Sicurezza informativa: verso l integrazione dei sistemi di gestione per la sicurezza

Transcript

1 Sicurzza informativa: vrso l intgrazion di sistmi di gstion pr la sicurzza Convgno ABI Banch Sicurzza 2006 Roma, 7 Giugno 2006 Raoul Savastano, Rsponsabil Srvizi Sicurzza KPMG Irm Advisory

2 Agnda Il problma la Sicurzza l Informazioni Il Sistma di Gstion la Sicurzza l Informazioni Gli standard di Sicurzza di rifrimnto Un confronto tra divrsi sistmi di gstion (Sicurzza, Privacy Businss Continuity) Un molo di gstion intgrato Gli asptti organizzativi, documntali mtodologici di un intgrato I vantaggi l intgrazion 2

3 Il problma la sicurzza l informazioni Whatvr form th information taks,, or mans by which it is shard or stord, it should always b appropriatly protctd. (ISO 17799:2005) STAMPATA SCRITTA SU CARTA MEMORIZZATA SU SUPPORTI ELETTRONICI TRASMESSA ELETTRONICAMENTE TRASMESSA ORALMENTE 3

4 Il problma la sicurzza l informazioni - sgu La Sicurzza l informazioni si carattrizza nlla salvaguardia protzion di paramtri fondamntali l informazioni stss: Risrvatzza L informazion dv ssr accssibil solo a chi è autorizzato Disponibilità Intgrità + Autnticità L informazion dv ssr accssibil quando richista L informazion a cui si accd non dv ssr altrata L idntità la font l informazion non dv ssr altrata 4

5 Il Sistma di Gstion la Sicurzza l Informazioni () Il Sistma di Gstion la Sicurzza l Informazioni si pon com obittivo fondamntal qullo di garantir un adguato livllo di sicurzza di dati l informazioni nll ambito la progttazion, sviluppo d rogazion di srvizi azindali, attravrso l idntificazion, la valutazion d il trattamnto di rischi ai quali i srvizi stssi sono soggtti. Il govrno la sicurzza l informazioni rcpisc i rquisiti lgali l normativ di sttor a livllo nazional intrnazional, ad smpio i rgolamnti mssi dalla Banca d Italia dall ABI, D.Lgs 196/2003 in matria di tutla di dati prsonali, D. Lgs 231/2001 in matria di rsponsabilità amministrativa, cc. 5

6 Gli Standard di Sicurzza di rifrimnto I principali standard di sicurzza possono ssr distinti a sconda dgli ambiti di applicazion in cui sono maggiormnt utilizzati (Prodotto / Sistma) tipo di norm in ssi contnut (Tcnich / Non tcnich). Prodotto Sistma Tcnici ITSEC COMMON CRITERIA ISO TR ISO ISO Non tcnici 6

7 Gli Standard di Sicurzza di rifrimnto : l scondo l ISO La Norma ISO spcifica i rquisiti pr implmntar, gstir, controllar, monitorar un Sistma di Gstion la Sicurzza l Informazioni (). Spcifica i rquisiti pr l misur di sicurzza da implmntar in accordo ai bisogni di una spcifica organizzazion. Prscind dai mzzi con cui l informazioni vngono crat, trasmss, modificat, consrvat distrutt. Adotta un approccio pr procssi impiga la mtodologia Plan-Do Do-Chck-Act (PDCA). Utilizza lo stsso molo di procsso di sistmi di gstion ISO 9001 (Qualità) ISO (Ambint). Dal 15 ottobr 2005 la BS :2002 vin rcpita com ISO/IEC

8 Un confronto tra i divrsi sistmi di gstion Elmnti distintivi Cosa protgg PRIVACY Tutt l banch dati prsonali particolari così com dfinit dal D. Lgs. 196/03 SICUREZZA L ambito di applicazion può ssr spcificato libramnt (azinda/procsso) Focus su Risrvatzza, Intgrità Disponibilità BUSINESS CONTINUITY L ambito di applicazion riguarda i procssi critici la Banca Focus sulla disponibilità Critri di rifrimnto pr la protzion di dati Misur minim di sicurzza dfinit dall Allgato B al D. Lgs. 196/03 Controlli lncati dai principali standard di sicurzza informatica (ISO17799, ISO27001, ISO/IEC TR 13335, cc.) Rifrimnti dgli organi istituzionali (normativa Banca d Italia, mtodologia ABI) drivanti da bst practic (Businss Continuity Institut, cc.) 8

9 Un confronto tra i divrsi sistmi di gstion sgu PRIVACY complianc SICUREZZA BUSINESS CONTINUITY ANALISI DEI PROCESSI CENSIMENTO TRATTAMENTI ANALISI DEI RISCHI ATTUAZIONE MISURE MINIME DI SICUREZZA CLASSIFICAZIONE DELLE INFORMAZIONI ANALISI DEI PROCESSI ANALISI DEI RISCHI IDENTIFICAZIONE CONTROMISURE DI SICUREZZA ANALISI DEI RISCHI ANALISI DEI PROCESSI BUSINESS IMPACT ANALYSIS IDENTIFICAZIONE MISURE CONTINGENCY E DISASTER RECOVERY 9

10 Un confronto tra i divrsi sistmi di gstion: attività comuni PRIVACY SICUREZZA BUSINESS CONTINUITY Al fin di idntificar tutt l banch dati assoggttat alla normativa, l approccio da sguir può ssr parimnti pr funzion o pr procsso. In qusto scondo caso vin ffttuata un attività di analisi procsso (flussi, incaricati, componnti applicativ, archittturali, cc.) ANALISI DEI PROCESSI Vin ffttuata l analisi di procssi pr dfinir l asst invntory il valor l informazioni al trmin l analisi di rischi pr potr avr un link tra informazionlivllo di rischio procsso di appartnnza, risors uman, flussi informativi, procdur manuali, componnti applicativ, componnti archittturali infrastruttur di rt Sono analizzati i procssi/sottoprocssi azindali, rilvando informazioni rlativ a: risors uman flussi informativi scambiati componnti applicativ utilizzat componnti archittturali su cui tali applicazioni si poggiano infrastruttur di rt impigat n vin dtrminato il grado di criticità 10

11 Un confronto tra i divrsi sistmi di gstion: attività comuni sgu PRIVACY SICUREZZA BUSINESS CONTINUITY Idntificar l circostanz possibili o probabili ch possano favorir il vrificarsi di rischi di distruzion o prdita, anch accidntal, di dati, di accsso non autorizzato o di trattamnto non consntito o non conform all finalità la raccolta (misur minim di sicurzza) Idntificar il livllo di rischio di sistmi informativi pr potr avr una guida sull stratgi di gstion rischio da adottar sull contromisur già adottat da implmntar Idntificar i rischi ch potrbbro comportar l intrruzion di procssi azindali pr indisponibilità di sistmi informativi, l infrastruttur /o prsonal ncssario pr lo svolgimnto l attività ANALISI DEI RISCHI 11

12 Il Molo di Gstion intgrato Intgrazion di moli di gstion Indirizzi (Policy) Complianc o Sicurzza o BC BC Sicurzza Complianc & Sicurzza & BC Complianc Attività (Pianificar, Implmntar, Controllar, Migliorar) Documnti (Sistma documntal) 12

13 Il Molo di Gstion intgrato sgu Il futuro di moli di gstion Mission Mission Qualità Total ISO 9001 ISO SA 8000 OH SAS Obittivi Obittivi di di businss businss Rischi Rischi di di businss businss Rischi Rischi applicabili applicabili Controlli Controlli Intrni Intrni Sicurzza Continuità Businss Complianc Normativa Rvision Rvision Rischi controlli 13

14 Il Molo di Gstion la Sicurzza l Informazioni intgrato Analogamnt a quanto accad nl Quality Managmnt Systm, tutt l oprazioni l attività pr la gstion la Sicurzza l Informazioni Businss Continuity, complianc normativa (ad s. Privacy) analisi di rischi di controlli dvono ssr documntat scondo una struttura di rifrimnto. INDIRIZZARE Asptti organizzativi DOCUMENTARE Asptti documntali PIANIFICARE GESTIRE MIGLIORARE IMPLEMENTARE Asptti mtodologici CONTROLLARE 14

15 Asptti organizzativi Il Molo organizzativo: La dirzion di Information Scurity non rivst più solo una vst tcnica, ma anch di govrno d indirizzo la sicurzza all intrno di tutta la struttura azindal prtanto dv intragir con l dirzioni di businss ricrcando il giusto compromsso tra l logich di sicurzza l logich di businss. L intgrazion in un unica dirzion di procssi di gstion, mtodi strumnti è fondamntal pr una corrtta pianificazion gstion l stratgi di sicurzza in un unico piano intgrato di sicurzza pr un fficac comunicazion di obittivi risultati vrso il managmnt l altr dirzioni azindali. A tal fin la struttura cntral di gstion la sicurzza struttura cntral di gstion la sicurzza dv aumntar l comptnz l propri risors ch dovranno non solo conoscr l tcnologi di sicurzza (fisica informatica), l normativ gli standard, ma anch avr comptnz di procsso pr potr comprndr l signz l dirzioni di businss risolvrn i problmi di sicurzza. 15

16 Asptti organizzativi sgu Il Molo organizzativo Dirzion Information Scurity Businss Continuity Sicurzza fisica Sicurzza informatica Complianc Normativa Struttur rsponsabili di spcifich ar tcnich Srvizio Srvizio Srvizio Altr Dirzioni /Srvizi Rsponsabil di procsso Procssi azindali Rsponsabil di procsso Rsponsabil di procsso Cntro Comptnza tcnico Cntro Comptnza tcnico Cntro Comptnza tcnico 16

17 Asptti documntali In gnral: Dvono ssr inclus rgistrazioni l dcisioni la Dirzion Si dv assicurar ch l azioni siano tracciabili risptto all dcisioni la Dirzion all politich Si dv assicurar ch i risultati rgistrati siano riproducibili. Impostazion la struttura di gstion Ralizzazion l misur Documntazion Gstion controllata la documntazion Rgistrazioni Si dv ssr in grado di dimostrar la corrispondnza tra i controlli slzionati i risultati prcdnti la valutazion rischio procsso di trattamnto rischio fino ad arrivar a dimostrar la cornza con gli obittivi la politica. 17

18 Asptti documntali sgu Policy procdur di Sicurzza Policy procdur Privacy Piano Businss Continuity Politica Obittivi Ambito Documntazion Analisi Rischio Procdur oprativ di Sicurzza Documnto Programmatico sulla Sicurzza Procdur di mrgnza Dichiarazion di Applicabilità Cnsimnto banch dati Businss Impact Analysis Procdur Mtodologia analisi rischio Procdur documntat Controlli Analisi rischi trattamnto rischio Rgistrazioni Dichiarazion di applicabilità Struttura documntal ISO27001:

19 Asptti mtodologici Il molo PDCA 19

20 Asptti mtodologici sgu Il molo PDCA PLAN Dfinizion Dfinizion DO Implmntazion Implmntazion opratività opratività CHECK Monitoraggio Monitoraggio risam risam ACT Mantnimnto Mantnimnto miglioramnto miglioramnto Dfinir Dfinir d d individuar individuar l l politich politich gli gli obittivi obittivi,, i i procssi procssi l l procdur procdur rilvanti rilvanti pr pr la la gstion gstion di di rischi rischi pr pr il il miglioramnto miglioramnto la la sicurzza sicurzza l l informazioni, informazioni, fornndo fornndo risultati risultati cornti cornti risptto risptto all all politich politich d d agli agli obittivi obittivi gnrali gnrali Implmntar Implmntar rndr rndr oprativ oprativ l l politich, politich, i i controlli, controlli, i i procssi procssi l l procdur procdur Valutar Valutar,, dov dov possibil, possibil, misurar misurar l l prformanc prformanc di di procssi procssi risptto risptto all all politich politich d d agli agli obittivi obittivi,, riportando riportando i i risultati risultati al al managmnt managmnt azindal azindal pr pr il il risam risam Adottar Adottar azioni azioni corrttiv corrttiv prvntiv, prvntiv, sulla sulla bas bas di di risultati risultati l l vrifich vrifich intrn intrn l l indicazioni indicazioni managmnt, managmnt, o o sulla sulla bas bas di di altr altr informazioni informazioni rilvanti, rilvanti, al al fin fin di di ricrcar ricrcar un un miglioramnto miglioramnto continuo continuo OBIETTIVI E MACROATTIVITA 20

21 Asptti mtodologici sgu PLAN Dfinizion Dfinizion la politica pr la sicurzza l informazioni (Information Scurity Policy) Politica di sicurzza l informazioni Molo organizzativo pr la gstion la sicurzza l informazioni ATTIVITA Dfinizion l ambito di applicabilità Dfinizion l approccio di idntificazion valutazion di rischi Idntificazion valutazion di rischi (Risk idntification and assssmnt) Idntificazion valutazion l azioni pr la gstion di rischi (Risk tratmnt) Documnto rlativo agli obittivi all ambito di applicazion Mtodologia pr l idntificazion la valutazion di rischi Procdura pr l idntificazion di bni Procdura pr la classificazion di bni Procdura pr la valutazion di rischi Risk assssmnt rport Procdura pr la gstion di rischi Risk tratmnt rport DOCUMENTAZIONE Dfinizion dgli obittivi di controllo slzion di controlli Molo di slzion dgli obittivi di controllo Molo di slzion di controlli Rdazion lo Statmnt of Applicability Statmnt of Applicability 21

22 Asptti mtodologici sgu DO Implmntazion opratività Dfinizion di un piano di gstion di rischi Piano di azion pr la gstion di rischi (Risk tratmnt plan) Implmntazion utilizzo di controlli slzionati pr il Procdur di implmntazion utilizzo di controlli di sicurzza slzionati ATTIVITA Formazion prsonal Gstion l attività oprativ Piano di formazion prsonal Procdur pr la gstion la formazion Rport sullo stato di applicazion piano di formazion Rdazion manual l procdur oprativ Procdur pr la gstion la documntazion l ISMS Altr procdur DOCUMENTAZIONE Gstion l risors Piani procdur pr la gstion l allocazion l risors (prson, invstimnti, cc.) Implmntazion di procdur controlli pr la gstion dgli incidnti di sicurzza Procdur di sgnalazion, controllo risoluzion dgli incidnti di sicurzza Rport rlativo agli incidnti di sicurzza 22

23 Asptti mtodologici sgu CHECK Monitoraggio risam Monitoraggio l procdur di controlli Procdur di monitoraggio risam di controlli ATTIVITA Risam priodico l fficacia fficacia Escuzion priodica di audit intrni Risam da part managmnt Procdura di valutazion l fficacia (fficacia di controlli, risam livllo di rischio rsiduo rischio accttabil, cc.) Procdur di audit Piano di audit Chcklist strumnti oprativi pr la conduzion dgli audit Procdura di convocazion l riunioni (priodicità, prsonal coinvolto, cc.) Vrbali l riunioni (valutazioni, azioni concordat, cc.) DOCUMENTAZIONE Aggiornamnto di piani di sicurzza rgistrazion l azioni intraprs Procdura di aggiornamnto di piani l procdur oprativ Procdura di rgistrazion l azioni intraprs 23

24 Asptti mtodologici sgu ACT Mantnimnto miglioramnto ATTIVITA Dfinizion procsso di miglioramnto continuo Dfinizion l azioni corrttiv Dfinizion l azioni prvntiv Procdura di aggiornamnto piano di azion pr la gstion di rischi (Risk tratmnt plan) Procdur rlativ all azioni corrttiv Procdur rlativ all azioni prvntiv DOCUMENTAZIONE 24

25 Vantaggi l intgrazion di moli di gstion Convrgnza nlla gstion di procssi sinrgici + Convrgnza di mtodologi approcci similari + Monitoraggio fficint + Govrno accntrato di procssi azindali + Gstion univoca Chang managmnt = Rcupri complssivi di fficinza di procssi Riduzion di costi di gstion complssivi 25

26 Sicurzza informativa: vrso l intgrazion di sistmi di gstion pr la sicurzza Raoul Savastano Associat Partnr KPMG Advisory S.p.A. 02/ / rsavastano@kpmg.it 26