Valutazione indipendente della sicurezza nei sistemi e servizi IT TÜV SÜD
Competenza tecnica e conoscenza degli ambiti merceologici Testing & certificazione di prodotto In ambito chimico, fisico, meccanico, elettrico ed ambientale Ispezione Su prodotti, sistemi, edifici, impianti ed infrastrutture Auditing & certificazione di sistema Qualità, ambiente, sicurezza, energia, information security, responsabilità sociale, continuità operativa Supporto tecnico specialistico Sicurezza, qualità, rischio, energia, compliance regolatoria Training Sistemi di gestione, auditing, ruoli tecnici specialistici Slide 2
Il Gruppo TÜV SÜD in cifre 150 Anni dalla fondazione 800 Sedi nel mondo 2.200 24.000 Fatturato 2015 in milioni di euro Dipendenti nel mondo TÜV TÜV SÜD SÜD 8-Jun-16 Slide 3
La trasformazione digitale si estende a tutti i processi, cambiando i modelli di business e aumentando l esposizione al rischio in tutti i settori Il rischio digitale è trasversale ai processi ed ai settori produttivi 1990 2000 2016 e oltre Bancario Servizi Online Infrastrutture critiche Processi Settori Processi digitali Processi integrati Transazioni Dispositivi connessi Big data Smart data Servizi mobili Servizi pubblici Cloud SPID, eidas IoT Slide 4
Lo stato globale dell Information Security Fonte: PricewaterhouseCoopers s Global State of Information Security Survey 2016 Il numero totale di incidenti di sicurezza rilevati è aumentato del 38% dal 2014 al 2015 Il furto di proprietà intellettuale è aumentato del 56% nel 2015 Slide 5
Principali fonti di incidenti di sicurezza Fonte: PricewaterhouseCoopers s Global State of Information Security Survey 2016 Slide 6
Principali contromisure di sicurezza Fonte: PricewaterhouseCoopers s Global State of Information Security Survey 2016 Slide 7
Ripartizione della spesa per la sicurezza IT (2016 e per il 2017) Fonte: SANS Institute, Spending Trends 2016 Slide 8
Nelle infrastrutture critiche la normativa si sviluppa col progredire del cyberthreat High Insurance Banks Trasporti Energia e Utility Health Care Real Estate Diversified Financials Government Livello attuale di cyber security e regolament azione sulla privacy Food, Beverage & Tobacco Pharma, Bio-tech & Life Science Capital Goods Servizi commerciali e professionali TLC Automobiles & Components Media Technology Hardware Semiconductors Software & Services Retailing Low Consumer Staples Industrials Energy & Utilities Health Care Industrials Telecommunication Consumer Discretionary Financials Information Technology Government High Livello di minaccia cyber Regolate da leggi sulla cyber security in più nazioni Non regolate da leggi sulla cyber security in più nazioni Definite come infrastrutture critiche in più di 10 nazioni Nota: riferito ad analisi del US Department of Homeland Security Slide 9
Le nazioni a più alto rischio cyber tendono ad avere una legislazione più pesante sulla sicurezza IT e sulla protezione dei dati 110 France Germany 100 Spain Spain Canada India United Kingdom 90 USA Livello attuale di cyber security e regolamentazione sulla privacy 80 Columbia Ireland Italy 70 Malaysia 60 Argentina United Arab Emirates Mexico Poland Taiwan Brazil Singapore Turkey South Korea Japan 50 40 South Africa Russia China Indonesia 30 Chile 20 0 2 4 6 8 10 12 Livello di minaccia cyber Note: The above chart is an estimation and is for illustrative purposes only. Slide 10
Una strategia di sicurezza IT ad ampio raggio aiuta a contrastare le crescenti minacce Servizi tecnici Per limitare il rischio Sistema di gestione Per la conformità normativa Servizi reattivi Per contenere i danni Benefici Velocità nella risposta Creazione di security control points Monitoraggio incidenti di sicurezza Tutela dati sensibili Leggi nazionali Requisiti per la Supply chain Standard industriali Velocizzare il tempo di risposta Identificazione di data breaches Identificazione dati sensibili persi Identificazione vulnerabilità Servizi Vulnerability assessment ISO/IEC 27001 IT security forensics Penetration testing ISO 22301 Breach response team Assessment di sicurezza IT ISO/IEC 20000 Assessment sulla Data protection TL 9000 Data protection officer PCI compliance Audit di seconda parte s@fer shopping certification Certificazione di Data Center Security as a service Slide 11
Raggiungete gli obiettivi di sicurezza IT attraverso l impegno del management e l adozione di soluzioni tecniche 80% impegno del management Stabilire requisiti Seguire il quadro normativo Definire le responsabilità Sviluppare consapevolezza Definire i processi Misurare / analizzare / easure/report/evaluate Attuare le contromisure Assicurare il miglioramento continuo 20% processi tecnici Sistemi, tool, architetture, ecc. Slide 12
Servizi per la sicurezza IT Servizi tecnici Per limitare il rischio Vulnerability Assessment Penetration Testing Assessment di sicurezza IT Assessment sulla Data protection Data protection officer Audit di seconda parte ISO/IEC 27001 ISO 22301 ISO/IEC 20000 TL 9000 Sistemi di gestione Per la conformità normativa PCI compliance s@fer shopping certification Certificazione di Data Center Servizi reattivi Per contenere i danni IT security forensics Breach response team Slide 13
Servizi per la sicurezza IT Servizi tecnici Per limitare il rischio Vulnerability Assessment Penetration Testing Assessment di sicurezza IT Assessment sulla Data protection Data Protection Officer Audit di seconda parte Organizzazioni destinatarie e motivazioni Le organizzazioni dotate di infrastrutture IT aventi rilevanza per il business devono periodicamente accertare la loro esposizione alle minacce interne ed esterne Branch di multinazionali o provider di servizi IT devono accertare e garantire la conformità normativa (es.: ISO 27018), oppure legata a specifici contratti, o a Corporate Guidelines Chi gestisce dati personali e sensibili (soggetti alla normativa sulla privacy) può beneficiare di valutazioni indipendenti dello stato dell arte della Data Protection Il ricorso massivo all outsourcing di servizi IT impone l effettuazione di valutazioni indipendenti ed esperte a fornitori con riferimento Slide 14
Servizi per la sicurezza IT Sistemi di gestione Per la conformità normativa ISO/IEC 27001 Organizzazioni destinatarie e motivazioni ISO 22301 ISO/IEC 20000 TL 9000 PCI compliance s@fer shopping certification Certificazione di Data Center Le certificazioni di sistema del mondo ISO permettono alle organizzazioni di inquadrare la gestione dei processi di security nell ambito del business management system Le certificazioni proprietarie (PCI, s@fer shopping) aggiungono valore alle certificazioni di sistema e sono sector-specific La valutazione secondo TIA 942 è sempre più richiesta a IT provider da contratti pubblici e privati Slide 15
Case study: Proteggere i dati dei clienti di Expedia come elemento di vantaggio competitivo Expedia Business challenge Assicurare i clienti della sicurezza dei propri dati personali e delle prenotazioni online La soluzione Certificazione s@fer shopping, che consente una valutazione completa e sistematica della performance di sicurezza del sito tedesco di Expedia Fornire ad Expedia un framework di sicurezza cross-platform Benefici per il cliente Miglioramento di sicurezza ed usabilità del sito Impegno a garantire la sicurezza dei dati personali validato da una terza parte Miglioramento della brand reputation nel segmento di mercato grazie all affidabilità delle transazioni Slide 16
TÜV Italia S.r.l. Minimizzare i rischi. Ottimizzare i risultati danilo.diomede@tuv.it tuv.ms@tuv.it Slide 17