INFORMATION SECURITY MANAGEMENT SYSTEM

Transcript

1 INFORMATION SECURITY MANAGEMENT SYSTEM Gestione della sicurezza informatica in azienda Guida informativa per le PMI con il contributo della 1

2

3 Sommario Introduzione 5 Obiettivi 6 Continuità operativa del Business 7 Analisi dei rischi 9 Protezione della infrastruttura 12 Test di sicurezza 13 Bibliografia / Sitografia 15

4 Introduzione La sicurezza informatica è diventata nell era di Internet un tema di scottante attualità per le Aziende: le nuove tecnologie aumentano le potenzialità delle imprese ma accrescono anche la vulnerabilità. Per garantire il proprio business ed essere competitivi è necessario conoscere i rischi a cui si va incontro. La diffusione dei sistemi informativi e delle nuove tecnologie rende sempre più importante la protezione dell integrità, della disponibilità e della riservatezza dei dati, a fronte di sempre nuove e maggiori minacce provenienti sia dall esterno che dall interno dell azienda. Una rete aziendale non adeguatamente protetta può essere fonte di numerosi pericoli per le imprese: alle minacce provenienti dai cyber criminali - sempre più aggressive e sofisticate - si aggiungono i danni causati da comportamenti incauti dei dipendenti, come la navigazione su siti a rischio. La perdita di dati ed informazioni sensibili, l assenza di tutela della privacy, la mancanza di sistemi per la rilevazione di intrusioni sui computer, la compromissione dei sistemi operativi fino al blocco dell intera attività, hanno evidenziato le criticità dei sistemi di protezione e di conservazione delle banche dati aziendali: in alcuni casi si sono registrati danni di rilievo che hanno costretto le organizzazioni a onerosi sforzi per ripristinare la situazione a regime. Non passa giorno senza che, attraverso i media, ci giungano preoccupanti notizie sulle pratiche intrusive dei cosiddetti hacker nei sistemi informatici di aziende o enti governativi in ogni parte del mondo. Non è solo intrusione nel know-how aziendale, ma anche nel patrimonio informativo che clienti, utenti e altri business partner hanno affidato alle aziende. 4

5 Ad oggi le Aziende non hanno ancora piena coscienza del problema ed alcune ritengono superflui gli investimenti in tema di sicurezza informatica: per questo è necessario fare informazione e promuovere la cultura della sicurezza. Organizzazione e tecnologie devono formare un tutt'uno per garantire il massimo livello di protezione e qualità della gestione del patrimonio informativo aziendale. La sicurezza dei dati e dell'intero sistema informativo diventa, a tutti gli effetti, un elemento di garanzia e di fiducia nei confronti degli interlocutori, in alcuni casi anche elemento contrattuale per l'affidamento di incarichi e commesse. Le normative introdotte in Italia in materia di tutela dei dati personali rendono inoltre necessario un preciso impegno a garanzia dei dati gestiti. Poiché l'informazione è un bene che aggiunge valore all impresa, ed ormai la maggior parte delle informazioni sono custodite su supporti informatici, ogni organizzazione deve essere in grado di garantire la sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento. Il trattamento sicuro dei dati diventa quindi un elemento di maggiore competitività, parte integrante dell'offerta aziendale. La "Gestione della Sicurezza dei Sistemi Informativi", tema quanto mai attuale e stringente per le aziende di tutti i settori economici, si può realizzare con successo soltanto attraverso un costante aggiornamento delle tecnologie in combinazione con la costruzione di regole, metodi, e procedure aziendali. Criteri di gestione e processi codificati, supportati dalle tecnologie disponibili, possono far sì che comportamenti sicuri e responsabili diventino il modo normale di fare le cose. 5

6 Obiettivi Riservatezza le informazioni devono essere accessibili direttamente o indirettamente solo alle persone che ne hanno diritto e che sono espressamente autorizzate a conoscerle. Integrità le informazione devono essere protette da alterazioni, quali modifiche, danneggiamenti o cancellazioni improprie, anche accidentali Disponibilità - le informazioni devono essere sempre accessibili agli utilizzatori che ne hanno diritto nei tempi e nei modi previsti. La disponibilità delle informazioni va assicurata in base ad un livello di servizio concordato, cioè una garanzia quantificata e prestabilita di poter accedere alle informazioni nel momento e nel modo definito. 6

7 Continuità operativa del Business Un progetto globale di sicurezza deve tenere presente il core-business della propria azienda, cercare di mantenere costante l'erogazione dei propri servizi senza interruzioni mantenendo la continuità operativa del Business. Con questa espressione si intende la capacità da parte di un'azienda di continuare ad esercitare il proprio business facendo fronte a qualsiasi tipo di evento catastrofico che può accadere. Per poterlo fare è necessario pianificare la continuità operativa tramite un BCP (Business Continuity Plan) che rappresenta un processo globale che mira a salvaguardare gli interessi di tutti gli stakeholder coinvolti nell'azienda o in un progetto (stakeholder). Il BCP mira a salvaguardare l'immagine dell'azienda, ridurre i rischi e le conseguenze negative sia sul piano gestionale che sul piano amministrativo e legale. E opportuno porsi alcune domande chiave: Cosa accadrebbe alla nostra azienda se fosse colpita da un evento catastrofico? Siamo pronti ad affrontare qualsiasi tipo di evento? Per poter rispondere a queste domande è necessario tenere in considerazione molti aspetti. La pianificazione della propria business continuity viene svolta mediante quattro fasi : Plan: definire, analizzare e pianificare il problema Do: realizzare le azioni pianificate Check: verificare i risultati e confrontarli con gli obiettivi Act: mantenere o migliorare 7

8 Ogni azione deve essere pianificata dettagliatamente, eseguita, verificata e infine portare a intraprendere altre azioni con scopi di tipo migliorativo. Solo un tale processo consente di rimanere sempre aggiornati e garantisce un corretto approccio nei confronti della sicurezza. Le perdite dei dati in un'azienda dipendono da svariate cause imputabili a: virus errori umani malfunzionamenti software malfunzionamenti hardware disastri Fonte: Principali cause di perdita dati Il punto cruciale nella pianificazione di un piano di BC è quello della conoscenza approfondita della situazione attuale della propria azienda in modo da poter scegliere le adeguate soluzioni da adottare in futuro. Il backup dei dati risulta un passaggio fondamentale per la sicurezza del proprio business. Domande come Cosa comporta eseguire un backup dei dati? e Quando e come farlo? vanno poste prima di procedere ad una realizzazione pratica. Il backup dei dati consiste nel realizzare delle copie di sicurezza al fine di prevenire eventuali danni e perdite che potrebbero colpire il patrimonio informativo e deve essere corredato da un piano di disaster recovery. Ma se qualcosa va storto, quanto tempo ci vuole per tornare operativi? A questa domanda risponde il BCP che rappresenta un piano logistico finalizzato a documentare in quanto tempo l azienda torna operativa a fronte di un evento catastrofico. Il BPC può essere parte del processo organizzativo attraverso cui si cerca di ridurre il rischio operativo e può essere integrato nelle attività di miglioramento della sicurezza informatica e della gestione del rischio. 8

9 Analisi dei rischi Con il progredire della tecnologia, le reti informatiche diventano sempre più complesse, e le continue modifiche apportate generano nuovi rischi. In quest'ottica risulta di fondamentale importanza effettuare un'analisi del rischio, individuando le minacce a cui si è sottoposti, individuando le vulnerabilità del proprio sistema informativo e valutando gli impatti dal momento in cui tali minacce si concretizzano. Per compiere un analisi dei rischi è necessario partire da un'analisi dettagliata del proprio business aziendale, identificare i propri beni e analizzare i rischi. Il rischio si può definire come Ciò che ci siamo dimenticati di considerare ; uno degli obiettivi della sicurezza è quello di identificare e gestire i rischi. In qualsiasi attività che comporti guadagni e perdite c'è un fattore di rischio più o meno alto, un processo di analisi dei rischi consiste in: individuare le risorse identificare le vulnerabilità identificare le minacce definire le contromisure 9

10 Per questo motivo è fondamentale definire e implementare contromisure di tipo tecnico, procedurale e organizzativo che siano adeguate a ridurre il rischio, accettarlo o trasferirlo. Un buon sistema di gestione della sicurezza deve essere sviluppato secondo tre diverse macro-aree: processi, organizzazione e tecnologie. Si deve infatti ricordare che la tecnologia da sola non è sufficiente ma si deve lavorare anche sui diversi processi produttivi in cui le diverse fasi possono essere soggette a vulnerabilità e in quanto tali devono essere considerate attentamente. Inoltre è assolutamente indispensabile lavorare anche a livello di organizzazione in quanto il personale di un azienda è il bene più prezioso e deve conoscere i pericoli ai quali si va incontro e saper considerare i rischi. Ma in che modo devo trattare i rischi che incombono sugli asset aziendali? Normalmente la logica del trattamento del rischio si basa su due fattori molto importanti: frequenza dell'evento pericolosità o costo dell'evento In relazione a queste due variabili devo essere in grado di trattare il rischio nella maniera più idonea. La seguente tabella mostra come si deve trattare il rischio in relazione alle due variabili: 10

11 Protezione della infrastruttura La protezione della propria infrastruttura informatica deve essere progettata in modo tale da soddisfare requisiti di confidenzialità, disponibilità e integrità. La confidenzialità è la garanzia che l'accesso ai dati sia fornito solamente da chi ne ha diritto; la disponibilità è la possibilità che i dati siano disponibili agli utenti senza limiti o ritardi, l integrità invece e la garanzia che l'informazione non venga alterata, persa o danneggiata. Per garantire i suddetti punti è necessario capire quali sono i principali pericoli in una rete identificando i rischi e pianificando le adeguate contromisure. Per proteggere l infrastruttura della propria azienda si utilizzano principalmente: antivirus, firewall e proxy. Inoltre è conveniente utilizzare sistemi di monitoraggio per garantire il costante controllo della propria rete. Qualsiasi azienda in cui sono attivi dei servizi critici, ha la necessità di monitorare gli elementi di criticità per fare in modo che non si verifichino situazioni in cui l'interruzione di un servizio può portare un grosso danno economico, commerciale o d'immagine. Grazie ad un sistema di monitoraggio è molto più semplice rilevare anomalie e downtime dei servizi mediante un sistema di notifiche via o SMS, in modo da intraprendere le opportune azioni correttive. 11

12 Figura 1 Stato dei servizi Figura 2 Mappa della rete 12

13 Test di sicurezza Il test di verifica delle procedure di sicurezza messe in atto è una fase molto importante per la gestione della sicurezza aziendale. Si parte normalmente da una fase di vulnerability assessment ed eventualmente da un penetration test ovvero una metodologia di valutazione della sicurezza di un sistema o di una rete che simula l'attacco di un utente malintenzionato. Lo scopo di un vulnerability Assessment è quello di analizzare i punti deboli della propria organizzazione e proporre dei rimedi possibili. Viene svolta con l'ausilio dei responsabili dell'area sistemi informativi e consente di analizzare approfonditamente la propria organizzazione al fine di capire a quale tipo di vulnerabilità sono soggetti i propri beni, identificandone i rischi, mediante un'attenta analisi di tutte le risorse: Valutazione della vulnerabilità dei sistemi Analisi dei fattori di rischio ai quali è sottoposta la propria infrastruttura IT Raccolta di informazioni dall'esterno della rete Analisi delle debolezze dei sistemi di sicurezza presenti Valutazione vulnerabilità applicazioni web Monitoraggio della rete alla ricerca di collegamenti sospetti Identificazione di vulnerabilità presenti nei sistemi System e Database Scan (valutazione del livello di sicurezza dei software installati, oltre che degli eventuali database) Reportistica dettagliata delle vulnerabilità riscontrate 13

14 Report di un Vulnerability Assessment 14

15 Bibliografia / Sitografia Bibliografia "hacker l'attacco" Chirillo - McGraw Hill "Risk Management" Sinibaldi - Hoepli "Hacker Linux" Hatch, Lee, Kurtz - Apogeo Sitografia

16 Per informazioni: Area Progetti Speciali Fòrema Confindustria Padova Dott.ssa Cristina Gentile Dott. Marco Donà Tel. 049/ / Fax 049/