SOMMARIO. Mission del libro e ringraziamenti

Transcript

1 L autore Mission del libro e ringraziamenti Prefazione XIX XXI XXIII CAPITOLO PRIMO LA FUNZIONE DI 1 1. Premessa 1 2. Definizione di strategie per la protezione dei dati in conformità allo standard ISO e similari 5 3. Stesura ed aggiornamento di policy, linee guida, standard e procedure, verifica della loro corretta applicazione, e individuazione delle contromisure a seguito dell attività di verifica 5 4. Attivazione di misure mirate alla tutela del business ed alla salvaguardia dell immagine aziendale, nonché di misure a supporto delle Business Unit e della Funzione Fraud Management 6 5. Partecipazione allo sviluppo di un sistema di Information Crisis Management, con il coinvolgimento anche delle altre strutture di Security 6 6. Monitoraggio dell avanzamento/raggiungimento degli obiettivi stabiliti 7 7. Modello di rilevazione delle performance e KPI 7 CAPITOLO SECONDO ANALISI DEI RISCHI E INFORMAZIONI 9 1. Information Risk Management 9 2. Fasi dell analisi del rischio - Risk Assessment Fase 1: Individuazione dell Ambito di Analisi Fase 2: Identificazione degli asset Fase 3: Identificazione degli impatti Fase 4: Identificazione delle minacce e relativi agenti Fase 5: Identificazione delle vulnerabilità Fase 6: Valutazione del danno in termini di impatto Fase 7: Valutazione della probabilità di accadimento di eventi dannosi Fase 8: Stima dei rischi Fase 9: Identificazione del livello di rischio 15 COSTABILE.indd V :18:20

2 3. Fasi di gestione del rischio - Risk Treatment Fase 1: Decisioni sul trattamento del rischio Fase 2: Identificazione e valutazione opzioni per il trattamento del rischio Fase 3: Selezione contromisure per il trattamento del rischio Fase 4: Approvazione Fase 5: Revisione Caratteristiche da ricercare in una metodologia di analisi del rischio Schemi a supporto - Classificazione dei rischi Rischi secondo l origine Rischi secondo le cause Rischi secondo le modalità Schematizzazione a supporto macroaree per l analisi dei rischi A - Individuazione di tutte le risorse del patrimonio informativo: i beni da proteggere B - Le minacce a cui le risorse sono sottoposte 20 CAPITOLO TERZO LE CORPORATE INFORMATION SECURITY POLICY Premessa e finalità Ambito di applicazione Sicurezza delle Risorse Informative aziendali Inventario degli Asset Proprietà degli Asset Utilizzo degli Asset Classificazione delle informazioni Organizzazione della sicurezza Gestione del personale Selezione del personale Responsabilità del personale Gestione delle terze parti Accesso e utilizzo delle Risorse Informative Clausole contrattuali Sicurezza fisica ed ambientale Sicurezza delle aree Controllo degli accessi Sicurezza degli uffici, delle stanze e degli strumenti di lavoro Protezione da minacce fisiche ed ambientali Lavorare in aree sensibili Sicurezza delle aree di carico e scarico Equipaggiamento di sicurezza Sicurezza del cablaggio 31 VI COSTABILE.indd VI :18:20

3 8. Gestione dei sistemi Procedure operative e responsabilità Insourcing Outsourcing Protezione da malicious software Software non autorizzato Back-up Sicurezza della rete dati Gestione dei supporti rimovibili Sicurezza nello scambio di informazioni Commercio e servizi elettronici Monitoraggio/Accountability Controllo accessi Gestione degli accessi alle informazioni Gestione dei profili ad elevati privilegi Gestione delle credenziali di accesso Revisione dei diritti di accesso Responsabilità dell utente Dipendenti di imprese esterne e/o consulenti Controllo degli accessi alla rete e relativi servizi Controllo degli accessi al sistema operativo Controllo degli accessi alle informazioni ed alle applicazioni Acquisizione, sviluppo e manutenzione dei sistemi Requisiti di sicurezza dei sistemi Sicurezza delle applicazioni Crittografia Sicurezza dei file di sistema Sicurezza nei processi di sviluppo e supporto Manutenzione dei sistemi Gestione degli incidenti rilevanti ai fini della sicurezza Gestione della continuità operativa aziendale Requisiti di conformità Normativa generale in materia di sicurezza delle informazioni Normativa specifica e di settore applicabile ai servizi strategici aziendali Standard Internazionali e Best Practice Piano di implementazione Il sistema documentale di sicurezza aziendale Approccio organizzativo alla gestione della sicurezza delle informazioni Ruoli e responsabilità per la gestione della sicurezza I ruoli aziendali coinvolti nella gestione della sicurezza 43 VII COSTABILE.indd VII :18:21

4 13.5 Il processo di gestione della sicurezza delle informazioni 44 CAPITOLO QUARTO SICUREZZA E MANAGEMENT DEI DATABASE AZIENDALI Premessa Tipologie di database Posizionamento in rete ed accessibilità Utilizzo di dati in ambienti non di produzione Catalogazione dei database Principio del need-to-know Autenticazione ed autorizzazione Controlli extra-dbms Crittografia Installazione e configurazione iniziali Prerequisiti Principio di Installazione Minima Parametri di default del DBMS Account security Account privilegiati Sicurezza di altre componenti Requisiti di disponibilità Controlli per la limitazione dell accesso Mantenimento del livello di sicurezza definito Gestione delle configurazioni Upgrade Politiche di patch Patch di sicurezza Procedure di rollback per le patch di sicurezza Patch funzionali Gestione delle vulnerabilità Amministrazione Gestione e monitoraggio Backup Restore Gestione delle licenze Logging e auditing Sincronizzazione temporale Informazioni di logging Informazioni di auditing Backup delle Informazioni di logging/auditing Ritenzione delle Informazioni di logging/auditing Analisi e monitoraggio 60 VIII COSTABILE.indd VIII :18:21

5 24.7 Log Integrativi (Giornale di Bordo) 60 CAPITOLO QUINTO CLASSIFICAZIONE E TUTELA DELLE INFORMAZIONI AZIENDALI CLASSIFICATE Premessa Metodologia per la classificazione delle informazioni Approccio adottato Standard applicabili e normative di riferimento ISO/IEC Il Codice in materia di protezione dei dati personali Business Impact Analysis Valorizzazione dei parametri R.I.D Classificazione delle informazioni aziendali Tutela delle informazioni aziendali classificate Informazioni pubbliche Riclassificazione o declassificazione delle informazioni Etichettatura delle informazioni Accesso alle informazioni Elaborazione delle informazioni Accounting Duplicazioni delle informazioni Circolazione delle informazioni Gestione delle informazioni all interno delle riunioni Conservazione delle informazioni Distruzione delle informazioni Istruzioni al personale Protezione delle informazioni 75 CAPITOLO SESTO IDENTITY MANAGEMENT Premessa Definizione del ruolo organizzativo Definizione del profilo autorizzativo Associazione del ruolo organizzativo al profilo autorizzativo Gestione del profilo autorizzativo Assegnazione di diritti ad personam Account ad elevati privilegi Utenti esterni e consulenti Accountability 81 IX COSTABILE.indd IX :18:21

6 CAPITOLO SETTIMO DISTRUZIONE DELLE INFORMAZIONI Introduzione Testo Unico Privacy e supporti informatici Requisiti generali per la distruzione delle informazioni in azienda Affidamento del servizio a soggetti terzi Presa in consegna/ritiro del materiale Distruzione delle informazioni da parte del terzo Istruzioni al personale Rispetto dell ambiente 87 CAPITOLO OTTAVO BACKUP DEI DATI Introduzione Politiche di sicurezza aziendale Individuazione dei dati e dei sistemi Scelta della strategia Frequenza dei salvataggi Tipologia di backup Conservazione dei backup Storicizzazione dei backup Tempi di ritenzione dei supporti Tempi di rotazione Testing Verifica del backup Verifica del Restore Gestione dei supporti 94 CAPITOLO NONO ACCESSI IN MOBILITÀ AI SERVIZI AZIENDALI Premessa Statement Politica di sicurezza per l accesso in mobilità ai servizi Finalità dell accesso in mobilità Catalogazione dei servizi accessibili Misure minime di sicurezza Requisiti generali Autenticazione Tipologie di utenti mobili Amministratori Personale dirigenziale Terze parti 98 X COSTABILE.indd X :18:22

7 5.4 Accessi al pubblico Altre utenze autorizzate Modalità di abilitazione all accesso Autorizzazione all accesso Revoca dell accesso e controlli periodici Accesso per teleassistenza Accesso per manutenzione e sviluppo software Accesso a servizi pubblici Modalità di accesso ai servizi Accesso da Internet Accesso da reti di telefonia mobile Accesso Dial-Up Postazioni utilizzabili per l accesso Apparecchiature autorizzate Requisiti di sicurezza Patching e gestione delle vulnerabilità Gestione e monitoraggio Elenco riassuntivo dei servizi accessibili in mobilità 103 CAPITOLO DECIMO LA VIDEOSORVEGLIANZA IN AZIENDA Introduzione Requisiti di conformità dei sistemi di videosorveglianza al D.Lgs. 196/ Requisiti generali Finalità della videosorveglianza Verifica preliminare Avvisi al pubblico Responsabilità Requisiti minimi di sicurezza Tipologie di sistemi Posizionamento delle telecamere Ubicazione delle apparecchiature Installazione e configurazione del programma Ambiente di test e collaudo Controllo Accessi Principio del need-to-know Autenticazione ed autorizzazione Disponibilità dei sistemi Manutenzione delle apparecchiature e del programma Ulteriori misure di sicurezza Logging e auditing 112 XI COSTABILE.indd XI :18:22

8 10. Monitoraggio e analisi Raccolta, conservazione ed utilizzo delle informazioni Raccolta delle informazioni Back up Tempi di conservazione delle registrazioni Cancellazione delle registrazioni Visione ed utilizzo delle registrazioni Affidamento del servizio a soggetti terzi Outsourcing del servizio Insourcing del servizio Documentazione da produrre e conservare 117 CAPITOLO UNDICESIMO SICUREZZA E BIOMETRIA IN AZIENDA Premessa Principi generali sul trattamento dei dati biometrici di clienti, personale dipendente e collaboratori aziendali Disposizioni sul trattamento dei dati biometrici di clienti, personale dipendente e collaboratori aziendali Regole comuni sul trattamento Verifica preliminare Notifica Informativa Avvisi al pubblico Trattamento dei dati biometrici dei clienti Trattamento dei dati biometrici del personale dipendente e dei collaboratori aziendali Rilevazione biometrica dell accesso fisico e logico Accesso fisico Accesso logico Tracciamento degli accessi fisici e logici Principi del need to know e del need to do Requisiti tecnici ed organizzativi dei sistemi biometrici Ubicazione delle apparecchiature Installazione e configurazione del programma Ambiente di test e collaudo Disponibilità dei sistemi Manutenzione delle apparecchiature e del programma Ulteriori misure di sicurezza Logging e auditing Monitoraggio e analisi Back up 135 XII COSTABILE.indd XII :18:22

9 12. Affidamento del servizio a soggetti terzi Outsourcing del servizio Insourcing del servizio Documentazione da produrre e conservare Requisiti per la corretta implementazione di un sistema di controllo accessi biometrico: una Checklist Enrolement Considerazioni di natura tecnica Aspetti inerenti gli utenti Aspetti operativi Amministrazione del sistema 147 CAPITOLO DODICESIMO VIRUS E ANTIVIRUS IN AZIENDA Premessa Malware e analisi del rischio Norme basilari di comportamento Politica di sicurezza aziendale per le soluzioni antivirus Installazione e attivazione Definizione delle modalità di scansione Gestione delle modifiche Amministrazione e controllo dei sistemi antivirus Mantenimento del livello di sicurezza Monitoraggio e gestione incidenti 163 CAPITOLO TREDICESIMO SICUREZZA FISICA E LOGICA DEI SISTEMI IT NELLE SALE SERVER Premessa Sicurezza nelle fasi progettuali Controllo degli accessi fisici e logici Protezione da minacce fisiche e ambientali Sicurezza del cablaggio Manutenzione dei sistemi Gestione degli incidenti rilevanti ai fini della sicurezza Verifica di conformità 167 CAPITOLO QUATTORDICESIMO LA SICUREZZA DELLA RETE TLC AZIENDALE Premessa Finalità della Rete TLC aziendale Principi di sicurezza della Rete TLC 171 XIII COSTABILE.indd XIII :18:23

10 4. Principi di sicurezza logica Accesso alla Rete TLC Identificazione dell utente Autenticazione Autorizzazione all accesso Principi di sicurezza architetturali Progettazione dell architettura di rete Protocolli insicuri Connessioni verso reti pubbliche Documentazione necessaria Segregazione ambienti/servizi Regole di comunicazione tra reti Specifiche soluzioni di sicurezza IT Antimalware Firewall IDS/IPS URL Filtering Crittografia Crittografia del canale Soddisfacimento di requisiti di disponibilità Accountability Amministrazione Gestione e monitoraggio Nuovi servizi su rete TLC Voice over IP (VoIP) Reti wireless Sicurezza WEP Sicurezza WPA Sicurezza avanzata: WPA I problemi delle reti wireless Problematiche relative all accesso Problematiche relative all abuso delle policy Problematiche relative alle prestazioni Problematiche relative all autenticazione Problematiche relative alla confidenzialità Vademecum tecnico delle Best Practices per la sicurezza del Wi-Fi 184 CAPITOLO QUINDICESIMO NORME PER IL CORRETTO UTILIZZO DELLE RISORSE INFORMATIVE AZIENDALI DA PARTE DEI DIPENDENTI E CONTROLLI DIFENSIVI Premessa 189 XIV COSTABILE.indd XIV :18:23

11 2. Responsabilità Etica e comportamenti sanzionati dalle normative vigenti Norme d uso delle risorse informatiche aziendali Accesso ed utilizzo delle risorse informatiche Account e password aziendale Password e sistemi windows: alcuni consigli tecnici Utilizzo delle apparecchiature informatiche e telematiche Utilizzo dei supporti rimovibili Utilizzo delle risorse di rete Tecnologia e controlli difensivi Continuità operativa ed accesso alle postazioni di lavoro 212 CAPITOLO SEDICESIMO INTERNET E POSTA ELETTRONICA IN AZIENDA Premessa Le linee guida del Garante per posta elettronica e internet del 1 marzo Segue: provvedimento del Garante - Internet Segue: provvedimento del Garante - La Posta elettronica aziendale Segue: provvedimento del Garante - Graduazione dei controlli Segue: provvedimento del Garante - File di Log di connessione Segue: provvedimento del Garante - Prescrizioni Suggerimenti per le policy in azienda URL Filtering 224 CAPITOLO DICIASSETTESIMO MONITORAGGIO DELLE POLICY AZIENDALI: CASE STUDY SULLE CARTELLE CONDIVISE E SUI SISTEMI ANTIVIRUS AZIENDALI Il monitoraggio delle cartelle condivise aziendali: premessa Metodologia di monitoraggio Censimento delle postazioni di lavoro da monitorare Scansione delle workstation oggetto di analisi Identificazione delle condivisioni ricorrenti nelle scansioni Analisi delle problematiche riscontrate Possibili soluzioni Monitoraggio dei sistemi antivirus aziendali Contesto di riferimento Metodologia di monitoraggio Censimento delle postazioni di lavoro da monitorare Scansione delle workstation oggetto di analisi Analisi delle problematiche riscontrate 233 XV COSTABILE.indd XV :18:23

12 13. Richiesta di intervento al supporto tecnico per un ridotto campione di postazioni Pre-analisi delle possibili azioni correttive e condivisione dei risultati con l ICT Analisi dei risultati del monitoraggio Workstation con problemi di configurazione Workstation con antivirus disattivato Workstation con il puntamento dell agent errato Elevati tempi di intervento a seguito di segnalazioni Conclusioni sul monitoraggio antivirus 235 CAPITOLO DICIOTTESIMO ALCUNI STANDARD E CERTIFICAZIONI DI SICUREZZA BS7799, ISO27001 E PCI/DSS Premessa: il sistema di gestione della sicurezza delle informazioni BS7799 e ISO Fase PLAN Fase DO Fase CHECK Fase ACT Payment Card Industry Data Security Standards (PCI/DSS) I PCI Qualified Security Assessor (QSA) Il questionario di autovalutazione (traduzione non ufficiale dall inglese) per lo standard PCI/DSS Gruppo 1: costruire e mantenere un network sicuro Gruppo 2: non utilizzare opzioni di default fornite dalle aziende fornitrici per password di sistema e altri parametri di sicurezza Gruppo 3: protezione dei dati relativi al titolare di carta Gruppo 4: i dati del titolare carta e i dati sensibili devono essere crittografati nei network pubblici Gruppo 5: management Program (gestione e vulnerabilità) Gruppo 6: sviluppare e manutenere sistemi e applicativi sicuri Gruppo 7: implementazione di accessi sicuri e misure di controllo Gruppo 8: assegnare una User ID univoca a ciascuna persona che abbia accesso al computer Gruppo 9: monitoraggio e Test dei Network Gruppo 10: seguire e tenere sotto controllo tutti gli accessi alle risorse di rete e ai dati dei titolari Gruppo 11: eseguire regolarmente dei test su sistemi di sicurezza e processi Gruppo 12: modalità di gestione delle policy (indirizzi/informazioni) 249 XVI COSTABILE.indd XVI :18:24

13 CAPITOLO DICIANNOVESIMO SCHEMA DI SINTESI DELLE MISURE MINIME DI SICUREZZA EX TU PRIVACY DA APPLICARE IN AZIENDA Premessa Trattamenti con l ausilio di strumenti elettronici Trattamenti senza l ausilio di strumenti elettronici 270 CAPITOLO VENTESIMO NORMATIVA E STANDARD (NAZIONALI ED INTERNAZIONALI) PER LA SICUREZZA DELLE INFORMAZIONI Leggi, decreti, regolamenti nazionali ( ) Regolamenti e Direttive europee ( ) Disposizioni delle autorità indipendenti ( ) Standard per l organizzazione e la gestione della sicurezza 286 GLOSSARIO 289 XVII COSTABILE.indd XVII :16:06