Sicurezza informatica Strumento basilare per la business continuity
CLUSIT- Associazione Italiana per la Sicurezza Informatica Associazione "no profit" con sede presso l'università degli studi di Milano,Dipartimento di Informatica e Comunicazione Claudio Telmon - CLUSIT 2
OBIETTIVI Diffondere la cultura della sicurezza informatica presso le Aziende, la Pubblica Amministrazione e i cittadini. Partecipare alla elaborazione di leggi, norme e regolamenti che coinvolgono la sicurezza informatica, sia a livello nazionale che europeo. Contribuire alla definizione di percorsi di formazione per la preparazione e la certificazione delle diverse figure professionali operanti nel settore della sicurezza. Promuovere l'uso di metodologie e tecnologie che consentano di migliorare il livello di sicurezza delle varie realtà. Claudio Telmon - CLUSIT 3
IL RUOLO ISTITUZIONALE In ambito nazionale, il CLUSIT opera in collaborazione con: Ministero delle Comunicazioni Ministero degli Interni Ministero dell Istruzione dell Università e della Ricerca Dipartimento per l Innovazione e le Tecnologie Polizia Postale e delle Comunicazioni Autorità Garante per la tutela dei dati personali Autorità per le Garanzie nelle Comunicazioni Federcomin (Confindustria) Università e Centri di Ricerca Associazioni Professionali e Associazioni dei Consumatori. Claudio Telmon - CLUSIT 4
I Soci del CLUSIT Rappresentano l intero Sistema Paese : RICERCA INDUSTRIA COMMERCIO e DISTRIBUZIONE BANCHE, FINANZA e ASSICURAZIONI PUBBLICA AMMINISTRAZIONE SANITÀ CONSULENZA, AUDIT SERVIZI TELECOMUNICAZIONI INFORMATICA Claudio Telmon - CLUSIT 5
CLUSIT fa parte di un Network europeo CLUSIT CLUSIS CLUSIF CLUSIB CLUSSIL Italia Svizzera Francia Belgio Lussemburgo In collaborazione con le altre associazioni europee Il CLUSIT partecipa a progetti dell Unione Europea, consentendo ad aziende italiane di accedere ai finanziamenti europei. Claudio Telmon - CLUSIT 6
Le priorità del CLUSIT per 2005 e 2006 Attività convegnistica: oltre 50 all anno Produzione di documenti tecnico scientifici. I Quaderni CLUSIT, riservati ai soci. Formazione specialistica: i Seminari CLUSIT (con cadenza mensile a Roma e Milano), gratuiti per i soci e i corsi CISSP (3 sessioni all anno). Certificazione (riconoscimento delle competenze) degli addetti alla sicurezza informatica. Realizzazione di Ricerche e Studi di Mercato Attività in comune con altre Associazioni (oltre 60) Claudio Telmon - CLUSIT 7
Per ulteriori informazioni, per aderire al CLUSIT e partecipare alle sue attività: www.clusit.it e-mail: info@clusit.it Claudio Telmon - CLUSIT 8
Sommario Qualche definizione Differenze e analogie fra Business Continuity e Sicurezza ICT Come la sicurezza ICT aiuta la BC La gestione ordinaria del sistema e il suo ruolo sia per la BC che per la sicurezza Claudio Telmon - CLUSIT 9
Definizioni BUSINESS CONTINUITY PLANNING (BCP): Process of developing advance arrangements and procedures that enable an organization to respond to an event in such a manner that critical business functions continue with planned levels of interruption or essential change. CONTINGENCY PLANNING: Process of developing advance arrangements and procedures that enable an organization to respond to an event that could occur by chance or unforeseen circumstances. Fonte: Disaster Recovery Journal Claudio Telmon - CLUSIT 10
Definizioni (2) DISASTER RECOVERY PLANNING: The technological aspect of business continuity planning. The advance planning and preparations that are necessary to minimize loss and ensure continuity of the critical business functions of an organization in the event of disaster. Claudio Telmon - CLUSIT 11
Solo catastrofi? Parlando di BC si pensa ad eventi catastrofici: terremoti, alluvioni, attentati Per un azienda, piccoli eventi possono avere lo stesso effetto: Guasti all alimentazione elettrica Allagamenti Pericolosità di un edificio Se l evento è ampio gli effetti sul contesto aggravano ovviamente la situazione Claudio Telmon - CLUSIT 12
Il Sistema informatico Il sistema informatico è un supporto fondamentale per molti processi di business La disponibilità del sistema informatico è spesso critica in un piano di business continuity Claudio Telmon - CLUSIT 13
Sicurezza informatica Mira a garantire l integrità, la riservatezza e la disponibilità delle risorse informatiche Information Security is the protection of information from a wide range of threats in order to ensure business continuity, minimize business risk, and maximize return on investments and business opportunities Fonte: ISO-17799:2005 (sarà ISO-27002) Claudio Telmon - CLUSIT 14
Sistema informatico e BC: dalla piccola impresa Rottura del disco del PC o corruzione dei dati da parte di virus con perdita dell achivio clienti/fornitori, magazzino Emissione fatture Gestione delle prenotazioni Claudio Telmon - CLUSIT 15
alla grande azienda Blocco del datacenter ( ad es. di un gruppo bancario) Perdita della connettività con filiali e sedi distaccate Interruzione del servizio di help desk E adesso anche la telefonia su IP Claudio Telmon - CLUSIT 16
Il ruolo del sistema informatico È un punto di grande vulnerabilità: quando si ferma il sistema informatico, molti processi critici generalmente ne risentono È uno strumento importante per facilitare il trasferimento dei processi aziendali in sedi d emergenza Attività preventiva Claudio Telmon - CLUSIT 17
Il ruolo della sicurezza informatica Prevenire interruzioni dei processi di business legate a indisponibilità del sistema informatico o delle informazioni Proteggere le informazioni e i processi di business nelle situazioni di crisi Proteggere le attività preventive di trasferimento delle informazioni Claudio Telmon - CLUSIT 18
Prevenire le interruzioni dei processi di business Data l attuale dipendenza dal sistema informativo, si tratta di un compito oneroso evitare che la rete e i sistemi vengano bloccati da un virus evitare che un malintenzionato cancelli informazioni critiche Si tratta di un sottoinsieme dei compiti abituali della sicurezza (che comprendono l evitare ad esempio il furto di informazioni riservate) Claudio Telmon - CLUSIT 19
Quali sono i processi critici? È un informazione necessaria sia per la sicurezza che per la definizione di un BC Plan Sicurezza e gestione della BC possono cooperare nel raccogliere informazioni critiche sui processi aziendali e sulle loro interdipendenze Spesso sono informazioni difficili da raccogliere; tuttavia, sono relativamente facili da quantificare economicamente (6 ore di fermo costano ) Molto più facile della valutazione del rischio Claudio Telmon - CLUSIT 20
Sicurezza durante la crisi La gestione della crisi prevede probabilmente procedure semplificate, controlli ridotti, ambienti non sorvegliati (porte antincendio aperte e ambienti non presidiati) Le procedure di sicurezza devono garantire gli aspetti essenziali di sicurezza senza intralciare le operazioni di emergenza Es. procedure semplificate per la concessione di autorizzazioni ma verifica a posteriori Claudio Telmon - CLUSIT 21
Il cardine del rapporto fra BC e sicurezza: la disponibilità La protezione della rete richiede attenzione a integrità e riservatezza Per la BC, il punto principale è garantire la disponibilità: Backup Copie remote in siti alternativi (eventualmente in real-time) Robustezza dell infrastruttura in caso di catastrofi Connessioni multipath Claudio Telmon - CLUSIT 22
Dove finisce la gestione ordinaria e inizia la sicurezza? La gestione dei backup è una procedura di sicurezza per evitare la perdita dei dati (e i dati contenuti nei backup sono critici) l utilizzo di strumenti RAID? La gestione e il monitoraggio della rete (es. dell utilizzo e della banda disponibile)? La disponibilità di banda è un requisito per il trasferimento dei dati in un sito remoto Ma la gestione della banda è anche un attività ordinaria per evitare guasti Claudio Telmon - CLUSIT 23
Gestione ordinaria, sicurezza e business continuity: sinergie Richiedono, seppure a livelli diversi: Di capire i processi di business per soddisfarne le esigenze; Di mantenere la disponibilità delle risorse critiche Di monitorare il sistema per riconoscere le anomalie ed eliminarle Più sono le attività che rientrano nella gestione ordinaria: Meglio si sfruttano le risorse investite Più facilmente vengono accettate Meglio si conoscono e si gestiscono durante incidenti ed emergenze In effetti, la disponibilità è un aspetto della sicurezza che può portare risparmi, anziché costi Claudio Telmon - CLUSIT 24