Cosa si può chiedere e cosa si può pretendere da un fornitore di servizi di sicurezza informatica

Transcript

1 Cosa si può chiedere e cosa si può pretendere da un fornitore di servizi di sicurezza informatica Raoul Chiesa (OPST, OPSA, ISECOM Trainer, CD e CTS CLUSIT) Avv. Pierluigi Perri, socio CLUSIT, IISFA, AIPSI Dr. Luigi Vannutelli, socio CLUSIT MILANO, 25 Marzo 2009 Security Summit 2009

2 Indice I relatori Sezione Contrattualistica Protezione Dati e Riservatezza Informazioni: differenze Criteri di Negoziazione Sezione Legale Obblighi di legge e fornitori esterni di sicurezza Vantaggi e svantaggi nell adozione di un fornitore esterno di IT Security Cosa fare quando si sceglie un fornitore esterno per la sicurezza Sezione Tecnica Premessa Una storia di vita vissuta Errori tipici Altre valutazioni da fare (mini-dibattito) Checklist: mettiamoli alla prova! Conclusioni Riferimenti, Q&A 2

3 Security Summit Scelta del Fornitore Chi siamo Luigi Vannutelli Giurista di impresa ex IBM non pentito Specializzazioni: Diritto comparato Italia USA Contrattualistica ICT Attività: consulenza per negoziazioni servizi outsourcing contr. standard Corsi di formazione (base e avanzati) Socio CLUSIT luigi@vannutelli.net

4 Security Summit Scelta del Fornitore Chi siamo Raoul Chiesa Hacker (etico) Specializzazioni: Gestione Red Team, Hackers Profiling, Infrastrutture critiche nazionali, OSSTMM, SCADA, PCI, old school hacking, Social Engineering, Attività: Consulenze di sicurezza logica, Penetration Testing Socio Fondatore e Membro del Comitato Direttivo e CTS CLUSIT; Board of Directors member per ISECOM, OWASP Italia, TSTF.net. Consulente in tema di cybercrime per le Nazioni Unite presso l UNICRI raoul@mediaservice.net

5 Security Summit Scelta del Fornitore Chi siamo Pierluigi Perri Avvocato e dottore di ricerca in informatica giuridica e diritto dell informatica Specializzazioni: ICT law, privacy, sicurezza, computer crimes, computer forensics Attività: Avvocatura, consulenza, formazione e precariato universitario :-) Socio CLUSIT Socio IISFA Socio AIPSI pierluigi.perri@unimi.it

6 Sezione contrattualistica Dr. Luigi Vannutelli Consulente Contratti ICT Via Volturno, 80 Cedri Brugherio (MI) Tel Cell.: luigi@vannutelli.net 6

7 Le esigenze di sicurezza possono essere molto diverse per esempio

8 La Sicurezza è comunque un costo sarebbe tanto bello se si potesse fare a meno di: porte blindate serrature impianti antifurto cancellate muri di cinta sorveglianza ma anche di password antivirus firewall antispam penetration test ma tutto questo avviene solo nel Migliore dei Mondi Possibili che non è il nostro Il COSTO della Sicurezza consiste in: costo monetario dei dispositivi, protezioni, strumenti, servizi aggravio dei tempi procedure aumento di complessità operativa

9 Ma la Sicurezza è anche investimento, se si considerano le conseguenze della assenza o inadeguatezza delle misure protettive Il problema è come bilanciare costi con esigenze rischi con protezioni Dal (mio) punto di vista contrattuale : definizione dell oggetto della negoziazione e del contratto accurato risk assessment cosa mi serve veramente? selezione del Fornitore e negoziazione chiarezza dei termini del rapporto contrattuale concordanza tra technicalities, obbligazioni contrattuali e comportamenti pratici

10 Differenza tra Protezione dei Dati e Riservatezza delle Informazioni: DATI: sequenze alfanumeriche inseribili e gestite da computer INFORMAZIONI: insieme di dati che generano una notizia nuova Ne deriva che: ESEMPIO spiegato a voce DATI: devono essere protetti da danni accessi non autorizzati ecc. INFORMAZIONI il SISTEMA in cui risiedono deve essere protetto Si tratta prevalentemente di specifiche tecniche deve esserne protetta la divulgazione / uso improprio da parte di chi per definizione ha accesso alle informazioni Si tratta di regolare dei comportamenti umani

11 Come orientare la selezione / negoziazione 1 criterio il buon senso: se devo assumere personale di servizio in casa mia, mi preoccupo per prima cosa di sapere chi sono, da dove vengono, quali referenze quindi attenzione non solo alla Società, ma anche alle sue politiche del personale, alla presenza o meno di certificazioni di qualità, a chi sono le persone che svolgeranno i lavori esistono parametri, criteri, certificazioni specifiche 2 criterio i contenuti delle attività da svolgere: double face a) cosa veramente mi serve (= risultato del risk assessment) e b) sono capaci / adeguati? Quali referenze, case history mi danno? 3 criterio pre-selezione short list scelta del 1 candidato alla negoziazione 4 criterio impostazione della negoziazione: definizione dei ruoli (chi fa cosa) scope of work + SLA scritti congiuntamente (deve diventare parte del contratto) ritualizzare la negoziazione (deve concludersi con la stesura integrale del contratto)

12 Come orientare la selezione / negoziazione Il Fornitore deve essere in grado di: Suggerire e concordare le specs tecniche per l ambiente, le procedure applicative, l organizzazione e le modalità esecutive del Committente Realizzare tutte e solo le misure tecniche di sicurezza logica come concordate Verificare in vivo la rispondenza alle esigenze ambientali attuare gli aggiustamenti necessari e concordati (change management) Se previsto a contratto, gestire l operatività secondo gli SLA concordati attuare le procedure di emergenza Ruolo del Committente: corresponsabile - ruolo del CSM informazioni / comunicazioni Identificazione dei Proj. Mgrs e dei team di progetto- Comunicazioni Tutto quanto sopra deve essere oggetto di negoziazione e deve essere recepito e contenuto nel contratto

13 Sezione legale Avv. Pierluigi Perri Unversità degli Studi di Milano Via Festa del Perdono, Milano pierluigi.perri@unimi.it 13

14 I m a lawyer (disclaimer) Mi occupo da anni di diritto delle nuove tecnologie, sia in ambito accademico sia in ambito professionale Questo (sebbene molti dei miei colleghi siano convinti del contrario) non significa che sappia gestire reti o riparare stampanti :-) Ho fornito supporto legale a diverse aziende in occasione di scelta del fornitore Dal Penetration Testing alla Risk Analysis Raoul Chiesa, Fabio Guasconi 14

15 La legge parla di fornitori di sicurezza? Generalmente, la regolamentazione di queste materie è lasciata all autonomia dei privati Il contratto è lo strumento principe per gestire la fornitura di beni e servizi all interno di un azienda Ciò non toglie che, proprio per la centralità della gestione della sicurezza, in relazione a chi fornisce servizi di sicurezza vi sono delle previsioni specifiche 15

16 Outsourcing e privacy Art. 25 dell Allegato B al D.Lgs. 196/03 Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall installatore una descrizione scritta dell intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico 16

17 Ambito di applicazione Siamo all interno del c.d. Codice Privacy, o meglio, nel disciplinare tecnico dedicato alle misure minime di sicurezza L elenco di queste ultime è tassativo, quindi l ipotesi contenuta nella norma si riferisce ad un fornitore di sicurezza che deve eseguire delle prestazioni ben specifiche Considerando le conseguenze, di natura penale, connesse all omessa adozione di misure minime di sicurezza, anche in questo caso rilevano i requisiti che il fornitore può garantire 17

18 I vantaggi Possibilità, per l azienda priva di un reparto IT interno o con complessità notevoli, di affidare all esterno un settore strategico in modalità previste dalla legge Possibilità, per l azienda, di accollare parte delle responsabilità legate alla gestione della sicurezza ad un soggetto esterno 18

19 Gli svantaggi Necessità di inquadrare il soggetto all interno del proprio organigramma privacy, in genere come responsabile e, se del caso, come amministratore di sistema Obbligo di verifica della sussistenza dei requisiti di esperienza, capacità ed affidabilità che devono sussistere in capo al fornitore Obbligo (comunque) di controllo sull attività svolta dal fornitore 19

20 Come delegare correttamente la gestione della sicurezza?/1 1) sussistenza di un atto formale mediante il quale viene designato il soggetto delegato o, volendo usare la terminologia del Codice, il soggetto esterno. Il requisito della formalità potrebbe essere soddisfatto dalla sussistenza di un contratto di outsourcing; 2) dimensioni dell azienda, o comunque struttura organizzativa della stessa, tali da giustificare la delega di funzioni; Dal Penetration Testing alla Risk Analysis Raoul Chiesa, Fabio Guasconi 20

21 Come delegare correttamente la gestione della sicurezza?/2 3) idoneità del soggetto delegato a svolgere le mansioni che gli saranno affidate, con obbligo a carico del delegante di verificarne sia in via preventiva la professionalità, sia di curarne in seguito l eventuale formazione o aggiornamento qualora sia necessario, nonché obbligo a carico del delegante di coadiuvare, laddove necessario, il delegato, fornendogli gli strumenti necessari allo svolgimento delle proprie mansioni; Dal Penetration Testing alla Risk Analysis Raoul Chiesa, Fabio Guasconi 21

22 Come delegare correttamente la gestione della sicurezza?/3 4) assunzione della posizione di garanzia da parte del soggetto delegato, requisito che potrebbe essere soddisfatto dall obbligo per l outsourcer, previsto nel disciplinare tecnico, di redigere una descrizione scritta dell attività svolta; Dal Penetration Testing alla Risk Analysis Raoul Chiesa, Fabio Guasconi 22

23 Come delegare correttamente la gestione della sicurezza?/4 5) autonomia del soggetto delegato una volta ricevute le disposizioni ed accettato l incarico, e conseguente non ingerenza del soggetto delegante nell attività del delegato, fatto salvo, ovviamente, l obbligo di vigilanza e la scelta circa le modalità di trattamento Si ricorda che la formazione dei responsabili e degli incaricati è un obbligo di legge che grava sul titolare del trattamento. Dal Penetration Testing alla Risk Analysis Raoul Chiesa, Fabio Guasconi 23

24 Le cose alle quali porre attenzione Aggiornamento dei requisiti richiesti dalle leggi di settore (ad es. 196/03, 231/01) e dai provvedimenti delle varie autorità (ad es. Garante Privacy) In caso di aziende di dimensioni transnazionali, stabilire quale legge regolamenterà il contratto Accertarsi che il fornitore conosca le policy di gestione dei dati dell azienda e vi si attenga 24

25 Gli adempimenti di legge per un corretto outsourcing della sicurezza Aggiornare le informative e il D.P.S., evidenziando come la sicurezza sia stata affidata a un fornitore esterno Farsi rilasciare apposita attestazione di conformità per gli interventi effettuati (la legge lo richiede solo per le misure minime, ma è sempre meglio che sia il più completa possibile) Se si hanno modelli 231 all interno della propria azienda, inserire l esistenza di un fornitore esterno di servizi di sicurezza (es. organigramma aziendale, analisi del rischio, ecc.) 25

26 Cosa bisogna fare dunque? Avere dei modelli contrattuali validi Avere un costante aggiornamento del panorama legislativo e giurisprudenziale Mettere alla prova il proprio fornitore di sicurezza, in quanto l inadeguatezza di quest ultimo, oltre che a danni per la propria azienda, può esporre anche a sanzioni. Dal Penetration Testing alla Risk Analysis Raoul Chiesa, Fabio Guasconi 26

27 Premessa alla sezione tecnica Raoul Chiesa Security Mediaservice.net Srl Via San Bernardino, Torino Tel raoul@mediaservice.net 27

28 I m not a lawyer... (disclaimer) Non sono una figura di stampo legale (li abbiamo chiamati apposta ;) Di conseguenza, questo intervento vuole più che altro fornire esperienze di vita vissuta sul campo, nell argomento Verifiche di Sicurezza. Diverse volte, infatti, mi è capitato di supportare aziende clienti nella corretta selezione del Fornitore di IT Security. Non dimentichiamoci inoltre l enorme e variegato mondo (e mercato) rappresentato dal termine IT Security : nei prossimi minuti mi focalizzerò su quelle tematiche proprie della mia nicchia di settore (Penetration Testing, Computer Forensics, Risk Analysis). Ciò nonostante, da queste esperienze sono scaturite delle lezioni, che ho cercato di sposare in principi da seguire. 28

29 Storie di vita vissuta 29

30 Storie di vita vissuta - 1 Penetration Testing. All interno di un progetto più ampio, mi fu richiesto di agire come Selezionatore di Tiger Team per un azienda di grandi dimensioni. La volontà del Cliente era di selezionare 2 team appartenenti a Fornitori differenti, i quali avrebbero operato senza essere a conoscenza l uno dell altro. Il contratto prevedeva 4 Pentest/anno, focalizzati su: Perimetro esterno; Applicazioni Web; LAN dell HQ; Una LAN a campione presso una filiale; Vettori di attacco proposti liberamente dai singoli vendor (ethical hacking) 30

31 Storie di vita vissuta 2 Azioni intraprese: Stesura della RFQ. - Metodologie e Best Practices da utilizzare (OSSTMM, OWASP) - Certificazioni obbligatorie (e non): OPST, OPSA, CISSP, CISA, CISM Selezione dei Fornitori. - Comprovata esperienza in realtà simili per tipologia e dimensionamento; - Policy di scouting per le aziende proponenti. Definizione delle Regole di Ingaggio - ISECOM Rules of Engagement. CV dei penetration tester - Policy di ethical-scouting per i Tiger Team proponenti. 31

32 Storie di vita vissuta 3 Commenti a quanto appena esposto: OSSTMM, OWASP. - La maggior parte delle aziende proponenti affermava di utilizzare sia l OSSTMM che l OWASP (godetevi la prossima slide ) - Certificazioni: alcuni OPST, pochi OPSA, pochi CISSP,praticamente nessun CISA e CISM (!!!) Comprovata esperienza: invio di Sample Penetration Test reports : - effettuati presso realtà non confacenti ai requisiti; - non sanitizzati (!!!) - eseguiti veramente male - neanche lontanamente compliance con l OSSTMM CV dei penetration tester - disclosure dettagliato dei security projects di N aziende! 32

33 Storie di vita vissuta 4 I primi problemi: esempio di un report inviato come sample. Introduzione L'attività di V.A. e P.T., condotta attenendosi a metodologie OSTEM-oriented ed in linea allo standard ISO (ISO compliant), si é articolata in 7 fasi: 1. Enumerazione Raccolta informazioni relative agli obiettivi. 2. Scansione Determinazione dei servizi erogati e da investigare. 3. Ricerca vulnerabilità Individuazione e valutazione dei fattori di rischio. 4. Controllo puntuale Controllo diretto delle vulnerabilità riscontrate. 5. Attacco Azioni controllate, mirate a violare: confidenzialità, integrità, disponibilità. 1. Sintesi Documentazione schematica delle conclusioni raggiunte. 2. Azioni correttive Proposta piano di rientro. 33

34 Storie di vita vissuta 5 I VERI problemi: NESSUN fornitore ha proposto dei Vettori di Attacco effettivamente utili all azienda Cliente. Tiger Team members di dubbia etica, valori, esperienza; Penetration Testers della società X, passati alla società Y, che subappaltava alla società Z.. - E le vostre informazioni, attraverso quanti laptop, hard drives e revisioni di Word passeranno?!? Profili dei penetration tester: rilevate le cose più assurde in m.l. pubblici e non - Richieste di aiuto su m.l., fornendo dettagli tecnici dell infrastruttura dei Clienti; - Disclosure dei Clienti testati (con tanto di ragione sociale!!) nei pub alla sera. 34

35 Storie di vita vissuta 6 Lessons learned: Eccessiva attenzione verso quello che viene affermato, quello che è scritto : esistono altri points of view! braccino corto verso budget per vettori di attacco non convenzionali : - Incidents don t care about legality ; - Incidents don t care about legitimacy ; - Incidents don t care about budgets! Non sempre l azienda blasonata eccelle anche nelle nicche di mercato: spesso il grosso nome utilizza realtà aziendali molto più piccole. Perché continuare a pagare due volte?!? 35

36 Errori tipici 36

37 Errori tipici - 1 Confusione nelle terminologie. Non mi stancherò mai di ripeterlo: un V.A. non è un P.T.!!! (conseguente) Chaos nel confronto delle offerte (e relativo budget a disposizione) il poco porta poco : se si paga poco un consulente, tendenzialmente si otterrà poco. Il problema, però, torna ad essere quello della riservatezza dei dati; Avete idea del livello, della tipologia e del numero di c.d. informazioni sensibili che emergono durante un penetration test e che un pentester può acquisire? Esempi recenti? Business breaks security approach: LGT Lichtenstein, SocGen Money breaks security approach: Ferrari, Telecom Italia 37

38 Errori tipici - 2 Aspetti legali negli SLA: * Definizione dello SLA Funzione dello SLA Qualificare l inadempimento dell appaltatore; Garantire la qualità del servizio; Definire le aspettative delle parti; Consentire all appaltatore di allocale le risorse. Key Performance Indicators (RAVs dell OSSTMM?) Penali per violazione degli SLA Penali per ritardo Limitazioni/grace period Performance credits Benchmarking Recesso * Questi punti sono tratti dalla presentazione L acquisto di servizi IT: case study degli Avv. Domenico Colella e Laura Liguori 38

39 Altre valutazioni (mini dibattito) 39

40 Atre valutazioni da fare * Riservatezza delle informazioni, degli output (reports, raw data, etc ) Trattamento dei dati personali Sub-appalto Clausole di prevalenza Distrazione del personale Controversie Cessione del contratto Altro * Questi punti sono tratti dalla presentazione L acquisto di servizi IT: case study degli Avv. Domenico Colella e Laura Liguori 40

41 Checklist (mettiamoli alla prova :) 41

42 Conclusioni 42

43 Domande per chi si propone come Fornitore (pentest) /1 Generiche: VA o PT? Metodologia? Tipologie di Test? Vettori di Attacco? Falsi positivi/negativi? Certificazioni? Referenze? Red Team? Sample Report? (sanitized!) 43

44 Domande per chi si propone come Fornitore (pentest) /2 * Define your Web Application Security Assessment services for me? Define your Vulnerability Assessment services for me? Define your Penetration Testing Services for me? Define your Web Application Assessment methodology for me? * Da Netragard, How to Qualify an IT Security Services Provider,

45 Domande per chi si propone come Fornitore (pentest) /3 * Name at least 5 critical components of OWASP? What is distributed metastasis? What is a polymorphic shellcode? How do you perform IDS and IPS evasion during the delivery of your services? What is the most important aspect of Computer Forensics? * Da Netragard, How to Qualify an IT Security Services Provider,

46 Domande per chi si propone come Fornitore (pentest) /4 * Describe your methodology for performing a VA or a PT please Does your business perform vulnerability research and development? If so, can you provide me with research as proof? Who is the lead technical expert within your company and what has he or she accomplished? Where do you collect your threat intelligence? * Da Netragard, How to Qualify an IT Security Services Provider,

47 Conclusioni /2 Scegliere il fornitore non solo sulla base delle skill tecniche, ma anche di quelle giuridiche Tenere sempre presente che è meglio avere un fornitore che garantisca eventuali risarcimenti :-) Attendere (si spera presto) la redazione di un codice deontologico per i fornitori di servizi IT Non affidare mai totalmente le chiavi della propria azienda (ma questo non c era bisogno di dirvelo) :-) 47

48 Conclusioni /3 Conoscenze tecniche. Elasticità, apertura mentale: essere realisti. Controllo della qualità degli output. Partecipazione dei referenti tecnici aziendali alla stesura degli SLA ed alla selezione dei Fornitori. Trasparenza su tutto il processo di verifica della sicurezza delle informazioni. Non fatevi prendere in giro. 48

49 Riferimenti 49

50 Riferimenti Studio Legale Portolano Colella Cavallo (Roma): L acquisto di servizi IT: case study. Milano, 27 maggio OSSTMM: OWASP: ISECOM Rules of Engagement: NETRAGARD How to Qualify an IT Security Services Provider : 2/index.php 50

51 Q&A Grazie per l attenzione! DOMANDE? Raoul Chiesa rchiesa@clusit.it Avv. Pierluigi Perri pierluigi.perri@unimi.it Prof. Luigi Vannutelli luigi@vannutelli.net 51