confluire i log relativi a tutti gli applicativi utilizzati per gli accessi." A parte la correttezza della dicitura, se non sono già adottati strumenti di questo tipo?

10 Norme internazionali ISO/IEC Accessi riusciti e tentati Tutte le operazioni privilegiate Alert o errori di sistema Cambiamenti tentati o riusciti delle impostazioni di sicurezza PCI-DSS Accessi riusciti e tentati Tutte le operazioni privilegiate Reinizializzazione dei log Creazione e rimozione di oggetti a livello di sistema

11 Tipico sistema bancario Filiale / Call center Area territoriale Sede centrale Terminale 3270 Procedure Mainframe Database

12 Sistema centralizzato o locale? La scelta dipende dalla realtà tecnologica ma può essere in entrambi casi accettabile sotto la lente delle nuove prescrizioni Sistema Centralizzato + Serve per fare correlazioni complesse + Permette di gestire più efficacemente una grande mole di dati - Se non si è già implementato è un costo significativo Sistema Locale (DB) + Costi più contenuti - E meno efficace per individuare incidenti

13 Domande "calde" Bisogna riscrivere tutto il software che tratta i dati personali? Non necessariamente, dipende dall architettura IT Le richieste via posta elettronica vanno considerate? E le informazioni mantenute in forma non strutturata come sono gestite? Possibile inclusione, necessario verificare se ci sono processi che le usano o se sono attività occasionali La consultazione di stampe e report elettronici è considerata? Le stampe non ricadono in ambito, i report elettronici devono essere considerati secondo la loro specificità, potrebbero essere esclusi in quanto non consistono o derivano dall uso interattivo di sistemi Chi può utilizzare i log? L area di compliance, gli auditor non normato!

14 Sommario degli interventi sul campo 1. Profilo "low cost" Solo i DB Niente «business intelligence» Alert interni VS 2. Profilo "high performance" DB, applicazioni, dati non strutturati «Business intelligence» Alert interni ed esterni

15 Way forward 1. Analisi di processi e strumenti 2. Razionalizzazione VS 3. Implementazione delle soluzioni

16 Side effects Capacità di storage per i log facilmente moltiplicate in modo consistente (da considerare eventuali backup) Maggior effort per la gestione del quotidiano Focalizzazione dell attenzione sull aspetto dei log (meno attenzione sul resto delle tematiche legate alla sicurezza) Adozione di sistemi di correlazione di eventi Opportunità per rivedere processi e applicazioni legacy Orientamento alla notifica degli incidenti

17 Si può fare di più? Riutilizzando (con attenzione al nuovo carico!) Sistema di centralizzazione dei log per gli AdS Sottosistemi di logging del DBMS Sistema di correlazione degli eventi Struttura per la gestione degli incidenti Procedure di audit dei log Andando oltre i requisiti per raggiungere migliori livelli di sicurezza Per avere meno incidenti da notificare? (guadagno d immagine) O ne riparliamo un altra volta

18 Cosa ha "dimenticato" il Garante Alcuni dettagli I time server e la sincronizzazione dei log (mancanza recidiva) Protezione dei log: l integrità magari è stata trascurata volontariamente ma riservatezza (chi può accedere) e disponibilità (come garantirla e.g. backup)? Reazione agli incidenti individuati, al di là della loro comunicazione Una data retention policy?

19 Sicurezza delle informazioni: Risk Assessment Logging Policy & Requisiti Plan Do Contromisure Annex A Act Check Miglioramento Efficacia Audit

20 Question time

21 Riferimenti (doc web ) NIST SP Guide to computer security log management PCI-DSS 2.0 Payment Card Industry Data Security Standard ISO/IEC 27002:2005 Code of practice for information security management