Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Transcript

1

2 Cosa si può fare?

3 LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi ed i controlli sulle informazioni sono bilanciati. Jim Anderson, Inovant (2002) Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Proteggere gli asset informativi aziendali da un utilizzo incorretto o fraudolento Garantire la continuità del Business Aziendale Garantire il rispetto degli aspetti cogenti (Leggi, Regolamenti, Normative) Proteggere l immagine e la reputazione aziendale Promuovere all interno dell organizzazione una cultura della sicurezza e della riservatezza 3

4 LA NECESSITÀ DI CONOSCERE Conosci il nemico come conosci te stesso. Se non conosci te stesso, né conosci il tuo nemico, sii certo che ogni battaglia sarà per te fonte di pericolo gravissimo. Sun Tzu - L arte della guerra 4

5 5 BASTA LA TECNOLOGIA????

6 CONSIDERAZIONI La portata del rischio derivante dai diversi agenti di minaccia dipende da molti fattori legati al contesto aziendale quali: 1. la dimensione 2. il settore di mercato in cui opera 3. la visibilità dell impresa sul mercato 4. la localizzazione geografica 5. le politiche e i regolamenti aziendali vigenti 6. il livello di cultura e consapevolezza sui temi di sicurezza 1. il clima aziendale 2. gli strumenti tecnologici adottati 3. le soluzioni di sicurezza implementate 4. i processi di gestione e di controllo Per ridurre il rischio, visto che non è possibile (o molto difficile) intervenire sui primi 4 punti, è necessario adottare un processo strutturato che consenta di individuare gli interventi appropriati sui restanti fattori. 6

7 Costi I COSTI DELLA SICUREZZA Le misure idonee sono quel livello di sicurezza dove il costo complessivo è al minimo Costo complessivo Costo della sicurezza + Costo del Rischio = Costo Complessivo Il Costo della sicurezza è formato da i seguenti costi: selezionare, formare e mantenere personale qualificato; acquisti tecnologia hardware e software; aumento della complessità operativa ed organizzativa (politiche e procedure) incremento dell overhead e degrado delle performance del sistema Misure idonee Costo della Sicurezza Costo del Rischio Livello di Sicurezza E un valore che si può misurare Il Costo del Rischio è formato da i seguenti costi: sanzioni amministrative; sanzioni di tipo penale; responsabilità civile; blocco dell operatività aziendale; perdita/furto di asset aziendali; perdita di immagine/competitività E un valore statistico difficilmente quantificabile 7

8 Il primo step necessario per implementare un processo di Information Governance è quello di documentare e relazionare fra loro i seguenti elementi: i processi aziendali gli asset informativi aziendali da questi utilizzati In questo modo si ottiene una mappa delle dipendenze necessaria per le successive fasi di gestione dei rischi. N.B. Anche fra gli asset possono esistere delle relazioni di dipendenza Processo A Utilizza Asset 1 Asset 4 Asset 2 Asset 3 Utilizza Processo B

9 Frequency INFORMATION GOVERNANCE RISK MANAGEMENT High Low Impact High Business Impact Analysis Risk assessment Risk treatment Audit & Review Training and awareness 9

10 10 IL COBIT: UN FRAMEWORK PER L IT GOVERNANCE

11 INFORMATION SECURITY: GLI 11 ASPETTI DELL ISO Business continuity management Human Resource security Communicat ions and operations management Security policy Compliance Organization of information security ISO27001 Access control 11 Incident management Asset management Information systems Acquisition, Developmen, and maintenance Physical and environmental Security

12 PRIVACY: UN BUON PUNTO DI PARTENZA? Cosa Privacy Tutela e protezione aziendale Classificazione delle informazioni Lettere di incarico Formazione 12 Il Codice definisce come dati personali tutto le informazioni che identificano un soggetto, e fra queste identifica 2 sottocategorie chiamate dati sensibili e dati giudiziari per i quali il livello di protezione deve essere più elevato. L incaricato del trattamento riceve dal Titolare o dal Responsabile, in quanto rappresentatati dell azienda, l autorizzazione a compiere i trattamenti di dati personali che sono necessari allo svolgimento del proprio lavoro. Allo stesso tempo, si richiama l incaricato al rispetto delle regole imposte dal Codice ed a quelle definite dall azienda. Obbligatoria e preventiva per tutti gli incaricati del trattamento. In ambito aziendale possono essere definiti più livelli di classificazione dei dati, a seconda delle esigenze di riservatezza. Un esempio di classificazione può essere: public document, company confidential, high confidential, Top secret. Con il crescere del livello di classe, aumentano le protezioni da utilizzare e si restringe l ambito delle persone che ne possono venire a conoscenza. Le politiche che indirizzano la protezione dei beni aziendali, le relative procedure operative ed i regolamenti interni si possono considerare l equivalente della lettera di incarico, in quanto la natura mandatoria comporta l accettazione delle responsabilità derivanti da parte del dipendente o collaboratore. La formazione è necessaria per rendere edotto tutto il personale sulle politiche, le procedure e le prassi aziendali. Inoltre è molto importante spiegare bene quali sono i rischi che incombono sui trattamenti dei dati nelle attività specifiche delle persone.

13 PRIVACY: UN BUON PUNTO DI PARTENZA? Cosa Privacy Tutela e protezione aziendale Analisi dei rischi Misure di sicurezza. Revisione obbligatoria almeno annuale All interno del Documento Programmatico sulla Sicurezza, è richiesto che sia effettuata una analisi dei rischi che incombono sui trattamenti di dati personali. Il legislatore impone a tutti i Titolari di trattamenti di dati personali, delle misure minime di sicurezza sia per le informazioni gestite in formato elettronica (con strumenti informatici) che in formato cartaceo. E lasciata poi alla discrezione del Titolare, l eventuale adozione di ulteriori misure di sicurezza nel caso che l analisi dei rischi evidenzi rischi elevati sui trattamenti. Tutti i documenti, i processi e le misure di sicurezza predisposti in ottemperanza alla normativa, devono essere rivisti ed aggiornati con frequenza almeno annuale E parte fondamentale di tutte le moderne metodologie di Corporate Governance il processo di Risk Management. Tutti gli eventi dannosi devono essere identificati, valutata la possibilità di un loro accadimento e ipotizzati gli impatti finanziari. Questo processo consente di poter valutare correttamente le strategie per la mitigazione dei suddetti rischi. Nell ambito degli asset aziendali, è interesse primario dell azienda stessa definire che cosa e come deve essere protetto. Il livello minimo di sicurezza (Baseline security) deve derivare dai comuni standard di gestione degli ambienti informatici e dal confronto con altre aziende similari e del settore. L analisi dei rischi consente di definire le misure di sicurezza ulteriori Un processo strutturato di Gestione delle Informazioni, per continuare ad essere efficace, deve essere monitorato e rivisto continuamente, per rispondere ai cambiamenti che possono avvenire all interno o all esterno dell azienda, sul mercato e nelle tecnologie a disposizione. 13

14 FINE Grazie per l attenzione. 14

15 15 QUAL È QUELLA SBAGLIATA?