L importanza di una corretta impostazione delle politiche di sicurezza



Documenti analoghi
Politica per la Sicurezza

Provincia Autonoma di Bolzano Disciplinare organizzativo per l utilizzo dei servizi informatici, in particolare di internet e della posta

POLITICHE DI GESTIONE DELLE COMUNICAZIONI E LORO IMPLEMENTAZIONE

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl

Domande e risposte su Avira ProActiv Community

I dati in cassaforte 1

PROGRAMMA CORSI PRIVACY 2013

Chi è il Rappresentante dei Lavoratori per la Sicurezza RLS

Internet Banking per le imprese. Guida all utilizzo sicuro

Note di rilascio. Aggiornamento disponibile tramite Live Update a partire dal. Il supporto per Windows XP e Office 2003 è terminato

Libero Emergency PC. Sommario

PASSAGGIO ALLA ISO 9000:2000 LA GESTIONE DELLE PICCOLE AZIENDE IN OTTICA VISION

5.1.1 Politica per la sicurezza delle informazioni

DOCUMENTO DI VALUTAZIONE DEL RISCHIO STRESS DA LAVORO CORRELATO

S.A.C. Società Aeroporto Catania S.p.A.

COMUNICATO. Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

Gestire le NC, le Azioni Correttive e Preventive, il Miglioramento

Concessione del servizio di comunicazione elettronica certificata tra pubblica amministrazione e cittadino- PostaCertificat@

Soluzioni per archiviazione sicura di log di accesso server Windows. PrivacyLOG

Policy per fornitori

D. LGS 81/2008. Rappresentante dei lavoratori per la sicurezza

COMUNE DI BREMBILLA BIBLIOTECA COMUNALE

INSTALLAZIONE PROCEDURA 770/2011

InfoCertLog. Scheda Prodotto

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

Effettuare gli audit interni

LA GESTIONE DELLE VISITE CLIENTI VIA WEB

Linee guida per l assicurazione della qualità nelle piccole e medie imprese di revisione

CIRCOLARE N. 58/E. Direzione Centrale Servizi ai Contribuenti. Roma 17 ottobre 2008

Partecipate: Just do it! Una comunità professionale per piccole e medie imprese

Comprendere il Cloud Computing. Maggio, 2013

REGOLAMENTO SULL USO DELLA POSTA ELETTRONICA E DI INTERNET (POLICY AZIENDALE)

Figura Professionale codice FP175 RESPONSABILE QUALITA'

Gestione Operativa e Supporto

I.C. ALDO MORO - CAROSINO a.s REGOLAMENTO DI UTILIZZO DEL LABORATORIO DI INFORMATICA

REGOLAMENTO COMUNALE PER LA DISCIPLINA DELL UTILIZZO DELLE POSTAZIONI INFORMATICHE DA PARTE DEGLI UTENTI DELLA BIBLIOTECA

Professionisti tutti i livelli dimensionali consulenza del lavoro risorse umane elaborazione paghe commercio assicurazioni farmaceutica edilizia

Software Servizi Web UOGA

COMUNE DI MINERVINO MURCE ~rovincia BAT

Relazione accompagnamento Studio di Fattibilità Tecnica COMUNE DI TURRI. Provincia Medio Campidano

SVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

La sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione

Strategie e Operatività nei processi di backup e restore

/DERUDWRU\IRU$GYDQFHG3ODQQLQJ DQG6LPXODWLRQ3URMHFW

Ministero dell Istruzione, dell Università e della Ricerca. Allegato 9 - Profili Professionali

4.5 CONTROLLO DEI DOCUMENTI E DEI DATI

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

MANDATO INTERNAL AUDIT

L obiettivo che si pone è di operare nei molteplici campi dell informatica aziendale, ponendosi come partner di riferimento per l utenza aziendale.

Policy Argo Software in materia di protezione e disponibilità dei dati relativi ai servizi web

Condizioni di servizio per l'utente finale (applicazioni gratuite)

Evoluzione della sicurezza informatica Approntamento misure di sicurezza

Gestione dei documenti e delle registrazioni Rev. 00 del

GUIDA ALL UTILIZZO DEL PROGRAMMA TUTTORIFIUTI PER L ACCESSO AUTENTICATO AL PORTALE WEB

F-Secure Mobile Security per Nokia E51, E71 ed E75. 1 Installazione ed attivazione Client 5.1 F-Secure

PROCEDURA DI COORDINAMENTO TRA GESTORI DI RETE AI SENSI DEGLI ARTICOLI 34 E 35 DELL ALLEGATO A ALLA DELIBERA ARG/ELT 99/08 (TICA)

MANUALE DI UTILIZZO: INTRANET PROVINCIA DI POTENZA

MANUALE DELLA QUALITÀ Pag. 1 di 6

PROVINCIA DI COMO DETERMINAZIONE DIRIGENZIALE

VALUTAZIONE PRESTAZIONI del PERSONALE NEL SETTORE BANCARIO

GESTIONE DELLE RISORSE UMANE

Manuale di Aggiornamento BOLLETTINO. Rel H4. DATALOG Soluzioni Integrate a 32 Bit

Allegato 2 Modello offerta tecnica

Policy sulla Gestione delle Informazioni

TECNICO SUPERIORE PER L INFORMATICA INDUSTRIALE

Posta elettronica, Internet e controlli sui dipendenti Relatore Avv. Giampiero Falasca

Allegato A al CCNL 2006/2009 comparto Ministeri

Funzioni di gestione degli interventi: esperti

Il nuovo codice in materia di protezione dei dati personali

DM.9 agosto 2000 LINEE GUIDA PER L ATTUAZIONE DEL SISTEMA DI GESTIONE DELLA SICUREZZA TITOLO I POLITICA DI PREVENZIONE DEGLI INCIDENTI RILEVANTI

MONITORAGGIO SULL ATTUAZIONE DEGLI OBBLIGHI DITRASPARENZA

In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.

Capitolato per la selezione di una cooperativa sociale di tipo b per la realizzazione di attività relative all ambito disabilità e protezione civile

Centro studi dei Consulenti del Lavoro della provincia di Messina

Politica d Uso Accettabile della scuola

IT Cloud Service. Semplice - accessibile - sicuro - economico

Il Modello 231 e l integrazione con gli altri sistemi di gestione aziendali

INFORMATIVA SUI TRATTAMENTI DEI DATI PERSONALI

UTILIZZATORI A VALLE: COME RENDERE NOTI GLI USI AI FORNITORI

Sviluppo Sistemi Qualit à nella Cooperazione di Abitazione

Allegato alla delibera n. 75GC/2012 COMUNE DI CORNELIANO D ALBA PROGRAMMA TRIENNALE PER LA TRASPARENZA E L INTEGRITA

Informativa ex art. 13 D.lgs. 196/2003

Il trattamento dei dati e le misure minime di sicurezza nelle aziende

GUIDA ALL INSTALLAZIONE. Protezione di locale/rete. per il software CADPak su client e server di rete. per la Chiave Hardware Sentinel Hasp

Sviluppare il mercato, promuovere il dialogo e gestire i processi di comunicazione

PROGRAMMA TECHPEAKS BANDO PER LA SELEZIONE DI PARTNERS. Articolo 1 OBIETTIVI

REFERENZIAZIONI 2001) NUP

DEPLIANT INFORMATIVO DI PRESENTAZIONE AZIENDALE

Valutazione del potenziale

ENTERPRISE SOLUTION CROSS SOLUTION PROFESSIONAL SOLUTION SERVIZI E FORMAZIONE

Prospettive Strategiche dei rapporti con Nuova Informatica

MODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO.

PO 01 Rev. 0. Azienda S.p.A.

Manuale della qualità. Procedure. Istruzioni operative

MANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA

Manuale Amministratore Legalmail Enterprise. Manuale ad uso degli Amministratori del Servizio Legalmail Enterprise

Audit & Sicurezza Informatica. Linee di servizio

presenta Via Santa Sofia, Milano T.: Fax.: E.:

Transcript:

La Gestione della Sicurezza Informatica nelle Aziende L importanza di una corretta impostazione delle politiche di sicurezza Paolo Da Ros Membro del Direttivo CLUSIT Firenze 29 gennaio 2003

L importanza della information security policy 1. Cio che la policy non deve essere: Una serie di ovvieta Un bel binder dietro la poltrona del security manager 2. Cio che la policy puo essere (low-level policy): Linee guida sull uso dell e-mail Regole tecniche per l uso di un sistema particolare 3. Cio che qui intendiamo per security policy La documentazione delle decisioni relative alla information security Paolo Da Ros paolo.daros@cryptonet.it 2

La security Policy di alto livello (un esempio) Lo scopo delle politiche per la sicurezza delle informazioni della Societa XYZ e di proteggere risorse vitali quali le informazioni e le risorse informatiche aziendali consentendo simultaneamente: 1) Comunicazioni via e-mail sia all interno che all esterno della Societa ; 2) Trasferimento di informazioni all interno ed all esterno della Societa e 3) Accesso al portale ed ai server aziendali ai Clienti, Partners e utenti interni secondo I criteri dettagliati nel seguito. Inoltre essa definisce le politiche per la protezione dei dati all interno della Societa, il rispetto delle Leggi vigenti, e risponde alle esigenze di Confidenzialita, Integrita e disponibilita dei dati, di Responsabilita e di verificabilita di cui ogni Collaboratore della Societa deve essere consapevole e che chiunque, all interno della Societa, deve rispettare e far rispettare. Paolo Da Ros paolo.daros@cryptonet.it 3

Dalla policy di alto livello alle politiche operative: Paolo Da Ros paolo.daros@cryptonet.it 4

L output della Risk Analisys 1. 2 Di minima rilevanza 3. 4 di media rilevanza 9.. 10 uscita dal business 1. 2 Mette in crisi il processo 3. 4 Mette in crisi più processi 9.. 10 mette in crisi l operatività dell azienda Paolo Da Ros paolo.daros@cryptonet.it 5

Come e fatta una Security Policy, e cosa Contiene (di solito)? (1) 1. Obiettivo. Descrive l importanza che l Organizzazione attribuisce alle informazioni e la volonta dell organizzazione di difenderne confidenzialita, integrita, disponibilita. 2. Applicabilita. Definisce I beni aziendali regolati ed i soggetti tenuti al rispetto della Policy (dipendenti, consulenti, partner commerciali ) 3. Responsabilita. Definisce quanto gli utenti (dipendenti, dirigenti, addetti alla sicurezza) sono tenuti a fare per ottemperare alla SP. Puo contenere indicazioni relative alle responsabilita di un reparto particolare dell Azienda, o di un Dirigente Paolo Da Ros paolo.daros@cryptonet.it 6

Come e fatta una Security Policy, e cosa Contiene (di solito)? (2) 4. Sicurezza fisica. Definisce il modo in cui l Azienda protegge I propri beni materiali. Potrebbe contenere la descrizione delle modalita e dei criteri di accesso alle aree riservate; potrebbe descrivere I doveri del responsabile della sicurezza 5. Sicurezza della rete. Definisce le modalita di protezione degli assets accessibili via rete. Puo descrivere 6. Sicurezza del software. Definisce le modalita di utilizzo di software commerciale e non commerciale, responsabilita di installazione e manutenzione su PC, server e sulla rete; potrebbe contenere le regole che stabiliscono modalita di download da Internet Paolo Da Ros paolo.daros@cryptonet.it 7

Come e fatta una Security Policy, e cosa Contiene (di solito)? (3) 7. Business Continuity / Disaster Recovery. Definisce il modo in cui l Azienda garantisce la continuita delle proprie attivita legate al trattamento delle informazioni. Puo contenere la lista delle persone che costituiscono l Emergency Response Team, il cui intervento e previsto in caso di disastri o di attacchi 8. Uso accettabile. Definisce gli utilizzi accettabili delle risorse aziendali; potrebbe contenere una descrizione dei contenuti inviabili via e-mail al di fiuori dell azienda, o la liceita di utilizzare il PC aziendale a scopo ludico. Paolo Da Ros paolo.daros@cryptonet.it 8

Come e fatta una Security Policy, e cosa Contiene (di solito)? (4) 9. Consapevolezza degli utenti. Descrive le modalita di istruzione degli utenti sulla security policy, e le modalita di verifica della conoscenza della SP. 10. Rispetto della policy. Descrive le modalita adottate dall Azienda per fare rispettare la SP. Potrebbe specificare le sanzioni per coloro che non ottemperano alla SP Paolo Da Ros paolo.daros@cryptonet.it 9

6. Alcuni esempi(1): Gestione dei virus (Basso livello di rischio) : Gli utenti saranno informati sulle attivita che comportano il rischio di importare malicious code; Gli utenti devono riferire agli amministratori di rete di ogni virus rilevato, di cambiamenti avvertiti nel comportamento del computer; in caso di rilevamento di un virus, tutti gli utenti che hanno accesso allo stesso programma o agli stessi dati verranno informati del rischio che corrono e delle azioni da intraprendere per verificare la presenza di un virus sulla loro macchina e nel caso, rimuoverlo; gli utenti informeranno gli amministratori dell; esito dei test effettuati; Ogni macchina sospettata di essere infettata da un virus va immediatamente sconnessa dalla rete; la macchina non potra essere connessa alla rete finche il virus non sia stato rimosso; Se non sara stato possibile rimuovere il virus, tutto il software necessario all uso della macchina andra reinstallato da media sicuri. Paolo Da Ros paolo.daros@cryptonet.it 10

6. Alcuni esempi (2): Gestione dei virus (Medio livello di rischio) : L addestramento degli utenti dei sistemi a medio livello di rischiosita includera l approfondimento delle problematiche legate ai virus; Per contenere il rischio di diffusione dei virus il software antivirus andra installato sui file server; l esecuzione dell antivirus verra effettuata giornalmente; le postazioni di lavoro disporranno di sw antivirus che controllera tutti i files mano a mano che arrivano sul PC; verranno controllate tutti i messaggi e-mail; i programmi non potranno essere eseguiti, ed i files sucettibili di includere macro virus non potranno essere aperti senza essere preventivamente controllati. I log prodotti dagli antivirus verranno memorizzati ed esaminati dagli amministratori di rete; Un computer su cui venga rilevata la presenza di virus dovra essere immediatamente sconnesso da tutte le reti cui sia collegato Paolo Da Ros paolo.daros@cryptonet.it 11

Conclusioni E importante documentare le politiche sia di alto livello che di livello operativo La politica deve rispondere alle domande Cosa devo proteggere, e da cosa? Non esiste security policy senza assegnare responsabilita (e budget) E importante formalizzare gli usi accettabili Formazione e verifica della conoscenza della SP Sanzioni per chi non ottempera Paolo Da Ros paolo.daros@cryptonet.it 12

Grazie!! Paolo Da Ros paolo.daros@cryptonet.it 13

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back