Classificare e proteggere i dati

Documenti analoghi
Informazioni aziendali: il punto di vista del Chief Information Security Officer ed il supporto di COBIT 5 for Information Security

Esperienze di analisi del rischio in proggeti di Information Security

KPMG Advisory: per vincere la sfida della complessità. Genova, Dottor Nello Giuntoli. Corporate Profile

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità

Politica per la Sicurezza

Policy sulla Gestione delle Informazioni

KPMG Advisory: per vincere la sfida della complessità

La certificazione CISM

Associazione Italiana Information Systems Auditors

<Insert Picture Here> Security Summit 2011 Milano

Compliance Sistema di Governo Il Sistema di Compliance di SIA

I Sistemi di Gestione Integrata Qualità, Ambiente e Sicurezza alla luce delle novità delle nuove edizioni delle norme ISO 9001 e 14001

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management

5.1.1 Politica per la sicurezza delle informazioni

Sicurezza, Rischio e Business Continuity Quali sinergie?

La certificazione dei sistemi di gestione della sicurezza ISO e BS 7799

Presentazione dell Azienda

Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231

Gestire il rischio di processo: una possibile leva di rilancio del modello di business

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

WORKSHOP Riorganizzazione aziendale: ri-partenza per lo sviluppo 30/11/2012

Obiettivi generali del revisore

Associazione Italiana Corporate & Investment Banking. Presentazione Ricerca. Il risk management nelle imprese italiane

IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE. La ISA nasce nel 1994

1- Corso di IT Strategy

Processi e Risk Assessment nel Gruppo Reale Mutua 23/05/2013

LA FORMAZIONE COME STRUMENTO ELETTIVO PER LA DIFFUSIONE DELLA CULTURA DELLA SICUREZZA, DELLA DIFFUSIONE DELLE CONOSCENZE

MANDATO INTERNAL AUDIT

VALUTAZIONE DEL LIVELLO DI SICUREZZA

Otto Principi sulla Gestione per la Qualità previsti dalla ISO 9000:2005

EA 03 Prospetto economico degli oneri complessivi 1

Direzione Centrale Audit e Sicurezza IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE

Sistema di Gestione Integrata Qualità/Ambiente/Sicurezza Doc.3 Politiche aziendale. Qualità/Ambiente

DBA Group DIAGNOSI ENERGETICHE

Piano delle Performance

Consulenza Direzionale Presentazione Società. Key Value for high performance business

Information technology e sicurezza aziendale. Como, 22 Novembre 2013

Ridurre i rischi. Ridurre i costi. Migliorare i risultati.

PROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ

PIANO ESECUTIVO DI GESTIONE - VERIFICA FINALE

Wealth Risk Management: il controllo del rischio e la tutela dell investitore

La Guida per l Organizzazione degli Studi professionali

BOZZA. Attività Descrizione Competenza Raccolta e definizione delle necessità Supporto tecnico specialistico alla SdS

OPERAZIONI M&A NEL SETTORE DEL REAL ESTATE: QUALI SOLUZIONI?

HEALTHCARE & PUBLIC SECTOR. I Servizi per la Sanità

Audit & Sicurezza Informatica. Linee di servizio

REALIZZAZIONE DEL SISTEMA DEI CONTROLLI INTERNI IN AGOS ITAFINCO SPA

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.

DISPOSIZIONE ORGANIZZATIVA n. 62/AD del 08 settembre Direzione Generale

LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0

SVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007

MILANO TORINO GENOVA

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

Iniziativa : "Sessione di Studio" a Roma

SISTEMA UNICO E CENTRALIZZATO

Progetto Crescita e Sviluppo

Per una migliore qualità della vita CERTIQUALITY. La certificazione strumento di Business Continuity: gli standard ISO e ISO 22301

Passione per ciò che conta kpmg.com/it

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

Esternalizzazione della Funzione Compliance

IESBA Code. Principi fondamentali dello IESBA Code Integrità Obiettività Diligenza e competenza professionale Riservatezza Comportamento professionale

Banche e Sicurezza 2015

Gestione della Sicurezza Informatica

IL CASO DELL AZIENDA. Perché SAP.

Direzione Centrale Sistemi Informativi

A cura di Giorgio Mezzasalma

MANDATO DI AUDIT DI GRUPPO

IL SISTEMA DI CONTROLLO INTERNO

ISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito

Il Modello 231 e l integrazione con gli altri sistemi di gestione aziendali

Policy. L Information Management

Il Direttore DISCIPLINARE DEL PROCESSO DI BUDGET 2015

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

La gestione della Sicurezza nel Gruppo CRIF. La struttura organizzativa

PROGETTO BASE MIGLIORARE LA QUALITÀ DEL SERVIZIO CON L ASCOLTO DELL UTENTE III FASE DEL PIANO OPERATIVO

CAPITOLO 20 AGGIORNAMENTO DEL CODICE DI STOCCAGGIO

La sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione

Università di Macerata Facoltà di Economia

OPERAZIONI STRAORDINARIE

IT governance & management. program

ONEGLOBAL SRL Consulenze Aziendali Integrate DOCUMENTO DI OFFERTA DEL 21 GIUGNO 2012

CIRCOLO RICREATIVO AZIENDALE LAVORATORI DI POSTE ITALIANE. CRALPoste CODICE DI COMPORTAMENTO

THE BENCHMARKING CLUB. Benchmarking Study. La Sicurezza Informatica

Ciclo di vita dimensionale

AIM Italia/Mercato Alternativo del Capitale. Requisiti generali di organizzazione - funzioni aziendali di controllo (Nominated Adviser)

INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data:

Le difficoltà del passaggio dalla funzione di Ispettorato a Internal Audit Convegno Nazionale AIEA - 19 maggio 2004

CERTIQUALITY. La Gestione della Business Continuity : gli standard ISO ed ISO P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a

società di revisione legale iscritta al registro dei revisori legali al n del MEF

CATALOGO SERVIZI

ESSERE O APPARIRE. Le assicurazioni nell immaginario giovanile

Politica di valutazione e pricing

VISION. ponendosi come advisor di riferimento, in una prospettiva sempre più internazionale, nelle operazioni di finanza ordinaria e straordinaria.

DIPARTIMENTO INFORMATIVO e TECNOLOGICO

PIANO DEGLI INTERVENTI

COMUNE DI VENTOTENE PROVINCIA DI LATINA REGOLAMENTO SUL SISTEMA DEI CONTROLLI INTERNI

Transcript:

Classificare e proteggere i dati Metodologia e caso di studio Roma, 6 giugno 2012

Agenda Il Network KPMG Metodologia Caso di studio 1

Agenda Il Network KPMG Metodologia Caso di studio 2

Il Network KPMG Il network KPMG in Italia KPMG Advisory S.p.A. Servizi di consulenza direzionale 1.200 professionisti Servizi di revisione e organizzazione contabile 1.300 professionisti KPMG S.p.A. KPMG Fides Servizi di Amministrazione S.p.A. Servizi amministrativi alle imprese 180 professionisti Servizi di forensic accounting e supporto alla revisione interna 30 professionisti KPMG Audit S.p.A. Servizi legali e fiscali rivolti alle imprese, di natura amministrativa/societaria e straordinaria 330 professionisti Nolan, Norton Italia S.r.l. Servizi di consulenza strategica IT 60 professionisti KStudio Associato 3

Il Network KPMG Una infrastruttura di know-how per le imprese Con oltre 1.200 professionisti e 12 sedi, KPMG Advisory è oggi il leader di mercato in Italia tra le Big Four KPMG Advisory è una realtà profondamente compenetrata ed attiva all interno del tessuto economico nazionale Terziarizzazione dei processi produttivi, internazionalizzazione, innovazione tecnologica, cambiamento organizzativo: KPMG Advisory è il partner di riferimento delle imprese Aosta Milano Torino Genova Cagliari Palermo Padova Verona Bologna Firenze Roma Napoli 4

Il Network KPMG L offerta dei servizi Advisory Servizi Business Performance Services IT Advisory Transaction Financial Risk Management Risk & Compliance Forensic Restructuring Accounting Advisory Services Corporate Finance Food & Beverage Settore tessile e moda Retail Consumer & Industrial Markets Automotive Farmaceutico Energy Transportation Media Istituzioni pubbliche nazionali Istituzioni pubbliche locali Public Sector & Infrastructures Enti territoriali Aziende sanitarie Financial Sector Istituzioni Bancarie e Finanziarie Assicurazioni Real Estate 5

Il Network KPMG Value proposition per i servizi di IT Advisory IT Strategy and Performance Security and IT Risk & Compliance IT Solutions IT Strategy and Plan IT Architecture & Innovation Strategic Sourcing IT Governance and Organization Post Merger Integration IT Attestation & Compliance Information Protection & Business Resilience IT Audit IT Risk Management Identity & Access Management IT Due Diligence Business Intelligence & Performance Management ERP Solutions Business Process Management Platform Collaboration & Knowledge Management Multimedia Integrated Platform IT Project Advisory 6

Agenda Il Network KPMG Metodologia Caso di studio 7

Classificare e proteggere i dati Metodologia Contesto L esigenza La classificazione dei dati, intesa come determinazione del valore che gli stessi hanno per l azienda, è uno degli elementi primari per l implementazione di un sistema di gestione della sicurezza. Le misure di protezione per la tutela del patrimonio informativo devono essere commisurate alla criticità delle informazioni stesse, in modo da coniugare l esigenza di tutela del valore con la necessità di assicurare efficienza ed efficacia ai processi di business L approccio La metodologia di classificazione prevede la costituzione di un framework per classificare le informazioni in opportune categorie correlate ai parametri fondamentali di sicurezza (Riservatezza, Integrità, Disponibilità) e all identificazione di opportune misure di sicurezza che dovranno essere applicate in tutte le fasi del ciclo di vita dell informazione (creazione, invio, modifica, cancellazione, ecc.) Tali misure di sicurezza saranno differenziate per ogni classe di informazione e saranno definite per ogni modalità di trattamento delle informazioni identificata (trattamento con strumenti informatici, trattamento con supporti cartacei, ecc.) 8

Classificare e proteggere i dati Metodologia Framework Ciclo di vita del dato Acquisizione Conservazione Elaborazione Consultazione Trasmissione Distruzione Classificazione del dato Valutazione del rischio Valutazione impatto Valutazione Minacce Valutazione Vulnerabilità Protezione del dato Definizione delle misure di sicurezza Valutazione degli investimenti Attuazione delle misure 9

Classificare e proteggere i dati Metodologia Classificazione del dato Valutazione impatto Valutazione Minacce Analisi Vulnerabilità d c c Stime e Valutazioni c Classificazione Macrodati Valutazione Impatti Processi Macrodati a Valutazione Minacce b Supporti Catene Tech a Analisi Vulnerabilità b Supporti Catene Tech a b Correlazione Asset Supporti Macrodati Processi Catene Techologiche Valutazione Rischio Legenda: I = Valore del macrodato in esame, in termini di impatto sul business P = Probabilità che la minaccia, sfruttando una vulnerabilità provochi l impatto M = Stima delle Minacce a cui il macrodato è sottoposto V = Stima delle Vulnerabilità rilevate a cui il macrodato è sottoposto RISCHIO DEL DATO= f (IMPATTO I, PROBABILITA P ) dove PROBABILITA = g (MINACCE M, VULNERABILITA V ) 10

Classificare e proteggere i dati Metodologia Step di classificazione e protezione del dato 1 I referenti di business eseguono, in collaborazione con i referenti tecnici, l analisi dei processi al fine di individuare i relativi sottoprocessi e identificare i macrodati da essi gestiti 2 I referenti di business stimano la criticità delle informazioni esprimendo un giudizio qualitativo sugli impatti provocati da eventi che comportano accessi non autorizzati/divulgazioni indebite, alterazioni e indisponibilità delle informazioni stesse 3 In relazione a ciascun parametro di sicurezza (riservatezza, integrità e disponibilità), viene determinato l impatto risultante calcolando la media delle valutazioni su ogni livello; il valore risultante consente di classificare il dato in opportune categorie che rappresentano il framework di classificazione dei dati 4 I referenti di business effettuano la valutazione delle minacce esprimendo un valore di percezione della possibilità di accadimento di eventi che possono compromettere gli strumenti/infrastrutture di supporto utilizzati per l elaborazione e la trasmissione dei dati; in relazione a ciascun strumento/infrastruttura di supporto, viene determinato il valore delle minacce risultante calcolando la media delle stime delle minacce 11

Classificare e proteggere i dati Metodologia Step di classificazione e protezione del dato 5 6 7 I referenti di business effettuano l analisi delle vulnerabilità valutando le debolezze intrinseche o le debolezze dovute alle condizioni di esercizio, che possono essere sfruttate dalle minacce, degli strumenti/infrastrutture di supporto utilizzati per l elaborazione e la trasmissione dei dati I referenti di business eseguono, in collaborazione con i referenti tecnici, una mappatura dei macrodati sugli strumenti/infrastrutture di supporto utilizzati per l elaborazione e la trasmissione di tali informazioni al fine di correlare a ciascun macrodato il valore delle minacce e delle vulnerabilità degli strumenti/infrastrutture di supporto In relazione a ciascuna categoria di macrodato, viene effettuata una stima della probabilità (P), che una minaccia (M) possa sfruttare una vulnerabilità (V) per poter causare un danno (I), e una stima del rischio (R) che dipende dall impatto (I) e dalla probabilità (P) 8 In relazione a ciascuna categoria di macrodato e al relativo livello di rischio, vengono identificate in maniera puntuale le misure di sicurezza che devono essere applicate nell ambito del trattamento e della gestione delle informazioni 12

Classificare e proteggere i dati Metodologia Funzioni aziendali coinvolte Nell ambito di un progetto di classificazione delle informazioni, si ritiene necessario il coinvolgimento di diverse funzioni aziendali. Inoltre sono identificabili alcune funzioni che potrebbero essere interessate all output del processo di classificazione, ovvero ai risultati ottenuti Security Coinvolgimento nell ambito dell identificazione e definizione delle misure di sicurezza da applicare per ogni classe definita dal framework e per ogni fase del ciclo di vita dell informazione Information Technology Coinvolgimento nell ambito della definizone ed applicazione delle misure di sicurezza tecniche definite per ogni classe di informazione Organizzazione Coinvolgimento nell ambito della definizione ed applicazione delle misure di sicurezza organizzative e procedurali definite per ogni classe di informazione Classificazi one del dato Funzioni di Business (Business Owner) Coinvolgimento nell ambito del censimento delle informazioni e della valutazione degli impatti in termini di R, I, D Legal/Compliance Possibilità di categorizzare i dati in accordo con le normative vigenti (ad es. Privacy, PCI-DSS, ecc.) al fine di identificare in maniera puntuale i controlli derivanti dalla declinazione dei requisiti normativi in misure di sicurezza Risk Management Identificazione delle informazioni rilevanti ai fini della gestione dei rischi operativi 13

Classificare e proteggere i dati Metodologia Benefici L introduzione di un processo di classificazione delle informazioni mantenuto e aggiornato nel tempo, introduce una serie di vantaggi che si riflettono sull intera organizzazione, e in maniera preponderante sulle funzioni e processi di Business Riduzione dei rischi di divulgazione di informazioni riservate (es: piani strategici, dati di conti correnti, PAN, ecc.) derivante dall identificazione e classificazione di tali tipologie di informazione e dall applicazione di adeguati controlli di sicurezza Ottimizzazione dell effort e dei costi/investimenti necessari per l adozione delle misure di sicurezza in quanto esse saranno dimensionate in relazione alla criticità delle informazioni Miglioramento dell efficacia e dell efficienza di altri processi aziendali, quali ad esempio: processi di sviluppo delle applicazioni/sistemi: la classificazione delle informazioni consente di introdurre, nell ambito dei processi di sviluppo, misure e controlli di sicurezza adeguati in relazione alla criticità delle informazioni trattate/gestite dalle applicazioni o sistemi processi di gestione della compliance normativa derivante dalla possibilità di classificare i dati in relazione alle normative vigenti (es: dati sensibili, dati di carte di credito, ecc.) e dall applicazione e monitoraggio dei controlli derivanti dai requisiti normativi stessi nell ambito del trattamento di tali informazioni processo di gestione della Business Continuity tramite identificazione delle informazioni critiche in termini di disponibilità Sensibilizzazione del personale in relazione alla natura delle informazioni trattate/gestite attraverso la diffusione e l applicazione del framework di classificazione Possibilità di adozione di strumenti di Data Loss Prevention sulla base del framework di classificazione scelto e degli obiettivi di protezione aziendali (la classificazione è un attività propedeutica alla realizzazione di una soluzione di DLP) 14

Agenda Il Network KPMG Metodologia Caso di studio 15

Classificare e proteggere i dati Caso di studio Piano di progetto In relazione all approccio metodologico precedentemente descritto di seguito si riporta il piano di progetto Fasi progettuali Mese 1 Mese 2 Mese 3 1 Definizione del framework di classificazione FRAMEWORK 2 Classificazione delle informazioni Classificazione dati 3 Identificazione delle misure di sicurezza = Deliverable Definizione misure e piano di investimento 16

Classificare e proteggere i dati Caso di studio Attività Fase I Fase II Fase III Definizione del framework di classificazione Raccolta della documentazione presente in relazione alle tipologie di informazioni Definizione e condivisione del livello di granularità del dato Definizione e condivisione delle tipologie di impatto e della scala di valutazione qualitativa e numerica Definizione e condivisione di una scala qualitativa e numerica per la classificazione del dato in termini assoluti Formalizzazione del framework di classificazione Classificazione delle informazioni Identificazione dell ambito di applicazione (es: processo, business unit, ecc.) Identificazione dei dati oggetto della classificazione Valutazione dell impatto: contestualmente alla precedente attività sarà effettuata la valutazione dell impatto in relazione ai parametri di sicurezza (riservatezza, integrità, disponibilità) Classificazione dei dati: i valori di impatto precedentemente determinati consentono di classificare i dati nelle categorie definite nel framework di classificazione Deliverables Identificazione delle misure di sicurezza Definizione delle misure di sicurezza espresse in termini di riservatezza, integrità e disponibilità e per ciascuna fase del ciclo di vita del dato. Si tratta sia di misure di natura tecnica (es: cifratura dei dati) che di natura procedurale (es: distruzione di documentazione o di supporti) Formalizzazione delle misure di sicurezza da applicare, ad integrazione del framework di classificazione Framework di classificazione delle informazioni Checklist per l applicazione del metodo di classificazione Report relativo ai risultati della classificazione Documento relativo alle misure di sicurezza da applicare in relazione ad ogni categoria del framework e al contesto tecnologico ed organizzativo di riferimento Documento valutazione degli investimenti 17

Grazie Contatti: Guido Milana Manager KPMG Advisory S.p.A. T: 06 809611 348 0995083 E: gmilana@kpmg.it www.kpmg.it

2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati. Denominazione e logo KPMG e "cutting through complexity" sono marchi registrati di KPMG International Cooperative ("KPMG International"). Tutte le informazioni qui fornite sono di carattere generale e non intendono prendere in considerazione fatti riguardanti persone o entità particolari. Nonostante tutti i nostri sforzi, non siamo in grado di garantire che le informazioni qui fornite siano precise ed accurate al momento in cui vengono ricevute o che continueranno ad esserlo anche in futuro. Non è consigliabile agire sulla base delle informazioni qui fornite senza prima aver ottenuto un parere professionale ed aver accuratamente controllato tutti i fatti relativi ad una particolare situazione.

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back