<Insert Picture Here> Security Summit 2011 Milano

Transcript

1 <Insert Picture Here> Security Summit 2011 Milano Information Life Cycle: il governo della sicurezza nell intero ciclo di vita delle informazioni Jonathan Brera, KPMG Advisory S.p.A.

2 I servizi di Security & compliance KPMG KPMG nel mondo KPMG è presente in 150 paesi... personale complessivo di circa unità... ricavi aggregati di oltre US$ 20,6 miliardi... un incremento del 2,6% rispetto all esercizio precedente KPMG offre servizi di Advisory multidisciplinari

3 I servizi di Security & compliance KPMG La Value Proposition di IT Advisory in Italia IT Strategy and Performance Security and IT Risk & Compliance IT Solutions IT Strategy and Plan IT Architecture & Innovation Strategic Sourcing IT Governance and Organization Post Merger Integration IT Attestation & Compliance IT Risk Management Information Protection & Business Resilience Business System Controls IT Audit IT Due Diligence IRM in the External Audit Business Intelligence & Performance ERP Solutions Business Process Management & EAI Knowledge Management Multimedia Integrated Platform IT Project Advisory

4 Elementi di rischio per il patrimonio informativo Autenticità ed affidabilità dei dati e delle informazioni Utilizzo di mobile devices Accessi non autorizzati Utilizzo non legale delle informazioni DATA & INFORMATION Gestione inaccurata delle informazioni Hacking Insider threat Careless talking

5 Data Loss Barometer Quali sono le principali cause di incidenti di sicurezza? Riferimento: by KPMG International

6 L Information LifeCycle (ILC) Concetto generalmente associato alle soluzioni di storage ed in particolare agli aspetti di policy, infrastrutture, strategie Focus sulle diverse fasi di vita dell informazione al fine di identificarne gli elementi di sicurezza rilevanti, congiuntamente agli aspetti di compliance normativa cogenti Acquisizione Distruzione Quali dati? Dove si attestano? Come sono utilizzati? Quali formati? Per quali finalità? Conservazione Trasmissione Consultazione Trasformazione Elaborazione Riproduzione / duplicazione

7 ILC Security correlata ai dati personali Trattamenti diffusi e pervasivi in ambito aziendale Numerosi aspetti di compliance normativi correlati Altissimo impatto di immagine verso il mercato Ciclo di vita dei dati personali Acquisizione Conservazione Elaborazione Consultazione Trasmissione Distruzione Correttezza nelle modalità di acquisizione (informative consensi) Validità delle fonti (e.g. nuova normativa di Telemarketing) Non eccedenza delle informazioni Misure di protezione specifiche per i dati personali particolari (DDT, giudiziari, sensibili ) Cifratura dei dati Tempistiche di conservazione

8 ILC Security correlata ai dati personali Trattamenti diffusi e pervasivi in ambito aziendale Numerosi aspetti di compliance normativi correlati Altissimo impatto di immagine verso il mercato Ciclo di vita dei dati personali Acquisizione Conservazione Elaborazione Consultazione Trasmissione Distruzione Corretta gestione attività di di profiling ) Definizione dei profili autorizzativi di accesso Logging delle attività Regolamentazione degli accessi da parte di soggetti terzi

9 ILC Security correlata ai dati personali Trattamenti diffusi e pervasivi in ambito aziendale Numerosi aspetti di compliance normativi correlati Altissimo impatto di immagine verso il mercato Ciclo di vita dei dati personali Acquisizione Conservazione Elaborazione Consultazione Trasmissione Distruzione Trasmissione su canali sicuri Trasmissione dei dati verso soggetti terzi (anche fuori territorio nazionale) Distruzione sicura dei supporti contenenti i dati Gestione dei dati dei clienti cessati

10 MARKETING & SALES ISTITUZIONALI CARING PROCESSI INTERNI SISTEMI OPERAZIONALI (BILLING, RETE, CRM..) ILC Security correlata al documento informatico Ciclo di vita del documento digitale Creazione Conservazione e reperibilità Elaborazione/ Consultazione Trasmissione Riproduzione/ Validazione Archiviazione Distruzione Duplicazione Analisi Processi operativi specifici dell Organizzazione Individuazione panorama normativo cogente Framework di controllo e requisiti correlati Definizione delle soluzioni di sicurezza BM SECONDARI PRIMARI Firma digitale & Time stamping Sistemi DRM Utilizzo crittografia Glifo Shredder

11 ILC Security correlata allo standard PCI-DSS Soggetti interessati Il PCI DSS (Payment Card Industry Data Security Standard) è uno standard di sicurezza sviluppato da un consorzio, composto da i principali operatori del settore delle carte di pagamento (VISA, Mastercard, ecc.), al fine di proteggere i dati dei titolari delle carte stesse MERCHANT ACQUIRER ISSUER SERVICE PROVIDER Soggetto a favore del quale il cliente effettua la transazione Soggetto che elabora la transazione per conto del Merchant Soggetto che si occupa dell emissione della carta di pagamento Soggetto coinvolto nel trattamento dei dati delle carte Dati considerati DATI MEMORIZZAZIONE CONSENTITA PROTEZIONE RICHIESTA RENDERE NON LEGGIBILI I DATI (REQ. 3.4 PCI-DSS) PAN (Primary Account Number) SI SI SI DATI DI TITOLARI DI CARTE Nome del Titolare della carta SI SI NO Codice di servizio SI SI NO Data di scadenza SI SI NO DATI SENSIBILI DI AUTENTICAZIONE Dati completi della banda magnetica NO N/A N/A CAV2/CVC2/CVV2/CID NO N/A N/A PIN/Blocco PIN NO N/A N/A

12 ILC Security correlata allo standard PCI-DSS Anche in tale caso l approccio indicato dallo standard stesso richiede: l identificazione dei flussi informativi/dei dati lungo i processi aziendali (ed all interno dei sistemi correlati) la verifica delle finalità per cui sono gestiti i dati suddetti l applicazione delle misure richieste/ritenute idonee COSTRUIRE E MANTENERE UNA RETE PROTETTA PROTEGGERE I DATI DEI TITOLARI DELLE CARTE Installare e mantenere una configurazione con firewall per proteggere i dati dei titolari delle carte Non utilizzare password di sistema predefinite o altri parametri di sicurezza impostati dai fornitori Proteggere i dati dei titolari delle carte memorizzati Cifrare i dati dei titolari delle carte quando vengono trasmessi attraverso reti pubbliche aperte PROGRAMMA PER LA GESTIONE DELLE VULNERABILITA Utilizzare e aggiornare con regolarità il software o i programmi antivirus Sviluppare e mantenere applicazioni e sistemi protetti Limitare l'accesso ai dati dei titolari delle carte solo se effettivamente indispensabili per lo svolgimento dell'attività commerciale IMPLEMENTARE MISURE FORTI PER IL CONTROLLO ACCESSI Assegnare un ID univoco a ogni utente che ha accesso ai computer Limitare la possibilità di accesso fisico ai dati dei titolari delle carte Monitorare e tenere traccia di tutti gli accessi effettuati alle risorse della rete e ai dati dei titolari MONITORARE E TESTARE LE RETI CON REGOLARITA Eseguire test periodici dei processi e dei sistemi di protezione Adottare una politica per la protezione delle informazioni rivolta a dipendenti e lavoratori a contratto

13 Criticità elevate nel governo ILC Security Individuazione e protezione dei dati allocati su soluzioni di Cloud computing Gestione degli aspetti contrattuali di security Richiesta di localizzazione dei dati Gestione delle informazioni su dispositivi mobili Predisposizione di una opportuna user policy Iniziative di awareness sugli utenti Asset management Restrizione degli accessi Controllo centralizzato Disposizione/riutilizzo sicuro dei dispositivi Encryption dei dati DRM

14 Key messages La garanzia di adottare un corretto livello di protezione delle informazioni dipende da una governance della sicurezza IT lungo tutto il ciclo di vita delle informazioni stesse. La perdita di tali caratteristiche in una sola delle fasi può rendere inutile tutte le misure adottate a valle della stessa. Al fine di determinare tale modello è necessario individuare in prima istanza i flussi informativi, basandosi eventualmente su una logica di rischio al fine di ottimizzare i ritorni sugli investimenti, verificandone successivamente i trattamenti effettuati ed identificandone quindi le misure in grado di proteggere le informazioni non ostando all utilizzo operativo a fini di business delle stesse. Parallelamente agli aspetti di sicurezza, è necessario che lungo le fasi del ciclo di vita siano individuati i requisiti di compliance applicabili, quali elementi di baseline per le misure adottate. Trasversalmente a tale approccio, è necessario che tutte le infrastrutture siano altresì dotate delle necessarie misure affinchè quanto definito a protezione delle specifiche informazioni non sia compromesso. Gli attuali trend tecnologici (Clouding, wireless networking, mobile devices ) enfatizzano ulteriormente tale necessità di adozione di tale approccio.

15 Q&A Riferimenti Jonathan Brera Manager Information Risk Management KPMG Advisory S.p.A. Tel.: