Sicurezza delle informazioni

Transcript

1 ISO/IEC 27001:2013 Sistema di Gestione per la Sicurezza delle Informazioni Sicurezza delle informazioni ISO/IEC 27001:2013 Information technology Tecniche di sicurezza delle informazioni Sistema di gestione per la sicurezza delle informazioni Introduzione Tutte le organizzazioni, sia pubbliche sia private, fanno uso di svariati processi che vanno dalla raccolta, alla gestione, alla memorizzazione e alla trasmissione delle informazioni che si presentano in diverse forme: elettroniche, fisiche e verbali. Il valore delle informazioni va oltre ogni nostra immaginazione: conoscenza, concetti, idee e marchio di fabbrica sono solo un esempio delle forme intangibili delle informazioni e del relativo valore che esse rappresentano. In un mondo interconnesso, le informazioni e i processi correlati ai sistemi, alle reti e al personale coinvolto nelle fasi di elaborazione, gestiscono e proteggono questi beni/risorse che rappresentano un valore importante per le attività dell organizzazione e conseguentemente richiedono e meritano una dovuta protezione rispetto ai diversi pericoli che si possono prospettare. Queste risorse sono soggette a minacce sia esse deliberate o accidentali, mentre il personale, i processi, le reti e i sistemi sono soggetti a vulnerabilità. I cambiamenti delle attività di business, interni o esterni alle organizzazioni, possono creare nuovi rischi per la sicurezza delle informazioni. Tuttavia, data le svariate modalità attraverso le quale le minacce possono sfruttare le vulnerabilità che mettono in pericolo un organizzazione, i rischi per la sicurezza delle informazioni sono sempre presenti. Un sistema efficace per la sicurezza delle informazioni riduce questi rischi proteggendo l organizzazione da minacce e vulnerabilità e contestualmente riduce l impatto dei rischi alle sue risorse. La sicurezza delle informazioni si raggiunge implementando un set di controlli, che includono politiche, processi, procedure da applicare alle strutture organizzative e alle funzioni software e hardware. In questo contesto appare fondamentale investire anche sulla formazione al personale, che spesso risulta l anello debole di tutto il sistema organizzativo. Questi controlli devono essere valutati, implementati, monitorati, rivisti e migliorati quando necessario, per assicurare che gli obiettivi specifici della sicurezza e del business dell organizzazione siano rispettati. Un sistema di gestione della sicurezza delle informazioni, così come specificato dalla norma ISO/IEC 27001, permette di avere una visione coordinata e olistica dei rischi alla sicurezza delle informazioni, implementando un set completo di controlli gestito da un sistema coerente con la politica aziendale e gli obiettivi dell organizzazione stessa. Nella maggior parte dei casi, i sistemi informativi presenti in un azienda non sono stati progettati per essere sicuri seguendo gli specifici requisiti dello standard ISO/IEC La sicurezza che può essere ottenuta attraverso solamente mezzi tecnici è limitata e dovrebbe essere supportata da una specifica politica aziendale e da un sistema procedurale adeguato. Identificare quali controlli dovrebbero essere attuati richiede una pianificazione attenta a tutti i dettagli. Un sistema efficace di gestione per la sicurezza delle informazioni richiede un supporto da parte di tutto il personale interno all organizzazione, che deve essere opportunamente formato, e delle parti esterne come clienti, fornitori e collaboratori.

2 Cos è la certificazione ISO27001 La normativa ISO/IEC 27001:2013 fornisce dei requisiti per istituire, mantenere e migliorare continuamente un sistema di gestione per la sicurezza delle informazioni. L adozione di un sistema di gestione per la sicurezza delle informazioni è una decisione strategica per un organizzazione. L implementazione un tale sistema è influenzato dai bisogni dell organizzazione e dagli obiettivi della stessa. Lo standard normativo è applicabile a tutti i tipi di organizzazione (pubbliche, private, non profit) di tutte le dimensioni e di tutti i settori industriali come ad esempio commercio, industria, difesa, salute, scuola e pubblica amministrazione, dal grande conservatore di informazioni al laboratorio di analisi privato. Un sistema di gestione per la sicurezza delle informazioni, preserva la confidenzialità, l integrità e la disponibilità delle informazioni prevendendo un processo di valutazione dei rischi e assicurando alle parti interessate la loro adeguata gestione. In particolare: La confidenzialità assicura che l accesso alle informazioni sia appropriatamente autorizzato. L integrità salvaguardia l accuratezza e la completezza delle informazioni e dei relativi processi di elaborazione. La disponibilità assicura che gli utenti autorizzati abbiano accesso alle informazioni in modo controllato e in caso di necessità. La certificazione ISO/IEC 27001:2013 ha dei fondamenti storici che risalgono a primi anni 90, ma si è sviluppata e consolidata successivamente dai primi anni del 2000 (BS7799 poi divenuta ISO e successivamente ISO27001 edizione 2005 e 2013). L organizzazione che decide di certificarsi inizia con un percorso decisionale di orientamento alla sicurezza delle informazioni che coinvolge l alta direzione per poi sviluppare una sequenza di fasi di progetto per la valutazione dei rischi e l implementazione dei controlli che riducono questi rischi identificati. Il percorso di attuazione della metodologia di certificazione può essere affiancato da consulenti specializzati che aiuteranno l organizzazione a raggiungere livelli di affidabilità adeguati per procedere alla verifica finale da parte dell Organismo di Certificazione. Il sistema di gestione per la sicurezza delle informazioni deve essere mantenuto e migliorato continuamente affinché possa ritenersi sempre efficace al variare di tutte le condizioni, sia interne che esterne, che fanno parte e influenzano le attività di business dell organizzazione. Benefici per le aziende L implementazione dello standard ISO/IEC27001:2013 e l ottenimento della certificazione assicurano che la gestione della sicurezza delle informazioni di un organizzazione è adeguatamente indirizzata e che i propri valori e le proprie risorse informative sono propriamente controllati e preservati. Una dimostrazione dell efficacia dell implementazione dei SGSI è dimostrato dal crescente numero di certificati rilasciati ai sensi della norma ISO/IEC27001, che in Italia sono, ad oggi, più di 800, a fronte dei 300 del Le organizzazioni che seguono un processo di certificazione della normativa ISO/IEC27001:2013 godono di enormi vantaggi e benefici tra cui: Mantenere sicure le informazioni confidenziali Dare ai clienti e ai proprietari dell organizzazione la confidenza che i rischi vengono gestiti in maniera adeguata Scambiare le informazioni in modo sicuro Fornire all organizzazione un vantaggio competitivo Migliorare la soddisfazione dei clienti Costruire una cultura basata sulla sicurezza Gestione e minimizzazione dell esposizione al rischio Consistenza nel rilascio dei propri servizi o prodotti Proteggere le proprie risorse Conservare il valore delle risorse e delle informazioni

3 Metodologia progettuale La metodologia progettuale che viene applicata prende spunto dalla normativa ISO-IEC che traccia le basi progettuali consigliate per l implementazione del sistema di gestione per la sicurezza delle informazioni. Grazie alla nostra grande esperienza maturata nei servizi di consulenza ed in particolare nei sistemi di gestione, abbiamo riadattato lo schema progettuale semplificandolo il più possibile in modo che si possa adattare facilmente anche alle realtà medio-piccole e permettendo il raggiungimento dell obiettivo della certificazione in tempi ridotti. Inoltre ci avvaliamo di tecnologie software in cloud computing (SaaS) che permettono di gestire in modo integrato, modulare e flessibile tutti i principali processi organizzativi aziendali definiti dagli Standard Internazionali relativi ai Sistemi di Gestione. Di seguito uno schema esemplificativo delle principali attività progettuali coinvolte nel processo di certificazione ISO-IEC Questionario di autovalutazione Check-up iniziale presso l organizzazione Proposta progettuale ad hoc per l organizzazione Definizione del perimetro e della politica del SGSI Approvazione della direzione Progettazione SGSI Inventario e classificazione degli asset informativi Sviluppo del progetto Verifica da parte di ente terzo accreditato Implementazione SGSI Monitoraggio e controllo del SGSI Attività formativa Audit interno Identificazione delle minacce e delle vulnerabilità Valutazione dei rischi e piano di trattamento Progetti di adeguamento Certificazione ISO 27001

4 Questionario di autovalutazione Questo documento è stato progettato per valutare la vostra preparazione alla normativa ISO/IEC 27001:2013 (SGSI). Vi invitiamo a leggere e compilare il seguente questionario: vi aiuterà a comprendere quali possano essere i punti deboli nella vostra organizzazione in merito alla gestione delle informazioni e fornirà a noi indicazioni su come potervi aiutare. Dati societari Nome dell Organizzazione: Indirizzo Persona di riferimento Mansione Indirizzo Telefono Numero totale di addetti Numero di impiegati Numero di siti Numero di server Numero di postazioni di lavoro e mobile Settore industriale Breve descrizione dell attività svolta dalla Vs organizzazione Fatturato annuo Sono presenti altre certificazioni? Sì NO Se sì, quali? ISO 9001:2008 ISO 9001:2015 ISO ISO ISO ISO Altro (indicare)

5 Modalità di gestione dell attuale sistema informativo Gestione interna con responsabile N. Addetti ICT Gestione interna senza responsabile N. Addetti ICT Consulente esterno Società esterna Quali sono le normative cogenti a cui l organizzazione deve essere conforme? Esistono particolari requisiti contrattuali che spingono l organizzazione ad una maggiore sicurezza delle informazioni? Cloud Computing PCI Privacy Altro (indicare) Tipi di dati trattati dall organizzazione: Personali Sensibili/Giudiziari Progetti Amministrativi Dati di terzi Altro (indicare) Domande per valutare la necessità di adottare una specifica normativa per il trattamento della sicurezza delle informazioni Quesiti introduttivi 1. L organizzazione ha mai riscontrato una particolare necessità in merito alla gestione della sicurezza per le informazioni? Sì NO 2. L organizzazione ha già iniziato un percorso anche solo informativo relativamente alla sicurezza delle informazioni? 3. L organizzazione ha mai valutato le opportunità che assicurerebbe un sistema di gestione per la sicurezza delle informazioni? 4. L organizzazione ha mai subito un danno informatico (attacco virus, attacco hacker) di qualsiasi genere o entità? Privacy e cogenze legislative 5. L organizzazione applica delle procedure per assicurare la privacy e la protezione dei dati personali come richiesto dalla specifica legislazione?

6 6. L organizzazione conduce degli audit interni per controllare il rispetto di normative sulla sicurezza delle informazioni o sul rispetto della privacy? 7. Siete consapevoli dell entrata in vigore al 1 Gennaio 2016 del nuovo regolamento europeo che sostituisce l attuale normativa sulla privacy (DL196/2003) 8. In caso di normative cogenti, l organizzazione ha definito e documentato tutti i requisiti cogenti e contrattuali pertinenti da applicare al sistema informativo e all organizzazione stessa? 9. Per i software in uso, sono disponibili le licenze di utilizzo? Vi sono delle procedure di controllo per questo? Misure di sicurezza 10. Esiste una procedura per proteggere i dispositivi e i supporti, in modo da evitare accessi non autorizzati, utilizzi impropri o manomissioni? 11. Le apparecchiature per il trattamento delle informazioni sono protette da: - minacce e pericoli ambientali - accessi non autorizzati - malfunzionamenti della rete elettrica 12. I sistemi informatici sono protetti da virus e attacchi? 13. Quando si utilizzano dei sistemi di comunicazione remota (per es. ), esistono procedure di controllo e protezione dei dati? 14. In caso di integrazione o espansione del sistema informativo, sono valutati i requisiti relativi la sicurezza? 15. In caso di modifica o cambiamento dei sistemi applicativi, sono presenti dei controlli per prevenire perdite o fughe di dati? 16. In caso di nuovi sistemi informativi (o aggiornamenti), sono previsti dei test per verificarne la sicurezza? Utilizzo da parte degli utenti 17. I sistemi informatici dell organizzazione prevedono un area riservata? Se sì, questa è protetta dall utilizzo di utenti non accreditati?

7 18. Esiste una politica di controllo degli accessi per assicurare che gli utenti abbiano l adeguata autorizzazione e venga rispettata la necessaria confidenzialità nel trattamento delle informazioni? 19. Esiste una procedura per il trattamento dei supporti removibili (chiavette USB, CD/DVD)? 20. Gli utenti si assicurano che le apparecchiature lasciate incustodite siano adeguatamente protette? 21. E vietato comunicare a terzi (anche se colleghi) le proprie password? Il divieto viene rispettato? Sempre a volte No 22. Viene richiesto il cambio delle password ad intervalli definiti? 23. L organizzazione fa uso di risorse esterne nel trattamento delle informazioni? Vi sono delle misure di sicurezza a riguardo? 24. Vengono raccolti dati sulle attività degli utenti (accessi, eccezioni, malfunzionamenti, eventi relativi alla sicurezza delle informazioni)? 25. Vi sono disposizioni che regolano l installazione di software da parte degli utenti? Sì NO Gestione del sistema di sicurezza e trattamento delle informazioni 26. E stato individuato un campo di applicazione in cui adottare misure di sicurezza informatica? Il management dell organizzazione è coinvolto in prima persona in questo genere di progetto/investimenti? Esiste un regolamento aziendale (o delle prassi) per la sicurezza informatica? Se sì, è rispettato? L organizzazione ha valutato il rischio relativo alla sicurezza delle informazioni? Se sì, relativamente a: L organizzazione applica delle politiche per la sicurezza delle informazioni e trattamento dei dati (uso di PC fissi e portatili, dispositivi mobili, telelavoro, ecc.)? Sempre a volte No perdita di riservatezza disponibilità delle informazioni integrità delle informazioni

8 Il personale riceve formazione circa i rischi relativi alla gestione delle informazioni? Se sì, è adeguata e periodica? Le competenze e le risorse per la gestione delle informazioni sono definite in un inventario? Se sì, è designato un responsabile dell inventario? Internamente all organizzazione, le informazioni sono classificate, in modo che le più sensibili siano a disposizione solo ai diretti interessati? 34. L organizzazione è consapevole delle vulnerabilità tecniche e dei rischi potenziali del proprio sistema informatico? 35. Esistono delle procedure per valutare e rispondere agli incidenti relativi la sicurezza delle informazioni? Business Continuity 36. In caso di cambiamenti nell organizzazione, la sicurezza delle informazioni potrebbe risentirne? Sarebbe utile valutarne l impatto? 37. Viene eseguito, ad intervalli regolari, il backup dei sistemi, delle informazioni e dei software? 38. In caso di accadimenti avversi (per es. forti eventi atmosferici), l organizzazione sarebbe in grado di assicurare la continuità della gestione delle informazioni? (per es. disponendo di più di una copia di backup) Istruzioni È possibile restituire il questionario compilato secondo le seguenti modalità: Stampate, compilate, scansionate e inviate a info@cura.ws oppure a info@consind.it Compilate direttamente il PDF, salvatelo con nuovo nome e inviatelo a info@cura.ws oppure a info@consind.it Compilate direttamente online, cliccando qui (servizi di Google Forms) V.le Rimembranze, 43 Saronno (VA) Tel. 02/ info@consind.it C.U.R.A. Consorzio Universitario di Ricerca Applicata Via Marzolo 9, Padova info@cura.ws