La necessità di un approccio globale nella gestione della sicurezza delle informazioni: la norma ISO 27001

Transcript

1 La necessità di un approccio globale nella gestione della sicurezza delle informazioni: la norma ISO dicembre 2016 Ing. Diego Mezzina 1

2 Chi sono Ingegnere con EMBA ICT Security CISM, CISSP, Lead Auditor ISO Componente commissione

3 Sintesi dell intervento in 1 minuto La sicurezza delle informazioni: è un tema importante e attuale non esiste in senso «assoluto» comporta una gestione continua di un rischio richiede un approccio multidimensionale Non solo tecnologia Non solo consapevolezza e formazione Non solo regole e processi La ISO27001 è una norma internazionale che riporta un approccio «globale» nella gestione della sicurezza delle informazioni: la ISO

4 Il problema della sicurezza Perché si parla di sicurezza? Le informazioni hanno un valore Le informazioni sono a rischio Cos è il rischio? Effetto dell incertezza sugli obiettivi (ISO27000) Evento potenziale che permette ad una minaccia di sfruttare una debolezza per causare un danno alle informazioni da tutelare RISCHIO = MINACCE x VULNERABILITA' - CONTROMISURE 4

5 Il nuovo contesto digitale Servizi cloud: le informazioni sono memorizzate «da qualche parte» e vengono rese disponibili a richiesta all utente Mobilità: le informazioni possono essere viste ovunque e in qualsiasi momento (nuovi scenari, nuove aspettative) Consumerizzazione: possono essere usati dispositivi pensati per un uso personale per accedere ai contesti «aziendali» Internet of Things: alla rete si collegano sempre più «oggetti intelligenti» 5

6 Nel contesto digitale in evoluzione Aumentano i servizi e la loro esposizione Aumentano le minacce Aumentano le tecnologie e le vulnerabilità Si «dissolve» il perimetro (i dati sono sempre meno «confinati») Nel frattempo Gli interessati hanno il diritto alla protezione dei dati Le organizzazioni e gli addetti hanno quindi il dovere di proteggerli La sicurezza delle informazioni diventa perciò una condizione necessaria, un fattore abilitante dell evoluzione digitale 6

7 Cosa intendiamo per sicurezza delle informazioni? Sicurezza delle informazioni (information security): Mantenimento delle proprietà di disponibilità, integrità e riservatezza dell informazione: possono essere inoltre coinvolte altre proprietà quali autenticità, responsabilità, non ripudio ed affidabilità Disponibilità (availability): Proprietà di essere accessibile ed utilizzabile dietro richiesta di un entità autorizzata Riservatezza (confidentiality): Proprietà per cui l informazione non è resa disponibile o comunicata a individui, entità o processi non autorizzati Integrità (integrity): proprietà di accuratezza e completezza Autenticità (authenticity): Proprietà per cui un entità è ciò che dice di essere Non ripudio (non-repudiation): capacità di dimostrare l occorrenza di un evento o un azione dichiarata e le relative entità di origine Affidabilità (reliability): proprietà di consistenza tra il comportamento atteso e i risultati Definizioni secondo la norma ISO/IEC 27000:2014

8 Fattori da considerare 8

9 Esiste la sicurezza assoluta? Tutto cambia nel tempo Cambiamenti controllati/controllabili in Controlli Beni aziendali Valore Cambiamenti incontrollati/incontrollabili in Minacce Vulnerabilità Requisiti normativi E allora quale approccio seguire? 9

10 Il concetto di rischio Rischio (risk): effetto dell incertezza sugli obiettivi Gestione del rischio (risk management): attività coordinate per dirigere e controllare un organizzazione relativamente al rischio Accettazione del rischio (risk acceptance): decisione informata di accettazione di un rischio 10

11 La tecnologia da sola può essere l unica risposta? Assolutamente NO! Tra le minacce alla sicurezza troviamo anche: Social engineering Comportamenti incauti degli addetti Comportamenti dolosi degli addetti Come si possono implementare adeguate contromisure? 11

12 Il concetto di sistema di gestione Sistema di gestione (management system) Insieme di elementi di un organizzazione collegati o interagenti per stabilire politiche e obiettivi e processi per raggiungere tali obiettivi Un sistema di gestione può riguardare una o più discipline Gli elementi del sistema di gestione possono includere tutte le aree di un organizzazione L ambito del sistema di gestione può riguardare l intera organizzazione o parte di essa Può essere implementato il Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) 12

13 Definizione di SGSI SGSI (information security management system ISMS) sistema di gestione per la sicurezza delle informazioni: quella parte del sistema di gestione globale, basata su approccio al rischio, per istituire, attuare, operare, monitorare, riesaminare, mantenere e migliorare la sicurezza delle informazioni. Il sistema di gestione comprende la struttura, le politiche, le attività di pianificazione, le responsabilità, le prassi, le procedure, i processi e le risorse dell organizzazione (ISO/IEC 27000:2014)

14 La norma UNI CEI ISO/IEC 27001:2014 E una norma volontaria internazionale certificabile che definisce i requisiti per impostare e gestire un Sistema di Gestione della Sicurezza delle Informazioni (SGSI o ISMS dall'inglese Information Security Management System), ed include aspetti relativi a sicurezza logica sicurezza fisica sicurezza organizzativa.

15 Colpo d occhio sui controlli previsti 15

16 Ciclo di vita SGSI 16

17 Approccio al rischio - visivamente 17

18 e tutto porta a Piano di trattamento del rischio: contromisure tagliate sulla base delle reali necessità dell organizzazione Dichiarazione di applicabilità (statement of applicability): documento che descrive gli obbiettivi del controllo e i controlli che sono rilevati e applicabili al SGSI dell organizzazione, basato sui risultati e sulle conclusioni dei processi di valutazione del rischio e di trattamento del rischio 18

19 Altri elementi importanti Ruoli e responsabilità chiari (assegnati e comunicati) Controlli regolari e riesame della direzione Controlli: siccome il sistema cambia, e cambiano anche gli agenti esterni Riesame: per essere sicuri di mantenere la rotta voluta Obbligo al miglioramento continuo Gestione di tutte le non conformità Analisi delle cause, azioni correttive, verifiche di efficacia Miglioramento del sistema nel tempo 19

20 In conclusione La sicurezza delle informazioni E un tema complesso, che coinvolge la tecnologia, i processi, le persone E un fattore abilitante per l evoluzione digitale e una sfida comune Consiste nel governo di un livello di rischio residuo, che dipende da molti fattori L adozione di uno standard internazionalmente riconosciuto come la norma ISO può venire in aiuto alle organizzazioni fornendo un approccio strutturato per considerare le molteplici dimensioni rilevanti e ridurre quindi il rischio informatico. 20

21 Fine 21