La gestione della sicurezza nei rapporti con i fornitori esterni Ing. Gianfranco Pontevolpe Centro Nazionale per l Informatica nella Pubblica Amministrazione Processo e prodotto Processo: successione delle operazioni da compiere per ottenere un determinato risultato Prodotto: risultato di un processo Processo Prodotto Spesso un processo è formato da più processi parziali, e così in cascata
Normalità, eccezionalità e sicurezza L efficacia, la qualità, l efficienza fanno sempre riferimento a casi normali di funzionamento, dove il prodotto finale è simile a quello atteso La sicurezza invece si riferisce a casi eccezionali nei quali il risultato del processo è diverso da quello atteso Le procedure di sicurezza si affiancano a quelle normali e hanno lo scopo di garantire, se applicate, un risultato quasi equivalente Sicurezza La sicurezza non è un prodotto ma un processo i cui scopi sono: evidenziare i possibili casi di deragliamento del processo produttivo fondamentale, nei quali cioè esso esce dai binari normali prevedere soluzioni alternative
Processo sicuro Un processo si dice sicuro se sono stati individuati tutti i casi di possibile deragliamento e se per ciascuno di questi casi sono state previste delle soluzioni L esperienza insegna che: non esistono processi sicuri Punti deboli: si verifica un caso non previsto: non si conosce la soluzione si verifica un caso previsto ma la soluzione si dimostra inefficace Sicurezza informatica Quando il processo fondamentale è informatico. Definizione: Insieme di procedure con le quali si punta a individuare e a contrastare gli eventi che possono condurre un processo informatico verso risultati ben diversi da quelli per il quale il processo è stato progettato. Importanza preminente della materia vista la pervasività dell informatica.
La protezione delle informazioni Riservatezza l informazione può essere conosciuta solo da chi ne ha titolo Integrità assenza di alterazione dei dati che costituiscono l informazione Disponibilità l informazione è sempre fruibile da chi ha diritto di conoscerla Dal generale al particolare Sicurezza Sicurezza Informatica Protezione delle informazioni Tutela dei dati personali
Schema di riferimento Casi anomali non previsti Casi anomali previsti Processo normale Gestione dell ordinario Gestione dello straordinario Gestione dell ignoto Limiti della sicurezza Casi anomali non previsti Casi anomali previsti Processo normale Zona blu: occorre decidere come affrontare i problemi Zona rossa: occorre decidere come rimediare ad eventuali danni
Considerazioni sulla sicurezza La zona arancio e la zona blu sono finite mentre la zona rossa è infinita non esiste la sicurezza assoluta non si parla di gestione della sicurezza ma di gestione del rischio La differenza tra la gestione dell ordinario e la gestione dello straordinario è convenzionale e dipende dalle specifiche relative al prodotto finale Prodotto fidato Un prodotto si dice fidato se è stato prodotto con un processo sicuro NOTA BENE: la presenza di funzioni di sicurezza non implica la sicurezza del prodotto
Effetto della cultura della sicurezza Secondo i paesi anglosassoni il problema della sicurezza è solo di tipo culturale La conoscenza dei rischi comporta il rifiuto di prodotti che non diano sufficienti garanzie di sicurezza Di conseguenza il mercato tenderà ad offrire beni e servizi sicuri Il ciclo di vita dei processi Pianificazione modellizzazione analisi costi/benefici simulazioni del progetto sperimentazioni e progetti pilota Realizzazione Esercizio Verifica Azioni di miglioramento
Il ciclo di vita della sicurezza Pianificazione stesura del piano della sicurezza modellizzazione analisi costi/benefici analisi dei rischi simulazioni del progetto sperimentazioni e progetti pilota Realizzazione predisposizione delle contromisure esercizio gestione degli incidenti verifica auditing azioni di miglioramento Attività che possono essere demandate a soggetti esterni Pianificazione stesura del piano della sicurezza modellizzazione analisi costi/benefici analisi dei rischi simulazioni del progetto sperimentazioni e progetti pilota Realizzazione predisposizione delle contromisure esercizio gestione degli incidenti verifica auditing azioni di miglioramento
La gestione della della sicurezza Contrasto e recupero Misure preventive Processo normale Zona trattegiata: casi anomali per i quali è stata prevista una contromisura o una modalità di recupero delle informazioni La logica di trattamento dei problemi di sicurezza (rischi) Probabilità o frequenza dell evento Mitigare il rischio Accettare i rischi Evitare il rischio Condividere o trasferire il rischio Severità o costo dell evento
La scelta delle contromisure Strategia della direzione (politiche di sicurezza) Fattori interni ed esterni che condizionano la sicurezza (vincoli contrattuali, norme) Analisi dei costi/benefici oppure Regole di buona gestione (best practices) Le specifiche nei contratti Casi anomali non previsti Casi anomali previsti Processo normale Specifiche funzionali Specifiche di qualità Specifiche di sicurezza
Tipologie di contratti Contratti relativi a servizi o prodotti per la sicurezza come, ad esempio firewall servizi gestiti auditing/assessment Contratti relativi a beni e servizi informatici in cui la sicurezza è un elemento qualificante come, ad esempio fornitura di sistemi elaborativi servizi di comunicazione outsourcing della gestione del sistema informativo Prodotti e servizi di sicurezza E possibile richiedere la certificazione dei prodotti Il fornitore dei servizi di sicurezza deve dimostrare di essere di provata affidabilità curriculum delle persone candidate con certificazione referenze Nel caso di servizi attinenti applicazioni segretate, può essere ammissibile il ricorso alla procedura negoziale ristretta
Beni e servizi informatici generici Sono pochi i prodotti che hanno una certificazione di sicurezza formale Anche quando il prodotto è certificato, usualmente viene adoperato in condizioni diverse da quelle per cui è stata rilasciata la certificazione Alcuni fornitori offrono la possibilità di accedere al codice sorgente Nel caso dei servizi, è opportuno definire nel contratto le responsabilità nei confronti della privacy In alcuni casi può essere chiesta la stipula di un assicurazione a copertura di possibili danni La formalizzazione dei requisiti di sicurezza nei servizi Caratteristiche di sicurezza (obligazione di risultato) Lascia al fornitore la totale responsabilità nella gestione della sicurezza La sicurezza è descritta in termini di eventi da contrastare L ottemperanza ai requisiti è difficilmente verificabile in fase di collaudo Devono essere previsti valori di soglia e penali Contromisure (obligazione di mezzi) La responsabilità circa i problemi di sicurezza è condivisa tra ente appaltante e fornitore La sicurezza è descritta in termini di protezioni L ottemperanza ai requisiti è facilmente verificabile in fase di collaudo Il contratto deve fissare con chiarezza i compiti e gli ambiti di responsabilità del fornitore
Contrattualistica e certificazione della sicurezza Metodi per definire le caratteristiche di sicurezza di un servizio descrizione delle misure di sicurezza descrizione delle caratteristiche del servizio conformità a standard certificazione Metodi per valutare le caratteristiche di sicurezza di un servizio verifica della sicurezza con metodi conformi alle specifiche contrattuali L outsourcing Il trasferimento all esterno della gestione dei processi non dovrebbe comportare la perdita della capacità di governo dei medesimi Gli aspetti di sicurezza devono poter essere variati in momentio successivi alla stipula del contratto Canoni di comportamento per negoziare le modifiche in corso d opera
La sicurezza nei confronti di esterni (estratto da ISO/IEC 17799) Occorre controllare l utilizzo degli apparati da parte di soggetti esterni Nel caso, per esigenze dell organizzazione, occorra consentire tale accesso, dovrà essere condotta una valutazione dei rischi per determinare le implicazioni sulla sicurezza e le necessarie contromisure Tali contromisure dovranno essere concordate con la controparte e formalizzate in un contratto Nel caso occorra estendere l accesso a soggetti diversi dalla controparte, i contratti dovranno specificare la possibilità di autorizzare all accesso soggetti terzi e definire le condizioni per tale autorizzazione I servizi gestiti La gestione di alcuni aspetti della sicurezza può essere demandata a società specializzate Può essere conveniente utilizzare tali servizi per attività che richiedono competenze specialistiche e presidio h24 (ad esempio gestione degli IDS e dei firewall) E opportuno che l amministrazione mantenga il controllo delle strategie di sicurezza e delle regole che ne derivano (ad esempio criteri di configurazione dei firewall) I contratti devono precisare i confini di responsabilità e le modalità con cui il fornitore dovrà adeguarsi alle politiche di sicurezza stabilite dall amministrazione
Le ispezioni (auditing) Un modo per verificare gli adempimenti contrattuali in termini di sicurezza è prevedere attività di auditing La possibilità di verifiche ed ispezioni deve essere esplicitamente prevista e disciplinata nel contratto L attività di auditing prende in considerazione tutti gli aspetti che incidono sulla sicurezza (culturale organizzativo e tecnico) e verifica che la strategia di sicurezza sia stata realizzata correttamente I test di intrusione (penetration test) Sono utilizzati per verificare la capacità di resistenza ad attacchi di intrusione Possono essere svolti dall interno del sistema o dall esterno (attraverso la rete Internet) Sono condotti da specialisti che usano tecniche di attacco tipici degli hacker Devono essere previsti contrattualmente Il responsabile dei sistemi oggetto del test deve accettare formalmente la verifica
Per maggiori informazioni www.cnipa.gov.it