RISK MANAGEMENT: UN APPROCCIO INTEGRATO A SICUREZZA E PRIVACY

Transcript

1 RISK MANAGEMENT: UN APPROCCIO INTEGRATO A SICUREZZA E PRIVACY ROBERT A. ROSEN MANAGING DIRECTOR r.rosen@webcomm.it ROMA, 28 SETTEMBRE

2 Ipotesi N.1 L azienda A opera su un sito web L azienda A vuole conoscere le statistiche per scopi di marketing L azienda X é specializzata in ricerche di marketing L azienda incarica l azienda X di rilevare le statistiche L azienda X prepara un report sul traffico del sito: - Età media e sesso - Residenza - Interessi - Tempo trascorso sul sito - Stipendi

3 Ipotesi N.2 La Banca A offre accesso online ad accounts e investimenti. La Banca A include a un dettagliato accordo di Privacy online (click-through) con default accetto e chiede all utente finale di cliccare su OK La Banca A impiega inoltre alcuni dei 500 dipendenti e più di 1000 consulenti esterni per operare, mantenere e gestire i sistemi sia di back-office che quelli di front-end. La Banca A inoltre utilizza un branch office nel Paese Y che gestisce, come dire, gli accounts non-pubblici. Il sito rivela online per 30 minuti l identità dei proprietari degli accounts e l ammontare dei rispettivi accounts.

4 Stato di Recepimento della Direttiva 95/46/CE Country Directive Implemented Extends to Corporate Data Austria Yes Yes Belgium No (but imminent) No Denmark Yes No France No (but old law broadly complies) No Germany Yes Yes Ireland No No Italy Yes Yes Luxembourg No (but in draft) Yes (old law and new draft law) The Netherlands No (but imminent) No Norway Yes No Portugal Yes No Spain Yes No Sweden Yes No Switzerland No (as non-eu but complies) No United Kingdom Yes No

5 Impatti organizzativi L applica zione della legge implica per ogni trattamento Attività preliminari all inizio di un trattamento nel corso di un trattamento preliminari al termine di un trattamento rivolte all interno dell azienda R R R rivolte all esterno dell azienda R R R

6 Sicurezza Sicurezza nelle IT significa salvaguardare Disponibilità, Integrità e Riservatezza delle informazioni, dai rischi a cui è esposto il Sistema Informativo, mediante l applicazione di contromisure Organizzative, Fisiche e Logiche.

7 DPS Sulla base della: analisi dei rischi, distribuzione dei compiti e delle responsabilità nell ambito della struttura organizzativa per la privacy, deve definire: le misure di sicurezza per la protezione delle aree e dei locali, nonché le procedure per il controllo degli accessi fisici ai locali CED, le misure per assicurare l integrità dei dati, le misure per la trasmissione dei dati, il piano di formazione per gli incaricati sui rischi ed i modi per prevenirli, il piano dei controlli dell efficacia delle misure di sicurezza adottate.

8 Misure organizzative Gestire il processo Sicurezza.» procedure,» ruoli,» compiti e responsabilità,» analisi dei rischi,» prescrizione di linee-guida di sicurezza (policy),» altre istruzioni interne,» assegnazione di incarichi,» redazione di appositi mansionari,» formazione professionale,» classificazione dei dati,» registrazione delle consultazioni,» documentazione dei controlli periodici,» verifiche periodiche su dati o trattamenti non consentiti o non corretti,» distruzione controllata dei supporti,» piano di disaster recovery, Un DPS opportunamente strutturato può rispondere a questi requisiti.

9 Misure fisiche Proteggere aree e componenti del sistema informativo. Sicurezza di area Protezione perimetrale dei siti, controlli fisici all accesso, sicurezza delle sale computer rispetto a danneggiamenti accidentali od intenzionali, protezione fisica dei supporti. Sicurezza delle apparecchiature hardware Protezione da danneggiamenti accidentali od intenzionali, sicurezza degli impianti di alimentazione e di condizionamento, manutenzione dell hardware, protezione da manomissioni o furti.

10 Misure logiche Proteggere l informazione, ovvero il corretto funzionamento, utilizzo, gestione e manutenzione di dati, applicazioni, sistemi e reti. Rubriche delle funzioni di sicurezza ITSEC:» Identificazione e Autenticazione,» Controllo accessi,» Imputabilità,» Audit,» Riutilizzo dell oggetto,» Fedeltà,» Affidabilità del servizio,» Scambio dei dati (OSI): Autenticazione, Controllo accessi, Riservatezza dei dati, Integrità dei dati, Non disconoscimento.

11 Sicurezza Sicurezza dei dati I dati personali oggetto di trattamento devono essere custoditi e controllati, in via preventiva, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, [Art. 15, DL 675/1996] Omessa adozione di misure necessarie alla sicurezza dei dati l omissione delle misure necessarie a garantire la sicurezza dei dati personali, è punito con la reclusione... [Art. 36, DL 675/1996] Non sono previsti esoneri riguardo la sicurezza dei dati

12 Sicurezza L adozione delle misure minime di sicurezza individuate dal DPR 318/1999 scagiona dalla responsabilità penale. ma non basta!!! Per non incorrere nella responsabilità civile è necessario adottare idonee misure di sicurezza in modo da ridurre al minimo i rischi di: distruzione o perdita, anche accidentale, dei dati, accesso non autorizzato, trattamento non consentito o non conforme alle finalità della raccolta.

13 Scaletta Cosa è Risk Management Come gestire il rischio: un approccio integrato Come documentare il rischio

14 Che cos è Risk Management? Gestione dei rischi a cui un impresa è sottoposta derivanti dall errore umano, dai limiti tecnologici e infrastruttturali e dall ambiente interno/esterno. (Traduzione: Tutela dell informazioni aziendale)

15 Informazioni Aziendali sono Dappertutto Strutturate e non strutturate In continuo cambiamento 85% di tutte le informazioni non sono in un database Corporate XML Information

16 LIVELLI DI ACCESO Customer Inquiries Supply Chain Transactions APP 2 INVENTORY INTERNET APP 1 CRM APP 6 HR/AMMIN Customer Transactions Mobile/Remote Employees INTRANET CORPORATE Customer/ Supply Chain Transactions APP 3 ORDER FULFILLMENT VPN APP 4 SUPPLY CHAIN APP 5 LOGISTICA Extranet Network/Application Security Customer Inquiries Supply Chain Transactions Application security

17 Risk Index Security needs Corporate frontiers Virtual Community Extranet E-commerce Confidentiality Basic Internet Intranet Protection Authentication Access control e-business scope

18 Scaletta Cosa è Risk Management Come gestire il rischio: un approccio integrato Come documentare il rischio

19 COME GESTIRE I RISCHI? LE TRE ZONE DI RISCHIO PER OGNI BUSINESS COMMERCIALE TECNOLOGICO LEGALE GLI OBBIETIVI + I TOOL + I REQUISITI GL

20 I moduli Diagnosi Risk Analysis Obblighi di legge Verifiche Gestione F o r m a z i o n e Un approccio integrato che copre: - L obbligo - L opportunità - L impatto sulla organizazzione

21 Diagnosi Verifica della documentazione esistente e individuazione di eventuali lacune e incoerenze rispetto al DL 675/96 Raccolta documentazione già prodotta dal cliente e delle informazioni relative alle misure minime di sicurezza previste dal DPR 318/99 Notifica dello stato di completezza della documentazione al fine di risolvere ed eliminare le eventuali anomalie

22 Risk Analysis (A) A. Identificazione e valorizzazione dei beni da proteggere - Luoghi fisici - Hardware - Dati su ogni tipo di supporto (cartaceo,digitale ) - Risorse professionali

23 Risk Analysis (B) B. Identificazione delle minacce - Agenti o eventi - Classificazione dei pericoli - Stima dell impatto - Conseguenze

24 Risk Analysis (C) C. Determinazione del livello di rischio - Analisi dell efficacia delle difese in essere - Determinazione del livello di vulnerabilità - Determinazione del rischio

25 Risk Analysis (D) D. Raccomandazioni - Evitare - Trasferire - Ridurre - Accettare

26 Adempienza agli obblighi A. Attuazione delle misure minime/idonee di sicurezza in base al DL 675/96 B. Redazione/aggiornamento del documento programmatico sulla sicurezza in conformità al DPR 318/99

27 Formazione Formazione per il personale che adempirà agli obblighi previsti per legge. I piani di formazione sono richiesti dal DPR 318/99 al fine di prevenire i danni ai beni individuati.

28 Formazione P rodotto Caratterist. Ipotesi tecnica Modalità di erogazione Interesse relativo e P rospettive Formazione DI LEGGE per gli incaricati Autodidattica Con evidenze formale della avvenuta erogazione Basso costo Flessibilità di erogazione Adatta a numeri elevarti di fruitori 2/ 3 ore di formazione autodidattica Brochure + questionario CBT su CDROM + forma di valutazione Piattaforma in affitto web server in LAN Piattaforma via internet web server in rete Numero verde di help desk ALTO Divenire la scuola dell azienda non solo per la sicurezza Deve dimostrare la bontà delle piattaforme e dei contenuti

29 Formazione P rodotto Caratterist. Ipotesi tecnica Modalità di erogazione Interesse relativo e P rospettive Formazione specialistica per amministrato ri e tecnici Strettamente dipendente dalla tecnologia di sicurezza Da progettare con il cliente Tematiche della sicurezza Analisi dei rischi Monitoraggio della sicurezza Ecc. Formazione on site MEDIO Da erogare anche con specialisti di terze parti

30 Formazione P rodotto Caratterist. Ipotesi tecnica Modalità di erogazione Interesse relativo e P rospettive Sensibilizzazi one per i responsabili Aspetti gestionali, giuridici tecnici della sicurezza (di cui la privacy e una parte) Strettamente legata alla consulenza Brevi e significativi Seminari e Workshop in sedi aperte o preferibilmente presso il cliente ALTISSIMO

31 Verifiche e aggiornamenti Al variare delle normative o con cadenza stabilita, controllo e aggiornamento delle misure adottate.

32 Gestione e trattamento del rischio residuo Supporto al lavoro di stesura definitiva del documento programmatico in tutte le sue parti, controllo delle misure di sicurezza applicate e controlla del rischio residuo

33 DEMO

34 Demo

35 Schema dell in tervento di Privacy e Sicurezza Documenti obbligatori per la privacy Fase 1 Rapporto sulla correttezza Processi aziendali, Procedure operative e di sicurezza: (documenti, interviste, questionari) Fase 2 Fase 3 Rilievi e Suggerimenti Aggiornamento dichiarazioni e doc. obbligatori Agg. Documento Programmatico Sicurezza Privacy e business. La sicurezza come leva strategica. I rischi della situazione attuale. Possibili interventi di miglioramento Sicurezza obbligatoria Sic urezza necessaria

36 Scaletta Cosa è Risk Management Come gestire il rischio: un approccio integrato Come documentare il rischio

37 (ESEMPIO) GESTIRE IL RISCHIO ATTIVAMENTE RISCHIO IMPATTO AZIONI RISCHIO RESP. CONTINGENCY RESIDUO AZIONI 1. Strat Legale Proc

38 Risk Mapping Renovation may have introduced processing ineffi... Systems processing Undetected erroneous outputs Failures in links to creditscoring organisations Operational issues Excessive cash demands - long holiday Increased security risks when on-line authorisation is not... Introduction of non-compliant 3rd party software Introduction of non-compliant code after renovation Failures in incoming information Account credits expected by customers, but not applied Data flows Ongoing compliance Current Risks for Banks, etc Third party dependencies Card manufacturers - high demands due to backlog Failures deeper into the supply chain Heavy dependence on utilities (electricity/telecoms) Slippage in delivery of compliant 3rd party s/w Inneffective systems testing Problems with system replacement projects Security problems in embedded chips End User Computing - poor standards Programme Legislative demands Business pressures New government legislative demands (e.g. EMU in Europ... Production of progress information Mergers and acquisitions Electronic commerce Staff turnover - perennial problem (hot spots)

39 I vantaggi dell RM Un analisi pragmatica dei rischi potenziali, inclusi gli aspetti legali, le infrastrutture, e la tecnologia coinvolta nel progetto. Documentazione del rischio potenziale inglobato nel progetto. Strategie di soluzione, quando possibile, indicanti gli approcci strutturati pratici per lo staff esistente al fine di monitorare e gestire il rischio identificato. Assicurazioni!!

40 WebComm La Nostra WebCommunità PUOPOLO SISTILLI GEFFERS & LUISE CATALYST CONSULTING GROUP XO SOFT In Italy Global Alliances IL GRUPPO E-Mkt

41 Conclusioni e domande Grazie per l attenzione Avv. Robert A. Rosen Amministratore Delegato WebComm r.rosen@webcomm.it