Consulenza, soluzioni e servizi per l ICT Security & Compliance Governance CASO DI STUDIO Copyright 2011 Lutech Spa
Introduzione All interno della linea di offerta di Lutech il cliente può avvalersi del servizio di outsourcing dell intero processo di Security & Compliance Governance per una gestione a 360 gradi della sicurezza IT e della compliance. Nello stesso perimetro di intervento, Lutech offre anche servizi consulenziali on-site. In questo contesto viene presentato un caso di studio che ricopre i seguenti ambiti: Gestione del Framework Documentale di Information Security & Privacy Governance Strumenti evoluti Compliance Governance (D.Lgs 196/03, D.Lgs 231/01, Legge 18 marzo 2008, n. 48 sui crimini informatici, ecc.) Gestione degli obblighi di legge Vigilanza sugli adempimenti normativi Risk analysis Awareness e formazione Monitoraggio delle normative Security Governance Verifiche continuative degli obiettivi di controllo definiti nel Framework Documentale PMO delle azioni di remediation Risk analysis a 360 gradi (integrata con la precedente) Ethical Hacking (VA e PT) su contesti critici individuati in funzione della RA
Caso di studio Lutech ha avviato un programma quinquennale con il Cliente, al fine di analizzare lo stato di sicurezza dei sistemi informativi e del livello di compliance organizzativo, documentale e tecnologico alle normative di interesse. Il Cliente presenta una struttura articolata in Società e Business Unit e di una consortile (Società di Servizi) che ha in carico la gestione dei servizi informativi e amministrativi (gestione del personale) per tutte le società appartenenti al Gruppo.
Gestione Framework Lutech ha redatto il Framework Documentale Information Security & Privacy Governance in cui vengono raccolte le evidenze per ogni controllo di sicurezza definito, al fine di poter fornire un riscontro concreto sullo stato della sicurezza organizzativo/procedurale del Cliente. Il Framework è composto dai controlli di sicurezza provenienti dalla ISO27001, dalle principali normative (Privacy, Legge n 48, 231, ecc.) e dai risultati provenienti dalle attività di Vulnerability Assessment & Penetration Test. Elenco delle normative Elenco dei controlli
Gestione Framework > Strumenti evoluti: IBM Openpages
Compliance Governance
Compliance Governance > Gestione degli obblighi di legge Lutech garantisce al Cliente la compliance documentale e delle misure di sicurezza IT, prendendosi carico della redazione del Documento Programmatico sulla Sicurezza e di tutte le attività correlate: definizione del quadro organizzativo privacy (Titolare, Responsabili interni/esterni, Incaricati, Amministratori di Sistema) censimento dei trattamenti effettuati (dati, strumenti utilizzati, soggetti incaricati, luoghi di custodia, tipo di supporto, tipologia di accesso, ecc.) censimento dei trattamenti esterni per i quali si consente il trattamento analisi dei rischi (identificazione di assets, threats, safeguards, ecc.) censimento e analisi delle misure di sicurezza (minime, idonee e to-be) Consolidamento e/o redazione delle Lettere di nomina (nomina degli incaricati, dei responsabili interni/esterni del trattamento e dei contitolari). Analisi e indicazioni di consolidamento delle Informative, Consensi, Notifiche e Autorizzazioni In merito al D.Lgs 231/01, Lutech ha redatto la sezione relativa ai reati informatici del Modello Organizzativo includendo quali sono i reati informatici e l ambito in cui si possono verificare questi reati in relazione al tipo di attività svolta dal Cliente
Compliance Governance > Verifiche Lutech svolge periodicamente delle attività di Assessment, in cui tramite delle interviste ai Responsabili di riferimento, va a popolare il Framework di Information Security & Privacy Governance con l obiettivo verificare gli aspetti di security e compliance nonché, successivamente monitorare le azioni di remediation avviate. Esito dell assessment
Compliance Governance > Risk 1 di 2 Lutech svolge le attività di Analisi e Trattamento dei Rischi, adottando la metodologia MAGERIT sviluppata dal CSAE (Consejo Superior de Administración Electrónica - Higher Council for Electronic Government) nell ambito del Ministerio de Administraciones Públicas spagnolo. Questa metodologia è implementata dallo strumento automatizzato PILAR, attualmente impiegato dalla NATO e dall European Network and Information Security Agency (ENISA).
Compliance Governance > Risk 2 di 2 A seguito dell identificazione di asset, minacce e contromisure, il software PILAR calcola il livello di Rischio residuo: Rischio potenziale senza misure di sicurezza Rischio residuo con misure idonee Rischio residuo con misure minime
Compliance Governance > Awareness Lutech oltre a vigilare sugli adempimenti derivanti dagli obblighi di legge, svolge attività di sensibilizzazione volte a promuovere l importanza della protezione dei dati personali e le responsabilità che scaturiscono dal trattamento di essi Nel portafoglio Lutech sono inclusi anche corsi di formazione on-site per Amministratori di Sistema, Responsabili Interni ed incaricati, volti a sensibilizzare il personale sui diversi modi in cui i dati personali vengono raccolti, conservati, utilizzati e condivisi.
Compliance Governance > Monitoraggio normative Oltre al processo di Security & Compliance Governance e alle altre attività offerte, Lutech vigila costantemente alla ricerca di nuove Leggi, normative, provvedimenti, linee guida e standard internazionali che possano interessare anche l attività del Cliente Tutti gli aggiornamenti vengono poi inseriti all interno del Framework Documentale Information Security & Compliance Governance Nuovo provvedimento del 2010 Nuovi controlli
Security Governance
Security Governance > PMO Il Framework Documentale permette di avere il quadro completo sullo stato di avanzamento del processo di Security & Privacy Governance. Dopo aver completato il popolamento, Lutech si accorda con il Cliente sulle remediation necessarie e vigila costantemente sull implementazione di tali.
Security Governance > Risk Analysis 360 1 di 2 Periodicamente Lutech svolge il censimento a 360 di tutte le risorse utilizzate per il trattamento delle informazioni (banche dati, software, hardware, supporti di memorizzazione, personale coinvolto nel trattamento, ecc). Asset identificati nel contesto Minacce identificate per ogni Asset Impatto per ogni dominio di sicurezza
Security Governance > Risk Analysis 360 2 di 2 Tutte le informazioni raccolte vengono inserite all interno del Framework per contribuire al calcolo del rischio residuo. È possibile integrare anche evidenze provenienti da altre tecnologie (data discovery, data leakage monitoring, data access audit, ecc.)
Security Governance > Ethical Hacking 1 di 3 Tra le attività in outsourcing che Lutech svolge periodicamente, è presente anche l attività di Vulnerability Assessment & Penetration Test, il cui scopo è quello di valutare il livello di sicurezza dell infrastruttura, simulando l attacco di un utente malintenzionato. Vengono eseguiti dei test di sicurezza basandosi sulle problematiche evidenziate durante il processo di Security & Compliance Governance e durante la Risk Analysis, alternando attività manuali ad attività semi-automatiche e facendo uso di particolari strumenti di sicurezza. Target intelligence Intelligence Gathering Vulnerability Analysis Vulnerability Testing (Active/Passive) Vulnerability Validation (public research, target list definition) Attack avenues (attack tree definition, protection mechanism identification) Vulnerability Exploitation Exploitation Post- Exploitation Password cracking Configuration harvesting Pivoting Mantain access
Security Governance > Ethical Hacking 2 di 3 Al termine dell attività Lutech rilascia il Penetration Test Report, il cui obiettivo è quello di presentare al Cliente i problemi di sicurezza rilevati e le possibili remediation da implementare. I risultati vengono infine inseriti all interno del Framework Documentale Information Security & Privacy Governance Esempio criticità emerse: Executive summary, che contiene una descrizione ad alto livello dell attività, delle problematiche riscontrate e delle modalità con cui porvi rimedio Dettaglio dell attività, che contiene i dettagli metodologici, il ToE, le limitazioni, etc. Technical Summary, che contiene tutti i dettagli esecutivi dell attività. Ogni vulnerabilità è rappresentata graficamente su una tabella detta Vulnerability Status Remediation Plan, che contiene le azioni da mettere in atto per risolvere le problematiche
Security Governance > Ethical Hacking 3 di 3 I risultati provenienti dall attività di Vulnerability Assessment & Penetration Test vengono infine inseriti all interno del Framework Documentale Information Security & Privacy Governance: Remediation suggerite Termine concordato per l implementazione
Dove siamo Direzione e Sede Operativa Via W.A. Mozart 47, 20093 Cologno Monzese (MI) Tel. +39-02-25427011 Fax +39-02-25427090 Sede di Roma Via A. Mantegna 4, Parco Leonardo 00054 Fiumicino (RM) Tel. +39-06-227501 Fax +39-06-22771542 Altre sedi a Torino, Modena, Firenze, Bari Email info@lutech.it Web http://www.lutech.it