La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

Transcript

1 Sistema di Gestione della Sicurezza delle Informazioni 2015

2 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO La metodologia Quality Solutions Focus on: «L analisi dei rischi» Referenze 2

3 Chi siamo Media Management Consulting Application Development & System integration Finance P.A. Insurance PMI Manufacturing Consulenza Operativa Aziendale ERP Solutions Development Telco ICT 3

4 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO La metodologia Quality Solutions Focus on: «L analisi dei rischi» Referenze 4

5 Il modello operativo di Quality Solutions Presidio dei mercati e delle competenze Integrated Process Care Security & BC L esperienza di oltre 15 anni nel campo dei servizi alle imprese e dei sistemi di gestione aziendale delinea Quality Solutions come un partner di riferimento per la Consulenza Direzionale e ICT Il nostro sistema di gestione è certificato secondo le norme ISO 9001 e SA 8000 Compliance Training Finance Telco P.A. ICT Tutti i collaboratori di Quality Solutions hanno conseguito specializzazioni e certificazioni professionali per lo sviluppo dei servizi che la società offre ai clienti Compliance Gestione Qualità IT ICT Consulting Health, Safety & Environment Safety Organizzazione Energy Responsabilità Sociale Security Training ICT Consulting Business Continuity Energy Sommiamo agli skill verticali - specifiche per settore di mercato - i professionisti e le tecnologie più adatte, dalle aree di competenza orizzontali interne 5

6 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO La metodologia Quality Solutions Focus on: «L analisi dei rischi» Referenze 6

7 Introduzione alla ISO (1/3) Il problema della sicurezza delle informazioni Le INFORMAZIONI sono la linfa vitale di tutte le organizzazioni ed oggi più che mai rappresentano un patrimonio di grande valore da salvaguardare La famiglia ISO È una raccolta di norme volontarie e linee guida per la realizzazione e la conduzione di un Sistema aziendale di gestione della sicurezza delle informazioni INFORMAZIONI Lo standard è costruito sulla base di due principi fondamentali: Sicurezza delle informazioni intesa come: integrità disponibilità riservatezza Assicurare e garantire la protezione del proprio patrimonio informativo Le MINACCE provengono da diverse fonti e colpiscono diversi ambiti Minacce interne/esterne Minacce accidentali/dolose Efficacia come continuità del business minimizzazione del danno in caso di incidente 7

8 Introduzione alla ISO (2/3) Gli ambiti di intervento Protezione delle informazioni La ISO/IEC consente di valutare attentamente tutti i rischi riferibili al business e di evidenziare le aree in cui è necessario un miglioramento Le modalità di protezione delle informazioni consistono nell assicurarne adeguati livelli di riservatezza, integrità e accessibilità, attraverso la gestione controllata dei processi aziendali, ciò richiede l utilizzo di personale, procedure e sistemi IT Sicurezza IT Sicurezza Fisica Ambiti Azioni Implementazione di misure (di carattere tecnologico) tese ad assicurare: la gestione degli accessi da parte degli utenti a tutti ed i servizi previsti per quell utente, nei tempi e nelle modalità previste l individuazione ed il blocco delle intrusioni non autorizzate ai sistemi (antivirus, firewall, ecc) il back-up dei dati e la pianificazione del Disaster Recovery Implementazione di misure (di carattere infrastrutturale e tecnologico) tese a dissuadere l accesso non autorizzato ad un asset e/o la sottrazione di informazioni critiche Sicurezza Organizzativa Progettazione ed implementazione di modelli organizzativi (processi, procedure, ecc) tesi ad assicurare il monitoraggio delle performance e l aggiornamento continuo dell analisi dei rischi 8

9 Introduzione alla ISO (3/3) Benefici/Valore aggiunto Principali attività svolte Identificazione e comunicazione dei rischi Comprensione dei rischi da parte delle risorse Valutazione dei rischi in termini di impatti sul business Prioritizzazione delle azioni di mitigazione del rischio Monitoraggio efficace dei rischi e della loro gestione Valore aggiunto Metodologia consolidata per l analisi del rischio Approccio alla Business Continuity Benefici per l organizzazione L effort per la costruzione di una metodologia di analisi dei rischi è un investimento in direzione dello sviluppo di una cultura aziendale in materia di sicurezza La crescente attenzione all analisi e alla gestione dei rischi fa della cultura del rischio uno strumento di sviluppo aziendale coerente con l evoluzione degli standard internazionali di riferimento L analisi rischi richiesta dalla ISO 27001, sebbene focalizzata sulla valutazione degli impatti sulle informazioni, apre la strada alla valutazione degli impatti sul business Un sistema di gestione consente una pianificazione orientata a minimizzare i danni economici derivanti dai rischi connessi alla complessità del mercato Approccio alla Compliance (Privacy, ecc) L implementazione di un ISMS: garantisce una maggiore capacità nel gestire l impatto delle leggi e regolamenti cogenti consente di evitare sanzioni o altre ripercussioni in caso di incidenti che procurino danni a terzi migliora la gestione dei requisiti inerenti la Privacy 9

10 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO La metodologia Quality Solutions Focus on: «L analisi dei rischi» Referenze 10

11 La metodologia Quality Solutions Sviluppo del Sistema di Gestione ISO Progettazione e realizzazione dell Information Security Management System (ISMS) As is Analysis Gap Analysis Implementazione Monitoraggio Definizione del perimetro Analisi dei rischi informazioni critiche asset minacce Valutazione dei rischi minacce/scenari (%) impatti sull informazione livello di rischio accettabile Definizione del piano di mitigazione dei rischi Verifica e revisione dell analisi (SOA) Produzione della documentazione di sistema Avvio del sistema Avvio della gestione degli incidenti di sicurezza delle informazioni Formazione Analisi dati Audit interno Gestione delle non conformità Definizione delle azioni correttive e di miglioramento Certificazione dell ente Metodologia di analisi dei rischi Report dell analisi dei rischi Piano del trattamento dei rischi Statement of Applicability (SOA) Procedura di gestione degli incidenti di sicurezza Procedure operative (controllo accessi logici, back-up, etc.) Business Continuity Plan Modulistica per le registrazioni di sistema Manuale del Sistema di Gestione per la Sicurezza delle Informazioni Rapporto di audit interno Non Conformità Azioni Correttive Azioni di miglioramento Certificazione ISO

12 La metodologia Quality Solutions Miglioramento continuo Definizione perimetro Valutazione rischi Piano mitigazione rischi Accettazione del rischio Attuazione del Piano mitigazione rischi Gestione degli Incidenti PLAN DO Requisiti ed aspettative di sicurezza delle informazioni ISMS Sicurezza delle informazioni ACT CHECK Gestione dei Problemi Azioni di miglioramento Analisi dati Revisione degli Incidenti Individuazione dei Problemi 12

13 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO La metodologia Quality Solutions Focus on: «L analisi dei rischi» Referenze 13

14 Focus on: L analisi dei rischi QS Risk Assessment secondo le linee guida ISO QS Rsk Assessment Analisi funzionale e strutturale Stima valore degli asset Analisi minacce e Valutazione vulnerabilità Calcolo livello di rischio (Risk Profile) Assessment preliminare identificazione degli asset primari, in termini di organizzazione, processi ed attività che caratterizzano l erogazione dei servizi Valutazione preliminare del livello di criticità delle informazioni, prendendo in considerazione più tipologie di eventi secondo tre macroscenari: Analisi delle Minacce e Valutazione delle Vulnerabilità per ciascun asset di cui abbiamo identificato la criticità: Probabilità (P) probabilità di accadimento della minaccia Vulnerabilità (V) Livello di Vulnerabilità dell asset rispetto alla minaccia Assessment IT individuazione degli asset che supportano quelli primari, in termini di hardware, software e apparati di rete Assessment Fisico descrizione delle componenti fisiche utilizzate per l erogazione dei servizi, in termini di infrastrutture ed aree di lavoro perdita di Confidenzialità perdita d Integrità perdita di Disponibilità Minacce possibilità di accadimento di un evento indesiderato che può impattare negativamente su un bene o sulla struttura organizzativa Vulnerabilità livello di esposizione di un asset rispetto a una possibile minaccia Impatto (I) Impatto potenziale (in funzione della criticità dell asset) Risk Profile (R) Livello di Rischio di un asset associato ad una specifica minaccia R = P x V x I 14

15 Summary Chi siamo Il modello operativo di Quality Solutions Introduzione alla ISO La metodologia Quality Solutions Focus on: «L analisi dei rischi» Referenze 15

16 Referenze Le principali Aziende con le quali abbiamo collaborato 16

17 Grazie per l attenzione Via C. Colombo, Roma Tel/Fax / Corso Venezia, Milano Tel