Audit in ambito CRM: Rischi Operativi vs Compliance Linee Guida

Documenti analoghi
Audit & Sicurezza Informatica. Linee di servizio

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

Il nuovo codice in materia di protezione dei dati personali

Cos è il CRM. Andrea De Marco

COMUNICATO. Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy

DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA ANNO 2015

DIPARTIMENTO INFORMATIVO e TECNOLOGICO

Il catalogo MARKET. Mk6 Il sell out e il trade marketing: tecniche, logiche e strumenti

INDICAZIONI GENERALI

Disciplinare sulla gestione dei reclami, suggerimenti e segnalazioni dei cittadini nei confronti dell Amministrazione Comunale di Ancona

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI

PIANO PER LA SICUREZZA DEI DOCUMENTI INFORMATICI

Concessione del servizio di comunicazione elettronica certificata tra pubblica amministrazione e cittadino- PostaCertificat@

Direzione Centrale Sistemi Informativi

La normativa italiana

PIANO PER LA SICUREZZA DEI DOCUMENTI INFORMATICI

Privacy Policy di

I dati in cassaforte 1

MANUALE DELLA QUALITÀ Pag. 1 di 6

Continuità operativa e disaster recovery nella pubblica amministrazione

Nota informativa sulla Firma Grafometrica.

PRIVACY. Federica Savio M2 Informatica

LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0

Outsourcing. 1. Orienta Direct Software

Politica per la Sicurezza

DM.9 agosto 2000 LINEE GUIDA PER L ATTUAZIONE DEL SISTEMA DI GESTIONE DELLA SICUREZZA TITOLO I POLITICA DI PREVENZIONE DEGLI INCIDENTI RILEVANTI

Privacy Policy di SelfScape

Requisiti di controllo dei fornitori esterni

REALIZZAZIONE DEL SISTEMA DEI CONTROLLI INTERNI IN AGOS ITAFINCO SPA

Modalità e luogo del trattamento dei Dati raccolti Modalità di trattamento

CNIPA. "Codice privacy" Il Documento Programmatico di Sicurezza. 26 novembre Sicurezza dei dati

ELENCO DEGLI ADEMPIMENTI RICHIESTI A TITOLARI DEL TRATTAMENTO PRIVATI DALLA NORMATIVA PRIVACY.

Modello dei controlli di secondo e terzo livello

CRM - Nuova visione organizzativa per eccellere nella soddisfazione dei clienti

In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.

Andreani Tributi Srl. Titolare del Trattamento dei Dati. P.Iva Sede: Via Cluentina 33/D Macerata

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

Privacy Policy di Questa Applicazione raccoglie alcuni Dati Personali dei propri Utenti.

Informativa Privacy Privacy Policy di

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

COMUNE DI CIGLIANO REGOLAMENTO DELLA RETE CIVICA E SITO INTERNET COMUNALE

ALLEGATO 1 FIGURE PROFESSIONALI DI FILIALE

figure professionali software

UNIVERSITA DEGLI STUDI DI BRESCIA Facoltà di Ingegneria

TECNICO SUPERIORE DEI TRASPORTI E DELL INTERMODALITÀ

PROFILO FORMATIVO Profilo professionale e percorso formativo

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Gestione della Sicurezza Informatica

COMUNE DI CASAVATORE. Provincia di Napoli REGOLAMENTO DEL PORTALE INTERNET COMUNALE

Registro Pubblico delle Opposizioni. Dedicato agli Abbonati

I dati : patrimonio aziendale da proteggere

L amministratore di sistema. di Michele Iaselli

TIPOLOGIE DI DATI RACCOLTI

Il CRM per la Gestione del Servizio Clienti

CHI SIAMO. Viale Assunta Cernusco s/n Milano

Allegato B) PROCEDURA PER LA GESTIONE AZIENDALE DEI CASI DI EVENTI SENTINELLA 1. PREMESSA E INDICAZIONI GENERALI

Configuration Management

Modalità e luogo del trattamento dei Dati raccolti Modalità di trattamento

SOGEI E L AGENZIA DEL TERRITORIO

La Giunta Comunale. Visto il D.P.R n. 223 Regolamento Anagrafico e sue modifiche;

COMUNE DI RENATE Provincia di Monza e Brianza

Sistema di Gestione per la Qualità

Concorso Premiamo i risultati DOCUMENTO DI PARTECIPAZIONE

Gestione in qualità degli strumenti di misura

La digitalizzazione della Pubblica Amministrazione ed il dato territorlale

COMPLIANCE E ORGANIZZAZIONE (con norme ISO di riferimento) Cesare Gallotti Pescara, 19 giugno 2009

Le Raccomandazioni ministeriali per la prevenzione dei rischi in chirurgia: linee di indirizzo regionali di implementazione a livello aziendale

14 giugno 2013 COMPETENZE E QUALIFICHE DELL INSTALLATORE DI SISTEMI DI SICUREZZA. Ing. Antonio Avolio Consigliere AIPS All right reserved

Caratteristiche Software Gestionale

Protocollo Informatico (D.p.r. 445/2000)

AMMINISTRARE I PROCESSI

CARTA DEI SERVIZI. Premessa:

LA FORMAZIONE COME STRUMENTO ELETTIVO PER LA DIFFUSIONE DELLA CULTURA DELLA SICUREZZA, DELLA DIFFUSIONE DELLE CONOSCENZE

Sicurezza dei Sistemi Informativi

POLIZZA MULTIRISCHIO PER LE AZIENDE AGRICOLE. DISPOSIZIONI GENERALI Mod. AGRI 01 T

Provincia Autonoma di Bolzano Disciplinare organizzativo per l utilizzo dei servizi informatici, in particolare di internet e della posta

PROFILO FORMATIVO Profilo professionale e percorso formativo

Modulo Piattaforma Concorsi Interattivi

Gestione dei documenti e delle registrazioni Rev. 00 del

ESSERE O APPARIRE. Le assicurazioni nell immaginario giovanile

INFORMATIVA PRIVACY. Informativa ai sensi del Codice in materia di protezione dei dati personali D.Lgs. n. 196/2003

I DETTAGLI DELLA CONVENZIONE

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

REGOLAMENTO PER L'UTILIZZO DEGLI IMPIANTI DI VIDEO SORVEGLIANZA NELLE STRUTTURE DELL A.S.L. DI NUORO PREMESSA

CARTA INTESTATA PREMESSA

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Comprendere il Cloud Computing. Maggio, 2013

COMUNE DI MOGORO Provincia di Oristano

Verbale di accordo. tra. premesso che:

Esternalizzazione della Funzione Compliance

Vulnerability Assessment relativo al sistema Telecom Italia di autenticazione e autorizzazione basato sul protocollo Radius

Sicurezza informatica in azienda: solo un problema di costi?

CRM / WEB CRM CUSTOMER RELATIONSHIP MANAGEMENT

COMUNE DI MARIGLIANO Provincia di Napoli REGOLAMENTO PER L INSTALLAZIONE E LA GESTIONE DEGLI IMPIANTI DI VIDEOSORVEGLIANZA

Business Process Management

BANCHE DATI NATURALISTICHE REGIONE PIEMONTE (BDNRP) Deontologia e norme per l utilizzo e l accesso ai dati

visto il trattato sul funzionamento dell Unione europea,

La Business Intelligence per la Governance Commerciale

REGOLAMENTO PER UTILIZZO DELLA RETE INTERNET TRAMITE TECNOLOGIA WI FI NELLA BIBLIOTECA COMUNALE GIUSEPPE ABBIATI

CRM / WEB CRM CUSTOMER RELATIONSHIP MANAGEMENT

Transcript:

Audit in ambito CRM: Rischi Operativi vs Compliance Linee Guida Roberto Apollonio roberto.apollonio@h3g.it Internal Audit Dept 3 Italia Milano, 12 Novembre 2008 1

3 Italia: Azionisti e Risultati 3 Italia ha come principale azionista il Gruppo Hutchison Whampoa (HWL), una delle più importanti Società quotate alla Borsa di Hong Kong (5 core business, oltre 220.000 dipendenti in 57 Paesi con un fatturato di 40 mld $ nel 2007, e 19 milioni di clienti UMTS nel mondo), oltre ad alcuni investitori Italiani: 97.2 % HWL 2.6 % NHS Investments 0.2 % GEMINA 8,45 milioni di clienti UMTS (20 Agosto 2008) 850.000 clienti DVB-H (TV Digitale Mobile) a Giugno 2008 Fatturato 2007: 2,1 miliardi di euro All avanguardia nello sviluppo delle tecnologie mobili 3G grazie al lancio dell HSDPA e HSUPA page 2 2

Scenario: normativa vs business Protezione dei dati Gestione credenziali di accesso Tracciamento delle operazioni Monitoring e Reporting Messa in sicurezza di sistemi e applicazioni Continuità del servizio Major Issues page 3 3

Scenario: normativa vs business Protezione dei dati Gestione credenziali di accesso Tracciamento delle operazioni Monitoring e Reporting Messa in sicurezza di sistemi e applicazioni Continuità del servizio Major Issues page 4 4

Scenario: Normativa vs Business Customer Relationship Management L'errore più comune in cui ci si imbatte quando si parla di Customer Relationship Management (CRM) è quello di equiparare tale concetto a quello di un software. Il CRM non è una semplice questione di marketing né di sistemi informatici, bensì si avvale, in maniera sempre più massiccia, di strumenti informatici o comunque automatizzati, per implementare la gestione del cliente. Il CRM è un concetto strettamente legato alla strategia, alla comunicazione, all'integrazione tra i processi aziendali, alle persone ed alla cultura, che pone il cliente al centro dell'attenzione sia nel caso del business-to-business sia in quello del business-toconsumer. Le applicazioni CRM servono a tenersi in contatto con la clientela, a inserire le loro informazioni nel database e a fornire loro modalità per interagire in modo che tali interazioni possano essere registrate e analizzate. page 5 5

Scenario: Normativa vs Business Call Center Per Call Center o servizi chiamate s'intende l'insieme dei dispositivi, dei sistemi informatici e delle risorse umane atti a gestire, in modo ottimizzato, le chiamate telefoniche da e verso un'azienda o, verosimilmente, da e verso la propria clientela. L'attività di un Call Center può essere svolta da operatori specializzati e/o risponditori automatici interattivi IVR al fine di offrire informazioni, attivare servizi, fornire assistenza, offrire servizi di prenotazione, consentire acquisti e organizzare campagne promozionali. Contact Center Il Contact Center rappresenta il canale di comunicazione diretto tra azienda e mondo esterno e uno strumento privilegiato di gestione del cliente assumendo una rilevanza strategica nel contribuire a determinare il livello di customer satisfaction e fidelizzazione impattando sull andamento del business. Per essere efficace il Contact Center deve garantire facilità di accesso, servizi personalizzati, tempi di risposta rapidi e qualità delle informazioni. page 6 6

Scenario: Normativa vs Business Aree di gestione/trattamento dei dati del cliente Gestione dati del cliente su sistemi e database aziendali: Dati anagrafici Portafoglio prodotti e servizi Coordinate bancarie Eventuale gestione in-house di numeri di carta di credito Traffico telefonico Traffico telematico Supporto implementazione politiche commerciali effettuate sulla base di monitoraggio ed analisi su scelte e comportamenti di acquisto, utilizzo di prodotti e servizi per valorizzare e fidelizzare la clientela. Ricerche di mercato basate su analisi ed elaborazione statistica dei dati, acquisiti anche attraverso interviste e questionari, finalizzata alla commercializzazione di prodotti e servizi. Il cliente quale driver del business page 7 7

Scenario: Normativa vs Business Principali Rischi per il Business Le dinamiche di rapido sviluppo del business si traducono, il più delle volte, in assenza di adeguati livelli di controllo che possano assicurare la corretta conduzione dello stesso business. Non è raro imbattersi in situazioni a rischio quali ad esempio: Accesso non autorizzato ad applicazioni e dati riservati Utilizzo improprio dei dati del cliente, ad esempio: Dati di carta di credito Tabulati di traffico telefonico e/o telematico Frodi interne Impossibilità di tracciare le attività Mancata applicazione di misure tecniche ed organizzative richieste per assicurare la compliance alla normativa di legge vigente il rischio è il mio mestiere page 8 8

Scenario: Normativa vs Business Quadro normativo di riferimento comunitario Direttiva 2002/58/CE del 12 luglio 2002 relativa alla vita privata e alle comunicazioni elettroniche Direttiva 2002/65/CE relativa alla commercializzazione a distanza di servizi finanziari ai consumatori Direttiva 2000/31/46/CE del 2 giugno 2000 relativa al commercio elettronico Direttiva 97/7/CE del 20 maggio 1997 relativa alla protezione dei consumatori in materia di contratti a distanza Direttiva 95/46/CE del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati Quadro normativo di riferimento nazionale Il Codice in materia di protezione dei dati personali (D. Lgs. N. 196/2003) o Articoli da 1 a 45, 61, da 121 a 133, da 140 a 186; o Disciplinare tecnico in materia di misure minime di sicurezza (Allegato B) page 9 9

Scenario: normativa vs business Protezione dei dati Gestione credenziali di accesso Tracciamento delle operazioni Monitoring e Reporting Messa in sicurezza di sistemi e applicazioni Continuità del servizio Major Issues page 10 10

Protezione dei dati Raccolta di dati personali dei clienti Dati anagrafici Recapiti telefonici e telematici Informazioni su: le attività svolte dal cliente Il nucleo familiare Gusti e preferenze Raccolta dati presso terzi Liste elettorali Elenchi telefonici Albi professionali Registri ed elenchi pubblici Elenchi di categoria Liste ed elenchi forniti da privati page 11 11

Protezione dei dati Regole generali per la configurazione dei sistemi e programmi informatici (Privacy Compliance) Principi del Codice secondo i quali le società titolari dei trattamenti dei dati sono tenute a: Attenersi ai principi e ai limiti stabiliti da Codice in materia di protezione dei dati personali. Ridurre al minimo indispensabile le informazioni raccolte, le modalità e le operazioni eseguibili, l ambito di circolazione dei dati e dei tempi di loro conservazione Ridurre al minimo l utilizzo di dati informativi dei clienti Assicurare il trattamento dei dati personali pertinenti alle sole finalità perseguite Utilizzare tecniche di cifratura per la conservazione dei dati Assicurare la tracciabilità delle operazioni condotte sui dati Privacy vs Business page 12 12

Protezione dei dati Regole generali per la configurazione dei sistemi e programmi informatici (Business Oriented) Il cliente è l elemento cardine del business di un azienda e come tale va protetto intervenendo e rafforzando la sicurezza nelle aree aziendali che gestiscono e utilizzano i dati del cliente: Analisi di mercato Dati del cliente business oriented Banche dati di diversa natura riconducibili direttamente o indirettamente al cliente Leve di fidelizzazione del cliente Business page 13 13

Protezione dei dati Obiettivi e controlli Objects Modalità di trattamento delle diverse tipologie di dati Utilizzo dati clienti secondo normativa in materia Esistenza di tecniche di cifratura e/o anonimizzazione Modalità e tempi di conservazione dei dati Tecniche utilizzate per la cancellazione dei dati Check List Classificazione del dato Misure a protezione dei dati in aderenza alla loro classificazione (i.e. cifratura, profilazione utente, protezione dei sistemi e della rete) Modalità di archiviazione dei dati, ripristino e conservazione (backup, restore, retention) Procedure operative per la distruzione dei dati Tracciamento degli accessi ai dati Reporting page 14 14

Scenario: normativa vs business Protezione dei dati Gestione credenziali di accesso Tracciamento delle operazioni Monitoring e Reporting Messa in sicurezza di sistemi e applicazioni Continuità del servizio Major Issues page 15 15

Credenziali di accesso Quanto definito dal CODICE Art. 4.Definizioni 3. Ai fini del presente codice si intende, altresì, per: c) "autenticazione informatica", l'insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identità; d) "credenziali di autenticazione", i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l'autenticazione informatica; e) "parola chiave", componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica; f) "profilo di autorizzazione", l'insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti; g) "sistema di autorizzazione", l'insieme degli strumenti e delle procedure che abilitano l'accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente. page 16 16

Credenziali di accesso Quanto richiesto dal CODICE Art. 34. Trattamenti con strumenti elettronici Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; Quanto richiesto per il Business Il trattamento di dati aziendali sia consentito secondo il criterio del need-toknow, in aderenza alle modalità previste dalla procedura di classificazione dei dati assicurando le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione. page 17 17

Credenziali di accesso Obiettivi e controlli Objects Check List Processo formale per la gestione delle credenziali di accesso Accesso controllato ai sistemi/applicazioni/dati Review periodica delle credenziali di accesso, dei profili utente del sistema delle autorizzazioni Ove necessario, utilizzo di strumenti di strong authentication Monitoring e reportistica Procedura gestione user accounts e profili utenze Regole gestione password di accesso Piani di formazione Evidenze di tentativi di violazione all accesso Strumenti di monitoring, produzione e condivisione di reportistica Modalità di utilizzo e gestione di dispositivi di strong authentication page 18 18

Scenario: normativa vs business Protezione dei dati Gestione credenziali di accesso Tracciamento delle operazioni Monitoring e Reporting Messa in sicurezza di sistemi e applicazioni Continuità del servizio Major Issues page 19 19

Tracciamento delle operazioni Perché La necessità del tracciamento delle operazioni condotte su sistemi, applicazioni e dati, ove necessaria per il business e per la normativa, è fondamentale per le seguenti ragioni: 1. Ricostruire a posteriori la sequenza delle azioni condotte; 2. Conservare traccia di chi ha condotto le attività; 3. Porre in relazione azioni condotte su unità differenti; 4. Rilevare eventuali tentativi di accesso non autorizzati; 5. Rilevare accessi anomali se pur per account autorizzati; 6. Reportizzare accessi e utilizzo delle risorse; 7. Individuare situazioni di reale o potenziale frode; 8. 9. Business & Privacy page 20 20

Tracciamento delle operazioni Quanto richiesto dal CODICE dovrà essere tenuta preventivamente traccia in un apposito "registro degli accessi" dell'evento, nonché delle motivazioni che lo hanno determinato, con una successiva descrizione sintetica delle operazioni svolte, anche mediante l'utilizzo di sistemi elettronici; tale registro deve essere custodito dal fornitore presso le sedi di elaborazione e messo a disposizione del Garante nel caso di ispezioni o controlli, unitamente a un elenco nominativo dei soggetti abilitati all'accesso ai diversi sistemi di elaborazione con funzioni di amministratore di sistema, che deve essere formato e aggiornato costantemente dal fornitore Quanto richiesto per il Business Dati company confidential, business related e altre tipologie di dati riservati impongono l adozione di tecniche di tracciamento degli accessi e delle attività condotte sui sistemi, applicazioni e dati alla stessa stregua di quanto previsto da normative sul trattamento di dati riservati e/o sensibili. page 21 21

Tracciamento delle operazioni Obiettivi e controlli Objects Accessi e modifiche a dati di business e privacy oriented siano tracciati adeguatamente Archiviazione secondo quanto previsto da normativa e necessità di business Integrità e confidenzialità dei log Check List Successful e unsuccessful logons Traccia (log) delle attività rilevanti condotte su sistemi, applicazioni e dati e loro archiviazione Modifiche dei profili di accesso per utenze e loro autorizzazioni Gestione di black-list per utenze, postazioni, subnet Gestione di tentativi ripetuti di accesso page 22 22

Scenario: normativa vs business Protezione dei dati Gestione credenziali di accesso Tracciamento delle operazioni Monitoring e Reporting Messa in sicurezza di sistemi e applicazioni Continuità del servizio Major Issues page 23 23

Monitoring e Reporting Monitoring Una generica definizione del processo di monitoring recita:.. to be aware of the state of a system.. Essere dunque a conoscenza dello stato dei sistemi, delle applicazioni e dei dati: monitorare, quanto rilevante, al fine di rilevare eventuali situazioni a rischio (i.e., performance dei sistemi, service continuity, accesso alle risorse) Reporting Il Reporting è il processo di accesso, formattazione e distribuzione dei dati all interno e all esterno dell organizzazione attraverso il quale vengono indirizzate sia le informazioni storiche e prospettiche necessarie ad orientare giornalmente il processo decisionale sia le evidenze di eventuali situazioni a rischio e/o attività anomale. Business & Privacy page 24 24

Monitoring e Reporting Quanto richiesto dal CODICE Sistema di autorizzazione I profili di autorizzazione, sono individuati e configurati in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento Altre misure di sicurezza I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici. dovrà essere tenuta preventivamente traccia in un apposito "registro degli accessi" dell'evento, nonché delle motivazioni che lo hanno determinato, con una successiva descrizione sintetica delle operazioni svolte, anche mediante l'utilizzo di sistemi elettronici; Quanto richiesto per il Business Monitoring e reporting costituiscono nel loro insieme uno strumento di controllo sulla corretta conduzione delle attività svolte nell ambito dell area in esame. Le banche dati dei clienti gestite dalla società contengono, oltre ai dati riservati/sensibili secondo legge, anche dati business confidential o in alcuni casi coordinate finanziare degli stessi clienti che devono essere protette. page 25 25

Monitoring e Reporting Obiettivi e controlli Objects Processo di monitoring e reporting finalizzato al rispetto di normative di legge e obiettivi di controllo interno Rilevazione di control exceptions, successiva loro analisi, identificazione e rimozione delle root causes. Servizi in outsourcing: verifica sullo stato dei controlli interni e compliance alle normative di legge Check List Procedure/Processi/tools di monitoring & reporting (i.e. accesso, modifica, archiviazione, cancellazione, distruzione) Processo di gestione delle exceptions con particolare focus sulle azioni d follow-up (i.e. tentativi di accesso falliti, mancato tracciamento delle operazioni, gestione backup non conforme alle normative di legge) Verifica corretta applicazione delle normative di legge Condivisione di report con il management page 26 26

Scenario: normativa vs business Protezione dei dati Gestione credenziali di accesso Tracciamento delle operazioni Monitoring e Reporting Messa in sicurezza di sistemi e applicazioni Continuità del servizio Major Issues page 27 27

Messa in sicurezza Hardening Un computer, sistema operativo più hardware, assolutamente sicuro non esiste. Non solo, la definizione stessa di sicurezza è relativa a cosa si vuole proteggere. In pratica più un sistema è sicuro, più è difficile il suo utilizzo poiché le procedure di sicurezza si scontrano spesso frontalmente con la fruibilità. Questo implica anche che la sicurezza costa e riduce la produttività. D altra parte, la sicurezza riduce i rischi. La morale di tutto ciò è che invece di partire da un sistema molto sicuro per renderlo anche utilizzabile, la prassi è di partire da un sistema facilmente utilizzabile e cercare di renderlo più sicuro. Questo processo è spesso indicato con il nome di Hardening del Sistema Operativo. Bisogna sottolineare che mettere in sicurezza qualche cosa che non è stato progettato con criteri di sicurezza è sempre un compito molto arduo e che la possibilità di fare degli errori nella fase di Hardening è molto grande. Quello che si può ottenere è un sistema ragionevolmente sicuro, in cui la maggior parte dei possibili punti di intrusione sono bloccati e vi sono ragionevoli meccanismi di verifica, controllo (inclusi identificazione, autorizzazione ed accounting), alerting, recovering e backup. Business & Privacy page 28 28

Messa in sicurezza Quanto richiesto dal CODICE Sistema di autorizzazione I profili di autorizzazione, sono individuati e configurati in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento Altre misure di sicurezza I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici. Quanto richiesto per il Business Applicare ai sistemi tecniche di hardening limitando il numero di servizi in ascolto, il numero di applicazioni installate e il modo in cui le applicazioni gestiscono dati in ingresso. Ridurre la superficie d attacco al sistema. Considerare le tecniche di hardening come un approccio sistematico da usare con qualunque server o applicazione business related. page 29 29

Messa in sicurezza Obiettivi e controlli Objects Check List Processo/procedure di hardening e loro applicazione Hardening quale step nello sviluppo delle applicazioni, dei sistemi e servizi Hardening delle infrastrutture di rete Aggiornamento dei S.O. e delle applicazioni Standard di hardening e compliance alla normativa Procedure/std di hardening Processo sviluppo delle applicazioni, dei sistemi e servizi Verifica messa in sicurezza di: sistemi, applicazioni, infrastrutture di rete, postazioni di lavoro Processo di aggiornamento dei S.O. e SW Reporting page 30 30

Scenario: normativa vs business Protezione dei dati Gestione credenziali di accesso Tracciamento delle operazioni Monitoring e Reporting Messa in sicurezza di sistemi e applicazioni Continuità del servizio Major Issues page 31 31

Continuità del servizio Continuità del servizio (Business Continuity) Per business continuity si intende la capacità dell'azienda di continuare ad esercitare il proprio business a fronte di eventi catastrofici che possono colpirla. La pianificazione della continuità operativa e di servizio si chiama business continuity plan, e viene comunemente considerata come un processo globale che identifica i pericoli potenziali che minacciano l'organizzazione, e fornisce una struttura che consente di aumentare la resilienza e la capacità di risposta in maniera da salvaguardare gli interessi degli stakeholders, le attività produttive, l'immagine, riducendo i rischi e le conseguenze sul piano gestionale, amministrativo, legale. Il documento di business continuity ha un'impronta prettamente economica e consente, in caso di disastro, di stimare economicamente i danni e di pianificare la ripresa delle attività aziendali. Il Disaster Recovery Plan, che è mirato ai servizi informatici, è quindi un sottoinsieme del business continuity plan. Il Piano di continuità del business (BCP) contiene informazioni riguardo le azioni da intraprendere in caso di incidente, chi è coinvolto nell attività e come deve essere contattato. Business & Privacy page 32 32

Continuità del servizio Quanto richiesto dal CODICE Art. 31. Obblighi di sicurezza I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Art. 34. Trattamenti con strumenti elettronici Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; Quanto richiesto per il Business Il cliente è il 1 driver del business: la continuità del servizio e la pronta disponibilità del dato sono cardini fondamentali dello stesso business. page 33 33

Continuità del servizio Obiettivi e controlli Objects Business Continuity Analysis Piano operativo per il ripristino del servizio Utilizzo di tool di sviluppo e manutenzione dei piani Coinvolgimento delle figure chiave Processo Business Continuity Management Check List Analisi, studi o altro attinente al tema BC Presenza di piani di Disaster Recovery Verifica di procedure di gestione crisi e piani operativi di ripristino del servizio Verifica della conoscenza delle procedure di ripristino da parte delle figure chiave dell organizzazione Business Continuity quale elemento/step di un processo di Business Continuity Management page 34 34

Scenario: normativa vs business Protezione dei dati Gestione credenziali di accesso Tracciamento delle operazioni Monitoring e Reporting Messa in sicurezza di sistemi e applicazioni Continuità del servizio Major Issues page 35 35

Major Issues Major issues rilevate durante CRM audits Gestione user accounts e profili utente non conformi agli standard aziendali: condivisione user accounts, aggiornamento liste user accounts e profili utente Tracciamento delle attività: monitoring e reportistica non in linea con le richieste normative e di sicurezza std Hardening delle postazioni di lavoro Gestione archivi dati: backup, retention, cancellazione Interruzione del servizio a seguito di eventi dannosi Transazioni non tracciate e non autorizzate in maniera adeguata page 36 36

Il messaggio finale Il dilemma quotidiano Business vs Compliance Il desiderata del domani Business & Compliance page 37 37

Grazie per l attenzionel page 38 38

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back