Sicurezza delle informazioni: oltre la tecnologia 27 aprile 2015 Ing. Diego Mezzina 1
Sicurezza delle informazioni: oltre la tecnologia Obiettivo: Fornire una visione d insieme sul concetto di sicurezza delle informazioni e della sua gestione secondo delle norme internazionali (famiglia ISO 27xxx), e secondo i dettami di una normativa italiana cogente (D. Lgs. 196/2003 Codice sulla privacy) Scaletta: Concetti inziali: sicurezza, rischio, sistema di gestione Il sistema di gestione per la sicurezza delle informazioni secondo le norme ISO 27xxx: La normativa sulla privacy e l impatto sulla sicurezza delle informazioni
Concetti iniziali 3
Cosa intendiamo per sicurezza? Sicurezza delle informazioni (information security): Mantenimento delle proprietà di disponibilità, integrità e riservatezza dell informazione: possono essere inoltre coinvolte altre proprietà quali autenticità, responsabilità, non ripudio ed affidabilità Disponibilità (availability): Proprietà di essere accessibile ed utilizzabile dietro richiesta di un entità autorizzata Riservatezza (confidentiality): Proprietà per cui l informazione non è resa disponibile o comunicata a individui, entità o processi non autorizzati Integrità (integrity): proprietà di accuratezza e completezza Autenticità (authenticity): Proprietà per cui un entità è ciò che dice di essere Non ripudio (non-repudiation): capacità di dimostrare l occorrenza di un evento o un azione dichiarata e le relative entità di origine Affidabilità (reliability): proprietà di consistenza tra il comportamento atteso e i risultati Definizioni secondo la norma ISO/IEC 27000:2014
Fattori da considerare 5
Esiste la sicurezza assoluta? Tutto cambia nel tempo Cambiamenti controllati/controllabili in Controlli * Beni aziendali Valore Cambiamenti incontrollati/incontrollabili in Minacce Vulnerabilità Requisiti normativi E allora quale approccio seguire? 6
Il concetto di rischio Rischio (risk): effetto dell incertezza sugli obiettivi Gestione del rischio (risk management): attività coordinate per dirigere e controllare un organizzazione relativamente al rischio Accettazione del rischio (risk acceptance):decisione informata di accettazione di un rischio 7
La tecnologia da sola può essere l unica risposta? tra le minacce alla sicurezza troviamo anche: Social engineering Comportamenti incauti degli addetti Comportamenti dolosi degli addetti Come si possono implementare adeguate contromisure? 8
Il concetto di sistema di gestione Sistema di gestione (management system) Insieme di elementi di un organizzazione collegati o interagenti per stabilire politiche e obiettivi e processi per raggiungere tali obiettivi Un sistema di gestione può riguardare una o più discipline Gli elementi del sistema di gestione possono includere tutte le aree di un organizzazione L ambito del sistema di gestione può riguardare l intera organizzazione o parte di essa Può essere implementato il Sistema di Gestione per la Sicurezza delle Informazioni(SGSI) 9
Il Sistema di Gestione per la Sicurezza delle informazioni e la famiglia di norme ISO 27xxx 10
Definizione di SGSI SGSI (information security management system ISMS) sistema di gestione per la sicurezza delle informazioni: quella parte del sistema di gestione globale, basata su approccio al rischio, per istituire, attuare, operare, monitorare, riesaminare, mantenere e migliorare la sicurezza delle informazioni. Il sistema di gestione comprende la struttura, le politiche, le attività di pianificazione, le responsabilità, le prassi, le procedure, i processi e le risorse dell organizzazione (ISO/IEC 27000:2014)
La famiglia di norme ISO 27xxx per i sistemi di gestione 12
La norma UNI CEI ISO/IEC 27001:2014 E una norma volontaria internazionale certificabile che definisce i requisiti per impostare e gestire un Sistema di Gestione della Sicurezza delle Informazioni (SGSI o ISMS dall'inglese Information Security Management System), ed include aspetti relativi a sicurezza logica sicurezza fisica sicurezza organizzativa.
Ciclo di vita SGSI 14
Approccio al rischio - definizioni Rischio (risk): effetto dell incertezza sugli obiettivi Gestione del rischio (risk management): attività coordinate per dirigere e controllare un organizzazione relativamente al rischio Valutazione del rischio (risk assessment): processo globale di identificazione, analisi e stima del rischio Identificazione del rischio (risk identification): processo di ricerca, riconoscimento e descrizione dei rischi Analisi del rischio (risk analysis): processo per comprendere la natura del rischio e determinarne il livello di rischio Stima del rischio (risk evaluation): processo di comparazione del rischio stimato con dati criteri di rischi per determinare l importanza del rischio Trattamento del rischio (risk treatment): processo di trattamento della scelta e dell attuazione delle misure per modificare il rischio Accettazione del rischio (risk acceptance):decisione informata di accettazione di un rischio 15
Approccio al rischio - visivamente 16
e tutto porta a Dichiarazione di applicabilità (statement of applicability): documento che descrive gli obbiettivi del controllo e i controlli che sono rilevati e applicabili al SGSI dell organizzazione, basato sui risultati e sulle conclusioni dei processi di valutazione del rischio e di trattamento del rischio 17
Altri elementi importanti Ruoli e responsabilità chiari (assegnati e comunicati) Controlli regolari e riesame della direzione Controlli: siccome il sistema cambia, e cambiano anche gli agenti esterni Riesame: per essere sicuri di mantenere la rotta voluta Obbligo al miglioramento continuo Gestione di tutte le non conformità Analisi delle cause, azioni correttive, verifiche di efficacia Miglioramento del sistema nel tempo 18
CONTROLLI 19
Controlli previsti La norma UNI CEI ISO/IEC 27001:2014 prevede 114 controlli 35 categorie 14 sezioni I controlli sono allineati con la norma ISO/IEC 27002:2013 «Information technology Security techniques Code of practice for information security controls» 20
Colpo d occhio sui temi affrontati http://www.iso27001security.com/html/27002.html 21
Le categorie di controllo - 1 Section 5: Information security policies 5.1 Management direction for information security Section 6: Organization of information security 6.1 Internal organization 6.2 Mobile devices and teleworking Section 7: Human resource security 7.1 Prior to employment 7.2 During employment 7.3 Termination and change of employment 22
Le categorie di controllo - 2 Section 8: Asset management 8.1 Responsibility for assets 8.2 Information classification 8.3 Media handling Section 9: Access control 9.1 Business requirements of access control 9.2 User access management 9.3 User responsibilities 9.4 System and application access control 23
Le categorie di controllo - 3 Section 10: Cryptography 10.1 Cryptographic controls Section 11: Physical and environmental security 11.1 Secure areas 11.2 Equipment security 24
Le categorie di controllo - 4 Section 12: Operations management 12.1 Operational procedures and responsibilities 12.2 Protection from malware 12.3 Backup 12.4 Logging and monitoring 12.5 Control of operational software 12.6 Technical vulnerability management 12.7 Information systems audit considerations 13 Communications security 13.1 Network security management 13.2 Information transfer 25
Le categorie di controllo - 5 Section 14: System acquisition, development and maintenance 14.1 Security requirements of information systems 14.2 Security in development and support processes 14.3 Test data 15: Supplier relationships 15.1 Information security in supplier relationships 15.2 Supplier service delivery management Section 16: Information security incident management 16.1 Management of information security incidents and improvements 26
Le categorie di controllo - 6 Section 17: Information security aspects of business continuity management 17.1 Information security continuity 17.2 Redundancies Section 18: Compliance 18.1 Compliance with legal and contractual requirements 18.2 Information security reviews 27
Gestione degli eventi di sicurezza / vulnerabilità Obbligatorio prevederla in modo da poterla attivare quando (non se!) accade qualcosa di inaspettato o anomalo Definizioni Evento relativo alla sicurezza delle Informazioni (o, per brevità, Evento di sicurezza): Identificazione dello stato di un sistema, servizio o rete che indica una possibile violazione delle politiche di sicurezza, un fallimento dei controlli di sicurezza o una situazione precedentemente sconosciuta che può essere rilevante dal punto di vista della sicurezza. Incidente relativo alla sicurezza delle Informazioni (o, per brevità, Incidente di sicurezza): Singolo o serie di eventi relativi alla sicurezza delle informazioni non voluti o inaspettati che hanno una significativa probabilità di compromettere l operatività dell organizzazione e minacciare la sicurezza delle informazioni. Vulnerabilità: debolezza di un sistema o di una contromisura che può essere sfruttata da una o più minacce che possono minare la sicurezza delle informazioni. 28
Un esempio di requisiti cogenti: la normativa sulla privacy e gli impatti sulla sicurezza delle informazioni 29
Il concetto di privacy Nel linguaggio comune privacy significa il diritto di proteggere la propria sfera privata Il termine privacy deriva da un concetto giuridico di fine 800 e significa diritto a essere lasciati soli Nel linguaggio giuridico attuale Privacy significa il diritto di controllare l uso e la circolazione dei propri dati personali. Il diritto alla privacy è un diritto fondamentale delle persone e viene sancito anche dalla Carta dei diritti fondamentali dell Unione Europea (art.8) In Italia: Codice della Privacy (D.Lgs. 196/2003) + Provv. del Garante della privacy 27/11/2008 (Amm. di sistema) 30
Tipologie di dati personali Dato personale, idoneo a rivelare lo stato di salute e la vita sessuale, trattato dagli esercenti le professioni sanitarie e gli organismi sanitari pubblici Dato personale idoneo a rivelare provvedimenti in materia di casellario giudiziale, anagrafe delle sanzioni ammini-strative dipendenti da reato e dei relativi carichi pendenti Dato personale idoneo a rivelare l origine razziale, le convinzioni religiose o filosofiche, le opinioni politiche nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale Qualunque informazione relativa a persona fisica identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione Dato che non può essere associato ad un interessato identificabile 31
Vista sui dati personali Il livello di tutela dei dati personali cresce all aumentare della riservatezza 32
I soggetti coinvolti Passivi Attivi Titolare Responsabile Interessati Amministratore di sistema Incaricato 33
I soggetti coinvolti INTERESSATO: La persona fisica cui si riferiscono i dati personali TITOLARE: La persona fisica, giuridica, la P.A. cui competono le decisioni in ordine alle finalità, alle modalità di trattamento e agli strumenti utilizzati, ivi compreso il profilo della sicurezza RESPONSABILE: La persona fisica, giuridica, la P.A. e preposti dal titolare al trattamento dei dati personali INCARICATO: La persona fisica autorizzata a compiere operazioni di trattamento dal titolare o dal responsabile. AMMINISTRATORE DI SISTEMA: Figura professionale finalizzata alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. 34
Trattamento dei dati Trattamento = Qualunque operazione effettuata sui dati Raccolta, registrazione, utilizzo, consultazione, modificazione, comunicazione, diffusione, cancellazione, distruzione Un trattamento è un processo che contempla tutto il ciclo di vita del dato dalla sua acquisizione alla sua eliminazione I dati personali devono essere trattati per finalità lecite I dati personali trattati devono essere pertinenti e non eccedenti rispetto alle finalità 35
Misure di sicurezza - 1 I dati personali oggetto di trattamento devono venir custoditi e controllati per ridurre al minimo: I rischi di distruzione o perdita I rischi di accesso non autorizzato Il trattamento non consentito o non conforme le finalità Gli strumenti da adottare non sono prefissati ma devono tener conto: Delle conoscenze tecniche acquisite in base al progresso tecnologico Della natura dei dati Delle specifiche caratteristiche del trattamento 36
Misure di sicurezza - 2 Misure Minime Misure individuate dal Legislatore volte ad assicurare un livello minimo di Sicurezza Sono elencate nel Codice e dettagliate nel Disciplinare Tecnico Il non rispetto delle misure minime comporta responsabilità penali Misure Idonee Misure non individuate dal Legislatore, ma suggerite dal contesto tecnologico, dalla natura dei dati trattati e dalle modalità di tratta-mento La scelta e l applicazione di misure idonee è demandata al Titolare del Trattamento Il mancato rispetto delle misure idonee comporta responsabilità civili 37
Misure minime nei trattamenti con strumenti elettronici Autenticazione Informatica Adozione di procedure di gestione delle credenziali di autenticazione Utilizzazione di un sistema di autorizzazione Aggiornamento periodico dell individuazione dell ambito del trattamento consentito agli incaricati e agli addetti Protezione degli strumenti elettronici da accessi illeciti e trattamenti non consentiti Adozione di procedure per il salvataggio e ripristino dei dati Adozione di tecniche di cifratura o di codici identificativi per trattamenti di dati sanitari 38
Misure minime nei trattamenti senza strumenti elettronici Agli incaricati sono impartite istruzioni scritte finalizzate al controllo e alla custodia degli atti e documenti contenenti dati personali I documenti contenenti dati sensibili o giudiziari utilizzati dagli incaricati devono venir custoditi e vigilati fino al termine delle operazioni affidate L accesso agli archivi contenenti dati sensibili o giudiziari è controllato Deve essere presente un registro per gli accessi fuori orario L accesso deve venir preventivamente autorizzato 39
Provvedimento 27 novembre 2008 del G.d.P. - 1 Amministratore di sistema: figura professionale finalizzata alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti Criticità del ruolo: Responsabili di specifiche fasi lavorative che possono comportare rischi elevati rispetto alla protezione dei dati Fiduciari con possibilità di accesso ai dati illimitate e incontrollate Cardini dell attuazione delle misure di sicurezza aziendali 40
Provvedimento 27 novembre 2008 del G.d.P. - 2 Impone ai Titolari dei trattamenti effettuati con strumenti elettronici alcune misure e alcuni accorgimenti di: Ordine amministrativo Ordine tecnico Le incombenze previste possono venir assolte dal Titolare o dal Responsabile esterno (punti d, e) a) Valutazione delle caratteristiche soggettive dei soggetti da designare amministratori di sistema b) Designazioni individuali recanti l elencazione analitica degli ambiti di operatività consentiti 41
Provvedimento 27 novembre 2008 del G.d.P. - 3 c) Gestione degli elenchi delle persone fisiche amministratori di sistema. I nomi devono essere presenti in un documento interno che deve venir aggiornato periodicamente d) Servizi in outsourcing. Il Titolare o il Responsabile esterno devono conservare direttamente gli estremi identificativi degli amministratori di sistema e) Verifica delle attività. L operato degli amministratori di sistema deve essere oggetto di una attività di verifica f) Registrazione degli accessi. Devono essere adottati sistemi idonei alla registrazione degli accessi logici ai sistemi di elaborazione. Le registrazioni devono essere conservate per almeno sei mesi 42
Fine 43