Organizzare la sicurezza, palo. Pierluigi D Ambrosio. p.dambrosio@businesssecurity.it Business Security 1

Transcript

1 Organizzare la sicurezza, ovvero come legare il cane al palo Pierluigi D Ambrosio p.dambrosio@businesssecurity.it Business Security 1

2 Problema: Possiedo un cane, un palo, della corda, della catena Devo assicurarmi che: il cane non scappi o non possa essere sottratto Ma, nel contempo, non soffra, possa muoversi liberamente, possa crescere, non diventi aggessivo e viva felice Business Security 2

3 Soluzione: Creare un sistema di sicurezza che soddisfi i requisiti e garantisca i risultati attesi Business Security 3

4 Come? Business Security 4

5 Perché? Business Security 5

6 L Universo Digitale e la sua evoluzione Business Security 6

7 Alcuni dati: Nel 2013 l Universo l Digitale ha prodotto, gestito, archiviato 4,4 Zettabytes (10 21 ) di informazioni (nel 2004 erano 2 Exabytes) 1,5 ZB generati da imprese 2,9 ZB generati da consumatori Fonti: IDC, Imation Business Security 7

8 Alcuni dati: Dei 2,9 ZB generati da consumatori, l 85% l (2,3 ZB) sono in qualche modo gestiti da imprese (touched( touched) Le imprese sono responsabili di 3,8 ZB (86% dell UD) Fonti: IDC Business Security 8

9 Alcuni dati: Nel 2013 i mercati maturi generavano il 60% dell UD Nel 2020 genereranno il 40% dell UD Nel 2017 i mercati emergenti supereranno i mercati maturi Nel 2020 l UD l sarà di 44 ZB Fonti: IDC Business Security 9

10 Alcuni dati: La crescita esponenziale dell UD sarà dovuta soprattutto all esplosione dell Internet of Things Nel 2013 il numero totale di dispositivi connettibili era di 187 miliardi di cui il 7% IoT Nel 2020 i dispositivi saranno 212 miliardi di cui IoT il 15% Nel 2020 IoT genererà il 10% dell UD Fonti: IDC Business Security 10

11 Alcuni dati: Oggi l UD l è costituito da: 42% General IT & Metadata 33% Sorveglianza 17% Consumer & Mobile 8% Data from Embedded Systems Nel 2020 sarà costituito da: 53% General IT & Metadata 16% Sorveglianza 10% Consumer & Mobile 21% Data from Embedded Systems Fonti: IDC Business Security 11

12 Alcuni dati: I I dati provenienti dagli Embedded Systems rappresenteranno una grossa percentuale dei Target- Rich Data (Big Data) Fonti: IDC Business Security 12

13 Sicurezza e UD Il 57% dei dati non necessitano di protezione: foto su cellulari, video streaming, dati open source, contenuti web pubblici, Il 43% necessita di protezione: dati finanziari aziendali, informazioni personali, account utente, dati sanitari, Fonti: IDC Business Security 13

14 Sicurezza e UD Solo il 48% dei dati che necessitano di sicurezza è effettivamente protetto, il 52% non lo è! Fonti: IDC Business Security 14

15 Concentriamoci quindi sulle esigenze di sicurezza delle organizzazioni Business Security 15

16 Un organizzazione manifesta esigenze di sicurezza che riguardano complessivamente la sua struttura. La sicurezza auspicata da un organizzazione è la sicurezza dell organizzazione in quanto tale Business Security 16

17 Approccio object oriented Comitati di studio hanno, nel tempo, elaborato Standard, linee guida e raccomandazioni orientati alla sicurezza di software e prodotti tecnologici: ISO/IEC-IS Common criteria for information technology security evaluation TCSEC Trusted computer security evaluation criteria ITSEC Information technology security evaluation criteria ITSEM Information technology security evaluation manual Business Security 17

18 Approccio process oriented La risposta alle esigenze di sicurezza dei sistemi informativi del 3 millennio è sistemica, vale a dire è basata su uno o più processi Si tratta di processi trasversali che contaminano tutti (o buona parte) i processi aziendali Business Security 18

19 Definizione di processo Aggregazioni di attività finalizzate al raggiungimento di uno stesso obiettivo Es.: tutte le attività svolte per trasformare le materie prime in prodotti finiti costituiscono il processo di produzione Business Security 19

20 Caratteristiche del processo Un processo deve essere: -Descrivibile -Controllabile -Replicabile Business Security 20

21 Obiettivi di un processo di sicurezza Sicurezza totale? NO! Obiettivi realistici, si! Es.: possibilità di identificare le cause di una breccia nel sistema di sicurezza Business Security 21

22 Come organizzare la sicurezza? I processi di sicurezza attengono a: -Problematiche tecnologiche -Problematiche organizzative -Problematiche logistiche -Problematiche formative -Problematiche legali -Problematiche economiche -Problematiche culturali -Problematiche sociali -Problematiche sanitarie Business Security 22

23 Lo sviluppo di un sistema di sicurezza è complesso? La risposta è, indubbiamente, sì! Ma esiste la soluzione Business Security 23

24 Implementare un SGSI (ISMS) secondo lo Standard ISO/IEC 27001: Business Security 24

25 Riferimenti: BS ISO/IEC 27001:2005 (ISO 27001) - Information technology - Security techniques - ISMS Requirements BS ISO/IEC 27002:2005 (ISO 27002) - Information technology - Security techniques - Code of practice for Information Security Management BS ISO/IEC 27003:2010 (ISO 27003) - Information technology - Security techniques Information security management system implementation guidance Business Security 25

26 Riferimenti: BS ISO/IEC 27004:2009 (ISO 27004) - Information technology - Security techniques - Information security management - Measurement BS ISO/IEC 27005:2011 (ISO 27005) - Information technology - Security techniques - Information security risk management BS ISO/IEC 27006:2011 (ISO 27006) - Information technology - Security techniques Requirements for bodies providing audit and certification of information security management systems Business Security 26

27 Riferimenti: BS ISO/IEC 27007:2011 (ISO 27007) - Information technology - Security techniques Guidelines for information security management systems auditing BS ISO/IEC 27010:2012 (ISO 27010) - Information technology - Security techniques - Information security management for intersector and inter-organizational communications BS ISO/IEC 27011:2008 (ISO 27011) - Information technology - Security techniques Information security management guidelines for telecommunications organizations based on ISO/IEC Business Security 27

28 Riferimenti: BS ISO/IEC :2009 (ISO 27033) - Information technology - Security techniques - Network security - Part 1: Overview and concepts BS ISO/IEC :2012 (ISO 27033) - Information technology - Security techniques - Network security - Part 2: Guidelines for the design and implementation of network security BS ISO/IEC :2010 (ISO 27033) - Information technology - Security techniques - Network security - Part 3: Reference networking scenarios -- Threats, design techniques and control issues Business Security 28

29 Riferimenti: ISO 27799:2008 Health informatics - Information security management in health using ISO/IEC Alan Calder/Steve Watkins (2007) - IT Governance A Manager s Guide to Data Security and BS 7799/ ISO (3 rd Edition) - Kogan Page Publishing Business Security 29

30 ISO Roadmap Business Security 30

31 ISO ISO fornisce un modello per istituire, implementare, operare, monitorare, revisionare, mantenere e migliorare un Sisrtema di Gestione della Sicurezza delle Informazioni (SGSI) Information Security Management System (ISMS). L adozione di un SGSI deve tradursi in una scelta strategica per ogni organizzazione. La definizione e l implementazione del SGSI è influenzata dalle esigenze e dagli obiettivi perseguiti, dai requisiti di sicurezza, dai processi impiegati e dalla dimensione e struttura dell organizzazione. La soluzione implementativa di un SGSI sarà sempre scalata in accordo con le esigenze dell organizzazione e la sua evoluzione nel tempo. Lo Standard ISO può essere utilizzato per valutare la conformità con le parti interessate interne ed esterne Business Security 31

32 ISO ISO è il Code of practice for Information Security Management e stabilisce le linee guida ed i principi generali per l inizializzazione, l implementazione, il mantenimento, ed il miglioramento della gestione della sicurezza delle informazioni in una organizzazione. Gli obiettivi delineati nel norma internazionale forniscono indicazioni generali sulle finalità comunemente accettate di un sistema di gestione della sicurezza delle informazioni. Gli obiettivi di controllo e i controlli dello Standard sono intesi per essere implementati per soddisfare i requisiti identificati da una valutazione del rischio. La norma può servire come una guida pratica per lo sviluppo di standard di sicurezza aziendali ed efficaci pratiche di gestione della sicurezza e per contribuire a costruire fiducia nelle attività inter-organizzative Business Security 32

33 Ottenere il supporto del Management Il Management deve supportare attivamente la sicurezza all'interno dell'organizzazione attraverso una chiara direzione, dimostrando impegno, esplicitando gli incarichi, e con il riconoscimento delle responsabilità derivanti dalla sicurezza delle informazioni. Il Management deve approvare la politica della sicurezza delle informazioni, attribuire i ruoli di sicurezza, coordinare e riesaminare l implementazione della sicurezza in tutta l'organizzazione Business Security 33

34 Definire l ambito d applicazione del SGSI Definire l ambito d applicazione ed i confini del SGSI nei termini delle caratteristiche del business, dell organizzazione generale, della distribuzione geografica, degli assets e della tecnologia adotta, e includendo dettagli e giustificazioni per tutte le esclusioni dall ambito d applicazione. L eventuale esclusione di controlli rilevati come necessari per soddisfare i criteri d accettazione dei rischi è indispensabile sia giustificata Business Security 34

35 Inventariare gli Asset Informativi Tutti gli asset devono essere chiaramente identificati e un inventario di tutte gli asset importanti, deve essere compilato ed aggiornato. L inventario deve includere tutte le informazioni necessarie al recupero degli asset a seguito di un evento disastroso, cioè: Tipo asset; Formato (es. informazioni, software, materiali, servizi, persone, intangibili); Localizzazione; Informazioni di Backup; Licenze; Valore di Business Business Security 35

36 La valutazione del rischio deve individuare, quantificare e prioritizzare i rischi in base ai criteri di accettazione del rischio e degli obiettivi specifici per l'organizzazione. Effettuare una Valutazione dei Rischi I risultati dovrebbero guidare e determinare l'azione di gestione appropriata e le priorità per la gestione dei rischi per la sicurezza dell'informazione e per l implementazione dei controlli selezionati per la protezione contro tali rischi. Il processo di valutazione dei rischi e la selezione dei controlli, potrebbe essere necessario eseguirlo un certo numero di volte per coprire differenti parti dell'organizzazione o di singoli sistemi informativi. La valutazione dei rischi deve avvalersi di un approccio sistematico per stimare l'entità dei rischi (risk analysis) e per il processo di comparazione dei rischi rilevati sulla base di criteri di rischio per determinarne la rilevanza (risk evaluation). La valutazione dei rischi della sicurezza delle informazioni, deve essere condotta entro un ambito ben definito ai fini della sua efficacia, e, se del caso, dovrebbe includere i rapporti di interazione con le valutazioni del rischio condotte in altri ambiti Business Security 36

37 Preparare la dichiarazione di applicabilità Una Dichiarazione di Applicabilità (Statement Of Applicability SOA) è un documento che elenca gli obiettivi di controllo dell organizzazione ed i controlli applicati. La dichiarazione di applicabilità (SOA) e derivata direttamente dai risultati della valutazione dei rischi, in essa: Viene definito l approccio al rischio; Vengono identificati tutti i requisiti legali e normativi, e sono valutati gli obblighi contrattuali; Vengono riviste le esigenze proprie del business dell'organizzazione e si effettua una valutazione dei requisiti di sicurezza delle informazioni Business Security 37

38 Preparare il piano di gestione del rischio L'organizzazione deve formulare un piano di gestione del rischio (Risk Treatment Plan - RTP) che identifica l opportuna azione di gestione, le risorse, le responsabilità e le priorità per la gestione dei rischi per la sicurezza delle informazioni. Il Piano di gestione del rischio deve essere impostato nel contesto della politica di sicurezza delle informazioni dell'organizzazione e deve identificare chiaramente l'approccio al rischio ed i criteri per l'accettazione del rischio. Il Piano di gestione del rischio è il documento fondamentale che lega tutte e quattro le fasi del ciclo Plan, Do, Check, Act (PDCA) per il SGSI Business Security 38

39 Il modello "Plan-Do-Check-Act" (PDCA) è applicato per strutturare tutti i processi del SGSI. Il diagramma illustra come un SGSI prende come input i requisiti di sicurezza delle informazioni e le aspettative delle parti interessate e, attraverso le necessarie azioni e processi, produce risultati di sicurezza che soddisfano requisiti ed aspettative Business Security 39

40 Plan (Definire il SGSI) Definisce la politica del SGSI, gli obiettivi, i processi e le procedure relative alla gestione del rischio e il miglioramento della sicurezza delle informazioni per fornire risultati in accordo con le politiche generali di un'organizzazione e degli obiettivi. Do (Implementare ed attivare il SGSI) Implementa e attiva la politica del SGSI, i controlli, i processi e le procedure. Check (Monitorare e riesaminare il SGSI) Valuta e, se del caso, misura le prestazioni del processo nei confronti della politica del SGSI, gli obiettivi e l'esperienza acquisita, per riferire i risultati al management per la revisione. Act (Mantenere e migliorare il SGSI) Intraprende azioni correttive e preventive, sulla base dei risultati degli audit interni ed il riesame del management o altre informazioni rilevanti, per conseguire il miglioramento continuo del SGSI Business Security 40

41 Sviluppare un piano di implementazione del SGSI Implementare il piano di gestione dei rischi, al fine di raggiungere gli obiettivi di controllo identificati, il che implica una valutazione dei finanziamenti e l'assegnazione di ruoli e responsabilità. Implementare i controlli selezionati durante la definizione del SGSI per raggiungere gli obiettivi di controllo. Definire parametri d efficacia dei controlli per permettere al management ed al personale di determinare in quale misura i controlli raggiungono gli obiettivi di controllo pianificati. Implementare programmi di formazione, informazione e consapevolezza Business Security 41

42 Sistema di Gestione della Sicurezza delle Informazioni E importante essere in grado di dimostrare la relazione tra i controlli selezionati, i risultati della valutazione dei rischi ed il processo di gestione del rischio, e fino alla politica e gli obiettivi del SGSI. La documentazione del SGSI deve comprendere: Dichiarazioni documentate sulla politica e gli obiettivi del SGSI; L ambito di applicazione del SGSI; Procedure e controlli a supporto del SGSI; Una descrizione della metodologia adottata per la valutazione dei rischi; Il report della valutazione dei rischi; Il piano di gestione dei rischi; Procedure documentate necessarie all'organizzazione per assicurare l'efficace pianificazione, il funzionamento e il controllo dei propri processi di sicurezza delle informazioni e descrizione della misura dell'efficacia dei controlli; Registrazioni richieste dalla norma; La Dichiarazione di Applicabilità Business Security 42

43 Revisioni di conformità Azioni correttive Il management riesamina il SGSI dell'organizzazione ad intervalli pianificati (almeno una volta all'anno) per assicurarne la continuità, l adeguatezza e l efficacia. L'esame comprende la valutazione delle opportunità di miglioramento e la necessità di modifiche al SGSI, compresa la politica di sicurezza delle informazioni e gli obiettivi di sicurezza delle informazioni. I risultati delle verifiche devono essere chiaramente documentati e le registrazioni devono essere conservate. Ciò avviene durante la fase di 'Check' del ciclo PDCA e le eventuali azioni correttive gestite di conseguenza Business Security 43

44 Valutazione di pre-certificazione Prima della revisione esterna, il consulente per la sicurezza delle informazioni dovrebbe effettuare una revisione globale del SGSI e SOA. Nessun audit può avvenire fino a quando è trascorso un tempo sufficiente per l'organizzazione per dimostrare la conformità con il ciclo PDCA e con la clausola 8 della ISO (esigenza di miglioramento continuo). Gli Auditor ricercheranno le evidenze che il SGSI è soggetto al miglioramento continuo, non che esso è solamente implementato Business Security 44

45 Audit di certificazione La certificazione comporta la valutazione del SGSI dell'organizzazione. Un SGSI certificato, assicura che l'organizzazione ha avviato un processo di valutazione dei rischi e ha individuato e implementato un sistema di gestione dei controlli adeguati alle esigenze di sicurezza delle informazioni determinate dal business. La prova che un'organizzazione è conforme allo standard, e tutta la documentazione integrativa, è costituita nella forma di un documento di certificazione o certificato. Gli organismi di certificazione ricercano le evidenze che la valutazione dei rischi della sicurezza delle informazioni dell organizzazione, rifletta le peculiarità del business e si estenda ai confini ed alle interfacce delle sue attività come definito nello Standard. Gli organismi di certificazione devono confermare che questo si riflette nel piano di gestione del rischio dell'organizzazione e della sua dichiarazione di applicabilità Business Security 45

46 Miglioramento continuo L organizzazione deve migliorare continuamente l efficacia del proprio SGSI mediante l uso di: Politica della sicurezza delle informazioni; Obiettivi di sicurezza delle informazioni; Risultati di audit; Analisi degli eventi monitorati (esperienza!); Azioni correttive e preventive; Riesame da parte del management Business Security 46

47 La sicurezza è un processo non un prodotto. (Bruce Schneier) Business Security 47