ISO Information technology Security techniques Information security for supplier relationships. Ing. Bruno Bernardi Padova 29/04/2015

Transcript

1 ISO Information technology Security techniques Information security for supplier relationships Ing. Bruno Bernardi Padova 29/04/2015 THIENE ROMA PARMA CUNEO BARI TRENTO SASSARI UK POLAND CROATIA TURKEY

2 Proviamo a par*re da un classico

3 e da un caso concreto normalmente diffuso

4 e vediamo cosa ci dice la ISO 27001:2013

5 e vediamo cosa ci dice la ISO 27001:2013 La ISO 27001:2013 prevede un set di controlli rela*vamente a due obie@vi di sicurezza. 1 Il primo obie@vo (A.15.1) è la protezione degli asset dell azienda accessibili da parte dei fornitori, indipendentemente dalla collocazione dell asset. Le poli*che di sicurezza e le modalità di sicurezza richieste devono trovare applicazione all interno degli accordi contranuali, che devono essere riferibili all intera filiera di fornitura. Importante notare, ai fini del controllo A che devono essere sta* defini* i rischi associa* ai servizi e ai prodo@ della filiera. E quindi sarebbe bene che tali rischi fossero chiari e condivisi da entrambe le par6, acquirente del servizio o prodono e fornitore / sub fornitore.

6 vediamo cosa ci dice la ISO 27001:2013 Un altro aspeno importante, rafforzato da A è che si dovrebbe avere la garanzia di onenere una rintracciabilità dei componen6 cri6ci lungo tu9a la catena di fornitura. A ben vedere quindi, il controllo A estende l obie@vo che in una prima lenura sembra indirizzato alla protezione degli asset dell acquirente del servizio o prodono accessibili al fornitore, andando a coinvolgere non solo i rischi associa* all accesso agli asset (vedi A ) ma anche quelli associa* al servizio o prodono fornito. Quali siano ques* rischi e quali i requisi* di sicurezza dovrà essere stabilito nell analisi dei rischi.

7 vediamo cosa ci dice la ISO 27001: Il secondo obie@vo (A.15.2) è quello di mantenere i livello di sicurezza concordato. Da qui la possibilità (il dovere per ISO 27001) da parte dell acquirente, di controllare e riesaminare (termine che prevede l esistenza di indicatori) i servizi eroga*. Il controllo A (Managing changes to supplier services) ben si collega con A completandolo. Richiede di poter ges*re le cri*cità collegate ad una modifica della fornitura, sia che questa modifica sia richiesta dall acquirente che effenuata dal fornitore.

8 e quindi tornando all esempio iniziale Veniamo ora alla formulazione degli ar*coli da inserire nell accordo con il fornitore. Il primo in esempio era: 1) Nel caso di necessità da parte del Fornitore di subappal* o subforniture rela*vi al servizio erogato a, il Fornitore stesso informerà preven*vamente. stessa a riguardo. Il Fornitore si impegna inoltre a garan*re che il subappaltatore o il subfornitore rispe@ nell erogazione del servizio gli stessi requisi* di sicurezza delle informazioni applica* dal Fornitore stesso e che sia possibile o9enere la rintracciabilità dei componen6 cri6ci lungo tu9a la catena di fornitura. Appare chiaro che a fronte di questo ar6colo, dovrebbero essere no6 e defini6 i requisi6 di sicurezza e la loro cri6cità.

9 e quindi tornando all esempio iniziale Il secondo in esempio era: 2) Il Fornitore si impegna a consen*re a... il monitoraggio delle performance del servizio erogato e l esecuzione di verifiche ispe@ve di parte seconda da parte di... stessa limitatamente al servizio fornito. È incluso nel canone l assistenza da parte del personale del Fornitore per una verifica ispe@va all anno. Il Fornitore si impegna altresì a dare preven6va comunicazione di modifiche alla fornitura del servizio erogato, al fine di perme9ere a... di valutare e ges6re eventuali cri6cità derivan6 dal cambiamento. In questo modo diamo più risposta al controllo A

10 Informa*on security for supplier rela*onships Spesso, sempre più spesso, con una firma noi diamo le chiavi di casa a persone che in verità non possiamo conoscere. Possiamo semplicemente fidarci? E loro a chi daranno le nostre chiavi di casa?

11 Supply Chain Risks [NIST Publishes Supply Chain Risk Guide: hnp://

12 ICT Supply Chain Risk Management (SCRM) Il rischio dalla filiera delle tecnologie dell'informazione e della comunicazione è ormai ampiamente riconosciuto. È un rischio crescente proporzionalmente con la velocità e la complessità con cui si evolve l ICT supply chain (globalizzazione, distribuzione, composizione) L ICT supply chain diventa una vulnerabilità ad elevato rischio di sfrunamento Aumenta la richiesta sia degli Sta* che delle aziende per la ges*one del rischio La problema*ca emerge in un workshop del NIST nell onobre del 2012

13 ICT Supply Chain Risk Management (SCRM) In Europa, già nel 2011 si trova presente la problema*ca e vi è un primo esempio significa*vo Parlando di ICT Security, tra le norme della ISO si richiama la ISO 27036, allora in draf.

14 ICT Supply Chain Risk Management (SCRM) ISO Specification for Security management systems for the supply chain ISO/IEC Information security for supplier relationships [ICT Supply chain Risk management]

15 ISO : 2007 Specifica*on for security management systems for the supply chain

16 ICT Supply Chain (Risk) Management _2014 Overview and concepts _2014 Requirements 3 ISO/IEC Informa6on security for supplier rela6onships _2013 Guidelines for informa*on and communica*on technology supply chain security 4 Guidelines for security of Cloud services

17 ISO/IEC :2014 Focus: fondamentale, per raggiungere gli di efficacia insi* nella fornitura, che sia il fornitore che l acquirente condividano e affron*no adeguatamente i rischi per la sicurezza ICT

18 Informa*on security for supplier rela*onships ISO/IEC Overview and concepts La norma fornisce una framework opera*vo u*le a supportare le organizzazioni nel garan*re i processi di ges*one della sicurezza delle loro informazioni e dei loro sistemi informa*vi nella relazione con i fornitori. La norma fornisce introduce anche i conce@ descri@ nelle altre par* della norma ISO / IEC

19 ISO/IEC contenu*

20 ISO/IEC La parte 1 è molto interessante perché definisce il problema e fissa i conce@ chiave, dis*nguendo il *po di rapporto: 5.2 Tipi di rappor6 con i fornitori Relazioni con i fornitori per i prodo^ Relazioni con i fornitori di servizi Questo ha una par6colare valenza per l analisi dei rischi connessi.

21 ISO/IEC (Esempi di rischi Tabella 1) Fornitori di PRODOTTI: Vulnerabilità nei prodo^ Qualità dei prodo^ Diri^ di proprietà intelle9uale Auten6cità Garanzia / affidabilità [ISO/IEC :2014] Fornitori di SERVIZI Accesso fisico ai locali dell organizzazione Accesso logico alle informazioni aziendali Accesso da remoto ai sistemi aziendali Ges6one delle informazioni off- site Ges6one di applicazioni offsite (es servizi Saas, Paas) Ges6one di infrastru9ure (Iaas) / apparecchiature aziendali offsite Ges6one storage offsite [ISO/IEC :2014]

22 ISO/IEC Introduce, al punto 5.2.3, il conceno di filiera ICT dove acquiren* e fornitori lungo tuna la catena di fornitura ICT ereditano rischi associa* con i singoli rappor* con i sub- fornitori di prodo@ e servizi, riconoscendo la complessità di un processo di controllo a causa della scarsa visibilità man mano che si procede nella catena

23 ISO/IEC Cloud Compu6ng - introduce la parte Informa6on security risks in supplier rela6onships and associated threats introduce il conceno di rischio nella fornitura I rischi sono una fonte di preoccupazione non solo per l'acquirente e il fornitore, ma anche per i clien* e le altre par* interessate. Acquirente e fornitore sono ugualmente responsabili per rendere il loro accordo di fiducia e per la ges*one i rischi di sicurezza delle informazioni, nonché la formazione dei ruoli delinea* e responsabilità sicurezza delle informazioni e l'anuazione dei controlli.

24 ISO/IEC U6li esempi per l analisi dei rischi ISO

25 ISO/IEC Managing informa6on security risks in supplier rela6onships introduce il conceno di ges*one del rischio nella fornitura... Indipendentemente dalla natura del prodono o del servizio offerto, la visibilità sulla sicurezza delle informazioni dovrebbe essere considerata come una parte importante per stabilire un rapporto con il fornitore... Per iden*ficare e ges*re ques* rischi per la sicurezza dell'informazione, l'acquirente deve o9enere la garanzia che il fornitore abbia implementato informazioni adeguate di ges*one e di controllo della sicurezza. Nel caso in cui ques* non sono negoziabili, l'acquirente deve selezionare prodo9o o servizio di un fornitore sulla base di criteri che includano requisi6 per la ges6one della sicurezza delle informazioni e controlli per evitare o anenuare i rischi ad un livello accenabile...

26 ISO/IEC ICT supply chain considera6ons criteri... L accordo di fornitura dovrebbe garan*re: - Ges*one dei rischi per la sicurezza, compresa la con*nuità delle informazioni, informazioni sistemi e servizi - Ges*one della riservatezza di documen* fisici ed elenronici... - Ges*one di integrità dei materiali... - Ges*one di integrità del sofware... - Ges*one della sicurezza fisica degli impian*

27 ISO/IEC 27036

28 Informa*on security for supplier rela*onships ISO/IEC Requirements La norma riporta i requisi* fondamentali per la definizione, l'anuazione, il funzionamento, il monitoraggio, la revisione della sicurezza delle informazioni e per mantenere e migliorare relazioni con i fornitori e acquirente. Per soddisfare queste esigenze, l'organizzazione dovrebbe avere già implementato internamente i processi richies* dallo standard ISO/IEC (governance, la ges*one aziendale, la ges*one del rischio, opera*vi e ges*one delle risorse umane, ecc.)

29 ISO/IEC Requirements La norma non è cer*ficabile ma può essere u*lizzata a corredo della cer*ficazione ISO/IEC [ISO/IEC :2014]

30 ISO/IEC Requirements La norma non è rivolta solo agli acquiren6 ma anche ai fornitori in quanto coinvol* nel processo di fornitura [ISO/IEC :2014]

31 ISO/IEC Requirements

32 ISO/IEC StruNura La prima parte definisce i requisi* di sicurezza delle informazioni e di alto livello applicabili al ges*one di diversi rappor* con i fornitori. La seconda definisce i requisi* di sicurezza delle informazioni applicabili a un acquirente e un fornitore in un contesto di una singola istanza di relazione fornitore.

33 ISO/IEC Requirements Al 6 vengono defini* i requisi* ad alto livello riferi* alla ges*one del ciclo di vita della ges*one dei fornitori Agreement processes Acquisi*on processes Supply processes Organisa6onal project enabling processes Life cycle model management processes Infrastructure management processes Project porrolio management processes Huma resource management processes Quality management processes Procject procecces Project planning processes Project assessment end control processes Decision management processes Risk management processes Configura*on management processes Informa*on management processes Measurement processes Technical processes Architectural design processes

34 ISO/IEC Requirements Al 7 vengono defini* i requisi* riferi* ad una singola istanza di fornitura Supplier rela6onship planning processes Supplier selec6on processes Supplier rela6onship agreement processes Supplier rela6onship termina6on processes Supplier rela6onship management processes

35 Supplier selec*on processes: focus 7.2 Processo di selezione del fornitore La norma indica gli che devono essere da acquirente e fornitore (ruoli) per ges*re con successo la sicurezza delle informazioni all'interno del processo di selezione dei fornitori Il framework si strunura come un classico processo Inputs Ac6vi6es Outputs

36 Supplier selec*on processes Input Output

37 Supplier selec*on processes A^vità

38 Informa*on security for supplier rela*onships ISO/IEC Guidelines for informa*on and communica*on technology supply chain security La norma fornisce indicazioni per la ges*one dei seguen* rischi per la sicurezza delle informazioni rela*vi alla supply chain: rischi per la sicurezza da* causa* da catene di fornitura ICT fisicamente disperse e mul*- layered; rischi correla* ad aspe@ organizza*vi e tecnici (ad esempio inserimento di codice malevolo); rischi di business con*nuity. La norma riporta una integrazione delle contromisure ISO/ IEC e dei processi del sofware del ciclo di vita descri@ nella norma ISO / IEC e ISO / IEC

39 ISO/IEC contenu*

40 ISO/IEC Annex B Le linee guida proposte dalla norma sono correlate alle contromisure della norma ISO/IEC 27002:13

41 ISO/IEC Guidelines for security of cloud services COMMITTEE DRAFT

42 ISO/IEC Annex A ISO/IEC DIS Informa*on technology - - Security techniques - - Code of prac*ce for informa*on security controls based on ISO/IEC for cloud services ISO/IEC 27018:2014 Informa*on technology - - Security techniques - - Code of prac*ce for protec*on of personally iden*fiable informa*on (PII) in public clouds ac*ng as PII processors

43 L anenzione di CSQA Corsi di formazione rivol* al personale aziendale coinvolto nella definizione e mantenimento dei rappor* con i fornitori ai consulen* che possono u*lizzare il framework A9estazione di conformità del processo di ges6one dell ICT supply chain alla ISO/IEC 27036, per le aziende già in possesso della cer*ficazione ISO Vale sia per l acquirente che per il fornitore.

44 Grazie per l attenzione Ing. Bruno Bernardi Padova 29/04/2015 THIENE ROMA PARMA CUNEO BARI TRENTO SASSARI UK POLAND CROATIA TURKEY