Privacy Day 2013 MODENA Ing. GIUSEPPE NALE

Transcript

1 RISK ASSESSMENT NETWORK ASSESSMENT DISASTER RECOVERY e CLOUD Privacy Day 2013 MODENA Ing. GIUSEPPE NALE consulenza ICT in ambito infrastrutture, sicurezza e Cloud services

2 Sommario Agenda Risk assessment Network assessment Disaster recovery e Cloud storage

3 Normativa

4 Risk Assessment Progetto della sicurezza Articolo 23 Protezione fin dalla progettazione: - Evoluzione - Costi Protezione di default: - Quantità - Durata RISK ASSESSMENT RISK MANAGEMENT

5 Risk Assessment Risk Assessment e Risk Management Durante questi processi di valutazione e gestione, i rischi vengono identificati e misurati dal management aziendale. La stima dei rischi è sottoposta alla direzione aziendale che ha l onore e l onere di decidere la strategia prendendo decisioni sui rischi ritenuti accettabili. il sistema di sicurezza viene adeguato nel tempo. E un processo ciclico di affinamenti progressivi. La prima valutazione serve per progettarlo. Il processo di gestione prevede di valutarne l efficacia, tramite successive valutazioni, generalmente annuali, confrontate con i benchmark utilizzando key indicators tra cui valore del rischio, calcolo costi-benefici, la stima della tolleranza dei rischi e la quantificazione delle preferenze. Il problema della sicurezza: lo scetticismo E sempre stato legato al fatto che ci sia bisogno di spendere soldi "veri" per combattere perdite potenziali. I benefici apportati dalla sicurezza non sempre sono quantificabili.

6 Risk Assessment Risk assessment La sicurezza delle informazioni implica la protezione di quattro aspetti: Disponibilità : l'accessibilità motivata alle informazioni; Integrità : la completezza e la leggibilità delle informazioni; Autenticità : la validità delle informazioni; Riservatezza : la possibilità che solo chi è autorizzato possa leggere le informazioni. La sicurezza richiede, quindi, che le informazioni e l'accesso alle stesse siano rigorosamente controllate Il problema della sicurezza: lo scetticismo E sempre stato legato al fatto che ci sia bisogno di spendere soldi "veri" per combattere perdite potenziali. I benefici apportati dalla sicurezza non sempre sono quantificabili.

7 Risk Assessment Modelli di riferimento Il modello di valutazione del rischio può attingere dai migliori sistemi esistenti, contestualizzando il meglio di ognuno sulle esigenze delle Pmi, piuttosto che delle Enterprise o della PAC/PAL. Gli standard di riferimento: UNI CEI ISO/IEC 27001:2005 Pacchetto Informativo per le Pmi (Enisa_07, European Network and Information Security Agency) Sviluppato secondo il modello Octave (Operational Critical Threat, Asset and Vulnerability Evaluation) IT-Grundschutz Methodology (BSI, Bundesamt für Sicherheit in der Informationstechnik)

8 Tipologie di Asset analizzate 1. SERVIZI IT 2. SISTEMI IT 3. RETE Risk Assessment Controllo finanziario Assistenza alla clientela Logistica Commercio elettronico Gestione Web server Pianificazione delle risorse aziendali (Enterprise Resource Planning ERP) Server Postazione di lavoro Computer portatile Archiviazione e backup (anche dispositivi di archiviazione rimovibili) Dispositivo di memorizzazione di massa (storage) Fax Cellulari Router e modem Switch di rete Gateway (firewall) Access point wireless Accesso remoto Segmento di rete (ad es. cablaggio e attrezzature fra due computer) Altro (satellitare, laser) Fonte: ENISA 4. PERSONE 5. INFRASTRUTTURE Gestione dell impresa e delle risorse umane Funzionamento e tecnologia Ricerca e sviluppo Commerciale e marketing Contraenti e terzi Struttura dell edificio Cablaggio Uffici Archivi e schedari Locale/i server Locale/i attrezzature tecniche e macchinari Cabine di protezione (armadi) Sale riunioni, eventi, corsi

9 Livello di rischio Risk Assessment La valutazione del livello di rischio è funzione dell entità del danno che l asset considerato arrecherebbe all organizzazione imprenditoriale in uno dei seguenti scenari: perdita di disponibilità: interruzione (temporanea o prolungata) del processo/servizio supportato; interruzione dell accesso e/o di utilizzo di un determinato asset o delle informazioni ivi conservate perdita di integrità: modifica delle informazioni senza autorizzazione; perdita o distruzione dell asset perdita di riservatezza: divulgazione delle informazioni a persone, entità o processi non autorizzati L approccio utilizzato prevede la quantificazione di quattro livelli di rischio, secondo lo schema seguente.

10 Profilo di rischio Risk Assessment

11 Sintesi direzionale Risk Assessment Servizio di In caso di perdita di integrità, i dati possono essere recuperati dai nastri di backup, che, insieme al relativo dispositivo, rappresentano l elemento critico del sistema. à Si consiglia di mantenere aggiornati i piani di backup e di effettuare periodiche verifiche di corretto restore dei dati L infrastruttura di rete (router/firewall/switch) risulta non replicata à E fortemente consigliata una replica per diminuire il rischio di indisponibilità di assistenza remota e accesso al web ed ai servizi di posta Non vi è contratto di intervento con la ditta di manutenzione. à La mancanza di contratto formale con delle SLA specifiche può portare a disagi in caso di urgenza di disponibilità di personale specializzato Mancata sincronizzazione con Active Directory. à La sincronizzazione con il servizio di Active Directory migliorerebbe la gestione degli account e delle password ERP System ACG su AS400 Le password utilizzate dal sistema non sono robuste e non presentano scadenza à Anche se la sicurezza a livello Autenticazione sul sistema e legato alla presenza di Active Directory sarebbe opportuno l introduzione anche per questo sistema di password robuste e scadenza come richiesto dalla normativa L accesso ai dati è consentito anche da client esterni à Il rischio potrebbe essere diminuito approntanto un controllo di provenienza tramite indirizzo IP L infrastruttura di rete (router/firewall/switch) risulta non replicata à E fortemente consigliata una replica per diminuire il rischio di indisponibilità di assistenza remota e accesso al web ed ai servizi di posta

12 Networking Top 5 Network management mistakes and How to Avoid Them MISTAKE 1: APPROCCIO REATTIVO AL CHANGE MANAGEMENT MISTAKE 2: TROPPI CONFIGURATION CHANGES MANUALI MISTAKE 3: PERSONALE E STRUMENTI DI PERFORMANCE MANAGEMENT E CHANGE MANAGEMENT SEPARATI MISTAKE 4: PERSONALE IT INTERNO/ESTERNO CON TROPPI ADMINISTRATIVE ACCESS MISTAKE 5: COMPRENSIONE LIMITATA DELL IMPATTO DEI CHANGE DEL NETWORK SOLUZIONE: NETWORK ASSESSMENT & NETWORK MANAGEMENT

13 Back up Policy e DR La protezione dei dati on-premise Tipicamente: Il backup si usa per creare una copia di ripristino di emergenza di tutti i dati aziendali. In passato, questi dati erano archiviati su nastro mentre oggi sono sempre di più archiviati su disco per un ripristino più affidabile e rapido. Solitamente, le aziende più grandi possiedono una copia in sede e un'altra in un luogo secondario esterno all'azienda. Le snapshot si usano per creare una copia di un sistema informatico relativa a un determinato momento e costituiscono sempre più la base del backup, in quanto i clienti creano i backup dalle snapshot invece che direttamente dal sistema di produzione. Questo permette di non caricare troppo il sistema di produzione con la procedura di backup per non alterare le prestazioni e per lasciare tempo a sufficienza per il completamento del backup. Grazie alle snapshot, è possibile proteggere l'applicazione, i dati e il sistema operativo in un ambiente di server fisici e virtuali. La gestione basata su policy di backup definite è fondamentale per far sì che tutti i sistemi siano protetti e gestiti allo stesso modo in ogni punto dell'infrastruttura informatica.

14 Back up Policy e DR Il backup o replica online Backup online o Cloud storage: con questa modalità, il Cloud rappresenta un luogo di archiviazione extra. Oltre a creare il backup su disco o su nastro, ora si può effettuare anche su Cloud, utilizzando uno spazio di archiviazione offerto dal fornitore di servizi e ubicato all'esterno dell'azienda. In questo modo è possibile accedere allo spazio di archiviazione extra per il disaster recovery.

15 Disaster Recovery Recenti indagini di IDC confermano il crescente utilizzo di soluzioni di cloud storage e disaster recovery. Sicurezza e privacy. Quando si inviano i dati sul Cloud attenzione va posta sul livello di sicurezza presso il fornitore. A questo riguardo, va sottolineato come aspetto positivo che i fornitori di servizi Cloud sono generalmente consapevoli dell'importanza di adottare misure robuste di sicurezza e privacy e sono esperti in questo campo. Tuttavia, è importante verificare che il cliente e il fornitore abbiano gli stessi standard in tema di sicurezza e privacy. Ubicazione/Paese. La seconda preoccupazione, in ordine di importanza, è l'ubicazione dei dati, cioè l'ubicazione dei centri dati del fornitore di Cloud storage. Non tutti i fornitori dispongono di data center in ogni paese in cui offrono questo servizio. Per questa ragione, è importante sapere se la legge del proprio paese in tema di tutela della privacy richiede che i dati siano archiviati nel paese stesso o se invece permette che i dati siano archiviati altrove. Conformità legislativa. Quando ci si serve di un fornitore di Cloud storage, si rispettano le leggi nazionali e di settore? È importante poter dimostrare che si continua a gestire i propri dati indipendentemente dall'ubicazione dei dati stessi (in sede o online), e che si è in grado di fornire l'accesso ai dati alle autorità nazionali (per esempio, al fisco). Inoltre, va dimostrato che il proprio fornitore rispetta i requisiti di sicurezza e privacy che riguardano l'azienda. La gestione dei dati - negli ambienti fisici e virtuali, nella sede aziendale piuttosto che su infrastrutture per la protezione di dati sul Cloud - sono di importanza fondamentale per garantire e dimostrare la conformità ai revisori.

16 Cloud Computing e Protezione dei dati Il problema della legge applicabile Cloud services One single law applicable throughout Europe Il regolamento proposto prevede diversi obblighi nei confronti di titolari e responsabili stabiliti in UE. Maggiore coerenza di norme valide in tutta Europa rispetto al regime determinato dalla Direttiva del 1995 e dal suo recepimento da parte degli Stati membri. Possibilità o necessità di specifiche regolamentazioni a livello nazionale in alcune aree lasciate alla competenza delle leggi nazionali (come la disciplina del lavoro).

17 Cloud Computing e Protezione dei dati I ruoli della protezione dei dati Responsabilità e contitolarità I fornitori di servizi Cloud offrono prestazioni che interessano in qualche misura le condizioni e le finalità stesse del trattamento. L articolo 24 del regolamento proposto dalla Commissione introduce una corresponsabilità del trattamento. I Cloud service providers sono contitolari, insieme al loro cliente, dei trattamenti.

18 Cloud Computing e Protezione dei dati Certifications & Accreditations ISO SOC 1 (SSAE 16 & ISAE 3402) Type II Audit SOC 2 SOC 3 Audit (new in 2013) TIER4 data center Payment Card Industry Data Security Standard (PCI DSS) Level 1 Service Provider Security IN the Cloud Security OF the Cloud

19 Cloud Computing e Protezione dei dati Customer-managed Controls Applications Platforms Operating Systems Data OS-level Firewalls/IDS/IPS Systems/Deep Security Security Group & Network Access Control Lists Industry Standard Protocols IPSec, SSL, SSH Netwok Security Encryption of data in Flight Security IN the Cloud Security OF the Cloud OS-level: Encrypted File System Bitlocker, dm-crypt, Secure Cloud Encryption of data at Rest

20 Cloud Computing e Protezione dei dati La Governance del Cloud Il Governo dei servizi in Cloud: i rischi specifici devono essere gestiti in modo esplicito i livelli di servizio sono definiti con le modalità di monitoraggio (da definirsi nel contratto di servizio) i dati in Cloud devono essere stati classificati il rischio di collocazione geografica dei datacenter è valutato

21 Cloud Computing e Protezione dei dati Obblighi contrattuali Cloud Il contratto deve definire: Evidenza esplicita delle procedure di sicurezza del CSP Data retention policies Reporting sulla location geografica dei dati Notifica di eventi anomali Penalità per data breaches Compartimentalizzazione (no multitenancy) e Protezione contro la data contamination tra clienti