Risultati attività piano di rientro BHW Bausparkasse AG. Consulente: Daniele De Felice

Dimensione: px

Iniziare la visualizzazioe della pagina:

Download "Risultati attività piano di rientro BHW Bausparkasse AG. Consulente: Daniele De Felice"

Gino Fontana
7 anni fa
Visualizzazioni

1 Risultati attività piano di rientro 2015 BHW Bausparkasse AG Consulente: Daniele De Felice Data: 16/06/2015

2 Introduzione Il presente documento descrive le attività svolte durante la terza fase del piano di rientro previsto a seguito dell Information Security Risk Assessment svolta, per consentire l aumento dei livelli di conformità relativamente allo standard internazionale ISO/IEC 27001:2005. Descrizione dell attività La prima fase del piano di rientro prevedeva quanto segue: Metà Gennaio 2015 Fine Febbraio Impostazione di una politica per la sicurezza (100%) 2. Regole per la classificazione delle informazioni (100%) 3. Policy e linea guida per la gestione degli asset (100%) 4. Definizione e formalizzazione delle operazioni di Change Management (100%) 5. Adempimenti Privacy (100%) La seconda fase del piano di rientro prevedeva quanto segue: Inizio Marzo 2015 Meta Aprile Regole per il Monitoraggio e la Revisione dei servizi delle terze parti (100%) 2. Regole per il controllo e la verifica del rispetto degli SLA concordati (100%) 3. Procedure di Change Management relativamente a servizi e infrastrutture tecnologiche demandati esternamente (100%) 4. Trasmissione delle informazioni (100%) 5. Business Continuity (100%) 6. Prevenzione e gestione incidenti di sicurezza (100%) 7. Gestione della sicurezza servizi di rete (100%) La terza fase del piano di rientro prevedeva quanto segue: Metà Aprile 2015 Fine Maggio Monitoraggio degli accessi logici e fisici (100%) 2. Formazione del personale operativo nelle sedi di Verona e Bolzano (100%) 3. Realizzazione di procedure operative relative al trattamento dati (100%) 4. Nuova Analisi del rischio (100%) 5. Audit ISO27001 (100%). Documento: Risultati attività piano di rientro /6

3 Sono state svolte tutte le attività indicate, in particolar modo, Ewico ha prodotto e condiviso con il gruppo di lavoro interno di BHW Bausparkasse Italia (Michele, Enrica ed Antonello) 3 ulteriori documenti che sono stati consegnati e che verranno gestiti rispettando tutti i requisiti di riservatezza idonei per tale documentazione. Durante le nostre attività, sono stati svolti degli incontri, delle call conference telefoniche con i referenti e due seminari con il personale operativo nelle sedi di Verona e Bolzano. I documenti rilasciati e che oggi sono in carico al gruppo di lavoro interno sono i seguenti: 1. BHW_Checklist_ISO27001_v Risk Assessment BHW v Riesame analisi dei rischi Nello specifico, il primo documento raccoglie al suo interno i risultati ottenuti da un audit secondo i requisiti dello standard internazionale ISO 27001:2005 ed il livello di conformità. Il secondo documento raccoglie i risultati della nuova analisi del rischio, dove sono state analizzate una per una tutte le minacce e le vulnerabilità associate agli asset informativi aziendali. Il terzo documento definisce l attività di riesame dell analisi del rischio ed al suo interno sono riportati i risultati comparati tra la prima attività di dicembre 2014 e quella effettuata in maggio In questa fase sono state poi raccolte ulteriori metodologie di controllo definite da RUN relativamente alla gestione dell infrastruttura tecnologica e degli accessi logici ai sistemi gestiti da RUN per l infrastruttura tecnologica italiana di BHW. Sono state realizzate due attività formative, una nella sede di Bolzano ed una presso la sede di Verona. La formazione ha avuto come argomento principale il trattamento sicuro del patrimonio informativo aziendale in particolare riferimento ai concetti privacy. Risultati Per un immediato raffronto in termini numerici, vengono di seguito riportati i risultati ottenuti dalla nuova analisi del rischio ed i risultati della precedente attività e dei livelli di conformità rispetto allo standard ISO a seguito dei due audit svolti: PRIMA ANALISI DEL RISCHIO (9 dicembre 2014) Documento: Risultati attività piano di rientro /6

4 SECONDA ANALISI DEL L RISCHIO (26 maggio 2015) Risultati prima Audit ISO dell 11 novembre 2014: DOMINIO DI CONTROLLO Liv. Conformità 1 Politica per la sicurezza 40% 2 Organizzazione per la sicurezza 40% 3 Gestione degli asset aziendali 10% 4 Sicurezza delle risorse umane 30% 5 Sicurezza fisica e ambientale 50% 6 Gestione delle comunicazioni e dei processi 40% 7 Controllo accessi 40% 8 Acquisizione, sviluppo e manutenzione sistemi 50% 9 Gestione degli incidenti 50% 10 Gestione della continuità aziendale 50% 11 Conformità 50% Documento: Risultati attività piano di rientro /6

5 Risultati secondo Audit del 26 maggio 2015: DOMINIO DI CONTROLLO Liv. Conformità 1 Politica per la sicurezza 90% 2 Organizzazione per la sicurezza 80% 3 Gestione degli asset aziendali 70% 4 Sicurezza delle risorse umane 60% 5 Sicurezza fisica e ambientale 70% 6 Gestione delle comunicazioni e dei processi 60% 7 Controllo accessi 70% 8 Acquisizione, sviluppo e manutenzione sistemi 70% 9 Gestione degli incidenti 80% 10 Gestione della continuità aziendale 70% 11 Conformità 60% Per il raggiungimento degli obiettivi preposti, sono state realizzate policy, procedure e linee guida e tutti i documenti sono stati condivisi e rilasciati al gruppo di lavoro interno. Di seguito l elenco di tutta la documentazione prodotta: 1. Politica per la sicurezza delle informazioni 2. Policy comportamentali per il trattamento dei dati 3. Procedura di Change Control Management 4. Riutilizzo e dismissione supporti di memorizzazione 5. Classificazione e trasmissione delle informazioni 6. Gestione dei dispositivi portatili 7. Regole per il monitoraggio e la revisione dei servizi demandati alle terze parti Documento: Risultati attività piano di rientro /6

6 8. Gestione degli incidenti di sicurezza 9. BHW_Checklist_ISO27001_v BHW_Checklist_ISO27001_v Risk Assessment BHW v Risk Assessment BHW v Riesame analisi dei rischi Conclusioni IT Security: per garantire il rispetto della sicurezza delle informazioni e la loro corretta gestione (dal punto di vista del trattamento e della comunicazione), l organizzazione dovrebbe prevedere un piano di implementazione di quanto relaizzato, con l applicazione delle regole e dei controlli stabiliti (in particolare per i fornitori esterni), prevedendo inoltre specifiche sessioni di formazione e verifica per tutto il personale operativo nelle sedi di Bolzano e Verona. Sarebbe poi opportuno effettuare un attività di Risk Management al fine di tenere sotto controllo i rischi identificati e stabilendo delle regole per il trattamento dello stesso. Privacy: la gestione della privacy dovrebbe prevedere degli specifici controlli periodici ed assicurare in modo continuativo il rispetto delle leggi vigenti, Mantenendo sempre aggiornata la documentazione obbligatoria (lettere di incarico, informative e consensi) e verificando l applicazione di tutte le misure minime di sicurezza previste dal garante privacy. Documento: Risultati attività piano di rientro /6

Documenti analoghi

Una metodologia di valutazione dei rischi per la sicurezza delle informazioni

Una metodologia di valutazione dei rischi per la sicurezza delle informazioni La norma UNI CEI ISO 27001 (Sistemi di gestione della sicurezza delle informazioni Requisiti), recentemente pubblicata in nuova