ELEMENTI DI RISK MANAGEMENT & ICT GOVERNANCE HIGHLIGHTS L analisi e la gestione dei rischi nel contesto della Information Security Domenico Carnicella DataConSec Srl
RISK-BASED THINKING Il Risk-based thinking... è il processo che dimostra che l organizzazione comprende quali siano i rischi attinenti ai propri sistemi/processi e che possono influenzare la capacità di raggiungere gli obiettivi previsti È dunque necessario produrre le evidenze che dimostrano che i rischi sono stati identificati e che sono state previste le azioni proporzionali alle conseguenze. I rischi sono dinamici e cambiano con il passare del tempo quindi questo approccio è continuativo e non si esegue una volta sola. L analisi e la gestione dei rischi indica dunque quando l organizzazione ha identificato rischi ed opportunità e deve decidere come gestirli. Verifica e misurazione della proporzionalità tra le azioni da intraprendere e l effetto atteso sulla conformità del prodotto/servizio o sull organizzazione in generale (obiettivi) Data Protection - Consulting - Security 2
RISK ISO 31000-BASED Definizione di rischio ISO 31000 come l effetto dell incertezza sugli obiettivi, con una valutazione del rischio che è il processo complessivo di identificazione, analisi e ponderazione del rischio. I fattori umani ed organizzativi devono essere presi in considerazione quando si valutano i rischi. Le persone costituiscono infatti importanti fonti di incertezza a seconda delle attitudini, del comportamento, percezioni, cultura, bisogni, competenze, abilità di comprensione ed esperienza In definitiva le attività di risk assessment devono essere sistematiche, logiche e condotte in modo strutturato per produrre risultati adeguati e massimizzare efficacia, efficienza, ripetibilità e difendibilità. Le attività devono anche essere intraprese al livello adeguato alla decisione da prendere e al tipo di risultato desiderato. Data Protection - Consulting - Security 3
AMBITO DI APPLICAZIONE RISK-BASED D.lgs. 231/01 Resp. Amm. Enti Sicurezza sul lavoro DL 81/08 Ambiente 360 Trasparenza/Corruzione P.A.- A.N.AC. Privacy Data protection EU P.I.A. Assicurativo finanziario (da sempre ) Business continuity BIA Norme ISO (High Level Structure) ISO9001:2015 Sistemi di gestione per la qualità ISO14001:2004 Sistemi di gestione ambientale ISO50001:2011 Sistemi di gestione dell energia ISO22000:2005 Sistemi di gestione della sicurezza nel settore agroalimentare ISO/IEC 27001:2013 Sistemi di gestione della sicurezza delle informazioni ISO20121:2012 Sistemi di gestione della sostenibilità degli eventi ISO39001:2012 Sistemi di gestione della sicurezza stradale ISO13485:2003 Sistemi di gestione per la qualità nel settore medicale Data Protection - Consulting - Security 4
IL PROCESSO/SISTEMA DI GESTIONE DEL RISCHIO Definizione del contesto Valutazione del rischio Trattamento del rischio Uno dei modi più diretti per eseguire tale processo è quello dell adozione della metodologia definita nella ISO 31001:2010 Data Protection - Consulting - Security 5
IL PROCESSO/SISTEMA DI GESTIONE DEL RISCHIO metodologia definita nella ISO 31001:2010 Data Protection - Consulting - Security 6
RISK ASSESSMENT Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat Data Protection - Consulting - Security 7
RISK MANAGEMENT Data Protection - Consulting - Security 8
DI COSA HA BISOGNO UN ORGANIZZAZIONE PER GESTIRE CONCRETAMENTE I RISCHI RELATIVI ALLA SICUREZZA DELLE INFORMAZIONI? 1. Decisioni aziendali riguardo come il rischio debba essere gestito (strategia, principi, politiche, standard etc.); Sapere cosa deve essere protetto (inventario, classificazione delle informazioni, asset ) Misurare il rischio dell organizzazione rispetto al contesto (es. mercato) Sapere quanto rischio l organizzazione è disposta ad accettare (tolleranza del rischio/propensione); Una comprensione di chi accetta il rischio per conto dell organizzazione (comprensione e adesione) Un metodo o un processo per comprendere il rischio e come trattarlo (valutazione dei rischi, trattamento dei rischi) Un metodo per comunicare in modo effettivo le responsabilità e i doveri (rischio di escalation e decisioni) Un insieme di requisiti bilanciato e completo Un metodo o un processo per gestire le aspettative degli stakeholder; Un framework comune per mettere tutto insieme (ISO 31000) LA SICUREZZA DELL INFORMAZIONE DEVE ESSERE UN SISTEMA DI GESTIONE CONTINUAMENTE OPERATIVO Data Protection - Consulting - Security 9
RISK MANAGEMENT (modelli) Data Protection - Consulting - Security 10
RISK & DATA PROTECTION Data Protection - Consulting - Security 11
GESTIONE INTEGRATA DEL SISTEMA DI SICUREZZA DELLE INFORMAZIONI (Framework di riferimento: ISO/IEC 27001:2014) Approcciare il percorso di ICT Governence & Compliance (in relazione alle criticità riscontrate ed in riferimento alle norme di riferimento analizzate) come un progetto integrato, coordinato e sinergico, strutturato in modo che i vari step di compliance siano propedeutici alla realizzazione di quelli successivi. Data Protection - Consulting - Security 12