STT e BS7799: traguardo ed evoluzione in azienda

Transcript

1 STT e BS7799: traguardo ed evoluzione in azienda Ada Sinigalia Anita Landi XVIII Convegno Nazionale di Information Systems Auditing "25 anni di Audit: l'evoluzione di una professione" Cortona, 20 maggio 2004

2 Agenda 1 STT 2 Scelta della Certificazione BS Vantaggi/ Criticità 4 Metodologia BS Implementazione in STT

3 Presentazione STT S.T.T. Spa Società per il Trasporto Telematico costituita nel 1996 a Verona da più di 20 istituti di credito distribuiti sul territorio nazionale 2200 Sportelli bancari 8% traffico bancario La rete telematica di STT collega circa aziende

4 Compagine societaria

5 Infrastruttura di rete Sicura e affidabile: adeguata a standard bancari, è utilizzata attualmente da più di 20 istituti di credito Protetta: è una vera e propria Intranet privata Capillare: offre i vantaggi della rete telematica a realtà produttive lontane dai capoluoghi di provincia, quindi con maggiori difficoltà logistiche con abbattimento delle barriere geografiche Veloce: perché tecnologicamente avanzata. Riduce tempi e costi di trasmissione dei dati (es.: fra imprese e fornitori / distributori, fra aziende / uffici e banche)

6 Infrastruttura di rete Multi-protocollo: permette la comunicazione fra sistemi informativi che supportano protocolli diversi Garantita da un monitoraggio continuo e da servizio di Help desk Veicolo di servizi a valore aggiunto: permette la comunicazione fra banche, imprese, associazioni di categoria, professionisti e consumatori finali, facilitando lo scambio di servizi anche personalizzati

7 La Rete STT Banche

8 La rete STT extra bancaria

9 Struttura interna Presidente Amministratore delegato Pianificazione strategie e controller Pianificazione Amministrazione Segreteria EDP sistema e rete interna Area tecnica Progettazione e sviluppo reti Supporto sistemistico di rete Help desk Tecnologie e sistemi integrati Gestione qualità sicurezza Auditing Settore commerciale Comunicazione Relazioni esterne Comunicazione interna

10 Agenda 1 STT 2 Scelta della Certificazione BS Vantaggi/ Criticità 4 Metodologia BS Implementazione in STT

11 Certificazione IMQ-CSQ DATA CSQ/DATA-BS 7799: gestione di qualità delle reti telematiche bancarie ed estensione di queste alle Aziende per garantire la massima sicurezza dei dati e delle informazioni e la continuità del servizio sulla Rete STT.

12 La scelta della BS 7799 Esigenze/Requisiti Obiettivi Soluzione Complessità dei servizi Riservatezza delle informazioni gestite Esigenza di offrire ai clienti servizi di sicurezza Garanzie per transazioni verso Borse estere Definire i criteri per gestione della sicurezza delle informazioni Definire aspetti organizzativi e gestionali per garantire la protezione dei dati e la continuità del servizio a Soci e clienti CSQ DATA BS 7799 IMQ CSQ: Ente certificatore per garantire, con controlli e visite, i livelli di sicurezza raggiunti

13 Agenda 1 STT 2 Scelta della Certificazione BS Vantaggi/ Criticità 4 Metodologia BS Implementazione in STT

14 Vantaggi interni (1/3) Miglioramento dell organizzazione interna Organigramma di sicurezza Procedure per segnalare incidenti di sicurezza o malfunzionamenti Procedure per effettuare comunicazioni ai clienti

15 Vantaggi interni (2/3) Ottimizzazione dei processi interni Protocollo per effettuare comunicazioni interne Protocollo per la gestione dei servizi

16 Vantaggi interni (3/3) Miglioramento comunicazione interna Migliore flusso di comunicazioni Spirito di corpo Consapevolezza dell importanza della sicurezza

17 Vantaggi esterni Aumento di credibilità e fiducia Ufficio stampa Informazioni ai clienti, fornitori, consulenti Benefici verso i clienti Garanzie per transazioni verso Borse estere Conformità a leggi (es. Privacy)

18 Criticità (1/2) Formazione del personale e diffusione della cultura di Sicurezza attraverso: Incontri formativi con i collaboratori Accessibilità delle informazioni, della politica e della documentazione tecnica sulla Sicurezza

19 Criticità (2/2) Continua azione di sensibilizzazione Costante aggiornamento Limitazioni all attività del personale tecnico

20 Agenda 1 STT 2 Scelta della Certificazione BS Vantaggi/Difficoltà 4 Metodologia BS Implementazione in STT

21 Approccio alla sicurezza La sicurezza è un processo e non un prodotto Scheneier Scelta della Certificazione per migliorare la sicurezza con una metodologia completa e testata. Le metodologie valutate sono state: ISO/IEC-IS e ITSEC BS 7799

22 ISO/IEC-IS (Common Criteria) e ITSEC Non idonei alle esigenze di STT perché: Indirizzati principalmente alla valutazione di prodotti e sistemi IT Richiedono verifiche formali e rigorose

23 BS 7799 Pienamente rispondente agli obiettivi di STT: Riguarda la sicurezza del sistema di gestione delle informazioni Garantisce la continuità dei servizi offerti ai Clienti Organizza una struttura preposta al perfezionamento della sicurezza del sistema

24 Primo approccio seguito da STT Politica di sicurezza Valutazione Rischio Gestione Rischio Contromisure Auditing

25 Valore aggiunto fornito dalla BS7799 ISMS (Information security management system) è il complesso delle procedure, per il governo della sicurezza, attuato e mantenuto dall organizzazione, per garantire, nel tempo, il soddisfacimento della politica di sicurezza. Mantenimento e miglioramento Individuazione ISMS Monitoraggio e revisione Implementazione

26 Schematizzazione BS7799 Definizione della politica di sicurezza di alto livello Specifica dell ambito di validità dell ISMS Valutazione del rischio Gestione del rischio Scelta e giustificazione dei controlli da realizzare Realizzazione dei controlli

27 Politica di sicurezza Redazione della Politica di sicurezza secondo: Linee guida fornite in ISO/IEC TR Requisiti BS7799

28 Analisi del rischio (1/2) Analisi del rischio secondo quanto previsto dalla norma BS7799. Risk Management Risk Assessment Risk Mitigation Evaluation e assessment

29 Analisi del rischio (2/2) Classificazione delle risorse Identificazione delle vulnerabilità e delle minacce Determinazione del rischio attraverso la matrice del rischio Selezione delle risorse da proteggere e del rischio residuo accettabile Individuazione delle possibili contromisure di sicurezza Selezione delle contromisure da implementare Efficacia delle contromisure Budget aziendale Politica di sicurezza

30 Auditing Tempi di implementazione delle contromisure Efficacia delle contromisure implementate Verifica del rischio Piano di auditing per le risorse a rischio Auditing del processo di sicurezza

31 Agenda 1 STT 2 Scelta della Certificazione BS Vantaggi/Difficoltà 4 Metodologia BS Implementazione in STT

32 La Politica di STT (1/2) Obiettivi e principi di sicurezza Infrastruttura di sicurezza (ruoli/responsabilità e organigramma) Metodologia utilizzata per l Analisi del Rischio Sicurezza dell hardware e del software Sicurezza fisica (sicurezza ai locali, protezione dei server ) Sicurezza dei portatili Sicurezza della posta elettronica

33 La Politica di STT (2/2) Sicurezza nelle comunicazioni (infrastruttura di rete, accesso degli utenti, accesso ad Internet ) Sicurezza del personale Sicurezza dei documenti e dei supporti (classificazione delle informazioni, gestione della documentazione, gestione dei documenti di sicurezza ) Continuità dell attività aziendale

34 ISMS di STT (1/3) Servizi di connettività monitoring di rete (Tivoli-Netview) reperibilità accesso remoto e dial-up gestione e manutenzione degli apparati firewall statistiche

35 ISMS di STT (2/3) Servizi Internet.. E-comm STT Servizi integrati di fonia Servizi interni..

36 ISMS di STT (3/3) Con il supporto della Direzione sono stati individuati i servizi per definire l ISMS oggetto della Certificazione. Sono stati esclusi: E-comm STT Servizi integrati di fonia Alcuni servizi interni Gestione offerte e contratti Fatturazione Quest anno E-comm STT è stato integrato nell ISMS

37 Analisi del Rischio: Monitoring di rete Permette agli operatori Help Desk e ai Clienti di verificare il funzionamento degli apparati di rete. Macchine usate Sistema operativo SW installato Ubicazione Amministratore Operatore 1 livello Utenti Netview1 AIX Tivoli Server STT Farm R. Scappatura L. Brognoli M. Zuliani Help Desk A. Boni A.Pomari Netview2 AIX Tivoli Server USI Farm R. Scappatura L. Brognoli M. Zuliani Help Desk A. Boni A.Pomari Clienti STT Postazione AIX AIX Help Desk R. Scappatura L. Brognoli M. Zuliani Brognoli Scappatura Zuliani

38 Analisi del Rischio: classificazione risorse Classificazione delle risorse utilizzate per erogare il servizio: Hardware Software/Protocolli Personale Documentazione Dati

39 Esempio: Monitoring di rete Risorse Hardware Hardware R.HW_Risc P _1 R.HW_Risc P _2 R.HW_Macchina AIX R.HW_Supporti di backp R.HW_Dischi Risc-6000 Descrizione risorsa Server su cui è installato il Software Tivoli, è sistemato nella server farm di STT. È sotto gruppo di continuità e sotto MeLA. Il gruppo garantisce autonomia per alcune ore. Server su cui è installato il Software Tivoli, è sistemato nella server farm di USI. È sotto gruppo di continuità e sotto MeLA. Il gruppo garantisce autonomia superiore alle 8 ore. È una macchina di appoggio su cui sono caricate le mappe Tivoli ed è sistemata in HD. È sotto gruppo di continuità. Sono utilizzati per realizzare i backup del sistema e del data base. I dischi sono utilizzati sia per realizzare il backup quotidiano del sistema che quello settimanale.

40 Analisi del rischio: Minacce e vulnerabilità Classificazione minacce in base a: Riservatezza Integrità Disponibilità Determinazione vulnerabilità e associazione, mediante tabella di corrispondenza, tra vulnerabilità, minacce e risorse

41 Tabella di corrispondenza Vulnerabilità Minaccia Tipo di Risorsa Controllo inadeguato del SW distribuito Scarsa informazione dello staff a proposito dei virus Perdita dei backup T.OS_insufficiente T.APP_sw_malizioso T.MDB_DBMS_difetti T.DPC_difetti_sw/hw T.V_sw_pirata T.IM&T_hw_sw T.V_ingresso T.V_dormienti T.V_corruzione T.V_sw_pirata T.V_rete T.V.nuovi T.MDB_in_disuso T.MDB_recovery T.BJ_test T.BJ_recovery T.IM&T_interruzioni T.DBU_sito T.DBU_recupero T.DBU_off-site T.BCP_back-up Software Servizi Personale Personale Servizi Dati Servizi Dati

42 Risultati dell Analisi del Rischio PIANO OPERATIVO: descrive tutte le contromisure da implementare dando indicazioni relative ai costi e all impegno delle risorse. PIANO TEMPORALE: per ogni macro attività viene individuato un responsabile, le micro attività che la compongono e i tempi di realizzo.

43 Piano di Auditing Periodicità dell auditing Comunicazione dei risultati Notifica degli incidenti Nuove tecnologie Modalità e tempistiche di revisione Dettaglio dei controlli per ogni singola area

44 Tabella di Auditing RISORSA: Dischi di rete Controllo selezionato HW_DR_1 HW_DR_2 HW_DR_3 HW_DR_4 HW_DR_5 HW_DR_6 Esito del controllo

45 Ada Sinigalia Anita Landi