Information technology e sicurezza aziendale Como, 22 Novembre 2013
Contenuti Reati informatici 231 Governo della Sicurezza Data Governance 1
D.Lgs 231/01 e gestione dei dati Le fattispecie di reato previste dal D.Lgs. 231/01, con particolare riferimento ai crimini informatici e i reati in materia di violazione di diritti d autore hanno un riflesso sui processi aziendali di gestione dei dati. FATTISPECIE DI REATO (Principali) Falsità in un documento informatico pubblico o privato. Detenzione e diffusione abusiva di codici di accesso a sistemi informatici. Danneggiamento di informazioni, dati e programmi informatici. Danneggiamento di sistemi informatici o telematici. Frode informatica. Riproduzione, trasferimento su altro supporto, distribuzione, comunicazione, presentazione o dimostrazione in pubblico, del contenuto di una banca dati. EFFETTI SULLA GESTIONE DEI DATI Implementazione di controlli di sicurezza per l integrità, confidenzialità e disponibilità di dati, informazioni e documenti informatici aventi efficacia probatoria. Definizione di modelli di Segregation of Duties e politiche di controllo degli accessi logici e fisici alle informazioni. Implementazione di meccanismi di preservazione dei log degli eventi e degli accessi di sistema. Adozione di sistemi di backup, di continuità e di adeguate politiche di recovery. Definizione di politiche di controllo sull operato degli outsourcer e assessment dei rischi derivanti dall outsourcing di dati e servizi. 2
Governo della Sicurezza Misure e controlli Nell ambito della definizione dei presidi a copertura dei rischi legati ai reati 231, intervengono misure e controlli appartenenti all ambito della sicurezza informatica. Mitigazione dei rischi Un approccio adeguato al tema della Security Governance diventa necessario al fine di mitigare rischi in grado di consentire la distruzione, la compromissione o l accesso non autorizzato al patrimonio informativo aziendale. Security Risk Process Data Governo delle informazioni In tale contesto un modello strutturato di Governo delle Informazioni rappresenta l approccio per la gestione e il presidio integrato di tali rischi. 3
Data Governance SECURITY GOVERNANCE Obiettivi ALLINEAMENTO TRA BUSINESS E SECURITY Garantire l allineamento delle soluzioni di sicurezza agli obiettivi di business dell azienda Security Governance DATA SECURITY GOVERNANCE SICUREZZA OPERATIVA Supportare i processi di business attraverso l adozione di standard ed infrastrutture di sicurezza in linea con i requisiti di compliance Risk Management IT Risks Data Governance IT Security IT Governance INFORMATION SECURITY MISURABILITÀ DELLE PERFORMANCE Conseguire benefici tangibili e misurabili dagli investimenti in sicurezza mediante la supervisione trasversale all azienda delle iniziative intraprese Laws & regulations Compliance 4
Data Governance Information Life Cycle La Data Governance richiede: l adozione di un programma che supporti l Azienda nella gestione delle diverse tipologie di informazioni durante il loro intero ciclo di vita, considerando i diversi aspetti inerenti a ciascuna fase. Maintain / Retain Dispose Information Life Cycle Use / Retrieve Create / Receive Distribute CREATE / RECEIVE DISTRIBUTE Creazione da parte del personale aziendale Creazione da parte di Terze Parti Creazione da parte di sistemi e di applicazioni Classificazione delle informazioni Privilegi di accesso Luoghi di archiviazione Acquisizione mediante attività di M&A Acquisizione previo NDA o licenza Digital Rights Management Modalità di trasmissione / comunicazione USE / RETRIEVE Autenticazione utenti Uso probatorio durante procedimenti legali Accesso/utilizzo limitato a determinati dispositivi e Condivisione con Terze Parti in determinati siti Mantenimento della qualità/integrità MAINTAIN / RETAIN DISPOSE Requisiti di conservazione Strategie di archiviazione/storicizzazione Garanzia della disponibilità Analisi costi-benefici del mantenimento/ cancellazione delle informazioni Gestione dei supporti di memorizzazione Capitalizzazione del valore delle informazioni per l Azienda Procedure di cancellazione sicure e nel rispetto della compliance 5
Data Governance Indicatori di esigenza La Data Governance è l insieme di processi e di strumenti tesi a garantire l efficace gestione, in termini di valorizzazione e di protezione delle informazioni aziendali, durante il loro intero ciclo di vita. Indicatori di esigenza di un programma di Data Governance: Incidenti con violazione della confidenzialità delle informazioni / Sanzioni comminate Assenza di policy e di procedure per l adempimento degli obblighi di compliance Dispose Create / Receive Identificazione di criticità o di rischi nell accesso, nella conservazione e nel trattamento delle informazioni Maintain / Retain Information Life Cycle Use / Retrieve Security Policy & Process Refinement Distribute Incidenti di sicurezza IT Operazioni straordinarie / rilevanti: fusioni, acquisizioni, dismissioni, partnership, outsourcing di processi di business / sistemi, etc. Mancanza di policy e di processi per la gestione delle informazioni: classificazione, monitoraggio, etc. Incompleta mappatura dei punti di archiviazione / replica delle informazioni aziendali e dei diritti di accesso agli stessi Rischi / criticità relativi all infrastruttura per il monitoraggio e per il controllo dell accesso alle informazioni (staffing, strumenti, etc.) 6
Data Governance Benefici Molteplici sono i benefici derivanti dalla adozione di un framework di Data Governance e dall implementazione di un processo di Classificazione delle Informazioni aziendali. Riduzione dei rischi di compromissione del patrimonio informativo Pianificazione strutturata di interventi migliorativi sui processi e sull infrastruttura informatica Consapevolezza del personale circa il livello di sensibilità delle informazioni e delle procedure da adottare per la loro tutela Riduzione dei costi di gestione delle informazioni non business - critical e dei costi derivanti da procedimenti sanzionatori Incremento della conoscenza e del controllo sul patrimonio informativo 7
Enrico Ferretti Andrea Gaglietto Via Tirso, 26-00198 Roma Direct: +39 06 420498202 Mobile: +39 346 7981427 enrico.ferretti@protiviti.it www.protiviti.it Via Tiziano, 32-20145 Milano Direct: +39 02 6550 6301 Mobile: +39 345 2517411 andrea.gaglietto@protiviti.it www.protiviti.it Powerful Insights. Proven Delivery.TM Powerful Insights. Proven Delivery.TM Daniele Pasini Via Tiziano, 32-20145 Milano Direct: +39 02 6550 6301 Mobile: +39 349 2646177 daniele.pasini@protiviti.it www.protiviti.it Powerful Insights. Proven Delivery.TM
9