I PRIMI 100 GIORNI DEL RESPONSABILE DELLA SICUREZZA DELLE INFORMAZIONI

Transcript

1 I PRIMI 100 GIORNI DEL RESPONSABILE DELLA SICUREZZA DELLE INFORMAZIONI Riccardo Abeti, Studio Legale Abeti Luca Bechelli, Clusit Bruno Bernardi, CSQA Jonathan Brera, KPMG Riccardo Canetta, SafeNet Paolo Capozucca, Alfagroup Roberto Obialero, ADS - gruppo Finmatica Giuseppe Russo, Oracle Claudio Telmon, Clusit Alessandro Vallega, Oracle e Clusit 1

2 Liberamente scaricabile Licenza CC-BY-SA versione 3.0 2

3 Autori del deliverable Quattro tra associazioni e studi legali e 15 aziende per un totale di 34 professionisti Riccardo Abeti, Studio Legale Abeti Roberto Anzanello, AUSED Orlando Arena, SafeNet Pasqualino Baldassarre, NexSoft Massimo Bazzani, Alfa Group Luca Bechelli, CLUSIT Bruno Bernardi, CSQA Certificazioni Angelo Bosis, Oracle Jonathan Brera, KPMG Riccardo Canetta, SafeNet Paolo Capozucca, SEC Alfagroup Andrea Castello, CSQA Certificazioni Giuseppe Cusello, Alfa Group Dino Esposito, Infocert Sergio Fumagalli, ZEROPIU Francesca Gatti, AUSED Martina Girolimetto, CSQA Certificazioni Andrea Goisis, ZEROPIU Vito Guerriero, KPMG Andrea Longhi, Andrea Mariotti, Ernst & Young Roberto Obialero, ADS - Gruppo Finmatica Alessio Pennasilico, CLUSIT Alberto Piamonte, AIEA John Mario Ramaioli, BPM Enrico Ronchetti, Kelyan Giuseppe Russo, Oracle Marco Sanseverino, KPMG Fabio Saulli, BSC Consulting Giulio Spreafico, AIEA Claudio Telmon, CLUSIT Vittorio Torre, NexSoft Alessandro Vallega, Oracle Maria Cristina Vicini, BSC Consulting 3

4 Oracle Community for Security Più di trenta aziende, studi legali e associazioni legate dalla voglia di far crescere insieme la cultura di sicurezza in Italia C4S.CLUSIT.IT Return on Security Investments Fascicolo Sanitario Elettronico Privacy nel Cloud Mobile e Privacy Sicurezza nel Social Media I Primi 100 giorni del Responsabile della Sicurezza delle Informazioni 4

5 Oracle Community for Security Più di trenta aziende, studi legali e associazioni legate dalla voglia di far crescere insieme la cultura di sicurezza in Italia C4S.CLUSIT.IT download in un anno Privacy nel Cloud Sicurezza nel Social Media Presentazione qui il 14/3/2013 Mobile e Privacy 5

6 Processo di produzione Tema Scelta del tema, definizione del target Elezione del leadership team Componenti Stesura della distinta base Assegnazione degli autori Stesura componenti Review e rework componenti 1 Master (online) Nomina di un editor Integrazione in un unico master condiviso online Comments, rewiew e rework 2 Master (asincrono) Trasposizione in un unico sorgente condiviso asincrono Review finale Pubblicazione 6

7 Introduzione 7

8 Introduzione Analisi del contesto 8

9 Introduzione Analisi del contesto Ruolo, capacità e competenze del Responsabile 9

10 Introduzione Analisi del contesto Ruolo, capacità e competenze del Responsabile Approccio metodologico ed operativo Quick Assessment Tematiche imprescindibili 10

11 Introduzione Analisi del contesto Ruolo, capacità e competenze del Responsabile Approccio metodologico ed operativo Quick Assessment Tematiche imprescindibili Dal 101 giorno in poi 11

12 Survey 12

13 Survey Che siate clienti o fornitori di sicurezza, quanti di voi pensano di avere in azienda dei dati da proteggere opportunamente? (no, opportunamente non vuole dire «per niente») 13

14 Survey Quanti di voi ritengono che tali dati siano adeguatamente protetti? 14

15 Survey Quanti delle vostre aziende hanno assegnato la responsabilità della Sicurezza delle Informazioni ad una persona? nota: assegnata, non dedicata 15

16 Survey Quante di queste assegnazioni hanno un budget sufficiente, riscontrano il commitment del top management, la collaborazione delle altre strutture organizzative? e qui vengono le note dolenti 16

17 È IMPORTANTE AVERE UN RESPONSABILE DELLA SICUREZZA DELLE INFORMAZIONI? 17

18 Le informazioni sono vitali per le aziende Anche le aziende medie e piccole dipendono da informazioni La sicurezza di alcune di queste può decidere il fatturato del prossimo anno 18

19 Chi si occupa della sicurezza? Minacce Esigenze degli utenti? Normativa - standard Competenze specifiche 19

20 PERCHÈ HANNO PRESO ME? 20

21 Le condizioni iniziali DOVE MI INSERISCO? CHI SONO IO? In ruolo consolidato In ruolo neo costituito Già esperto di sicurezza (dall esterno) COMPRENDERE LE ASPETTATIVE (INTERVENIRE) - EXECUTE CONCENTRARSI DEFINIZIONE DEL RUOLO E SUGLI STAKEHOLDER Esperto dell azienda (trasferito internamente) CONCENTRARSI SULLE MISURE FACENDO LEVA SULLE RELAZIONI CONCENTRARSI DEFINIZIONE DEL RUOLO E STAKEHOLDER ATTIVARE SERVIZI 21

22 Le motivazioni principali PERCHE L AZIENDA INVESTE? DOVE MI INSERISCO? CHI SONO IO? In ruolo consolidato In ruolo neo costituito Già esperto di sicurezza (dall esterno) Esperto dell azienda (trasferito internamente) PERCHE L AZIENDA INVESTE? Obblighi normativi Risultati di audit in mercati regolamentati Accresciuta sensibilità da parte dell azienda Impressione che ha fatto sul top manag. qualche disastro di sicurezza avvenuto ad altri e conosciuto a mezzo stampa Effettivo coinvolgimento dell azienda in un incidente informatico Altro... 22

23 COSA DEVO SAPERE? 23

24 Skill e competenze fondamentali Orientamento al business Skill tecnici Capacità relazionale Doti comunicative Spirito innovativo Conoscenza di modelli e standard Competenza legale 24

25 Competenza legale L ampiezza della competenza legale richiesta, è inversamente proporzionale alle dimensioni dell azienda e strettamente connessa con la precisione con cui sono definiti i ruoli e le funzioni in azienda ma non raggiunge mai lo 0! 25

26 Competenza legale Le competenze legali vanno ricercate in connessione con la triplice natura di: 1. Soggetto portatore di diritti e obblighi 2. Responsabile della Sicurezza delle Informazioni 3. Gestore di persone 26

27 DA DOVE DEVO PARTIRE? 27

28 Approccio proposto Approccio metodologico Approccio operativo Priorità e tematiche imprescidibili? Quale percorso seguire (fasi, attività )?? Quali tematiche indirizzare per prime? 28

29 Approccio metodologico Le attività che devono avviare e svolgere il Responsabile della Sicurezza delle Informazioni saranno, infatti, di natura diversa (andranno per esempio dalla predisposizione di elementi organizzativi, che possono richiedere anche diversi passaggi interfunzionali, all indirizzamento di aspetti di natura tecnologica sui sistemi), che possono richiedere tempistiche di attuazione siginifcativamente differenti. ragionare in termini di un unico grande ciclo può portare a definire delle tempistiche di attuazione troppo elevate rispetto alle attese. È quindi opportuno adottare l approccio di pensare a più cicli paralleli, Figura 8 Ingranaggio che rappresenta un insieme di processi 1. Adozione e mantenimento di un Pertanto SGSI (PDCA) in cui ogni tipologia di attività potrà essere condotta all interno di un proprio percorso di miglioramento secondo lo schema di Deming fino ad esaurimento dei propri obiettivi. Per ragionare per analogia, è possibile immaginare l insieme delle attività che il 2. Responsabile Approccio della Sicurezza per cicli delle Informazioni dovrebbe realizzare, come l attivazione di sistema paralleli di ingranaggi, nel quale, pur essendo necessario avviare tutti gli elementi contemporaneamente, ogni specifico ingranaggio ha un proprio periodo di completamento. Così gli ingranaggi che operano a livello più alto (definizione di obiettivi, organizzazione, etc ) sono propedeutici a quelli più puntuali, ma prevedono anche generalmente cicli di maggiore durata, in quanto operano avendo impatti e interazioni con molti elementi esistenti dell azienda. È pertanto critico far capire al top management che i risultati attesi per questi elementi saranno percepiti sono nel medio-lungo periodo. Al contrario, ingranaggi operanti a più basso livello, indirizzanti elementi più specifici (ad esempio relativi a configurazione degli apparati di protezione perimetrale o di gestione di specifiche problematiche tecniche) possono essere utili ad ottenere risultati immediati, che diano evidenza della bontà dell indirizzo del SGSI. Ovviamente questi ingranaggi devono necessariamente interagire dato che completamento di uno di essi è funzione anche delle informazioni che derivano dai risultati raggiunti dai restanti. Ulteriori elementi di contesto da considerare al momento di definire il ciclo PDCA da parte del Responsabile della Sicurezza delle Informazioni, sono: la definizione b di o cicli PDCA; iettivi concreti e misurabili e d 3. Strutturazione delle linee di azione 4. Forti il legami con altre funzioni aziendali lle iniziative all interno dei singoli la programmazione e la pianificazione dei momenti di sincronizzazione tra i cicli ai diversi i livelli (la d mensione dei denti dell ingranaggio);; le definizione delle modalità di verifica e misurazione dei risultati conseguiti nelle varie iterazioni dei cicli PDCA ai vari livelli; la scelta delle informazioni significative da utilizzare per la definizione degli obiettivi di miglioramento al termine delle singole iterazioni. 29

30 Approccio operativo 1. Determinazione delle condizioni di entrata e conoscenza dell azienda 2. Quick assessment 3. Analisi dei risultati e strutturazione delle linee di azione 4. Condivisione Checklist Definizione Priorità 30

31 TEMATICHE ATTUALMENTE IMPRESCINDIBILI 31

32 Tematiche imprescindibili 32

33 Il modello di analisi di ogni tematica Nome Descrizione Domande chiave Importante Punti di attenzione Metriche Visibilità / stakeholder Pianificazione Riferimenti alle best practice internazionali Nome della good practice. Alcune righe che descrivono cosa intendiamo con gestione degli incidenti. Cosa è incluso, cosa è escluso. Domande chiave per capire a che livello è la tua azienda in questa good practice. Perchè è importante questa practice. Cosa succede se non si fa. Elencazione o discussione su quelli che sono i principali punti di attenzione per fare bene o in maniera sufficiente le cose. Quelli irrinunciabili salvo il rischio di fallimento dell iniziativa. Come misurare e valutare il livello dell azienda prima e dopo l attività Considerazioni sul ritorno sullo sforzo. Ci sono cose che si devono fare ma non saranno spiegabili o visibili verso il management, altre che invece lo sono. Ma magari non sono così utili. Quale parte del PDCA si dovrebbe fare / o è ragionevole riuscire a fare nei 100 giorni? Solo il PLAN? Anche il DO. Una parte semplifcata? Quando si inzia a fare questa cosa nei primi 30 giorni? Negli ultimi 30? In mezzo? Poi oltre al testo lo trasformiamo in un altra grafica da mettere in alto a destra. Nomi, link, titoli di documenti da trovare sul web, ISO27000, CobiT... 33

34 Un esempio: la compliance Esiste una mappa dei dati trattati? Questa mappa è organizzata in base all importanza dei dati? Quali danni può causare la perdita dei dati? Chi è necessario coinvolgere? Qual è il rischio associato? Qual è la visibilità di questa attività? Come si pianifica? 34

35 Un esempio: adozione e/o config. di protezioni perimetrali Information Security Metrics Process Security Metrics Network Security Metrics Software Security Metrics People Security Metrics Esempi di Perimetral Information Security Metrics Quanti sono gli accessi al perimetro con successo e quanti senza successo Il numero di incidenti identificati Il numero di virus/worms/attacchi bloccati Il numero patches di sicurezza applicate ai sistemi di protezione perimetrale La quantità di spam bloccata Il numero delle infezioni di virus pervenute via rete Il numero di port probes rilevati La quantità di Traffic Analysis rilevata 35

36 COSA SUCCEDE DAL 101 ESIMO GIORNO? 36

37 Cosa succede dal 101-esimo giorno? Dalla tattica alla strategia l importanza di attivare un sistema di gestione Standard UNI CEI ISO/IEC 27001:2006 (Tecnologia delle informazioni - Tecniche di sicurezza - Sistemi di gestione della sicurezza delle informazioni - Requisiti) al fine di evitare il rischio di isolamento del suo sistema, [l abilità] sta nel verificare, a fronte degli obiettivi stabiliti, se nel sistema di gestione aziendale vi sono già delle possibili sinergie procedurali, al fine di inserire o rafforzare la vision e l operatività dell information security capire come sia fondamentale avere un approccio olistico, dove tra i più importanti riferimenti come bagaglio di conoscenze ci sono le norme della famiglie ISO 27001, ISO

38 C4S.CLUSIT.IT 38