<Insert Picture Here> Security Summit 2011 Milano

Похожие документы
Politica per la Sicurezza

Informazioni aziendali: il punto di vista del Chief Information Security Officer ed il supporto di COBIT 5 for Information Security

PARTE 1. La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone

Classificare e proteggere i dati

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS)

Information technology e sicurezza aziendale. Como, 22 Novembre 2013

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS)

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS)

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

PIANO PER LA SICUREZZA DEI DOCUMENTI INFORMATICI

PCI DSS ISTRUZIONI OPERATIVE

Fatturazione Elettronica PA Specifiche del Servizio

UNA PIATTAFORMA SICURA PER I PAGAMENTI ONLINE

Direzione Centrale Sistemi Informativi

Policy sulla Gestione delle Informazioni

SCHEDA DEL CORSO Titolo: Descrizione: competenze giuridiche e fiscali da un lato, tecniche ed organizzative dall altro.

Associazione Italiana Information Systems Auditors

1- Corso di IT Strategy

La ISA nasce nel Servizi DIGITAL SOLUTION

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

Sistemi informativi secondo prospettive combinate

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

Specifiche Tecniche CARATTERISTICHE TECNICHE GENERALI MINIME PER LA GESTIONE DEL SERVIZIO

PIANO PER LA SICUREZZA DEI DOCUMENTI INFORMATICI

Conservazione Sostitutiva. Verso l amministrazione digitale, in tutta sicurezza.

FORMAZIONE AVANZATA IL CONSERVATORE DEI DOCUMENTI DIGITALI

CATALOGO SERVIZI

Gartner Group definisce il Cloud

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

Esperienze di analisi del rischio in proggeti di Information Security

Faber System è certificata WAM School

UNIDATA S.P.A. Per la Pubblica Amministrazione. Compatibile con. giovedì 23 febbraio 12

2 Giornata sul G Cloud Introduzione

Protezione delle informazioni in SMart esolutions

MANUALE DI CONSERVAZIONE

IT Cloud Service. Semplice - accessibile - sicuro - economico

Firma Digitale, Posta Elettronica Certificata, Conservazione Sostitutiva: gli strumenti per la dematerializzazione

Tecnologie di protezione dei diritti di proprietà intellettuale: DRM e 3D watermarking. Francesca Uccheddu MICC Università di Firenze

C Cloud computing Cloud storage. Prof. Maurizio Naldi

Allegato 5. Definizione delle procedure operative

Docsweb Digital Sign: la Firma Grafometrica

I dati : patrimonio aziendale da proteggere

Gestione degli Access Log degli Amministratori di Sistema La soluzione per ottemperare agli obblighi del Garante Privacy

MAXPRO. Cloud SERVIZI DI VIDEOSORVEGLIANZA IN CLOUD HOSTING A TUTELA DELLA VOSTRA AZIENDA. Videosorveglianza - sempre e ovunque

Informativa sulla privacy

COMUNICATO. Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy

Le Soluzioni Tango/04 per adempiere alla normativa sugli amministratori di sistema

La certificazione dei sistemi di gestione della sicurezza ISO e BS 7799

Sommario. Oracle Database 10g (laboratorio) Grid computing. Oracle Database 10g. Concetti. Installazione Oracle Database 10g

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3.

La soluzione software per Avvocati e Studi legali

Il controllo operativo nell area produzione - approvigionamenti. Corso di Gestione dei Flussi di informazione

ARCHIVIAZIONE DOCUMENTALE

SOFTWARE A SUPPORTO DELLA GESTIONE AMMINISTRATIVA DELLO SPORTELLO UNICO SPECIFICA DEI REQUISITI UTENTE

INDICE. Istituto Tecnico F. Viganò PROCEDURA PR 01. Rev. 2 Data 20 Maggio Pagina 1 di 9 TENUTA SOTTO CONTROLLO DEI DOCUMENTI

Sicurezza informatica in azienda: solo un problema di costi?

Nota informativa sulla Firma Grafometrica.

LINEE GUIDA PER LA PREDISPOSIZIONE DEL DOCUMENTO DI PROGETTO DEL SISTEMA DI GIOCO

Strategie e Operatività nei processi di backup e restore

Capire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati.

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

la GESTIONE AZIENDALE software on-line

PROTOCOLLO INFORMATIZZATO, PROTOCOLLO INFORMATICO E GESTIONE DOCUMENTALE. Maggio 2006

Studio Informatica Forense e sicurezza Informatica

BOZZA. Attività Descrizione Competenza Raccolta e definizione delle necessità Supporto tecnico specialistico alla SdS

Prodotti e Soluzioni. Dispositivi Crittografici HSM 8000

La Soluzione per CdA e Top Management. La soluzione è Secure Board by Boole Server

Nuove disposizioni di vigilanza prudenziale per le banche La gestione delle utenze amministrative e tecniche: il caso UBIS

LA FORMAZIONE E LA CONSERVAZIONE DELLA MEMORIA DIGITALE

Business Process Management

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona

WORKSHOP Riorganizzazione aziendale: ri-partenza per lo sviluppo 30/11/2012

<Insert Picture Here> Il contributo dei sistemi di Identity nella mitigazione del rischio legato all esternalizzazione di servizi Stefano Vaglietti

La migliore soluzione per la sicurezza documentale

Iniziativa : "Sessione di Studio" a Roma

RAZIONALIZZARE LE RISORSE DOCUMENTALI PER RIDURRE I COSTI OPERATIVI E AUMENTARE L EFFICIENZA IN UFFICIO COUNT ON US.

La certificazione CISM

SISTEMA UNICO E CENTRALIZZATO

EasyCloud400. Il tuo AS/400. Come vuoi, quanto vuoi. Telecomunicazioni per l Emilia Romagna. Società del Gruppo Hera

Software sistemi integrati Qualità. Sicurezza. Ambiente

Nota informativa sulla Firma Grafometrica.

Gestione Unica Utenti End User Support and Application Management Services

Bollettino Ufficiale della Regione Puglia n. 177 del

la possibilità di usufruire di un sistema di gestione documentale.

Seminario formativo. Firma Digitale

Continuità operativa e disaster recovery nella pubblica amministrazione

I Sistemi di Gestione Integrata Qualità, Ambiente e Sicurezza alla luce delle novità delle nuove edizioni delle norme ISO 9001 e 14001

Gestire e conoscere i clienti

NOTE TECNICHE allegate al MANUALE OPERATIVO ALLA CLIENTELA PER GLI ADEMPIMENTI VERSO DI ESSA PRESCRITTI IN MATERIA DI FIRMA ELETTRONICA AVANZATA

Lo schema complessivo con cui opera il servizio è quello rappresentato in figura. 1

Транскрипт:

<Insert Picture Here> Security Summit 2011 Milano Information Life Cycle: il governo della sicurezza nell intero ciclo di vita delle informazioni Jonathan Brera, KPMG Advisory S.p.A.

I servizi di Security & compliance KPMG KPMG nel mondo KPMG è presente in 150 paesi... personale complessivo di circa 138.000 unità... ricavi aggregati di oltre US$ 20,6 miliardi... un incremento del 2,6% rispetto all esercizio precedente KPMG offre servizi di Advisory multidisciplinari

I servizi di Security & compliance KPMG La Value Proposition di IT Advisory in Italia IT Strategy and Performance Security and IT Risk & Compliance IT Solutions IT Strategy and Plan IT Architecture & Innovation Strategic Sourcing IT Governance and Organization Post Merger Integration IT Attestation & Compliance IT Risk Management Information Protection & Business Resilience Business System Controls IT Audit IT Due Diligence IRM in the External Audit Business Intelligence & Performance ERP Solutions Business Process Management & EAI Knowledge Management Multimedia Integrated Platform IT Project Advisory

Elementi di rischio per il patrimonio informativo Autenticità ed affidabilità dei dati e delle informazioni Utilizzo di mobile devices Accessi non autorizzati Utilizzo non legale delle informazioni DATA & INFORMATION Gestione inaccurata delle informazioni Hacking Insider threat Careless talking

Data Loss Barometer Quali sono le principali cause di incidenti di sicurezza? Riferimento: www.datalossbarometer.com by KPMG International

L Information LifeCycle (ILC) Concetto generalmente associato alle soluzioni di storage ed in particolare agli aspetti di policy, infrastrutture, strategie Focus sulle diverse fasi di vita dell informazione al fine di identificarne gli elementi di sicurezza rilevanti, congiuntamente agli aspetti di compliance normativa cogenti Acquisizione Distruzione Quali dati? Dove si attestano? Come sono utilizzati? Quali formati? Per quali finalità? Conservazione Trasmissione Consultazione Trasformazione Elaborazione Riproduzione / duplicazione

ILC Security correlata ai dati personali Trattamenti diffusi e pervasivi in ambito aziendale Numerosi aspetti di compliance normativi correlati Altissimo impatto di immagine verso il mercato Ciclo di vita dei dati personali Acquisizione Conservazione Elaborazione Consultazione Trasmissione Distruzione Correttezza nelle modalità di acquisizione (informative consensi) Validità delle fonti (e.g. nuova normativa di Telemarketing) Non eccedenza delle informazioni Misure di protezione specifiche per i dati personali particolari (DDT, giudiziari, sensibili ) Cifratura dei dati Tempistiche di conservazione

ILC Security correlata ai dati personali Trattamenti diffusi e pervasivi in ambito aziendale Numerosi aspetti di compliance normativi correlati Altissimo impatto di immagine verso il mercato Ciclo di vita dei dati personali Acquisizione Conservazione Elaborazione Consultazione Trasmissione Distruzione Corretta gestione attività di di profiling ) Definizione dei profili autorizzativi di accesso Logging delle attività Regolamentazione degli accessi da parte di soggetti terzi

ILC Security correlata ai dati personali Trattamenti diffusi e pervasivi in ambito aziendale Numerosi aspetti di compliance normativi correlati Altissimo impatto di immagine verso il mercato Ciclo di vita dei dati personali Acquisizione Conservazione Elaborazione Consultazione Trasmissione Distruzione Trasmissione su canali sicuri Trasmissione dei dati verso soggetti terzi (anche fuori territorio nazionale) Distruzione sicura dei supporti contenenti i dati Gestione dei dati dei clienti cessati

MARKETING & SALES ISTITUZIONALI CARING PROCESSI INTERNI SISTEMI OPERAZIONALI (BILLING, RETE, CRM..) ILC Security correlata al documento informatico Ciclo di vita del documento digitale Creazione Conservazione e reperibilità Elaborazione/ Consultazione Trasmissione Riproduzione/ Validazione Archiviazione Distruzione Duplicazione Analisi Processi operativi specifici dell Organizzazione Individuazione panorama normativo cogente Framework di controllo e requisiti correlati Definizione delle soluzioni di sicurezza BM SECONDARI PRIMARI Firma digitale & Time stamping Sistemi DRM Utilizzo crittografia Glifo Shredder

ILC Security correlata allo standard PCI-DSS Soggetti interessati Il PCI DSS (Payment Card Industry Data Security Standard) è uno standard di sicurezza sviluppato da un consorzio, composto da i principali operatori del settore delle carte di pagamento (VISA, Mastercard, ecc.), al fine di proteggere i dati dei titolari delle carte stesse MERCHANT ACQUIRER ISSUER SERVICE PROVIDER Soggetto a favore del quale il cliente effettua la transazione Soggetto che elabora la transazione per conto del Merchant Soggetto che si occupa dell emissione della carta di pagamento Soggetto coinvolto nel trattamento dei dati delle carte Dati considerati DATI MEMORIZZAZIONE CONSENTITA PROTEZIONE RICHIESTA RENDERE NON LEGGIBILI I DATI (REQ. 3.4 PCI-DSS) PAN (Primary Account Number) SI SI SI DATI DI TITOLARI DI CARTE Nome del Titolare della carta SI SI NO Codice di servizio SI SI NO Data di scadenza SI SI NO DATI SENSIBILI DI AUTENTICAZIONE Dati completi della banda magnetica NO N/A N/A CAV2/CVC2/CVV2/CID NO N/A N/A PIN/Blocco PIN NO N/A N/A

ILC Security correlata allo standard PCI-DSS Anche in tale caso l approccio indicato dallo standard stesso richiede: l identificazione dei flussi informativi/dei dati lungo i processi aziendali (ed all interno dei sistemi correlati) la verifica delle finalità per cui sono gestiti i dati suddetti l applicazione delle misure richieste/ritenute idonee COSTRUIRE E MANTENERE UNA RETE PROTETTA PROTEGGERE I DATI DEI TITOLARI DELLE CARTE Installare e mantenere una configurazione con firewall per proteggere i dati dei titolari delle carte Non utilizzare password di sistema predefinite o altri parametri di sicurezza impostati dai fornitori Proteggere i dati dei titolari delle carte memorizzati Cifrare i dati dei titolari delle carte quando vengono trasmessi attraverso reti pubbliche aperte PROGRAMMA PER LA GESTIONE DELLE VULNERABILITA Utilizzare e aggiornare con regolarità il software o i programmi antivirus Sviluppare e mantenere applicazioni e sistemi protetti Limitare l'accesso ai dati dei titolari delle carte solo se effettivamente indispensabili per lo svolgimento dell'attività commerciale IMPLEMENTARE MISURE FORTI PER IL CONTROLLO ACCESSI Assegnare un ID univoco a ogni utente che ha accesso ai computer Limitare la possibilità di accesso fisico ai dati dei titolari delle carte Monitorare e tenere traccia di tutti gli accessi effettuati alle risorse della rete e ai dati dei titolari MONITORARE E TESTARE LE RETI CON REGOLARITA Eseguire test periodici dei processi e dei sistemi di protezione Adottare una politica per la protezione delle informazioni rivolta a dipendenti e lavoratori a contratto

Criticità elevate nel governo ILC Security Individuazione e protezione dei dati allocati su soluzioni di Cloud computing Gestione degli aspetti contrattuali di security Richiesta di localizzazione dei dati Gestione delle informazioni su dispositivi mobili Predisposizione di una opportuna user policy Iniziative di awareness sugli utenti Asset management Restrizione degli accessi Controllo centralizzato Disposizione/riutilizzo sicuro dei dispositivi Encryption dei dati DRM

Key messages La garanzia di adottare un corretto livello di protezione delle informazioni dipende da una governance della sicurezza IT lungo tutto il ciclo di vita delle informazioni stesse. La perdita di tali caratteristiche in una sola delle fasi può rendere inutile tutte le misure adottate a valle della stessa. Al fine di determinare tale modello è necessario individuare in prima istanza i flussi informativi, basandosi eventualmente su una logica di rischio al fine di ottimizzare i ritorni sugli investimenti, verificandone successivamente i trattamenti effettuati ed identificandone quindi le misure in grado di proteggere le informazioni non ostando all utilizzo operativo a fini di business delle stesse. Parallelamente agli aspetti di sicurezza, è necessario che lungo le fasi del ciclo di vita siano individuati i requisiti di compliance applicabili, quali elementi di baseline per le misure adottate. Trasversalmente a tale approccio, è necessario che tutte le infrastrutture siano altresì dotate delle necessarie misure affinchè quanto definito a protezione delle specifiche informazioni non sia compromesso. Gli attuali trend tecnologici (Clouding, wireless networking, mobile devices ) enfatizzano ulteriormente tale necessità di adozione di tale approccio.

Q&A Riferimenti Jonathan Brera Manager Information Risk Management KPMG Advisory S.p.A. Email: jbrera@kpmg.it Tel.: 3483080067

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back