INFORMATION SECURITY MANAGEMENT SYSTEM



Похожие документы
La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

MANUALE DELLA QUALITÀ Pag. 1 di 6

Politica per la Sicurezza

Sicurezza informatica in azienda: solo un problema di costi?

Audit & Sicurezza Informatica. Linee di servizio

14 giugno 2013 COMPETENZE E QUALIFICHE DELL INSTALLATORE DI SISTEMI DI SICUREZZA. Ing. Antonio Avolio Consigliere AIPS All right reserved

Sicurezza Aziendale: gestione del rischio IT (Penetration Test )

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Analisi del Rischio. Approccio alla valutazione del rischio Informatico. Contromisure. Giorgio Giudice

1- Corso di IT Strategy

I dati : patrimonio aziendale da proteggere

REALIZZARE UN BUSINESS PLAN

Capire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati.

Protezione della propria rete

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE. Best Practices di Organizzazione per la Sicurezza delle Informazioni.

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO e ISO 22301

I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS AV2/07/11 ARTEMIDE.

UNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso

La certificazione dei sistemi di gestione della sicurezza ISO e BS 7799

Progetto di Information Security

Gestione della Sicurezza Informatica

La norma ISO 9001:08 ha apportato modifiche alla normativa precedente in

1 La politica aziendale

ISO family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo

CERTIQUALITY. La Gestione della Business Continuity : gli standard ISO ed ISO P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a

COMUNE DI RAVENNA GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI)

PROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ

LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0

Domande e risposte su Avira ProActiv Community

Export Development Export Development

MANUALE DELLA QUALITÀ SIF CAPITOLO 08 (ED. 01) MISURAZIONI, ANALISI E MIGLIORAMENTO

INTRODUZIONE AL RISK MANAGEMENT. Copyright CER.TO. S.r.l. 1

CERTIQUALITY. Gli standard ISO per il RiskManagement ed ISO per la certificazione dei Sistemi di Gestione della Business Continuity

Progetto Atipico. Partners

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa

Comprendere il Cloud Computing. Maggio, 2013

COME VIENE REALIZZATO UN SERVIZIO DI RIORGANIZZAZIONE DEI SISTEMI INFORMATIVI AZIENDALI?

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza

Vulnerability Assessment relativo al sistema Telecom Italia di autenticazione e autorizzazione basato sul protocollo Radius

VALUTAZIONE DEL LIVELLO DI SICUREZZA

Norme per l organizzazione - ISO serie 9000

I Sistemi di Gestione Integrata Qualità, Ambiente e Sicurezza alla luce delle novità delle nuove edizioni delle norme ISO 9001 e 14001

Raggiungere gli obiettivi strategici e preservare il valore creato nel tempo

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

Supply Intelligence. Informazioni rapide e approfondite sui fornitori potenziali

Data protection. Cos è

CNIPA. "Codice privacy" Il Documento Programmatico di Sicurezza. 26 novembre Sicurezza dei dati

Disaster Recovery: Aspetti tecnico-organizzativi

SERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP)

Identità e autenticazione

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

DIPARTIMENTO INFORMATIVO e TECNOLOGICO

La tecnologia cloud computing a supporto della gestione delle risorse umane

Policy sulla Gestione delle Informazioni

La sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione

L esecuzione di monitoraggi ed analisi si esplica principalmente nelle seguenti attività:

QUESTIONARIO 1: PROCESSO DI AUTOVALUTAZIONE

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I Milano I SERVIZI DI CONSULENZA. info@axxea.it

della manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.

MANDATO DI AUDIT DI GRUPPO

Direzione Centrale Audit e Sicurezza IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE

5.1.1 Politica per la sicurezza delle informazioni

Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

Configuration Management

A.O. MELLINO MELLINI CHIARI (BS) GESTIONE DELLE RISORSE 1. MESSA A DISPOSIZIONE DELLE RISORSE RISORSE UMANE INFRASTRUTTURE...

Cloud Hosting HSP (Hardware Service Provision) Per il tuo Dealer Management System

NUOVI APPROCCI PER UN MANAGER ALLENATORE : IL PROCESSO DI COACHING

Strategie su misura per la tua azienda

Ministero dell economia e delle finanze Dipartimento per le politiche fiscali Ufficio coordinamento tecnologie informatiche Mariano Lupo

Governare il processo della sicurezza

La Guida per l Organizzazione degli Studi professionali

SCHEDA DEL CORSO Titolo: Descrizione: competenze giuridiche e fiscali da un lato, tecniche ed organizzative dall altro.

Aree di impatto per considerazioni da parte del cliente Tratte dalle Regole per ottenere il riconoscimento IATF

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

La gestione manageriale dei progetti

SICUREZZA INFORMATICA MINACCE

Documento Programmatico sulla sicurezza

IL CASO DELL AZIENDA. Perché SAP.

Gestire il rischio di processo: una possibile leva di rilancio del modello di business

Analisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it

Premessa. Per prevenire bisogna conoscere.

CERTIFICAZIONE DI QUALITA

Metodologie per l identificazione e la qualificazione del rischio nell attività del Collegio Sindacale

L IMPLEMENTAZIONE DEL MODELLO: I PROTOCOLLI DI CONTROLLO E I FLUSSI INFORMATIVI

Diventa fondamentale che si verifichi una vera e propria rivoluzione copernicana, al fine di porre al centro il cliente e la sua piena soddisfazione.

Internet Banking per le imprese. Guida all utilizzo sicuro

Questionario di valutazione: la preparazione di un istituzione

Транскрипт:

INFORMATION SECURITY MANAGEMENT SYSTEM Gestione della sicurezza informatica in azienda Guida informativa per le PMI con il contributo della 1

Sommario Introduzione 5 Obiettivi 6 Continuità operativa del Business 7 Analisi dei rischi 9 Protezione della infrastruttura 12 Test di sicurezza 13 Bibliografia / Sitografia 15

Introduzione La sicurezza informatica è diventata nell era di Internet un tema di scottante attualità per le Aziende: le nuove tecnologie aumentano le potenzialità delle imprese ma accrescono anche la vulnerabilità. Per garantire il proprio business ed essere competitivi è necessario conoscere i rischi a cui si va incontro. La diffusione dei sistemi informativi e delle nuove tecnologie rende sempre più importante la protezione dell integrità, della disponibilità e della riservatezza dei dati, a fronte di sempre nuove e maggiori minacce provenienti sia dall esterno che dall interno dell azienda. Una rete aziendale non adeguatamente protetta può essere fonte di numerosi pericoli per le imprese: alle minacce provenienti dai cyber criminali - sempre più aggressive e sofisticate - si aggiungono i danni causati da comportamenti incauti dei dipendenti, come la navigazione su siti a rischio. La perdita di dati ed informazioni sensibili, l assenza di tutela della privacy, la mancanza di sistemi per la rilevazione di intrusioni sui computer, la compromissione dei sistemi operativi fino al blocco dell intera attività, hanno evidenziato le criticità dei sistemi di protezione e di conservazione delle banche dati aziendali: in alcuni casi si sono registrati danni di rilievo che hanno costretto le organizzazioni a onerosi sforzi per ripristinare la situazione a regime. Non passa giorno senza che, attraverso i media, ci giungano preoccupanti notizie sulle pratiche intrusive dei cosiddetti hacker nei sistemi informatici di aziende o enti governativi in ogni parte del mondo. Non è solo intrusione nel know-how aziendale, ma anche nel patrimonio informativo che clienti, utenti e altri business partner hanno affidato alle aziende. 4

Ad oggi le Aziende non hanno ancora piena coscienza del problema ed alcune ritengono superflui gli investimenti in tema di sicurezza informatica: per questo è necessario fare informazione e promuovere la cultura della sicurezza. Organizzazione e tecnologie devono formare un tutt'uno per garantire il massimo livello di protezione e qualità della gestione del patrimonio informativo aziendale. La sicurezza dei dati e dell'intero sistema informativo diventa, a tutti gli effetti, un elemento di garanzia e di fiducia nei confronti degli interlocutori, in alcuni casi anche elemento contrattuale per l'affidamento di incarichi e commesse. Le normative introdotte in Italia in materia di tutela dei dati personali rendono inoltre necessario un preciso impegno a garanzia dei dati gestiti. Poiché l'informazione è un bene che aggiunge valore all impresa, ed ormai la maggior parte delle informazioni sono custodite su supporti informatici, ogni organizzazione deve essere in grado di garantire la sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento. Il trattamento sicuro dei dati diventa quindi un elemento di maggiore competitività, parte integrante dell'offerta aziendale. La "Gestione della Sicurezza dei Sistemi Informativi", tema quanto mai attuale e stringente per le aziende di tutti i settori economici, si può realizzare con successo soltanto attraverso un costante aggiornamento delle tecnologie in combinazione con la costruzione di regole, metodi, e procedure aziendali. Criteri di gestione e processi codificati, supportati dalle tecnologie disponibili, possono far sì che comportamenti sicuri e responsabili diventino il modo normale di fare le cose. 5

Obiettivi Riservatezza le informazioni devono essere accessibili direttamente o indirettamente solo alle persone che ne hanno diritto e che sono espressamente autorizzate a conoscerle. Integrità le informazione devono essere protette da alterazioni, quali modifiche, danneggiamenti o cancellazioni improprie, anche accidentali Disponibilità - le informazioni devono essere sempre accessibili agli utilizzatori che ne hanno diritto nei tempi e nei modi previsti. La disponibilità delle informazioni va assicurata in base ad un livello di servizio concordato, cioè una garanzia quantificata e prestabilita di poter accedere alle informazioni nel momento e nel modo definito. 6

Continuità operativa del Business Un progetto globale di sicurezza deve tenere presente il core-business della propria azienda, cercare di mantenere costante l'erogazione dei propri servizi senza interruzioni mantenendo la continuità operativa del Business. Con questa espressione si intende la capacità da parte di un'azienda di continuare ad esercitare il proprio business facendo fronte a qualsiasi tipo di evento catastrofico che può accadere. Per poterlo fare è necessario pianificare la continuità operativa tramite un BCP (Business Continuity Plan) che rappresenta un processo globale che mira a salvaguardare gli interessi di tutti gli stakeholder coinvolti nell'azienda o in un progetto (stakeholder). Il BCP mira a salvaguardare l'immagine dell'azienda, ridurre i rischi e le conseguenze negative sia sul piano gestionale che sul piano amministrativo e legale. E opportuno porsi alcune domande chiave: Cosa accadrebbe alla nostra azienda se fosse colpita da un evento catastrofico? Siamo pronti ad affrontare qualsiasi tipo di evento? Per poter rispondere a queste domande è necessario tenere in considerazione molti aspetti. La pianificazione della propria business continuity viene svolta mediante quattro fasi : Plan: definire, analizzare e pianificare il problema Do: realizzare le azioni pianificate Check: verificare i risultati e confrontarli con gli obiettivi Act: mantenere o migliorare 7

Ogni azione deve essere pianificata dettagliatamente, eseguita, verificata e infine portare a intraprendere altre azioni con scopi di tipo migliorativo. Solo un tale processo consente di rimanere sempre aggiornati e garantisce un corretto approccio nei confronti della sicurezza. Le perdite dei dati in un'azienda dipendono da svariate cause imputabili a: virus errori umani malfunzionamenti software malfunzionamenti hardware disastri Fonte: http://www.ontrackdatarecovery.com 2009 Principali cause di perdita dati Il punto cruciale nella pianificazione di un piano di BC è quello della conoscenza approfondita della situazione attuale della propria azienda in modo da poter scegliere le adeguate soluzioni da adottare in futuro. Il backup dei dati risulta un passaggio fondamentale per la sicurezza del proprio business. Domande come Cosa comporta eseguire un backup dei dati? e Quando e come farlo? vanno poste prima di procedere ad una realizzazione pratica. Il backup dei dati consiste nel realizzare delle copie di sicurezza al fine di prevenire eventuali danni e perdite che potrebbero colpire il patrimonio informativo e deve essere corredato da un piano di disaster recovery. Ma se qualcosa va storto, quanto tempo ci vuole per tornare operativi? A questa domanda risponde il BCP che rappresenta un piano logistico finalizzato a documentare in quanto tempo l azienda torna operativa a fronte di un evento catastrofico. Il BPC può essere parte del processo organizzativo attraverso cui si cerca di ridurre il rischio operativo e può essere integrato nelle attività di miglioramento della sicurezza informatica e della gestione del rischio. 8

Analisi dei rischi Con il progredire della tecnologia, le reti informatiche diventano sempre più complesse, e le continue modifiche apportate generano nuovi rischi. In quest'ottica risulta di fondamentale importanza effettuare un'analisi del rischio, individuando le minacce a cui si è sottoposti, individuando le vulnerabilità del proprio sistema informativo e valutando gli impatti dal momento in cui tali minacce si concretizzano. Per compiere un analisi dei rischi è necessario partire da un'analisi dettagliata del proprio business aziendale, identificare i propri beni e analizzare i rischi. Il rischio si può definire come Ciò che ci siamo dimenticati di considerare ; uno degli obiettivi della sicurezza è quello di identificare e gestire i rischi. In qualsiasi attività che comporti guadagni e perdite c'è un fattore di rischio più o meno alto, un processo di analisi dei rischi consiste in: individuare le risorse identificare le vulnerabilità identificare le minacce definire le contromisure 9

Per questo motivo è fondamentale definire e implementare contromisure di tipo tecnico, procedurale e organizzativo che siano adeguate a ridurre il rischio, accettarlo o trasferirlo. Un buon sistema di gestione della sicurezza deve essere sviluppato secondo tre diverse macro-aree: processi, organizzazione e tecnologie. Si deve infatti ricordare che la tecnologia da sola non è sufficiente ma si deve lavorare anche sui diversi processi produttivi in cui le diverse fasi possono essere soggette a vulnerabilità e in quanto tali devono essere considerate attentamente. Inoltre è assolutamente indispensabile lavorare anche a livello di organizzazione in quanto il personale di un azienda è il bene più prezioso e deve conoscere i pericoli ai quali si va incontro e saper considerare i rischi. Ma in che modo devo trattare i rischi che incombono sugli asset aziendali? Normalmente la logica del trattamento del rischio si basa su due fattori molto importanti: frequenza dell'evento pericolosità o costo dell'evento In relazione a queste due variabili devo essere in grado di trattare il rischio nella maniera più idonea. La seguente tabella mostra come si deve trattare il rischio in relazione alle due variabili: 10

Protezione della infrastruttura La protezione della propria infrastruttura informatica deve essere progettata in modo tale da soddisfare requisiti di confidenzialità, disponibilità e integrità. La confidenzialità è la garanzia che l'accesso ai dati sia fornito solamente da chi ne ha diritto; la disponibilità è la possibilità che i dati siano disponibili agli utenti senza limiti o ritardi, l integrità invece e la garanzia che l'informazione non venga alterata, persa o danneggiata. Per garantire i suddetti punti è necessario capire quali sono i principali pericoli in una rete identificando i rischi e pianificando le adeguate contromisure. Per proteggere l infrastruttura della propria azienda si utilizzano principalmente: antivirus, firewall e proxy. Inoltre è conveniente utilizzare sistemi di monitoraggio per garantire il costante controllo della propria rete. Qualsiasi azienda in cui sono attivi dei servizi critici, ha la necessità di monitorare gli elementi di criticità per fare in modo che non si verifichino situazioni in cui l'interruzione di un servizio può portare un grosso danno economico, commerciale o d'immagine. Grazie ad un sistema di monitoraggio è molto più semplice rilevare anomalie e downtime dei servizi mediante un sistema di notifiche via email o SMS, in modo da intraprendere le opportune azioni correttive. 11

Figura 1 Stato dei servizi Figura 2 Mappa della rete 12

Test di sicurezza Il test di verifica delle procedure di sicurezza messe in atto è una fase molto importante per la gestione della sicurezza aziendale. Si parte normalmente da una fase di vulnerability assessment ed eventualmente da un penetration test ovvero una metodologia di valutazione della sicurezza di un sistema o di una rete che simula l'attacco di un utente malintenzionato. Lo scopo di un vulnerability Assessment è quello di analizzare i punti deboli della propria organizzazione e proporre dei rimedi possibili. Viene svolta con l'ausilio dei responsabili dell'area sistemi informativi e consente di analizzare approfonditamente la propria organizzazione al fine di capire a quale tipo di vulnerabilità sono soggetti i propri beni, identificandone i rischi, mediante un'attenta analisi di tutte le risorse: Valutazione della vulnerabilità dei sistemi Analisi dei fattori di rischio ai quali è sottoposta la propria infrastruttura IT Raccolta di informazioni dall'esterno della rete Analisi delle debolezze dei sistemi di sicurezza presenti Valutazione vulnerabilità applicazioni web Monitoraggio della rete alla ricerca di collegamenti sospetti Identificazione di vulnerabilità presenti nei sistemi System e Database Scan (valutazione del livello di sicurezza dei software installati, oltre che degli eventuali database) Reportistica dettagliata delle vulnerabilità riscontrate 13

Report di un Vulnerability Assessment 14

Bibliografia / Sitografia Bibliografia "hacker l'attacco" Chirillo - McGraw Hill "Risk Management" Sinibaldi - Hoepli "Hacker Linux" Hatch, Lee, Kurtz - Apogeo Sitografia http://www.cnipa.gov.it http://www.debian.org http://www.garanteprivacy.it http://www.ibm.com http://www.microsoft.com/italy/security http://www.nagios.org http://www.nessus.org http://www.notrace.it/guida-sicurezza-informatica.htm http://www.ontrackdatarecovery.com http://www.openteam.it http://www.osservatoriotecnologico.it http://www.wikipedia.org 15

Per informazioni: Area Progetti Speciali Fòrema Confindustria Padova Dott.ssa Cristina Gentile Dott. Marco Donà Tel. 049/8227566-049/8227201 Fax 049/8227129 cgentile@confindustria.pd.it mdona@confindustria.pd.it www.forema.it/isms

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back