Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE

Transcript

1 Sicurezza delle informazioni Legal Snapshot SCENARIO Il contesto attuale è caratterizzato da continui cambiamenti ed evoluzioni tecnologiche che condizionano gli ambiti sociali ed aziendali. La legislazione italiana non aiuta di certo a districarsi tra: norme, D.Lgs., emendamenti, circolari, ecc., quasi sempre di difficile interpretazione, talvolta contraddittorie, mai semplici. Inoltre per l adozione di tecnologie quali: videosorveglianza, geolocalizzazione, smartphone e tablet (per i quali è spesso concesso l utilizzo di dispositivi privati in ambiente lavorativo) è necessario disciplinare tutti gli aspetti normativi legati ai trattamenti di dati personali, alla prevenzione dei reati informatici, agli aspetti giuslavoristici, fino alla tutela del patrimonio informativo aziendale. ESIGENZE In questo contesto è necessario per le aziende trovare competenze legali specializzate in diritto informatico, per non assumersi dei rischi ed evitare eventuali sanzioni di tipo civile o penale. SOLUZIONE Di.Tech risponde a tali esigenze con il servizio Legal Snapshot che verifica la rispondenza dell azienda alle norme cogenti (privacy, 231,..) e la corretta gestione dei nuovi ambiti tecnologici: videosorveglianza, biometria, mobile computing, firma digitale, archiviazione sostitutiva e firma grafometrica (applicata dai DDT ai libri contabili). Il servizio Legal Snapshot fornisce indicazioni sullo stato di conformità rispetto alle normative vigenti, in modo da pianificare correttamente gli eventuali interventi correttivi.

2 CARATTERISTICHE Il servizio è erogato da un team consulenti legali esperti di diritto informatico e privacy e di specialisti in tecnologia. Prevede una verifica in gran parte documentale delle principali normative (es: privacy, 231, archiviazione sostitutiva, ecc.) e un report di quanto riscontrato. In seguito al servizio di Legal Snapshot si potrà decidere di procedere con attività di aggiornamento che hanno l obiettivo di normalizzare e indirizzare correttamente gli eventuali adeguamenti. VANTAGGI RIDUZIONE DEI RISCHI Riduzione dei rischi grazie al supporto di uno specialista che evita al cliente di incorrere in contenziosi o in sanzioni. PREVENZIONE DEI REATI INFORMATICI Prevenzione dai reati informatici: la corretta applicazione delle normative costituiscono una buona base per la prevenzione dai reati informatici quali: accesso abusivo ad un sistema, intercettazione, comunicazioni, danneggiamento di informazioni, dati programmi e sistemi, detenzione o diffusione abusiva di codici di accesso a sistemi, frode informatica, violazione del diritto d autore, ecc. COMPETENZE SPECIALIZZATE Di.Tech mette a disposizione figure professionali con competenze specifiche in ambiti legali, organizzativi e tecnologici.

3 Sicurezza delle informazioni Assessment infrastruttura Ced e Cloud DataCenter SCENARIO Nell era del cloud ogni azienda ha sviluppato o sta sviluppando le proprie soluzioni su un infrastruttura che può essere gestita localmente (cloud privato), completamente in outsourcing ad operatori del settore che utilizzano le loro architetture (cloud pubblico) o diversificando per servizi, selezionando cosa mantenere in-house e cosa esternalizzare (cloud ibrido). ESIGENZE Nei casi in cui l azienda abbia esternalizzato la gestione delle infrastrutture, il fornitore ne deve garantire la sicurezza; al contrario quando i sistemi sono in-house è fondamentale per le aziende avere la corretta percezione di quanto i loro CED/DataCenter siano sicuri, idonei ed in linea con le proprie esigenze di business. In particolare è necessario che: conoscano il livello di sicurezza in termini di continuità del servizio (HVAC, Powering, ecc), di sicurezza fisica e di processi di gestione; siano sicuri che tecnologie come videosorveglianza, biometria ecc siano correttamente gestite anche dal punto di vista legale; esista e sia gestito correttamente un processo di gestione di Business Continuity delle infrastrutture. SOLUZIONE Di.Tech risponde alle esigenze delle aziende con un servizio di Quick Assessment delle Infrastrutture CED e Cloud DataCenter, con il quale è possibile avere un immediata fotografia dello stato di sicurezza delle infrastrutture, sia dal punto di vista fisico e degli impianti, sia per quanto riguarda i controlli ed i processi di gestione. Viene inoltre verificato che i dati relativi ad alcuni impianti o servizi specifici, come ad esempio la videosorveglianza, i controlli biometrici, le registrazioni di sicurezza, ecc. siano trattati conformemente alle leggi vigenti.

4 CARATTERISTICHE Il servizio Assessment delle Infrastrutture Cloud viene condotto mediante l analisi della documentazione esistente (progetti, specifiche, procedure, ruoli, responsabilità), interviste al personale, ispezioni-sopralluoghi e verifiche delle misure di sicurezza adottate. Per la raccolta dei dati sulla sicurezza delle infrastrutture viene utilizzato il metodo strutturato RIIOT. Può essere applicato a qualsiasi area dei controlli di sicurezza e garantisce un processo di raccolta dati completo e gestito in modo sistematico ed organizzato. VANTAGGI CONSAPEVOLEZZA La consapevolezza del livello di sicurezza dell infrastruttura che ospita architetture, informazioni dell azienda e supporta le decisioni sulle strategie. SEMPLICITÀ E PRAGMATISMO Rapidità di esecuzione, costi contenuti ed indicazioni precise su azioni correttive specifiche. COMPLIANCE Alcuni dei controlli compresi nel servizio possono far parte di un analisi più ampia sulla conformità a norme cogenti, best practice, norme di settore, ecc (es: privacy, ISO 27000,...) DIFFERENZIAZIONE Possibilità di differenziare l erogazione dei servizi in base all analisi delle effettive peculiarità come da documentazione prodotta sullo stato di salute dei sistemi.

5 Sicurezza delle informazioni Vulnerability Scan SCENARIO Gli attacchi informatici sono in continuo aumento anche a causa della facilità con la quale possono essere compiuti ed alla disponibilità di tool scaricabili dalla rete. La maggior parte di questi tool non richiedono conoscenze specialistiche, operano in automatico e sfruttano vulnerabilità conosciute. Le vulnerabilità cambiano velocemente, sia perché variano le metodologie di attacco, sia perché i sistemi informativi non sono statici ma continuamente si arricchiscono di nuove applicazioni e di nuovi aggiornamenti. ESIGENZE Per preservare la sicurezza delle proprie informazioni la aziende necessitano di verificare periodicamente che le vulnerabilità conosciute, presenti sui propri sistemi siano state corrette e non ci siano falle sfruttabili da malintenzionati. Inoltre, per rispondere ad alcune normative di settore, come ad esempio la PCI-DSS (Payment Card Industry Data Security Standard) standard di sicurezza delle informazioni per le organizzazioni che gestiscono dati di titolari di carta di debito, credito, prepagata, borsellino elettronico, ATM, POS, sono richieste verifiche periodiche di vulnerabilità, con specifiche diverse a seconda del tipo di azienda e del volume del transato. SOLUZIONE Di.Tech risponde alle esigenze di verifica delle vulnerabilità proponendo il servizio di Vulnerability Scan, attività in genere ricorsiva, effettuata principalmente con strumenti automatici con l obiettivo di verificare la presenza di vulnerabilità conosciute e classificate. Il servizio prevede diverse attività, tra le quali: rilevamento di vulnerabilità presenti nell infrastruttura target; ranking delle vulnerabilità secondo lo schema di valutazione CVSS; definizione di piani di rientro mirati alla risoluzione delle vulnerabilità e la mitigazione dei rischi; definizione di piani per la gestione di falsi positivi e del processo di dispute management ; predisposizione di un documento di reportistica sulle verifiche periodiche di vulnerabilità, richiesto ai fini di conformità al requisito dello schema PCI-DSS (*).

6 CARATTERISTICHE Alla base del servizio vi è un database delle vulnerabilità, mantenuto sempre aggiornato a livello mondiale, che costituisce il riferimento delle verifiche. Strumenti automatici, opportunamente configurati, effettuano verifiche confrontando le evidenze rilevate sull architettura dell azienda con il database delle vulnerabilità conosciute. Le attività automatizzate vengono integrate con attività manuali di normalizzazione dei risultati e di verifica di eventuali falsi positivi. Il servizio è erogato in quattro fasi principali: Programmazione: definizione operativa e tuning sulle esigenze Setup: predisposizione e configurazione degli strumenti Erogazione: esecuzione del servizio, indicazione sulle attività di remediation e gestione dei falsi positivi Certificazione: se funzionale al mantenimento o al conseguimento della certificazione PCI, predisposizione della reportistica Attestation of Scan Compliance (AoSC) valida ai fini della certificazione PCI-DSS (*) VANTAGGI CONTROLLO Contribuisce a migliorare e mantenere lo stato di sicurezza dei sistemi informativi e la salvaguardia del patrimonio informativo aziendale, grazie al controllo ricorsivo con strumenti sempre aggiornati e grazie al supporto di personale specializzato. COMPLIANCE Il servizio previsto fornisce i report formali richiesti dallo standard PCI-DSS (*).

7 Sicurezza delle informazioni Penetration test SCENARIO Oggi la società globalizzata ha portato il cybercrime a crescere in maniera esponenziale: si è passati dall hacking come forma di sfida ideologica ad attività organizzate di stampo malavitoso. Termini come hacker, cybercrime, phishing, smishing o malware sono diventati di uso comune perché hanno un impatto sul business delle aziende mettendone a repentaglio la sicurezza. In questo contesto non sono però da sottovalutare le minacce alla sicurezza che arrivano dall interno: dipendenti infedeli, personale di terze parti che opera all interno dell azienda (consulenti, progettisti, etc ) e semplici visitatori. L insider rappresenta un problema di sicurezza a causa della conoscenza che ha dei processi aziendali e dei relativi sistemi informativi. ESIGENZE Le aziende hanno bisogno di proteggere le proprie informazioni, prevenendo eventuali azioni da parte di organizzazioni esterne o personale interno che possano danneggiare la produttività dell azienda o rendere pubblico il patrimonio informativo riservato. Hanno, quindi, bisogno di conoscere i rischi a cui sono esposti e di proteggersi da tutte le minacce alla sicurezza che comportano danni economici e all immagine aziendale. Acquisire la consapevolezza dei rischi è indispensabile per individuare e implementare azioni correttive. SOLUZIONE Di.Tech risponde alle esigenze delle aziende con due tipi di servizio di Vulnerabiliy Assessment: Vulnerability Assessment interno è un servizio di simulazione comportamentale che serve a verificare la presenza di vulnerabilità che il personale interno all azienda potrebbe sfruttare per avere accesso a dati ed informazioni riservate; Vulnerability Assessment esterno è un servizio di simulazione di accesso dall esterno che ha l obiettivo di verificare la robustezza del sistema e la presenza di vulnerabilità sfruttabili da chi intende accedere a dati, sistemi e applicazioni protette. Queste due tipologie di simulazione sono da considerasi più efficaci se svolte in maniera integrata.

8 CARATTERISTICHE Il servizio è finalizzato alla valutazione del grado di sicurezza di reti, sistemi, applicazioni ed informazioni e prende in considerazione i tre aspetti fondamentali per la gestione della sicurezza delle informazioni: Confidenzialità, Integrità e Disponibilità. Le attività vengono svolte con strumenti automatici ed in modalità Ethical Hacking effettuando anche attività mirate di tipo manuale. Il servizio può essere erogato con diverse modalità, in funzione degli obiettivi che il cliente si pone: Black Box : un hacker effettua tutti i tentativi per accedere alle informazioni critiche dell azienda pur non avendone diritti e privilegi (test pre-autenticazione). Il servizio impone, per essere efficace, che non vi sia alcuna conoscenza pregressa dell architettura dell azienda; Grey Box : un utente con accesso limitato o il diritto di utilizzare alcune applicazioni (utente home banking, e-commerce o l accesso di un fornitore o di un partner B2B) effettua tentativi di accesso a informazioni critiche e a dati riservati, che dovrebbero essergli preclusi, anche attraverso una escalation di privilegi (test post autenticazione); White Box : (previsto solo nel servizio Vulnerability Assessment Interno), in questo caso lo specialista accede all architettura con privilegi di amministrazione e ha a disposizione tutte le informazioni disponibili relativamente a HW, SW, configurazioni, ecc. VANTAGGI MIGLIORAMENTO DELLA PROFILAZIONE E DELL ORGANIZZAZIONE Aiuta a focalizzare meglio i ruoli aziendali, a gestire la definizione dei compiti e la segregazione delle funzioni. Contribuisce inoltre alla revisione ed al miglioramento di processi e procedure di sicurezza. COMPLIANCE Alcuni dei controlli compresi nel servizio possono far parte di un analisi più ampia sulla conformità a norme cogenti, best practice, norme di settore, ecc (es: privacy, ISO 27000, ). CONSAPEVOLEZZA Crea consapevolezza del livello di sicurezza con il quale vengono gestite le informazioni (evidenze dell esposizione al rischio in termini di confidenzialità, l integrità e le disponibilità) e supporta le decisioni sulle strategie.

9 Sicurezza delle informazioni Security Snapshot SCENARIO I repentini cambiamenti e le continue evoluzioni tecnologiche nel campo dell informazione e della comunicazione hanno cambiato le regole su cui società e mercato avevano sempre vissuto. Poiché non è possibile contrastare o rinunciare all utilizzo di nuove tecnologie, la imprese devono prendere coscienza dei rischi che vi sono associati; e per garantire/gestire la sicurezza devono coinvolgere diverse figure professionali, quali sistemi informativi, amministrazione, controllo di gestione, direzione, ecc Per queste ragioni spesso le aziende non hanno un quadro complessivo, chiaro e condiviso del loro livello di sicurezza e delle relative strategie adottate. ESIGENZE Le aziende per tutelarsi in modo adeguato devono valutare i rischi e proteggersi dalle minacce sia esterne sia interne, evitare usi illeciti e furti di informazioni e garantire l adeguato supporto ai processi core. Il primo passo per proteggersi è conoscere i rischi ai quali si è esposti e di conseguenza dotarsi una adeguata strategia di sicurezza per custodire e proteggere in maniera appropriata il proprio patrimonio. SOLUZIONE Di.Tech risponde a tali esigenze con il servizio di Security Snapshot, offerto al top management o alla proprietà aziendale per realizzare una fotografia panoramica del livello di sicurezza all interno dell impresa, sia per gli aspetti legati alla gestione dell Informazioni e alla business continuity, sia per gli adeguamenti normativi.

10 CARATTERISTICHE L attività consiste in una serie di interviste rivolte ai responsabili delle funzioni di business, della direzione aziendale e di alcuni ruoli significativi. Il coinvolgimento di tutte le funzioni di business consente di: confrontare i diversi punti di vista ed esigenze; verificare la loro percezione e le loro esigenze in merito alla sicurezza; analizzare i diversi approcci nei processi di gestione dell informazione Il report risultante consentirà al management di farsi un idea generale sullo stato della sicurezza e di valutare la necessità di analisi più approfondite per poter definire e pianificare azioni correttive e/o evolutive dei processi, dell organizzazione e delle soluzioni tecnologiche presenti in azienda. VANTAGGI CONSAPEVOLEZZA Consente di evidenziare eventuali carenze importanti e di creare consapevolezza sullo stato della sicurezza per poi predisporre un piano di approfondimento e di adeguamento. Fornisce l opportunità al Top Management di essere parte attiva nella definizione delle strategie di sicurezza e di allineare verso un unica visione tutti i ruoli aziendali. MISURAZIONE DEL VALORE Il servizio permette di misurare il Valore delle Informazioni e dei servizi che rappresentano l impresa.