LA CYBERSECURITY NELLA FABBRICA DIGITALE LE NORME ISO Milano, 22 marzo 2018

Transcript

1 LA CYBERSECURITY NELLA FABBRICA DIGITALE LE NORME ISO Milano, 22 marzo 2018

2 Agenda e relatori Introduzione su: UNINFO La norma ISO/IEC

3 Relatore Domenino «Mimmo» SQUILLACE Presidente di UNINFO Coordinatore dei Presidenti degli Enti Federati UNI Membro di Giunta Esecutiva UNI Rappresentante italiano in CEN/CENELEC BT WG «ICT Standardization Policy» Technical Relations Manager IBM Italia 3

4 Sicurezza di cosa? Intendiamoci... Sicurezza delle informazioni Preservazione della riservatezza, dell integrità e della disponibilità delle informazioni Disponibilità Proprietà di essere accessibile e usabile a richiesta di un entità autorizzata Integrità Proprietà relativa all accuratezza e alla completezza Riservatezza Proprietà delle informazioni di non essere rese disponibili o divulgate a individui, entità o processi non autorizzati 4

5 Chi sviluppa le norme in Italia 5

6 Chi sviluppa le norme in Italia CIG (Gas) UNINFO (ICT) CTI (Termotecnico) UNICHIM (Chimico) CUNA (Automobilistico) UNIPLAST (Materie plastiche) UNISIDER (Metallurgico) 6

7 Ingegneria del SW Blockchain MPEG Traffico Tecnologie Additive Automazione Ind. Informatica Medica ebsf Industria 4.0 APNR-ICT Sicurezza informatica

8 UNI CT/510 Sicurezza Informatica Norme del sottocomitato 27 di ISO/IEC JTC 1 (150+) Sistemi di gestione per la sicurezza delle informazioni (27001, 27002) Linee guida per i sistemi di gestione (2700X) Linee guida di settore (2701X) Linee guida per la sicurezza (2703X-2704X) Certificazione della sicurezza dei prodotti (15408, 18045) Autenticazione e biometria (2476X) Protezione dei dati personali (291XX) Crittografia (979X, 18033) Modelli di maturità ICT (21827) 8

9 Agenda e relatori Introduzione su: UNINFO La norma ISO/IEC

10 Relatore Luciano QUARTARONE Lead Auditor ISO/IEC Lead Implementer ISO/IEC Trainer certificato ISO/IEC LA & LI presso il PCI QSA, ITIL Membro del CT 510 di UNINFO "Sicurezza" Senior Information Security consultant at BL4CKSWAN S.r.l. 10

11 ISO/IEC 2700x Si parla in genere di famiglia delle norme ISO 2700x intendendo un set ampio di standard, non tutti ugualmente certificabili. Fonte: ISO/IEC 27000:

12 ISO/IEC Sistema di Gestione per la Sicurezza delle Informazioni (SGSI o ISMS). Applicabile a realtà di ogni dimensione Quasi 20 anni di esistenza sul mercato Ambito definibile a piacimento Approccio ciclico (PDCA) Costituisce un framework completo Dice cosa fare, non come farlo Rivolto al miglioramento continuo E un riferimento universale 12

13 Evoluzione della ISO/IEC Code of best practices (pubblicato da un consorio di aziende) BS Code of best practices BS Schema di certificazione ISO Best Practices Code Nuova versione ISO Pubblicazione ISO/IEC ISO/IEC Certification organization requirements Pubblicazione di vari standard ISO/IEC 2700x Revisione della ISO/IEC e ISO/IEC Attuale edizione della ISO/IEC e ISO/IEC

14 Diffusione della ISO/IEC in Italia Jan-06 Jul-06 Jan-07 Jul-07 Jan-08 Jul-08 Jan-09 Jul-09 Jan-10 Jul-10 Jan-11 Jul-11 Jan-12 Jul-12 Jan-13 Jul-13 Jan-14 Jul-14 Jan-15 Jul-15 Jan-16 Fonte: Accredia, andamento delle aziende certificate 14

15 ISO/IEC La norma è strutturata in due «macro aree» «Parte Alta» Specifica i requisiti per il SGSI (clausole da 4 a 10) I requisiti sono scritti usando l imperativo (SHALL) «Parte Bassa» L annex A riporta un insieme di controlli di sicurezza (114), organizzati in 35 obiettivi di controllo a loro volta raggruppati in 14 clausole 15

16 PDCA e ISO/IEC Plan 4 contesto 5 leadership 6 pianificazione 7 supporto Do Check Act 8 attività operative 9 valutazione prestazioni 10 miglioramento Appendice A 16

17 Relazioni con altri standard 17

18 Analisi del rischio secondo ISO/IEC 27001:2013 Il vero "motore" della ISO/IEC è il processo di gestione del rischio relativo alla sicurezza delle informazioni, così specificato genericamente nella ISO 31000: Definizione del contesto Valutazione del rischio Trattamento del rischio Uno dei modi più diretti per effettuare un "trattamento del rischio" è quello di ridurlo ad un livello accettabile adottando dei controlli di sicurezza, dei quali la può essere considerata come un esteso catalogo. 18

19 ISO/IEC 27002:

20 Certificazione di un SGSI E possibile, ma assolutamente non obbligatorio, raggiungere una certificazione di terza parte una volta che si è adottata la norma. La certificazione, oltre a essere utile per partecipare a gare, permette un ritorno d immagine per gli investimenti effettuati. 20

21 Certificazione di un SGSI Impostazione 1 Anno 2 Anno 3 Anno Do Check Do Check Do Check Do Check Plan Act Plan Act Plan Act Plan Act Audit di Certificazione Audit di Mantenimento Audit di Mantenimento Audit di Certificazione 21

22 22

23 Contatti e ringraziamenti UNINFO uninfo@uninfo.it Via Sanfront 1/C Torino Tel Relatori: Domenico SQUILLACE presidenza@uninfo.it mimmo_squillace@it.ibm.com Luciano QUARTARONE luciano.quartarone@bl4ckswan.com 23