Giuseppe Puleo Protezione dei dati critici e delle applicazioni: metodologie e strumenti

Transcript

1 Giuseppe Puleo Protezione dei dati critici e delle applicazioni: metodologie e strumenti

2 La soluzione per la sicurezza dei dati deve affrontare tutte le possibile cause di perdita di informazioni. Causa Interazione con altre aziende Possibile violazione Quando i dati riservati dell'azienda o dei clienti vengono trasferiti a terze parti, è possibile che vadano persi o aumenti il rischio di una loro indebita divulgazione. Hacker Dispositivi mobili Social network Dipendenti La probabilitàdi una violazione ènotevole quando gli hacker si rendono conto del valore dei dati di un'organizzazione e tentano di comprometterne la sicurezza. La tendenza ad incrementare la produttivitàdotando il personale di dispositivi mobili che consentano di condividere le informazioni ha aumentato il rischio di perdite di dati. Utilizzati in misura crescente per scopi di marketing, i social network possono presentare rischi imprevisti di indebita divulgazione dei dati edanneggiamento del marchio. In molti casi, l'indebita divulgazione dei dati èdovuta all'utilizzo improprio degli stessi da parte degli utenti interni, sia intenzionalmente che accidentalmente. Il cinquantanove per cento dei dipendenti sospesi temporaneamente, licenziati o che si sono dimessi negli ultimi 12 mesi hanno ammesso di aver sottratto dati all'azienda. 1 1 Un'indagine rivela che oltre la metàdei lavoratori allontanati dalle aziende rubano dati al momentodi andarsene, Ellen Messmer, Network World, 23 Febbraio 2009, 2

3 Dati 20 4,5 1, , , ,4 4, ,1 0,

4 Dati con possibili relazioni Napoli 20 4,5 1, Torino , Roma 16 9, Milano 12 12,4 4, Palermo 21 2,1 0,

5 Dati o informazioni? Gradi C Milioni Milioni Prefisso pin Napoli 20 4,5 1, Torino , Roma 16 9, Milano 12 12,4 4, Palermo 21 2,1 0,

6 Informazioni complete? Fatturato Utile CED Gradi C Milioni Milioni Prefisso pin Napoli 20 4,5 1, Torino , Roma 16 9, Milano 12 12,4 4, Palermo 21 2,1 0,

7 Informazioni Data: 31/12 Data: 30/9 Fatturato Utile CED Gradi C Milioni Milioni Prefisso pin Napoli 20 4,5 1, Torino , Roma 16 9, Milano 12 12,4 4, Palermo 21 2,1 0,

8 Informazioni La parola deriva dal sostantivo latino informatio(-nis) (dal verbo informare, nel significato di "dare forma alla mente", "disciplinare", "istruire", "insegnare"). In generale un'informazione ha valore in quanto potenzialmente utileal fruitore per i suoi molteplici scopi Fonte: Wikipedia Data: 31/12 Data: 30/9 Fatturato Utile CED Gradi C Milioni Milioni Prefisso pin Napoli 20 4,5 1, Torino , Roma 16 9, Milano 12 12,4 4, Palermo 21 2,1 0,

9 Elementi da considerare per la protezione Caratteristiche dell informazione: Tipologie (file, sw, documenti, , disegni di progetto) Formati (cartaceo, elettronico, verbale, oggetto fisico) Strutturata o non strutturata (l aggregazione di un insieme informazioni può valere molto di piùdella somma del valore delle informazioni stesse) Dinamica (transazioni, logs, disegni draft, dati di bilancio) o statica (contratti, disegni definitivi, bilancio pubblicato) Ciclo di vita dell informazione Creazione Elaborazione Comunicazione/trasferimento Conservazione Distruzione 9

10 Classificazione: ISO

11 Classificazione: ISF Model La presente relazione fornisce una guida pratica su come progettare e distribuire un efficace schema di di informazione a livello aziendale. Sulla base delle esperienze pratiche dei membri dell ISF, la relazione presenta un approccio pragmatico alla realizzazione di un progetto di delle informazioni attraverso la definizione e l'attuazione di tre elementi principali di informazioni: istituire uno schema di delle informazioni applicare le tecniche per comunicare il livello di riservatezza proteggere le informazioni classificate in base al livello di riservatezza. Infine, la relazione si conclude con una guida su come supportare nella gestione delle informazioni classificate. 11

12 Classificazione: NIST Le linee guida ed i suoi allegati, con particolare riferimento agli Enti Federali USA: Forniscono definizioni e standard per la delle informazioni Suggeriscono un modello di Forniscono una metodologia per la definizione delle categorie di informazioni da classificare Suggeriscono un modello per la valutazione degli impatti Riportano delle best practicesper la definizione dei requisiti di sicurezza da attribuire alle informazioni classificate 12

13 Data Security: IBM In the DCSM (Data-Centric Security Model), data is placed at the center, and the first objective in creating a DCSM is to identify the owner of the data, whether it s an individual, a customer or a line of business. 13

14 Ruoli e responsabilitànella delle informazioni Business Owner Valutare l impatto di una perdita di riservatezza, integritàe disponibilitàdelle informazioni generate e gestite all interno della propria area di business Partecipare all analisi del ciclo di vita dell informazione Garantire, attraverso sensibilizzazione e controllo della propria area di responsabilità, la sicurezza delle informazioni Security Team Identificare le soluzioni adeguate per la protezione delle informazioni classificate Implementare, Monitorare e migliorare il sistema di gestione della sicurezza delle informazioni Fornire continuo supporto alle aree di business per le tematicheinerenti la sicurezza delle informazioni Users Seguire le linee guida per la gestione delle informazioni classificate Riportare immediatamente eventi di sicurezza che possono arrecare danno 14 tangibile o intangibile all azienda.

15 Roadmapper la protezione delle informazioni (dati e applicazioni) FASE 1 Identificare gli obiettivi di business FASE 2 Definire il modello di FASE 3 Sviluppare il processo di FASE 4 Definire le linee guida e gli strumenti per la protezione FASE 5 Implementare e mantenere il sistema di gestione della sicurezza 15

16 Roadmapper la protezione delle informazioni (dati e applicazioni) FASE 1 Identificare gli obiettivi di business FASE 2 Definire il modello di FASE 3 Sviluppare il processo di FASE 4 Definire le linee guida e gli strumenti per la protezione FASE 5 Implementare e mantenere il sistema di gestione della sicurezza 16

17 Roadmapper la protezione delle informazioni (dati e applicazioni) FASE 1 Identificare gli obiettivi di business FASE 2 Definire il modello di FASE 3 Sviluppare il processo di FASE 4 Definire le linee guida e gli strumenti per la protezione FASE 5 Implementare e mantenere il sistema di gestione della sicurezza Il primo passo da affrontare èdefinire l inventario degli assetinformativi da classificare. classi di informazioni con caratteristiche omogenee e livello digranularitàben calibrato Identificare un modello di che tenga conto dei requisiti di riservatezza, integritàe disponibilitàdelle informazioni e che definisca le regole per ciascun livello individuato e durante tutto il ciclo di vita dell informazione, ovvero durante le fasi di: Creazione Elaborazione Trasmissione Conservazione Distruzione 17

18 Alcuni esempi di information type: NIST 18

19 Modello di Il modello di valutazione deve tener conto di tutto il ciclo di vita dell informazione in modo da proteggere strumenti e dati in base alle necessità del business Information Asset Type 1 Information Asset Type 2 Information Asset Type 3 Information Asset Type 4 Creazione Elaborazione Trasmissione Conservazione Distruzione Confidenzialità L M H L M H L M H L M H L M H Integrità L M H L M H L M H L M H L M H Disponibilità L M H L M H L M H L M H L M H Confidenzialità L M H L M H L M H L M H L M H Integrità L M H L M H L M H L M H L M H Disponibilità L M H L M H L M H L M H L M H Confidenzialità L M H L M H L M H L M H L M H Integrità L M H L M H L M H L M H L M H Disponibilità L M H L M H L M H L M H L M H Confidenzialità L M H L M H L M H L M H L M H Integrità L M H L M H L M H L M H L M H Disponibilità L M H L M H L M H L M H L M H L M H Low Medium High 19

20 Schema di HIGH Confidentiality MEDIUM LOW Highly Confidential (Orange) Integrity HIGH MEDIUM LOW HIGH Classification Scheme Confidential (Red) Operational (Blue) Public (Green) Availability MEDIUM LOW Per sicurezza delle informazioni si intende spesso la protezionedalla sola perdita di confidenzialità, ma sicurezza è il rispetto dei 3 requisiti: Confidenzialità(le cui regole da seguire per la hanno un forte impatto sugli utenti) Integrità(operatori e Security) Disponibilità(operatori e Security) 20

21 Roadmapper la protezione delle informazioni (dati e applicazioni) FASE 1 Identificare gli obiettivi di business FASE 2 Definire il modello di FASE 3 Sviluppare il processo di FASE 4 Definire le linee guida e gli strumenti per la protezione FASE 5 Implementare e mantenere il sistema di gestione della sicurezza Il processo di passa dalla valutazione che i business ownerfanno delle proprie informazioni ed ha l obiettivo di fornire a tutti gli utenti/dipendenti le indicazioni per poter comprendere come distinguere le informazioni classificate ed il loro livellodi e di conseguenza essere in grado di trattare in conformitàcon le regole aziendali le informazioni che di volta in volta incontrano durante le attività lavorative. 21

22 Roadmapper la protezione delle informazioni (dati e applicazioni) FASE 1 Identificare gli obiettivi di business FASE 2 Definire il modello di FASE 3 Sviluppare il processo di FASE 4 Definire le linee guida e gli strumenti per la protezione FASE 5 Implementare e mantenere il sistema di gestione della sicurezza Una protezione adeguata per le informazioni cosìclassificate si ottiene attraverso: Labelling Linee guida per la gestione delle informazioni classificate (rivolta agli utenti, dipendenti o terze parti) Soluzioni tecnologiche e strumenti di monitoraggio Processi di gestione e procedure per gli operatori 22

23 Security Labelling Una security label èuna rappresentazione su un asset(hw o elettronico) della di sicurezza delle informazioni contenute o riferite direttamente ad esso. Esempi di Security Label su asset fisici: Timbri Etichette adesive Sigillo (doubleseal) Pre-printed Label e Bar code Hologram VSI (Visible Security Image, variazione angolo visuale) Esempi di Security Label in formato elettronico Label su oggetto di Specifiche sulle proprietà del documento Header& Footer Macro Firma digitale e certificati Electronic document watermarking(contrassegno permanente) 23

24 defines empowers Soluzioni per la data security GOVERNANCE Data Security & Privacy Strategy PROCESSES AND TECHNICAL COMPONENTS TO MANAGE AND SUPPORT DATA LIFECYCLE RESPONSE + INTELLIGENCE PEOPLE, PROCESS, TECHNOLOGY 24

25 Roadmapper la protezione delle informazioni (dati e applicazioni) FASE 1 Identificare gli obiettivi di business FASE 2 Definire il modello di FASE 3 Sviluppare il processo di FASE 4 Definire le linee guida e gli strumenti per la protezione FASE 5 Implementare e mantenere il sistema di gestione della sicurezza Mantenere il sistema a regime e migliorarlo con continuità significa: Prevedere un processo di comunicazione interno Sensibilizzare la popolazione sulle linee guida Formare gli operatori sui nuovi processi di sicurezza introdotti Monitorare le attività con misuratori di efficacia ed efficienza Prevedere una verifica periodica (assessment e/o audit) sul sistema di protezione Prevedere periodicamente la ri delle categorie di asset informativi Presentare agli stakeholderil processo di e sicurezza dei dati al fine di: Mostrare il livello di sicurezza raggiunto 25 Raccogliere feedback ed eventuali business needs

26 Grazie per l attenzione Giuseppe Puleo Puleo Security Consultant IBM IBM Italia Italia S.p.A. S.p.A. Circonvallazione Idroscalo Segrate (MI) (MI) Security Services Tel. Tel IBM IBM Global Global Technology Mobile Mobile Services giuseppe.puleo@it.ibm.com 26