1 Sicurezza delle informazioni Best practice per l ambiente di lavoro remoto. All epoca del. Ing. Francesca Merighi Ordine degli ingegneri della provincia di Bologna 2 Il (1) Erogazione di risorse informatiche disponibili on demand attraverso Internet! HaaS (Hardware as a Service): elaborazione remota dei dati e restituzione dei risultati! DaaS (Data as Service) : dati accessibili come fossero residenti su un disco locale! SaaS (Software as Service) : utilizzo di programmi installati su un server remoto! PaaS (Platform as a Service) : piattaforma software costituita da servizi, programmi, librerie, ecc.! IaaS (Infrastructure as a Service) : risorse hardware o virtuali in remoto
3 Il (2) Gli attori dei processi Fornitore di servizi Cliente amministratore Cliente finale 4 Il (3) Rischi per la sicurezza delle informazioni! Accesso a dati personali e sensibili! Spionaggio industriale! Compromissione dell integrità dei dati Responsabili della sicurezza del cloud sono tutti gli attori dei processi Sicurezza: cloud VS server locale Accesso remoto Accesso fisico
Standard ISO/IEC 27001(1) Standard con l obiettivo di proteggere le informazioni dalle minacce, al fine di garantirne! Integrità! Riservatezza! Disponibilità SLA del fornitore dei servizi Stabilisce dei controlli (alcuni facoltativi) a cui l organizzazione deve attenersi. Si può richiedere una Certificazione ISO 27001. La certificazione è VOLONTARIA. La conformità alla ISO 27001 non solleva dal rispetto della legge sulla Privacy. 5 Standard ISO/IEC 27001(2) Temi trattati in questa sede! Sicurezza fisica dell ambiente di lavoro! Classificazione e trattamento delle informazioni! Sicurezza degli accessi! Gestione delle postazioni di lavoro! Segnalazione e trattamento degli incidenti di sicurezza 6
7 Ruoli, responsabilità, procedure 1. Stabilire ruoli! Responsabile della sicurezza! Amministratore di sistema! Utente dei servizi 2. Esplicitare le responsabilità per ogni ruolo 3. Attribuire formalmente i ruoli alle persone 4. Scrivere procedure operative 8 Responsabile della sicurezza è incaricato! della definizione e della realizzazione della politica di sicurezza aziendale! di informare la direzione generale sui rischi in materia di sicurezza informatica! di raccogliere le segnalazioni e gestire gli incidenti di sicurezza
9 Sicurezza fisica dell ambiente di lavoro! Controllo degli accessi fisici! Regole comportamentali! Protezione dei locali Classificazione e trattamento delle informazioni 10 Classificazione (esempio)! di dominio pubblico! ad uso interno! riservato Modalità di trattamento (esempio) Trattamento Misure di sicurezza Di dominio pubblico Ad uso interno Riservato Accesso di terze parti Nessuna restrizione Autorizzato previa firma di impegno alla riservatezza Vietato, salvo autorizzazione formale della classificazione del
11 Sicurezza degli accessi! Identificazione degli utenti! Aministrazione degli account e dei privilegi! Revisione periodica di account e privilegi! Gestione delle password! Robustezza! Scadenza! Procedure di login sicuro Dati sensibili > legge sulla privacy > 3 mesi 12 Utilizzo sicuro della postazione di lavoro! Limitazione nell uso e nell installazione dei programmi! Utilizzo coscienzioso della posta elettronica (phishing, apertura allegati sospetti, ecc.)! Utilizzo di antivirus! Utilizzo corretto e sicuro della rete internet (siti vietati, memorizzazione delle password nel browser, ecc)! Accesso non autorizzato alla postazione di lavoro (blocco dello schermo, ecc.)
13 Utilizzo sicuro della postazione di lavoro! Limitazione nell uso e nell installazione dei programmi! Utilizzo coscienzioso della posta elettronica (phishing, apertura allegati sospetti, ecc.)! Utilizzo di antivirus! Utilizzo corretto e sicuro della rete internet (siti vietati, memorizzazione delle password nel browser, ecc)! Accesso non autorizzato alla postazione di lavoro (blocco dello schermo, ecc.) Segnalazione e trattamento degli incidenti di sicurezza! Segnalazione dell incidente al responsabile della sicurezza! Registrazione formale dell incidente! Trattamento dell incidente (ripristino e applicazione contromisure)! Analisi delle cause e responsabilità dell incidente! Eventuale revisione delle politiche d sicurezza. 14