Classificare e proteggere i dati Metodologia e caso di studio Roma, 6 giugno 2012
Agenda Il Network KPMG Metodologia Caso di studio 1
Agenda Il Network KPMG Metodologia Caso di studio 2
Il Network KPMG Il network KPMG in Italia KPMG Advisory S.p.A. Servizi di consulenza direzionale 1.200 professionisti Servizi di revisione e organizzazione contabile 1.300 professionisti KPMG S.p.A. KPMG Fides Servizi di Amministrazione S.p.A. Servizi amministrativi alle imprese 180 professionisti Servizi di forensic accounting e supporto alla revisione interna 30 professionisti KPMG Audit S.p.A. Servizi legali e fiscali rivolti alle imprese, di natura amministrativa/societaria e straordinaria 330 professionisti Nolan, Norton Italia S.r.l. Servizi di consulenza strategica IT 60 professionisti KStudio Associato 3
Il Network KPMG Una infrastruttura di know-how per le imprese Con oltre 1.200 professionisti e 12 sedi, KPMG Advisory è oggi il leader di mercato in Italia tra le Big Four KPMG Advisory è una realtà profondamente compenetrata ed attiva all interno del tessuto economico nazionale Terziarizzazione dei processi produttivi, internazionalizzazione, innovazione tecnologica, cambiamento organizzativo: KPMG Advisory è il partner di riferimento delle imprese Aosta Milano Torino Genova Cagliari Palermo Padova Verona Bologna Firenze Roma Napoli 4
Il Network KPMG L offerta dei servizi Advisory Servizi Business Performance Services IT Advisory Transaction Financial Risk Management Risk & Compliance Forensic Restructuring Accounting Advisory Services Corporate Finance Food & Beverage Settore tessile e moda Retail Consumer & Industrial Markets Automotive Farmaceutico Energy Transportation Media Istituzioni pubbliche nazionali Istituzioni pubbliche locali Public Sector & Infrastructures Enti territoriali Aziende sanitarie Financial Sector Istituzioni Bancarie e Finanziarie Assicurazioni Real Estate 5
Il Network KPMG Value proposition per i servizi di IT Advisory IT Strategy and Performance Security and IT Risk & Compliance IT Solutions IT Strategy and Plan IT Architecture & Innovation Strategic Sourcing IT Governance and Organization Post Merger Integration IT Attestation & Compliance Information Protection & Business Resilience IT Audit IT Risk Management Identity & Access Management IT Due Diligence Business Intelligence & Performance Management ERP Solutions Business Process Management Platform Collaboration & Knowledge Management Multimedia Integrated Platform IT Project Advisory 6
Agenda Il Network KPMG Metodologia Caso di studio 7
Classificare e proteggere i dati Metodologia Contesto L esigenza La classificazione dei dati, intesa come determinazione del valore che gli stessi hanno per l azienda, è uno degli elementi primari per l implementazione di un sistema di gestione della sicurezza. Le misure di protezione per la tutela del patrimonio informativo devono essere commisurate alla criticità delle informazioni stesse, in modo da coniugare l esigenza di tutela del valore con la necessità di assicurare efficienza ed efficacia ai processi di business L approccio La metodologia di classificazione prevede la costituzione di un framework per classificare le informazioni in opportune categorie correlate ai parametri fondamentali di sicurezza (Riservatezza, Integrità, Disponibilità) e all identificazione di opportune misure di sicurezza che dovranno essere applicate in tutte le fasi del ciclo di vita dell informazione (creazione, invio, modifica, cancellazione, ecc.) Tali misure di sicurezza saranno differenziate per ogni classe di informazione e saranno definite per ogni modalità di trattamento delle informazioni identificata (trattamento con strumenti informatici, trattamento con supporti cartacei, ecc.) 8
Classificare e proteggere i dati Metodologia Framework Ciclo di vita del dato Acquisizione Conservazione Elaborazione Consultazione Trasmissione Distruzione Classificazione del dato Valutazione del rischio Valutazione impatto Valutazione Minacce Valutazione Vulnerabilità Protezione del dato Definizione delle misure di sicurezza Valutazione degli investimenti Attuazione delle misure 9
Classificare e proteggere i dati Metodologia Classificazione del dato Valutazione impatto Valutazione Minacce Analisi Vulnerabilità d c c Stime e Valutazioni c Classificazione Macrodati Valutazione Impatti Processi Macrodati a Valutazione Minacce b Supporti Catene Tech a Analisi Vulnerabilità b Supporti Catene Tech a b Correlazione Asset Supporti Macrodati Processi Catene Techologiche Valutazione Rischio Legenda: I = Valore del macrodato in esame, in termini di impatto sul business P = Probabilità che la minaccia, sfruttando una vulnerabilità provochi l impatto M = Stima delle Minacce a cui il macrodato è sottoposto V = Stima delle Vulnerabilità rilevate a cui il macrodato è sottoposto RISCHIO DEL DATO= f (IMPATTO I, PROBABILITA P ) dove PROBABILITA = g (MINACCE M, VULNERABILITA V ) 10
Classificare e proteggere i dati Metodologia Step di classificazione e protezione del dato 1 I referenti di business eseguono, in collaborazione con i referenti tecnici, l analisi dei processi al fine di individuare i relativi sottoprocessi e identificare i macrodati da essi gestiti 2 I referenti di business stimano la criticità delle informazioni esprimendo un giudizio qualitativo sugli impatti provocati da eventi che comportano accessi non autorizzati/divulgazioni indebite, alterazioni e indisponibilità delle informazioni stesse 3 In relazione a ciascun parametro di sicurezza (riservatezza, integrità e disponibilità), viene determinato l impatto risultante calcolando la media delle valutazioni su ogni livello; il valore risultante consente di classificare il dato in opportune categorie che rappresentano il framework di classificazione dei dati 4 I referenti di business effettuano la valutazione delle minacce esprimendo un valore di percezione della possibilità di accadimento di eventi che possono compromettere gli strumenti/infrastrutture di supporto utilizzati per l elaborazione e la trasmissione dei dati; in relazione a ciascun strumento/infrastruttura di supporto, viene determinato il valore delle minacce risultante calcolando la media delle stime delle minacce 11
Classificare e proteggere i dati Metodologia Step di classificazione e protezione del dato 5 6 7 I referenti di business effettuano l analisi delle vulnerabilità valutando le debolezze intrinseche o le debolezze dovute alle condizioni di esercizio, che possono essere sfruttate dalle minacce, degli strumenti/infrastrutture di supporto utilizzati per l elaborazione e la trasmissione dei dati I referenti di business eseguono, in collaborazione con i referenti tecnici, una mappatura dei macrodati sugli strumenti/infrastrutture di supporto utilizzati per l elaborazione e la trasmissione di tali informazioni al fine di correlare a ciascun macrodato il valore delle minacce e delle vulnerabilità degli strumenti/infrastrutture di supporto In relazione a ciascuna categoria di macrodato, viene effettuata una stima della probabilità (P), che una minaccia (M) possa sfruttare una vulnerabilità (V) per poter causare un danno (I), e una stima del rischio (R) che dipende dall impatto (I) e dalla probabilità (P) 8 In relazione a ciascuna categoria di macrodato e al relativo livello di rischio, vengono identificate in maniera puntuale le misure di sicurezza che devono essere applicate nell ambito del trattamento e della gestione delle informazioni 12
Classificare e proteggere i dati Metodologia Funzioni aziendali coinvolte Nell ambito di un progetto di classificazione delle informazioni, si ritiene necessario il coinvolgimento di diverse funzioni aziendali. Inoltre sono identificabili alcune funzioni che potrebbero essere interessate all output del processo di classificazione, ovvero ai risultati ottenuti Security Coinvolgimento nell ambito dell identificazione e definizione delle misure di sicurezza da applicare per ogni classe definita dal framework e per ogni fase del ciclo di vita dell informazione Information Technology Coinvolgimento nell ambito della definizone ed applicazione delle misure di sicurezza tecniche definite per ogni classe di informazione Organizzazione Coinvolgimento nell ambito della definizione ed applicazione delle misure di sicurezza organizzative e procedurali definite per ogni classe di informazione Classificazi one del dato Funzioni di Business (Business Owner) Coinvolgimento nell ambito del censimento delle informazioni e della valutazione degli impatti in termini di R, I, D Legal/Compliance Possibilità di categorizzare i dati in accordo con le normative vigenti (ad es. Privacy, PCI-DSS, ecc.) al fine di identificare in maniera puntuale i controlli derivanti dalla declinazione dei requisiti normativi in misure di sicurezza Risk Management Identificazione delle informazioni rilevanti ai fini della gestione dei rischi operativi 13
Classificare e proteggere i dati Metodologia Benefici L introduzione di un processo di classificazione delle informazioni mantenuto e aggiornato nel tempo, introduce una serie di vantaggi che si riflettono sull intera organizzazione, e in maniera preponderante sulle funzioni e processi di Business Riduzione dei rischi di divulgazione di informazioni riservate (es: piani strategici, dati di conti correnti, PAN, ecc.) derivante dall identificazione e classificazione di tali tipologie di informazione e dall applicazione di adeguati controlli di sicurezza Ottimizzazione dell effort e dei costi/investimenti necessari per l adozione delle misure di sicurezza in quanto esse saranno dimensionate in relazione alla criticità delle informazioni Miglioramento dell efficacia e dell efficienza di altri processi aziendali, quali ad esempio: processi di sviluppo delle applicazioni/sistemi: la classificazione delle informazioni consente di introdurre, nell ambito dei processi di sviluppo, misure e controlli di sicurezza adeguati in relazione alla criticità delle informazioni trattate/gestite dalle applicazioni o sistemi processi di gestione della compliance normativa derivante dalla possibilità di classificare i dati in relazione alle normative vigenti (es: dati sensibili, dati di carte di credito, ecc.) e dall applicazione e monitoraggio dei controlli derivanti dai requisiti normativi stessi nell ambito del trattamento di tali informazioni processo di gestione della Business Continuity tramite identificazione delle informazioni critiche in termini di disponibilità Sensibilizzazione del personale in relazione alla natura delle informazioni trattate/gestite attraverso la diffusione e l applicazione del framework di classificazione Possibilità di adozione di strumenti di Data Loss Prevention sulla base del framework di classificazione scelto e degli obiettivi di protezione aziendali (la classificazione è un attività propedeutica alla realizzazione di una soluzione di DLP) 14
Agenda Il Network KPMG Metodologia Caso di studio 15
Classificare e proteggere i dati Caso di studio Piano di progetto In relazione all approccio metodologico precedentemente descritto di seguito si riporta il piano di progetto Fasi progettuali Mese 1 Mese 2 Mese 3 1 Definizione del framework di classificazione FRAMEWORK 2 Classificazione delle informazioni Classificazione dati 3 Identificazione delle misure di sicurezza = Deliverable Definizione misure e piano di investimento 16
Classificare e proteggere i dati Caso di studio Attività Fase I Fase II Fase III Definizione del framework di classificazione Raccolta della documentazione presente in relazione alle tipologie di informazioni Definizione e condivisione del livello di granularità del dato Definizione e condivisione delle tipologie di impatto e della scala di valutazione qualitativa e numerica Definizione e condivisione di una scala qualitativa e numerica per la classificazione del dato in termini assoluti Formalizzazione del framework di classificazione Classificazione delle informazioni Identificazione dell ambito di applicazione (es: processo, business unit, ecc.) Identificazione dei dati oggetto della classificazione Valutazione dell impatto: contestualmente alla precedente attività sarà effettuata la valutazione dell impatto in relazione ai parametri di sicurezza (riservatezza, integrità, disponibilità) Classificazione dei dati: i valori di impatto precedentemente determinati consentono di classificare i dati nelle categorie definite nel framework di classificazione Deliverables Identificazione delle misure di sicurezza Definizione delle misure di sicurezza espresse in termini di riservatezza, integrità e disponibilità e per ciascuna fase del ciclo di vita del dato. Si tratta sia di misure di natura tecnica (es: cifratura dei dati) che di natura procedurale (es: distruzione di documentazione o di supporti) Formalizzazione delle misure di sicurezza da applicare, ad integrazione del framework di classificazione Framework di classificazione delle informazioni Checklist per l applicazione del metodo di classificazione Report relativo ai risultati della classificazione Documento relativo alle misure di sicurezza da applicare in relazione ad ogni categoria del framework e al contesto tecnologico ed organizzativo di riferimento Documento valutazione degli investimenti 17
Grazie Contatti: Guido Milana Manager KPMG Advisory S.p.A. T: 06 809611 348 0995083 E: gmilana@kpmg.it www.kpmg.it
2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati. Denominazione e logo KPMG e "cutting through complexity" sono marchi registrati di KPMG International Cooperative ("KPMG International"). Tutte le informazioni qui fornite sono di carattere generale e non intendono prendere in considerazione fatti riguardanti persone o entità particolari. Nonostante tutti i nostri sforzi, non siamo in grado di garantire che le informazioni qui fornite siano precise ed accurate al momento in cui vengono ricevute o che continueranno ad esserlo anche in futuro. Non è consigliabile agire sulla base delle informazioni qui fornite senza prima aver ottenuto un parere professionale ed aver accuratamente controllato tutti i fatti relativi ad una particolare situazione.