LA CERTIFICAZIONE DEI SISTEMI E DEGLI AUDITOR PER LA SICUREZZA DELLE INFORMAZIONI (INFORMATION SECURITY MANAGEMENT SYSTEMS AND AUDITORS CERTIFICATION)

Transcript

1 PDCA Srl, partner di Security Brokers SCpA LA CERTIFICAZIONE DEI SISTEMI E DEGLI AUDITOR PER LA SICUREZZA DELLE INFORMAZIONI (INFORMATION SECURITY MANAGEMENT SYSTEMS AND AUDITORS CERTIFICATION) Sommario Differenze ed aspetti specifici delle certificazioni nell'information security; come gli standard ISO influenzano e regolano la certificazione dei sistemi di gestione e degli auditor coinvolti nei processi di certificazione; ruolo e significatività della certificazione e dell'accreditamento. Abstract Differences and specific issues in information security certifications; how ISO s standards influence and regulate the management systems and the auditors certifications; role and relevance of certifications and accreditations. 1. Introduzione Sebbene esista da alcuni decenni, la certificazione assume per alcuni un significato diverso da quello reale. Spesso la confusione deriva dall improprio uso della terminologia (come nel caso delle certificazioni del personale) in altri casi deriva dalla molteplicità di certificazioni esistenti e dalla scarsa conoscenza delle tematiche ad esse connesse. In questo articolo proveremo a diradare parte della nebbia sul tema delle certificazioni e chiarire la relazione esistente con la sicurezza delle informazioni e la sicurezza informatica. Partiremo proprio da questi due termini: sicurezza delle informazioni: riguarda gli aspetti organizzativi e gestionali per assicurare la riservatezza, l integrità e la disponibilità delle informazioni; sicurezza informatica: riguarda gli aspetti di sicurezza per i prodotti e sistemi informatici. La differenza tra i due termini è equivalente alla differenza tra le definizioni di sistemi informativi e sistemi informatici. Il chiarimento su questa prima differenza, seppure non totalmente risolutivo, permetterà di procedere con più semplicità nella lettura del testo. Indipendentemente dalle definizioni le due sicurezze possono coesistere essendo esse destinate ad ambiti diversi ma complementari. Anzi, dovrebbero coesistere in quelle aziende che producono apparati e sistemi destinati a supportare la sicurezza informatica e delle informazioni. 2. La certificazione Con il termine certificazione (almeno in ambito ISO) si intende quell attività, svolta da un organismo indipendente (o terza parte), per mezzo della quale viene verificata e dichiarata la conformità di un sistema/prodotto/persona rispetto a specifici criteri/requisiti di valutazione. Tali organismi sono definiti come Organismi di Certificazione (OdC). La certificazione può essere riferita ad un ambito cogente e/o regolamentato (cioè regolato da leggi ed obbligatorio per determinati ambiti, come ad esempio la marcatura CE di alcuni prodotti) oppure ad un ambito volontario come, ad esempio, la certificazione dei sistemi di gestione per la sicurezza delle informazioni e dei relativi auditor. La certificazione cogente in genere si riferisce a prodotti mentre la certificazione volontaria si riferisce a modelli organizzativi e competenze utilizzabili nelle organizzazioni pubbliche e private di qualsiasi dimensione e settore di mercato (è il caso della oramai arcinota Speciale Sicurezza ICT 123

2 Tabella 1: Organismi di Certificazione Italiani dei SGSI (Fonte: Accredia agg. 2/10/2013) ISO 9001). Per maggiori informazioni e per una descrizione estesa delle certificazioni disponibili in Italia è possibile consultare il Libro bianco - Le Prove, i Controlli, le Valutazioni e le Certificazioni per i prodotti, i servizi, le aziende ed i professionisti pubblicato da Confindustria nel 2010, reperibile all indirizzo: /Studi%20e%20Documenti/LibroBianco.pdf 3. Accreditamento Un argomento fondamentale, che occorre mettere a fuoco per capire l esatto significato della certificazione, è l accreditamento. L accreditamento è definito come: «Attestazione da parte di un organismo nazionale di accreditamento che certifica che un determinato organismo di valutazione della conformità soddisfa i criteri stabiliti da norme armonizzate e, ove appropriato, ogni altro requisito supplementare, compresi quelli definiti nei rilevanti programmi settoriali, per svolgere una specifica attività di valutazione della conformità» REG (CE) N. 765/2008. Per i SGSI e per gli auditor/lead auditor dei SGSI è Accredia ( ad assicurare che i relativi organismi di certificazione (dei sistemi di gestione e delle competenze del personale) operino in conformità a norme armonizzate, assicurando nel contempo la portabilità e riconoscibilità delle certificazioni a livello europeo (per mezzo del Multi Lateral Agreement) e mondiale (per mezzo del Multi Recognition Arrangement). La posizione di Accredia per i SGSI e per gli auditor/lead auditor dei SGSI è quindi equivalente alla posizione dell OCSI per i prodotti/sistemi e assessor (con riferimento ai common criteria ) In Italia operano gli Organismi di Certificazione accreditati per la certificazione dei Sistemi di Gestione per la Sicurezza delle Informazioni elencati in Tabella 1 (in ordine alfabetico). Vale a dire che soltanto i suddetti Organismi possono rilasciare certificazioni per i SGSI garantite dal sistema di accreditamento nazionale (Accredia). Altri Organismi di Certificazione, operanti in Italia con accreditamenti coperti da accordi di mutuo riconoscimento, possono comunque rilasciare certificazioni. Certificazioni rilasciate da Organismi di Certificazione non accreditati sono altresì possibili a discapito della loro verificabilità e rispondenza alle direttive e garanzie sopra elencate. 4. Certificazione di sistema Dunque, la certificazione dei sistemi di gestione si riferisce alle attività poste in atto da un organizzazio- 124 Speciale Sicurezza ICT

3 LA CERTIFICAZIONE DEI SISTEMI E DEGLI AUDITOR PER LA SICUREZZA DELLE INFORMAZIONI (INFORMATION SECURITY MANAGEMENT SYSTEMS AND AUDITORS CERTIFICATION) Figura 1: Norme e linee guidi della famiglia ISO/IEC ne, pubblica e/o privata, di qualsiasi dimensione e settore, per soddisfare uno specifico standard o insieme di requisiti. La certificazione dei Sistemi di Gestione per la Sicurezza delle Informazioni (o SGSI) è riferita ai requisiti descritti nella norma ISO/IEC 27001: La famiglia delle ISO/IEC è alquanto vasta, proprio per la tipologia di temi trattati e riconducibili al più vasto campo dell Information Security. Per semplicità è riportato in Figura 1 uno specchietto riassuntivo delle norme e linee guide della famiglia ISO/IEC 27001, il cui valore non può essere esaustivo visto il loro continuo aggiornamento. Le norme sono, come è possibile notare, suddivise in: requisiti, vale a dire in argomenti prescrittivi che occorre dimostrare qualora si scelga di adottare la norma. In questo senso solo la ISO/IEC è destinata alla certificazione delle organizzazioni mentre la ISO/IEC 1 Alla data di stesura dell articolo coesistono, per effetto del periodo di transizione, entrambe le versioni della ISO/IEC 27001: edizione 2005 ed edizione Il periodo di transizione è stabilito dal sistema di accreditamento internazionale (IAF) e/o da quello nazionale (Accredia) cui si rimanda per maggiori informazioni è ad uso degli organismi di certificazione ed accreditamento. Linee guida, vale a dire documenti in grado di guidare le organizzazioni per la gestione di aspetti specifici inerenti la sicurezza delle informazioni Di settore, vale a dire applicazioni specifiche della ISO/IEC per settori merceologici. Tematiche, vale a dire documenti di maggior specializzazione per argomenti specifici della sicurezza delle informazioni. I riquadri con sfondo scuro evidenziano gli standard già pubblicati mentre quelli sfondo bianco evidenziano standard in fase di stesura e/o di prossima pubblicazione. 5. Certificazione del personale La certificazione del personale si riferisce invece alle attività poste in atto dagli Organismi di Certificazione del Personale nel verificare/attestare le competenze delle persone rispetto ad un modello, ad uno standard o a una norma di riferimento. Una delle figure previste da tale certificazione sono proprio gli auditor/lead auditor dei Sistemi di Speciale Sicurezza ICT 125

4 Gestione per la Sicurezza delle Informazioni. 6. SGSI Un Sistema di Gestione per la Sicurezza delle Informazioni (o SGSI) è un modello organizzativo atto ad assicurare la riservatezza, la disponibilità e l integrità delle informazioni inerenti i processi produttivi aziendali racchiusi all interno di un determinato perimetro fisico-logico. Le contromisure, adottate per assicurare la sicurezza delle informazioni, sono definite grazie alla gestione e valutazione dei rischi rispetto a determinate politiche di sicurezza delle informazioni delineate dalla Direzione dell organizzazione. Vale qui la pena ricordare che un SGSI si pone gli obiettivi di: 1. assicurare la continuità del business anche in caso di incidente alla sicurezza delle informazioni; 2. minimizzare i danni e le perdite in caso di incidente alla sicurezza delle informazioni; 3. massimizzare gli investimenti in materia di sicurezza delle informazioni per mezzo del miglioramento continuo delle prestazioni del SGSI e delle contromisure adottate a fronte dei rischi valutati. I SGSI adottano la metodologia PDCA (Plan, Do, Check, Act) per l implementazione delle attività necessarie ad assicurare la sicurezza delle informazioni. Pur non volendo qui descrivere la norma ISO/IEC ne citiamo le principali attività, previste nelle quattro fasi delle metodologia PDCA, proprio per dare evidenza delle differenze con altri standard in ambito sicurezza: Contesto dell organizzazione; Leadership; Planning; Support; Operation; Performance evaluation; Improvement; Annex A - Control objectives and controls. Essendo un modello organizzativo prescinde da tecnologie e prodotti per la sicurezza che invece sono ad appannaggio di altri standard come la ISO/IEC 15408, ITSEC e/o ITSEM ai quali si rimanda per maggiori informazioni. 7. Auditor/Lead auditor dei SGSI Sono persone la cui competenza ed esperienza nel campo della sicurezza delle informazioni e nella loro verifica (o audit), sono state valutate a fronte di appositi standard permettendone la certificazione e l eventuale iscrizione in uno dei registri esistenti. La verifica di un SGSI deve essere condotta da un Auditor/Lead auditor dei SGSI la cui competenza sia assicurata come minimo dal superamento di un corso di qualificazione, riconosciuto da uno degli organismi di certificazione del personale. Non è invece necessaria la certificazione delle competenze né tanto meno l iscrizione ad un apposito registro (che pure assicurerebbero maggior affidabilità verso il mercato). In Italia operano due organismi di certificazione del personale accreditati per la certificazione dei lead auditor dei SGSI: AICQ-SICEV e CEPAS. A questi si unisce RICEC quale organismo di certificazione del personale, con accreditamento SAS (CH), riconosciuto per effetto del mutuo riconoscimento Europeo (MLA) 2. Discorso a parte per il più vasto registro IRCA (UK) che al momento attuale risulta privo di qualsiasi forma di accreditamento essendo considerato dal mercato come standard de facto. Il numero di auditor/lead auditor italiani dei SGSI, considerando tutti e quattro i registri, risulta assolutamente inferiore al numero di auditor/lead auditor destinati ad altre norme della famiglia ISO. Questo a riprova della particolarità e complessità dei temi cui i SGSI si riferiscono. I recenti aggiornamenti normativi hanno rivisitato sia i processi di audit sia le competenze minime necessarie per operare in qualità di auditor/lead auditor. Ad oggi un auditor/lead auditor dei SGSI deve come minimo: 1. dimostrare almeno 40 ore documentate di formazione specifica sui temi della ISO/IEC e della sicurezza delle informazioni oppure frequentare un corso equivalente tra quelli riconosciuti (o registrati) dagli Organismi di Certificazione del Personale accreditati da Accredia; 2. superare un esame che soddisfi i requisiti stabiliti dagli Organismi di Certificazione del 2 Vale qui la pena di ricordare che il mutuo riconoscimento (MLA) si riferisce sia alla certificazione dei sistemi di gestione sia alle certificazioni di competenza del personale e quindi degli auditor. Occorre però precisare che il multilateral agreement attuale non copre però la certificazione dei SGSI e la certificazione degli Auditor/Lead Auditor dei SGSI. 126 Speciale Sicurezza ICT

5 LA CERTIFICAZIONE DEI SISTEMI E DEGLI AUDITOR PER LA SICUREZZA DELLE INFORMAZIONI (INFORMATION SECURITY MANAGEMENT SYSTEMS AND AUDITORS CERTIFICATION) Personale per la qualifica degli auditor/lead auditor dei SGSI. Per la certificazione (ed iscrizione ad un registro) dobbiamo poi aggiungere: un esperienza lavorativa generale almeno quinquennale di cui almeno 2 trascorsi nel campo dell information security. E in funzione del ruolo: almeno 4 audit per complessivi 20 gg di audit in posizione di auditor, per la certificazione in qualità di auditor; quelli richiesti per auditor + almeno 3 audit per complessivi 15 gg di audit in posizione di lead auditor, per la certificazione in qualità di lead auditor. Le competenze necessarie per affrontare l esame, e quindi il processo di certificazione, possono essere riassunte (non in modo esaustivo) come segue: Linee guida e standard quali: ISO / IEC 27000, ISO / IEC 27001, ISO / IEC 27002, ISO / IEC 27003, ISO / IEC 27004, ISO / IEC 27005, ISO/IEC 27006, ISO/IEC e ISO/IEC TR Individuazione e valutazione dei requisiti dei clienti e delle parti interessate. Disposizioni legislative e regolamentari in materia di sicurezza delle informazioni. I processi e le tecnologie di base per la gestione della sicurezza delle informazioni e della sicurezza informatica. Valutazione del rischio (identificazione, analisi e valutazione), le tendenze della tecnologia, le minacce e le vulnerabilità. La gestione dei rischi della sicurezza delle informazioni. Metodi e pratiche per i controlli della sicurezza delle informazioni (elettronici e fisici). Metodi e pratiche per l'integrità delle informazioni e delle informazioni sensibili. Metodi e le pratiche per la misurazione e valutazione dell'efficacia dei SGSI e delle contromisure attuate. Metodi e pratiche per la misurazione, il monitoraggio e la registrazione delle prestazioni dei SGSI e della sicurezza informatica.. Per maggiori informazioni sulle certificazioni in materia di sicurezza delle informazioni si rimanda al Quaderno Clusit 009 ( 8. Considerazioni Da quanto descritto è chiaro come la certificazione dei SGSI, e degli auditor/lead auditor destinati alla loro verifica, siano processi volontari cui organizzazioni e persone aderiscono esclusivamente per soddisfare esigenze proprie e/o contrattuali (come ad esempio nel caso dei bandi di gara o contratti con multinazionali). I laboratori per la valutazione della sicurezza (LVS) svolgono un ruolo analogo a quello svolto dagli organismi di certificazione dei SGSI e degli auditor/lead auditor dei SGSI: entrambi sono incaricati della verifica dei requisiti a fronte di standard di riferimento, sebbene siano riferiti a standard diversi e soggetti a criteri di riconoscimento/accreditamento non direttamente comparabili. In Figura 2 diamo una sintesi dello stato delle certificazioni in Italia (fonte Accredia) con particolare enfasi ai SGSI. Il numero di certificati, se confrontato, ad esempio, con le aziende certificate ISO 9001 nel settore delle Tecnologie dell Informazione (EA 33) sono assolutamente inferiori sebbene il tema sia di assoluta attualità e riferibile oramai a praticamente tutti i contesti applicativi dell ICT (cfr. Figura 3). 8. Differenze tra standard La certificazione dei SGSI si riferisce quindi al sistema gestionale che assicura la sicurezza delle informazioni all interno di una organizzazione mentre la certificazione della sicurezza informatica di prodotti e sistemi si riferisce a specifiche caratteristiche di questi secondo modelli predeterminati. Mentre la certificazione di un SGSI è basato su un sistema di campionamento delle evidenze fornite dall organizzazione rispetto ai requisiti della ISO/IEC la certificazione di un prodotto/sistema è basata su prove tecniche specifiche, eseguite da Laboratori autorizzati, in funzione del livello di sicurezza atteso (EAL). Pertanto, un SGSI può essere certificato con un criterio on/off su base campionaria mentre un prodotto/sistema può essere certificato rispetto ad un livello specifico di sicurezza i cui requisiti sono oggettivamente verificabili per mezzo di prove svolte presso laboratori accreditati (LVS). Da ciò è evidente la differente destinazione d uso delle due certificazioni e la loro assoluta com- Speciale Sicurezza ICT 127

6 Figura 2: Sintesi dello stato delle certificazioni in Italia (Fonte: Accredia agg. 2/10/2013) Figura 3 (Fonte: Accredia agg. 2/10/2013) plementarietà. Ad esempio, un organizzazione produttrice di prodotti/sistemi certificati EAL3 potrebbe scegliere di certificare: i processi che assicurano la riservatezza, l integrità e la disponibilità delle informazioni (per mezzo della ISO/IEC 27001:2013) inerenti le caratteristiche di sicurezza informatica dei propri prodotti/sistemi certificati EAL3 (per mezzo dei Common Criteria). 9. Il ruolo delle associazioni Un ruolo fondamentale, nella diffusione degli standard e delle best practice della sicurezza delle informazioni e della sicurezza informatica, è giocato dalle associazioni che a vario titolo promuovono in Italia ed all estero la consapevolezza su tali temi. A titolo puramente rappresentativo, in ordine alfabetico (scusandomi anticipatamente per quelli che dimenticherò) cito, ad esempio: AICA, AIEA, AIIC, AIP, AIPSI, CLUSIT, ENISA, INFORAV, ISACA ROMA, UNINFO ecc. A loro dobbiamo un gran numero di eventi, corsi, seminari di aggiornamento condotti da professionisti italiani ed internazionali di assoluta levatura e considerati un punto di riferimento per le varie tematiche. 128 Speciale Sicurezza ICT