Sicuramente www.clusit.it

Sicuramente www.clusit.it L applicazione degli standard della sicurezza delle informazioni nella piccola e media impresa Claudio Telmon Clusit ctelmon@clusit.it

Sicuramente www.clusit.it Associazione no profit con sede presso l Università degli Studi di Milano, Dipartimento di Informatica e Comunicazione

Sicuramente www.clusit.it Claudio Telmon Membro del Comitato Tecnico e del Consiglio Direttivo di Clusit ctelmon@clusit.it

Cos è la sicurezza delle informazioni? È il mantenimento della riservatezza, integrità e disponibilità delle informazioni Perché?

Dipende Impatto Probabilità Contromisure Minacce

Cos è il rischio e perché ci interessa Rischio: effetto dell incertezza sugli obiettivi (ISO/IEC 27000:2014) Rischio Operativo: il rischio di perdite derivanti da processi interni, persone o sistemi inadeguati o dal loro fallimento, o da eventi esterni. Includono i rischi legali ma non quelli reputazionali (European Banking Authority)

In cosa ci aiuta la prospettiva del rischio Il rischio è un concetto connaturato all Impresa ci aiuta a condividere i concetti con il resto dell azienda ci aiuta ad allineare gli obiettivi con l azienda ci aiuta a capire e spiegare dove, quanto e perché investire in sicurezza Per ragionare sul rischio, è necessario parlare con i «business owner»: sono loro che sanno: quali sono gli impatti sui processi e quindi sull azienda quali sono le informazioni e i servizi di valore qual è l appetibilità delle informazioni, ad esempio, per i concorrenti «La sicurezza assoluta non esiste» Quindi?

Standard e riferimenti Famiglia di standard ISO/IEC 27xxx (27000, 27001, 27002 ) «The information security management system preserves the confidentiality, integrity and availability of information by applying a risk management process and gives confidence to interested parties that risks are adequately managed» 27005: affronta specificamente l «Information security risk management» 27002: fornisce i «controlli» con cui mitigare il rischio Famiglia di standard NIST SP 800-xxx (e adesso, anche SP 1800-xxx sulla Cybersecurity) Nati per i sistemi informativi federali, sono un buon riferimento anche per altre organizzazioni, anche non US Riferimento principale : NIST SP 800-53 (rev. 4) Vari documenti sul rischio, fra cui SP 800-30 «Guide for Conducting Risk Assessments» Possono essere scaricati gratuitamente

I fattori di rischio (NIST SP 800-30)

Processo di gestione del rischio (ISO 27005)

Approccio alla gestione del rischio Perché facciamo una analisi? Per conformità normativa Spesso ci viene indicato come svolgere l analisi (perimetro, minacce, a volte questionari ) Per requisiti contrattuali I requisiti sono indicati nel contratto, a volte in riferimento ad uno standard (es. ISO/IEC 27001), a specifiche clausole contrattuali, o a policy della controparte Tipico dei contratti con grossi clienti che operano in un contesto regolamentato Per esigenze interne Indirizzare la scelta di controlli utili ed efficaci per la riduzione del rischio ad un livello accettabile per l azienda Ci facciamo guidare dalle esigenze aziendali

Cosa ci serve definire Perimetro dell analisi Datacenter PdL / strumenti mobili Rete commerciale Partner, fornitori Approccio quantitativo, qualitativo, semi-quantitativo.. Criteri di valutazione dell impatto Sui processi di business Sugli asset e sui sistemi IT a supporto

Metodologia: analisi dell impatto Processi business Amministra zione Marketing Processo1 Processo 1 Processo 2 Sistemi a supporto Sistemi/ applicazioni a supporto Sistemi/ applicazioni a supporto Sistemi/ applicazioni a supporto Sistemi/ applicazioni a supporto Sistemi/ applicazioni a supporto Strumento: questionario erogato ai business owner di processi con una dipendenza critica dal sistema informativo Obiettivi: individuare i servizi e quindi le applicazioni critiche definire il profilo di impatto per quelle applicazioni (e i componenti infrastrutturali)

Disponibilità Integrità Riservatezza Scenari di rischio: valutazione di impatto Furto di informazioni (dell azienda, dei clienti, proprietà intellettuale, segreti industriali ) Furto di dispositivi Diffusione di informazioni su social media Modifiche non autorizzate ai dati dei clienti Modifiche non autorizzati ai dati aziendali Malware, Sabotaggio (HW) Attacchi (D)DOS Disastri (incendi, allagamenti, ) Malware (es. Ransomware) Conseguenze reputazionali Conseguenze legali / contrattuali Perdita dell operatività Impatti di business / strategici Perdite economiche Altri fattori umani/sociali Rischi strategici

Profilo di rischio Per ogni processo/asset/sistema otteniamo un profilo di impatto sulla base ad es. del massimo impatto per scenario: Riservatezza Integrità Disponibilità Processo 1: Alto Medio Medio Processo 2: Processo n: Basso Alto Alto Basso Basso Basso Se non lo abbiamo ancora fatto, dobbiamo individuare con chiarezza i componenti del sistema informativo a supporto dei processi

La componente probabilistica I fattori di rischio (specifici, generali) Minacce e fonti (agenti) di minaccia Vulnerabilità e condizioni favorevoli Probabilità (appetibilità, condizioni generali) Rischio reale e rischio percepito Attenzione al rischio percepito del consulente

La disponibilità di informazioni Informazioni sul contesto globale/nazionale Informazioni sul settore merceologico Informazioni storiche sull azienda Informazioni sull evoluzione delle minacce (early warning) Usare i dati storici per stimare il rischio è come guidare guardando nello specchietto retrovisore

Probabilità Valutazione del rischio: la heatmap Alta Medio Alto Molto Alto Media Basso Medio Alto Bassa Basso Medio Medio Molto Bassa Basso Basso Basso Basso Medio Alto Impatto Criteri di accettazione del rischio (esempio): molto alto: trasferire/evitare alto: trattare obbligatoriamente medio: valutare caso per caso basso: accettare

Altri concetti sul rischio Rischio inerente: rischio in assenza di controlli Rischio residuo: rischio rimanente dopo aver applicato i controlli previsti Quando stimiamo la probabilità e l impatto, teniamo conto dei controlli già in essere, perché ci interessa (di solito) capire dove intervenire per ridurre ulteriormente il rischio (migliorare/aggiungere controlli) Avversione/propensione al rischio: preferenza/avversione per un ammontare certo rispetto a una quantità aleatoria si concretizza generalmente in un limite superiore al rischio potenziale legato ai sistemi informativi

Quali controlli? Trattamento del rischio Framework come la ISO 27xxx e NIST 800-xxx forniscono ognuna un insieme coerente e (abbastanza) completo di controlli Ognuno dei controlli si deve concretizzare nel contesto specifico dell azienda Sono fondamentali gli aspetti organizzativi e di gestione, compresa la definizione di policy e procedure È essenziale il commitment della Direzione le policy non devono essere emesse dalla gestione IT Quanto sono efficaci i controlli? Livello di maturità / implementazione Definizione di KPI per misurare l efficacia (es. riduzione delle infezioni da virus, tempo speso nella gestione di incidenti )

Logiche di baseline Trattamento del rischio Non ci serve un analisi del rischio per sapere che serve una protezione verso Internet: ci serve un analisi per capire se basta una protezione di base Stesso principio per antivirus, autenticazione, ecc. ecc. Quanto sono efficaci i controlli? Livello di maturità / implementazione Definizione di KPI per misurare l efficacia (es. riduzione delle infezioni da virus, tempo speso nella gestione di incidenti )

Esempio di libreria dei controlli: ISO/IEC 27002:2013 Politiche per la sicurezza delle informazioni Organizzazione della sicurezza delle informazioni Sicurezza delle risorse umane Gestione degli asset Controllo degli accessi Crittografia Sicurezza fisica e ambientale Sicurezza delle attività operative Sicurezza delle comunicazioni Acquisizione, sviluppo e manutenzione dei sistemi Relazioni con i fornitori Gestione degli incidenti relativi alla sicurezza delle informazioni Aspetti relativi alla sicurezza delle informazioni nella gestione della continuità operativa Conformità

Serie 27xxx: Riferimenti NIST SP 800-xxx: http://csrc.nist.gov/publications/pubssps.html ENISA - Inventory of Risk Management / Risk Assessment Methods: http://www.iso.org/iso/home/standards/managementstandards/iso27001.htm https://www.enisa.europa.eu/activities/risk-management/currentrisk/risk-management-inventory/rm-ra-methods Clusit - Rapporto Clusit: https://clusit.it/rapportoclusit/

ctelmon@clusit.it