Post on 08-Jul-2020
HSPI S.p.A.
CONSULENTI DI DIREZIONE: BOLOGNA | MILANO | GENOVA | ROMA
Via Guido Reni 2/2, 40125 Bologna | 051 2960545 | info@hspi.it | www.hspi.it
Sicurezza delle informazioni
Processi di gestione, implicazioni organizzative,
attività con cui partire
Corrado Pomodoro
Roma, 24 giugno 2015
Gestione del rischio o della sicurezza?
3
Rischio e sicurezza – due facce della stessa medaglia
Fonte: Gartner maggio 2011
4
Rischio e sicurezza
Enterprise Risk Management
Information Risk/Security Mgmt
Business Continuity Mgmt
IT Disaster RecoveryIT management
5
Processi di gestione della sicurezza delle informazioni
ISO/IEC 27001
6
Processi di gestione dei rischi
Risk Assessment
Definizione del contesto
Identificazione dei rischi
Analisi dei rischi
Valutazione dei rischi
Trattamento dei rischi
Co
mu
nic
azi
on
e d
el
risc
hio
Mo
nit
ora
gg
io e
re
vis
ion
e
ISO 31000, ISO/IEC 27005
7
Processi di gestione della sicurezza delle informazioni
ControlliOrganizzativiProceduraliTecnologici
8
Processi di gestione della sicurezza delle informazioni
ISO/IEC 27001:2013 Annex A
E la Governance?
10
Information Security Governance
� E’ parte della «Corporate Governance» e consiste in:
� Leadership
� Regole e processi
� Strutture organizzative
La security Governance indirizza e controlla le
attività necessarie all’attuazione della strategia di
sicurezza delle informazioni
assicurazione che gli obiettivivengano raggiunti
indirizzo strategico alle attività che riguardano la sicurezza delle
informazioni
11
Pianificazione e indirizzo
� Corporate Strategy «l’insieme di decisioni che determina e rivela gli obiettivi di
un’organizzazione, produce le principali politiche (policy) e piani per raggiungere
quegli obiettivi, definisce gli ambiti di business in cui l’organizzazione intende
operare, il tipo di organizzazione economica ed umana che intende essere e la
natura dei contributi economici e non economici che intende dare ai propri
investitori, impiegati, clienti e comunità» (Kenneth Andrews)
� La strategia per la sicurezza delle informazioni è parte della Corporate Strategy:
� Definisce gli obiettivi
� Delinea le principali policy
� Definisce l’ambito di business
� Definisce lo stato futuro desiderato
� Fornisce le basi per i piani di azioneIndirizza il percorso dallo stato corrente allo
stato futuro desiderato. Include:
• risorse, competenze
• vincoli
• criteri di valutazione (es. risk appetite)
• roadmap
12
Framework di governance
� una strategia di sicurezza a supporto degli obiettivi di business
� idonei processi e una struttura organizzativa esente da conflitti di interesse
� un set di Policy a supporto della strategia
� meccanismi di monitoraggio e metriche di valutazione
� un set di procedure e standard
� un set di canali e modelli di comunicazione
Information Security Governance
13
Strumenti di governance
Policy: enunciati di alto livello che
esprimono gli intenti, le aspettative e le
direttive del management• esplicita gli intenti, le aspettative e le direttive
del management
• articolazione della strategia di sicurezza
• mandato generale di sicurezza
• breve, chiara e semplice per tutte le parti
interessate
• evolve con la strategia
Standard: definiscono metriche,
limiti/tolleranze permesse, o processi
usati per determinare se le procedure
sono conformi alle policy• limiti permessi per le procedure e le prassi
• legge che discende dalle policy
• metro per la misura della conformità
Procedure
direttive operative che definiscono
modalità, metodologie, tecniche da
utilizzare per lo svolgimento delle attività in
conformità alle policy
[di responsabilità delle operation -
management]
Linee guida
raccomandazioni, esempi di modalità
(non obbligatorie) per lo svolgimento
delle attività in conformità alle policy
[di responsabilità delle operation -
management]
Quindi, l'organizzazione?
15
Sistema di Controllo Interno
fonte: AIIA - Associazione Italiana Internal Auditor
16
CDA
Azionisti, Comitato, OdV
Internal Audit
Security/RiskManagement/Compliance
Business line, service line
Livelli di controllo
� Linee di produzione
� Aderenza alle policy e alle procedure
� Responsabile della sicurezza delle informazioni
� Aderenza alle policy, ai modelli di gestione del rischio, ai controlli interni
� Audit interno
� Aderenza alle policy, alle norme, ai controlli interni
� Governance
17
Ruoli e responsabilitàSecurity/Risk mgmt
Audit Business
18
Ruoli e responsabilità
� Proprietà / Consiglio di amministrazione / top management
� Information Security Governance
� CISO (Chief Information Security Officer)
� Definire modelli di gestione dei rischi, supportare l'attuazione dei controlli, offrire
consulenza, gestire le comunicazioni e il reporting
� Executive management
� Definire i requisiti, assicurare l'attuazione dei controlli
� Comitato guida (o sponsor)
� assicurare il coinvolgimento delle parti interessate (stakeholder), risolvere conflitti,
prendere decisioni
19
Ruoli e responsabilità – Information Security Manager
� definisce il modello di gestione dei rischi per la sicurezza delle informazioni
� coordina le attività di analisi dei rischi per la sicurezza delle informazioni
� propone le strategie (opzioni) di trattamento dei rischi per la sicurezza delle informazioni
� definisce il programma annuale per la sicurezza delle informazioni e stima delle risorse necessarie
� definisce i programmi di sensibilizzazione e formazione sui temi della sicurezza delle informazioni
(in collaborazione con HR)
� definisce le policy di sicurezza delle informazioni (in collaborazione con le funzioni di compliance)
� definisce le architetture di sicurezza delle informazioni (in collaborazione con sviluppo e
progettazione)
� verifica lo stato della sicurezza delle informazioni attraverso attività di revisione e verifiche tecniche
� verifica l’avanzamento del programma per la sicurezza delle informazioni, dei piani di trattamento e
di remediation e revisiona le valutazioni di rischio residuo
� svolge l’analisi degli incidenti di sicurezza
� gestisce gli incidenti di sicurezza con impatti per la compliance normativa, in coordinamento con le
altre funzioni di assurance aziendale
� offre parere esperto sui temi di sicurezza delle informazioni (requisiti, gestione incidenti, minacce,
…)
� coordina lo sviluppo dei piani di business continuity
20
Ruoli e responsabilità – Senior Management (o top mgmt)
� Finanziamento del programma
� Approvazione policy
� Approvazione strategie
� Integrazione con corporate governance
� Responsabilità ultima per la sicurezza delle informazioni
� Sostegno alle altre funzioni di management
� Revisione periodica dell’efficacia della sicurezza delle informazioni
21
Ruoli e responsabilità – Comitato Guida (Steering Committee)
� Comprende rappresentanti delle principali funzioni di business
� Necessario in situazioni di forte cambiamento (scarsa maturità e standardizzazione)
� Consenso su priorità e compromessi
� Risoluzione di conflitti
� Decisioni in merito alle risorse
� Sostegno alle responsabilità del security manager
� Strumentale per i necessari cambiamenti culturali e comportamentali
� Gestione di gravi incidenti di sicurezza (in qualità di Comitato di Crisi)
22
Ruoli e responsabilità – Executive Management
� Definizione dei requisiti
� Applicazione dei controlli
� Prima linea di controllo
Ok, ma come scegliere i controlli adatti?
24
I requisiti dei controlli
� assicurare la necessaria separatezza tra le funzioni operative e quelle di controllo ed
evitare situazioni di conflitto di interesse nell'assegnazione delle competenze
� essere in grado di identificare, misurare e monitorare adeguatamente i rischi assunti o
assumibili nei diversi segmenti operativi
� stabilire attività di controllo a ogni livello operativo e consentire l'univoca e formalizzata
individuazione di compiti e responsabilità, in particolare nei compiti di controllo e di
correzione delle irregolarità riscontrate
� assicurare sistemi informativi affidabili e idonee procedure di reporting ai diversi livelli
direzionali ai quali sono attribuite funzioni di controllo
� garantire che le anomalie riscontrate dalle unità operative, dalla funzione di revisione
interna o da altri addetti ai controlli siano tempestivamente portate a conoscenza di
livelli appropriati dell'azienda (del consiglio di amministrazione e del collegio sindacale,
se significative) e gestite con immediatezza
� consentire la registrazione di ogni fatto di gestione e, in particolare, di ogni operazione
con adeguato grado di dettaglio, assicurandone la corretta attribuzione sotto il profilo
temporale
fonte: Linee guida ABI
25
La top 10
� Controlli organizzativi e architetturali
� Procedure e sistemi di gestione degli incidenti
� Procedure e sistemi di controllo degli accessi
� Procedure e sistemi di monitoraggio e tracciamento
� Controlli di "resilienza" (back-up, ridondanze, repliche, DR…)
� Controlli applicativi (in fase di sviluppo, rilascio, esercizio)
� Controlli perimetrali logici
� Controlli crittografici
� Controlli sulle terze parti
� Controlli fisici
Troppo generici.
Come "personalizzarli"?
27
Da dove cominciare?
DB
FS
@
I dati, prima di tutto
quali sonodove sonochi ne ha bisognochi li gestisce
Le applicazioni
quali sonochi le usacome le usa (cosa produce, con quali input)
28
Da dove cominciare?
I vincoli
quali sono i maggiori interessi, le priorità, i tempi quali sono i vincoli da tenere in considerazione (strategie aziendali, leggi, contratti, budget, capacità)
Le conseguenze
quali sono le possibili conseguenzeper l'organizzazione in caso di violazione dei datio disfunzione delle applicazioni
29
La top 3!
� Classificazione informazioni
� Business Impact Analysis
� Risk identification
ID Nome Dato Nome Processo Privacy (P/S/G) Ubicazione Grado di riservatezza Tempo di conservazione Tipo vincolo Sistemi che trattano il dato
1 Sole24Ore.Numero registro
genera le - causa lega le
Supporto lega le, contenzios i giudiziario fi leserver riservato 10+ anni Sole24Ore
2 Sole24Ore. Nome controparte causa
lega le
Supporto lega le, contenzios i giudiziario fi leserver riservato 10+ anni Sole24Ore
3 Sole24Ore. Domanda (Tipo atto)
causa lega le
Supporto lega le, contenzios i giudiziario fi leserver riservato 10+ anni Sole24Ore
4 Sole24Ore.Importo del la caus a
lega le
Supporto lega le, contenzios i fi leserver riservato 10+ anni Sole24Ore
5 Sole24Ore. Scadenza termini
lega l i /udienze
Supporto lega le, contenzios i giudiziario fi leserver riservato 10+ anni Sole24Ore
6 Anagrafica Forni tori e Contratti Acquisti , appa l ti e as sicurazioni s ens ibi le SAP uso interno 5 anni SAP
7 Anagrafica material i - gruppi
merci/carrel lo acquisti
Acquisti , appa l ti e as sicurazioni SAP uso interno 5 anni SAP
9 Cata logo elettronico Acquisti , appa l ti e as sicurazioni SAP uso interno 5 anni SAP
10 Documenti appa l ti Acquisti , appa l ti e as sicurazioni s ens ibi le SAP riservato 5 anni SAP
11 Anagrafica contabi le Amminis trazione, Finanza e Control lo SAP uso interno 6 anni Fis ca le SAP
13 Dati contabi l i Amminis trazione, Finanza e Control lo SAP confidenzia le 6 anni Fis ca le SAP
6 Anagrafica Forni tori e Contratti Amminis trazione, Finanza e Control lo persona le SAP uso interno 6 anni Fis ca le SAP
15 Bozze di bi lancio Amminis trazione, Finanza e Control lo fi leserver? confidenzia le na
16 Report finanziari Amminis trazione, Finanza e Control lo SAP? confidenzia le 2 anni
17 Anagrafica Cl ienti Front-Office - Back-Office persona le SAP confidenzia le s empre Di bus ines s SAP
H D H D H D H D
1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8
Nome Dato 4h 8h 12h 1d 2d 7d 14d 21d RPO_F 4h 8h 12h 1d 2d 7d 14d 21d RPO_O 4h 8h 12h 1d 2d 7d 14d 21d RPO_L 4h 8h 12h 1d 2d 7d 14d 21d RPO_I
Numero regis tro generale - ca us a lega le 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Nome controparte causa lega le 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Doma nda (Tipo a tto) ca usa lega le 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Importo de l la ca usa legale 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Sca denza termini legal i /udienze 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Anagra fica forni tori 1 1 1 1 1 2 2 2 5 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Anagra fica ma teria l i - gruppi merci/ca rrel lo a cquis ti 1 1 1 1 1 2 2 2 5 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Anagra fica contratti - contabi l i tà 1 1 1 1 1 2 2 2 5 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Cata logo e lettronico 1 1 1 1 1 2 2 2 5 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Documenti appa l ti 1 1 1 1 1 2 2 2 5 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Piano oggetti di Conta bi l i zza zione 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Piano de i conti 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Dati conta bi l i 1 1 1 1 1 2 3 3 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Anagra fica forni tori - lato FI in SAP 1 1 1 1 1 1 1 1 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Bozze di bi la ncio 1 1 1 2 2 4 4 4 3 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Report finanzia ri 1 1 1 1 1 2 3 3 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Anagra fica Cl ienti 0 0 0 0 0 0 0 0 8 1 3 3 4 4 4 4 5 1 0 0 0 0 0 0 0 0 8 1 3 3 4 4 4 4 5 1
Progra mmazione anal i s i 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Perdita Finanziaria Perdita operativa Conformità Legale e Contrattuale Immagine e reportazione
30
Classificazione delle informazioni
� E' il primo passo per una data-governance
� Nomenclatura "ufficiale"
� Fonti autorevoli
� Owner, custodian
� Ubicazione
� Utilizzatori (persone e processi)
� Requisiti di riservatezza, integrità, disponibilità, retention
� Requisiti di qualità: completezza, conformità, consistenza, accuratezza, duplicazione,
integrità, validità, rilevanza, puntualità
� …
31
BIA
� Non solo RTO ed RPO
processi critici
priorità dei processi, dipendenze e flussi informativi
risorse necessarie per l'esecuzione dei processi critici
requisiti temporali di ripristino (a partire dal punto di non ritorno o MTPD)
requisiti in termini di livelli di servizio minimi per la continuità operativa (SDO)
H D H D H D H D
1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8
Nome Dato 4h 8h 12h 1d 2d 7d 14d 21d RPO_F 4h 8h 12h 1d 2d 7d 14d 21d RPO_O 4h 8h 12h 1d 2d 7d 14d 21d RPO_L 4h 8h 12h 1d 2d 7d 14d 21d RPO_I
Numero regis tro generale - ca us a lega le 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Nome controparte causa lega le 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Doma nda (Tipo a tto) ca usa lega le 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Importo de l la ca usa legale 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Sca denza termini legal i /udienze 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Anagra fica forni tori 1 1 1 1 1 2 2 2 5 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Anagra fica ma teria l i - gruppi merci/ca rrel lo a cquis ti 1 1 1 1 1 2 2 2 5 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Anagra fica contratti - contabi l i tà 1 1 1 1 1 2 2 2 5 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Cata logo e lettronico 1 1 1 1 1 2 2 2 5 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Documenti appa l ti 1 1 1 1 1 2 2 2 5 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Piano oggetti di Conta bi l i zza zione 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Piano de i conti 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Dati conta bi l i 1 1 1 1 1 2 3 3 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Anagra fica forni tori - lato FI in SAP 1 1 1 1 1 1 1 1 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Bozze di bi la ncio 1 1 1 2 2 4 4 4 3 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Report finanzia ri 1 1 1 1 1 2 3 3 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Anagra fica Cl ienti 0 0 0 0 0 0 0 0 8 1 3 3 4 4 4 4 5 1 0 0 0 0 0 0 0 0 8 1 3 3 4 4 4 4 5 1
Progra mmazione anal i s i 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8
Perdita Finanziaria Perdita operativa Conformità Legale e Contrattuale Immagine e reportazione
32
Risk Identification
Sedi
Informazioni
Processi
Processi
Servizi
Conseguenze, es.:
- Lettura o diffusione dati sensibili
- Indisponibilità dati operativi- Perdita dati storici- Alterazione dati operativi- Indisponibilità prolungata del
servizio
Danno finanziario
Danno operativo
Sanzioni legali
Danno di immagine
Sistemi informativi
Eventi, es.:
- Errore operatore- Incendio/allagamento- Malfunzionamento/Baco sw- Guasto linee tlc- Guasto hw- Diffusione Virus- Manipolazione hacker- Attacco DoS- Furto identità- Accesso non autorizzato
Asset
Asset
Controlli
33
Errori da evitare
� Isolare il responsabile della sicurezza nella struttura IT
� Avere troppi responsabili: rischi, sicurezza, privacy, continuità operativa,
compliance, in strutture organizzative indipendenti (spesso "concorrenti"); l'unica
indipendente dovrebbe essere la funzione Audit
� Avviare una BIA senza avere un censimento dei dati o senza prevederlo nell'ambito
della stessa BIA
� Avviare una BIA e non coinvolgere il Business: un'occasione imperdibile!
� Chiamarla sicurezza informatica … per non coinvolgere il Business (possiamo
chiamarla baseline delle configurazioni)
� Fare un'analisi dei rischi senza avere sviluppato un modello dei fattori di rischio
(eventi, conseguenze, impatti; relazioni tra controlli ed eventi, controlli e
conseguenze, eventi ed impatti)
� Parlare di Disaster Recovery prima di alta affidabilità o, peggio, prima di back-up
(prima di tutto: i dati!)
Grazie per l'attenzione
corrado.pomodoro@hspi.it
348 9997200