I dati in cassaforte 1

Transcript

1 I dati in cassaforte 1

2 Le risorse ( asset ) di un organizzazione Ad esempio: Risorse economiche/finanziarie Beni mobili (es. veicoli) ed immobili (es. edifici) Attrezzature e macchinari di produzione Risorse umane Materiali (es. materie prime, semilavorati e prodotti finiti) 2

3 Le risorse ( asset ) di un organizzazione Sono esempi di beni che un organizzazione cerca di: tutelare mantenere e conservare sviluppare e migliorare 3

4 Le risorse ( asset ) di un organizzazione ma il know-how i dati le informazioni in possesso / di proprietà di un organizzazione Quanto valgono? 4

5 La sicurezza delle informazioni: perché? I dati, le informazioni e più in generale il know-how rappresentano un asset aziendale che come tale deve essere tutelato Diverse tipologie di dati sono soggette a specifiche Leggi o Direttive (es. Privacy, Sicurezza, Ambiente, Marcatura CE, Omologazioni) Informazioni aziendali di tipo tecnico ed economico spesso rappresentano un fattore di competitività sul mercato 5

6 Le risorse ( asset ) di un organizzazione A volte la perdita la sottrazione il danneggiamento dei dati/informazioni dell organizzazione possono avere un impatto, anche economico, ben più grave della perdita o del danneggiamento di un attrezzatura, macchinario, ecc. 6

7 Quali sono i rischi? Perdita Danneggiamento Sottrazione Cancellazione Divulgazione non autorizzata Copia non autorizzata 7

8 Il sistema di gestione della sicurezza delle informazioni I dati e le informazioni possono presentarsi in formato: Cartaceo Elettronico Fotografico Video Sonoro Campioni fisici 8

9 Il sistema di gestione della sicurezza delle informazioni I dati e le informazioni possono presentarsi in forma STRUTTURATA (es. dati inseriti all interno di data base) Rappresentano in media il 30% dei dati presenti in azienda NON STRUTTURATA (es. mail, file word, excel, ecc.) Rappresentano in media il 70% dei dati presenti in azienda 9

10 Dove sono contenute le informazioni PC portatili/fissi, postazioni CAD Documenti ed archivi cartacei CD, DVD, Chiavi USB, SD card, HD esterni, ecc. Telefoni cellulari, i-pad Nastri magnetici Fotografie Campioni fisici 10

11 Il sistema di gestione della sicurezza delle informazioni Per gestire e tenere sotto controllo in maniera adeguata efficace efficiente i dati e le informazioni aziendali, diventa strategica l adozione di un sistema strutturato che stabilisca modalità e criteri per la loro gestione 11

12 Cosa significa Sicurezza delle informazioni Sicurezza dei dati significa aver attivato un efficace sistema di gestione che permetta di assicurare la: riservatezza integrità disponibilità dei dati e delle informazioni aziendali, indipendentemente dal loro formato/supporto su cui si presentano 12

13 Cosa significa Sicurezza delle informazioni DISPONIBILITA Le informazioni devono essere tempestivamente disponibili (accessibili) a tutti coloro che sono autorizzati alla loro consultazione RISERVATEZZA Le informazioni devono essere visibili/consultabili esclusivamente a coloro che sono autorizzati, siano essi interni/esterni all organizzazione INTEGRITA Le informazioni, indipendentemente dal loro formato, devono essere conservate in modo da evitarne danneggiamenti, perdite, sottrazioni, ecc. 13

14 Cosa significa Sicurezza delle informazioni Altri aspetti da tenere in considerazione REPERIBILITA A volte i dati sono disponibili, ma difficilmente reperibili AGGIORNAMENTO Il dato/informazione è effettivamente quello in vigore (aggiornato)? FRUIBILITA (UTILIZZABILITA ) Non è sufficiente che il dato sia stato correttamente conservato e disponibile, ma deve essere «trasformabile» in un formato «leggibile». 14

15 Come proteggere le informazioni Password di autenticazione per l accesso ai PC Password di protezione dei files Password per l utilizzo di programmi o la consultazione di cartelle Crittografia dei dati Controllo fisico degli accessi in determinate aree aziendali Chiusura a chiave di scaffali/armadi Sistemi di riconoscimento biometrici Sistemi di monitoraggio e blocco automatico della rete dati Antivirus Firewall Sistemi di back-up e disaster recovery 15

16 Il sistema di gestione della sicurezza delle informazioni Obiettivi del sistema di gestione : Valutare i rischi che potrebbero impattare sulle informazioni arrecando un danno economico, ma non solo (es. di immagine sul mercato), all organizzazione Stabilire ed attuare procedure al fine di assicurare la Business Continuity anche in presenza di eventi che potrebbero minacciare la sicurezza delle informazioni Stabilire ed attuare procedure che permettano di monitorare e controllare la corretta gestione dei dati e delle informazioni aziendali 16

17 Il sistema di gestione della sicurezza delle informazioni Campo di applicazione : NON esiste un sistema di gestione precostituito ma lo stesso deve essere definito e sviluppato in funzione delle specifiche caratteristiche dell organizzazione (es. dimensioni, quantità e tipologia dei dati/informazioni da gestire, complessità tecnica/commerciale dei processi, ecc.), nonché degli obiettivi che si intendono perseguire (anche il Pentagono non è invulnerabile..) Realtà sulla carta molto semplici possono avere la necessità o comunque l utilità di adottare un sistema, snello ma efficace, che permetta di gestire le informazioni assicurandone non solo la sicurezza, ma nel contempo limitando anche i costi e le inefficienze dovute a ripetizioni, copie non necessarie, ecc. 17

18 Esempi di argomenti da prendere in considerazione AUTORIZZAZIONI ED IDENTIFICAZIONI ACCESSI FISICI ALL AREA AZIENDALE GESTIONE DELLE APPARECCHIATURE HW GESTIONE DEGLI APPLICATIVI SW POSTA ELETTRONICA GESTIONE DEI DATI BACK-UP DEI DATI RETE DATI INTERNA ( FISSA E WIRELESS) RETE DATI ESTERNA INTERNET VOIP ANTIVIRUS VERIFICHE PERIODICHE SUL SISTEMA INFORMATIVO 18

19 Il sistema di gestione della sicurezza delle informazioni (SGSI) I passi chiave per progettare e mantenere il SGSI: Stabilire il SGSI Attuare e condurre il SGSI Monitorare e riesaminare il SGSI Mantenere attivo, aggiornato e migliorare il SGSI 19

20 Stabilire il SGSI Definire il campo di applicazione ed i limiti del SGSI Definire una politica del SGSI Definire l approccio alla valutazione del rischio Identificare ed analizzare i rischi Identificare ed analizzare le opzioni per il trattamento dei rischi Scegliere gli obiettivi di controllo e i controlli Predisporre una dichiarazione di applicabilità 20

21 Attuare e condurre il SGSI Sviluppare il piano di trattamento del rischio Attuare il piano per conseguire gli obiettivi di controllo identificati Definire come misurare l efficacia dei controlli Rendere consapevole il personale mediante informazione e formazione Monitorare potenziali situazioni anomale 21

22 Monitorare e riesaminare il SGSI Il SGSI deve essere periodicamente sottoposto a verifiche che ne attestino il corretto funzionamento: Controlli Valutazioni dei rischi Audit interni Riesame da parte della direzione Aggiornamento dei piani della sicurezza Registrazione delle azioni che possono incidere sul SGSI 22

23 Mantenere attivo, aggiornato e migliorare il SGSI Individuare e attuare i miglioramenti Intraprendere azioni correttive e preventive Verificare che i miglioramenti abbiano successo Comunicare le azioni ed i miglioramenti alle parti interessate 23

24 La norma UNI CEI ISO/IEC 27001:2006 Campo di applicazione : La norma copre tutte le tipologie di organizzazioni (imprese commerciali, agenzie governative, organizzazioni senza scopo di lucro). Specifica i requisiti per impostare, mettere in opera, utilizzare, monitorare, rivedere, manutenere e migliorare un sistema documentato all'interno di un contesto di rischi legati alle attività centrali dell'organizzazione. Dettaglia inoltre i requisiti per i controlli di sicurezza. 24

25 La norma UNI CEI ISO/IEC 27001:2006 SISTEMA DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI Requisiti generali Stabilire e gestire il SGSI Attuare e condurre il SGSI Monitorare e riesaminare il SGSI Mantenere attivo, aggiornato e migliorare il SGSI Requisiti relativi alla documentazione Tenuta sotto controllo dei documenti Tenuta sotto controllo delle registrazioni RESPONSABILITÀ DELLA DIREZIONE Impegno della direzione Gestione delle risorse Messa a disposizione delle risorse Formazione e addestramento, consapevolezza e competenza 25

26 La norma UNI CEI ISO/IEC 27001:2006 AUDIT INTERNI DEL SGSI RIESAME DEL SGSI DA PARTE DELLA DIREZIONE Generalità Elementi in ingresso per il riesame Elementi in uscita dal riesame MIGLIORAMENTO DEL SGSI Miglioramento continuo Azioni correttive Azioni preventive OBIETTIVI DI CONTROLLO E CONTROLLI 26