Risultati attività piano di rientro 2015 BHW Bausparkasse AG Consulente: Daniele De Felice Data: 16/06/2015
Introduzione Il presente documento descrive le attività svolte durante la terza fase del piano di rientro previsto a seguito dell Information Security Risk Assessment svolta, per consentire l aumento dei livelli di conformità relativamente allo standard internazionale ISO/IEC 27001:2005. Descrizione dell attività La prima fase del piano di rientro prevedeva quanto segue: Metà Gennaio 2015 Fine Febbraio 2015 1. Impostazione di una politica per la sicurezza (100%) 2. Regole per la classificazione delle informazioni (100%) 3. Policy e linea guida per la gestione degli asset (100%) 4. Definizione e formalizzazione delle operazioni di Change Management (100%) 5. Adempimenti Privacy (100%) La seconda fase del piano di rientro prevedeva quanto segue: Inizio Marzo 2015 Meta Aprile 2015 1. Regole per il Monitoraggio e la Revisione dei servizi delle terze parti (100%) 2. Regole per il controllo e la verifica del rispetto degli SLA concordati (100%) 3. Procedure di Change Management relativamente a servizi e infrastrutture tecnologiche demandati esternamente (100%) 4. Trasmissione delle informazioni (100%) 5. Business Continuity (100%) 6. Prevenzione e gestione incidenti di sicurezza (100%) 7. Gestione della sicurezza servizi di rete (100%) La terza fase del piano di rientro prevedeva quanto segue: Metà Aprile 2015 Fine Maggio 2015 1. Monitoraggio degli accessi logici e fisici (100%) 2. Formazione del personale operativo nelle sedi di Verona e Bolzano (100%) 3. Realizzazione di procedure operative relative al trattamento dati (100%) 4. Nuova Analisi del rischio (100%) 5. Audit ISO27001 (100%). Documento: Risultati attività piano di rientro 2015 2/6
Sono state svolte tutte le attività indicate, in particolar modo, Ewico ha prodotto e condiviso con il gruppo di lavoro interno di BHW Bausparkasse Italia (Michele, Enrica ed Antonello) 3 ulteriori documenti che sono stati consegnati e che verranno gestiti rispettando tutti i requisiti di riservatezza idonei per tale documentazione. Durante le nostre attività, sono stati svolti degli incontri, delle call conference telefoniche con i referenti e due seminari con il personale operativo nelle sedi di Verona e Bolzano. I documenti rilasciati e che oggi sono in carico al gruppo di lavoro interno sono i seguenti: 1. BHW_Checklist_ISO27001_v2.0 2. Risk Assessment BHW v2.0 3. Riesame analisi dei rischi Nello specifico, il primo documento raccoglie al suo interno i risultati ottenuti da un audit secondo i requisiti dello standard internazionale ISO 27001:2005 ed il livello di conformità. Il secondo documento raccoglie i risultati della nuova analisi del rischio, dove sono state analizzate una per una tutte le minacce e le vulnerabilità associate agli asset informativi aziendali. Il terzo documento definisce l attività di riesame dell analisi del rischio ed al suo interno sono riportati i risultati comparati tra la prima attività di dicembre 2014 e quella effettuata in maggio 2015. In questa fase sono state poi raccolte ulteriori metodologie di controllo definite da RUN relativamente alla gestione dell infrastruttura tecnologica e degli accessi logici ai sistemi gestiti da RUN per l infrastruttura tecnologica italiana di BHW. Sono state realizzate due attività formative, una nella sede di Bolzano ed una presso la sede di Verona. La formazione ha avuto come argomento principale il trattamento sicuro del patrimonio informativo aziendale in particolare riferimento ai concetti privacy. Risultati Per un immediato raffronto in termini numerici, vengono di seguito riportati i risultati ottenuti dalla nuova analisi del rischio ed i risultati della precedente attività e dei livelli di conformità rispetto allo standard ISO 27000 a seguito dei due audit svolti: PRIMA ANALISI DEL RISCHIO (9 dicembre 2014) Documento: Risultati attività piano di rientro 2015 3/6
SECONDA ANALISI DEL L RISCHIO (26 maggio 2015) Risultati prima Audit ISO 27001 dell 11 novembre 2014: DOMINIO DI CONTROLLO Liv. Conformità 1 Politica per la sicurezza 40% 2 Organizzazione per la sicurezza 40% 3 Gestione degli asset aziendali 10% 4 Sicurezza delle risorse umane 30% 5 Sicurezza fisica e ambientale 50% 6 Gestione delle comunicazioni e dei processi 40% 7 Controllo accessi 40% 8 Acquisizione, sviluppo e manutenzione sistemi 50% 9 Gestione degli incidenti 50% 10 Gestione della continuità aziendale 50% 11 Conformità 50% Documento: Risultati attività piano di rientro 2015 4/6
Risultati secondo Audit del 26 maggio 2015: DOMINIO DI CONTROLLO Liv. Conformità 1 Politica per la sicurezza 90% 2 Organizzazione per la sicurezza 80% 3 Gestione degli asset aziendali 70% 4 Sicurezza delle risorse umane 60% 5 Sicurezza fisica e ambientale 70% 6 Gestione delle comunicazioni e dei processi 60% 7 Controllo accessi 70% 8 Acquisizione, sviluppo e manutenzione sistemi 70% 9 Gestione degli incidenti 80% 10 Gestione della continuità aziendale 70% 11 Conformità 60% Per il raggiungimento degli obiettivi preposti, sono state realizzate policy, procedure e linee guida e tutti i documenti sono stati condivisi e rilasciati al gruppo di lavoro interno. Di seguito l elenco di tutta la documentazione prodotta: 1. Politica per la sicurezza delle informazioni 2. Policy comportamentali per il trattamento dei dati 3. Procedura di Change Control Management 4. Riutilizzo e dismissione supporti di memorizzazione 5. Classificazione e trasmissione delle informazioni 6. Gestione dei dispositivi portatili 7. Regole per il monitoraggio e la revisione dei servizi demandati alle terze parti Documento: Risultati attività piano di rientro 2015 5/6
8. Gestione degli incidenti di sicurezza 9. BHW_Checklist_ISO27001_v1.0 10. BHW_Checklist_ISO27001_v2.0 11. Risk Assessment BHW v1.0 12. Risk Assessment BHW v2.0 13. Riesame analisi dei rischi Conclusioni IT Security: per garantire il rispetto della sicurezza delle informazioni e la loro corretta gestione (dal punto di vista del trattamento e della comunicazione), l organizzazione dovrebbe prevedere un piano di implementazione di quanto relaizzato, con l applicazione delle regole e dei controlli stabiliti (in particolare per i fornitori esterni), prevedendo inoltre specifiche sessioni di formazione e verifica per tutto il personale operativo nelle sedi di Bolzano e Verona. Sarebbe poi opportuno effettuare un attività di Risk Management al fine di tenere sotto controllo i rischi identificati e stabilendo delle regole per il trattamento dello stesso. Privacy: la gestione della privacy dovrebbe prevedere degli specifici controlli periodici ed assicurare in modo continuativo il rispetto delle leggi vigenti, Mantenendo sempre aggiornata la documentazione obbligatoria (lettere di incarico, informative e consensi) e verificando l applicazione di tutte le misure minime di sicurezza previste dal garante privacy. Documento: Risultati attività piano di rientro 2015 6/6