Approccio strutturato per l’applicazione delle best ...

Alessandro Da ReStefano FerrariLogicalSecurity S.r.l.

IT Security Compliance.

Approccio strutturato per l’applicazione

delle best practice ISO17799

2 IT Security Compliance – Sessione AIEA – Novembre 2007


Le aziende del gruppo Sonepar Italia

Sonepar SIS

Centro acquisti per tutte le aziende del gruppo

Gestione patrimonio immobiliare e EDP

30 Dipendenti

8 persone nell’EDP

SAP (650 utenti)

Notes (1200 utenti)

Citrix

FM IBM per ambienti Windows e SAP

16 cpu

26 TB

8 AS/400 in progressiva dismissione


Problemi / Opportunità

Necessità di strutturare i processi e tecnologie per mitigare e controllare il rischio di impresa

Audit di conformità dalla casa madre verso approccio ISO 17799

Adeguamento agli standard contrattuali IBM sulla Security

Definire strategie e linee guida operative senza subire le “imposizioni burocratiche” di un

adeguamento normativo

Ottenere un vantaggio competitivo in termini di organizzazione aziendale e recupero di

efficienza

Acquisti

Sistema Gestionale

Sistema di Reporting

Ambienti applicativi aziendali

Sistemi Documentali

Sistemi collaborativi

Pro

cessi A

zien

dali

Payroll

Amministrazione

Bilanci

Registri

Etc..

Do

cum

en

ti carta

cei

AMBIENTE ESTERNOAMBIENTE INTERAZIENDALE AZIENDAESTERNO – RISCHIO - INTERNO INTERNO – RISCHIO - ESTERNO


Il progetto

Nell’ambito dei processi di Internal Audit a livello di Gruppo, vengono effettuati dei controlli

per verificare l’allineamento dal punto di vista della Sicurezza Logica e Fisica dei Sistemi

Informativi presenti nelle diverse country, rispetto a principi stringenti e vincolanti / best

practices di riferimento.

A livello Italia, i Sistemi Informativi di Sonepar hanno attivato una iniziativa progettuale volta

ad allineare la propria infrastruttura di Servizio, la propria organizzazione, i propri standard e

procedure in ambito IT ed i sistemi di controllo, al fine di poter sostenere in modo adeguato

una eventuale attività di audit di conformità. La sfida è di ottenere vantaggi di performances

nell’applicazione di “Best Practice”

Strategic Direction and Strategic Direction and

Roadmap DevelopmentRoadmap Development


Roadmap DevelopmentRoadmap Development


Roadmap DevelopmentRoadmap DevelopmentATTUAZIONE delle iniziative necessarie per la compliance

AsAs -- Is Is

AssessmentAssessment

AsAs -- Is Is

AssessmentAssessment

AsAs -- Is Is

AssessmentAssessmentREVISIONE degli attuali criteri per

la gestione della sicurezza


Gli obiettivi da perseguire

Allineamento con i vincoli / obiettivi di Gruppo : Il

modello organizzativo, i processi operativi e le

infrastrutture/servizi a supporto, in linea con le best practice

di riferimento (Group Security Policy);

Flessibilità ed affidabilità : Il modello operativo e le

infrastrutture/servizi a supporto devono progressivamente

garantire una gestione flessibile e con tempi di reazione

ottimizzati, delle diverse esigenze che dovessero presentarsi

a livello aziendale;

La sicurezza come “asset aziendale” : Le implicazioni

legate ai concetti di IT Security Compliance, devono

diventare progressivamente un “asset” aziendale,

permeando tutta l’organizzazione e responsabilizzando a

diversi livelli le funzioni aziendali (in particolare la Direzione

Generale e l’HR);

IT SECURITYCOMPLIANCE

PROJECT

SONEPAR ITSECURITY

POLICY

ISO17799“Tailored”

BEST PRACTICES


La ISO17799

ISO/IEC 17799 (ex BS 7799-1:1999) rappresenta un “best Practice” che definisce i requisiti per

sistemi di gestione della sicurezza delle informazioni. Contribuisce a identificare, gestire e ridurre

al minimo la gamma di pericoli a cui sono regolarmente soggette le informazioni. L'allegato della

ISO/IEC 27001 (ex BS 7799-2:2002), norma certificativa, identifica 11 aree oggetto di controllo

ed applicazione di specifiche Best Practices :

Politica di sicurezza

Organizzazione del patrimonio informativo e delle risorse

Classificazione e controllo del patrimonio informatico

Sicurezza del personale

Sicurezza fisica e ambientale

Gestione delle comunicazioni e delle operazioni

Controllo dell'accesso

Sviluppo e mantenimento del sistema

Gestione degli “information Security indident”

Gestione della continuità aziendale

Conformità

COMPLIANCE

BUSINESS CONTINUITY MANAGEMENT

INFORMATION SECURITY INCIDENT MANAGEMENT

INFORMATION SYSTEMS ACQUISITION DEVELOPMENT AND MAINTENANCE

ACCESS CONTROL

COMMUNICATIONS & OPERATIONS MANAGEMENT

PHYSICAL & ENVIROMENTAL SECURITY

HUMAN RESOURCES SECURITY

ASSET MANAGEMENT

ORGANISING INFORMATION SECURITY

SECURITY POLICY

11

10

9

8

7

6

5

4

3

2

1


BS verso ISO e Ambito di intervento

Best Practice

Norme Certificative

• L’approccio esclusivamente tecnologico (controllo accessi, protezione da virus/dos,..) penalizza l'intero sistema di sicurezza tralasciando l’anello più debole

• Global Security Management: Fisica, Logica, Operativa, Legislativa, focalizzandosi sugli aspetti gestionali.

DRIV

ER

2002

BS7799:1

20051995 1999

ISO 17799

BS7799:2

BS7799:1Rev 1

BS7799:2Rev 1

ISO 27001

SCOPE

SCOPE

L’ambito di progetto in breve – il riferimento normativo


InformationSecurity

Why InformationSecurity?

3 Main Security Requirements

Consideration of Security Risk

Selecting Controls

IS Starting Point

Critical SuccessFactor

Security PolicyReflect B. Obj

Legislative

compliancecompetitive

Security Failure

confidentiality

assessingrisks

Risk Reduction

contractualrequirements

Not Applicable

availabilityintegrity

Company Culture

IntellectualProperties

Realisticlikelihood

profitability

supportoperations

Segregation ofDuty

CommittmentManagement

SafeguardingRecords

Management Action

Commercialimage

Procedure

Priority ImplementingControl

Selecting ByCost

LostRepudiation

Best Practice Policy Document Responsability

Privacy

Education & Training

ReportingIncidents

BusinessContinuity

UnderstandingSecurity Req.

UnderstandingRisk Management

Marketing ofSecurity

Distribution ofGuidance

Training andEducation KPI Deploing Your

Own Guidelines

ISO 17799 in breve e l’ambito di intervento del progetto


Cosa percepiamo da ISO 27001 – modello PDCA

Establish security policies, objectives, targets, process and procedures relevant to controlling risk improving informationsecurity to deliver results in accordance with organisation’s overallpolicies and objectives (Establish ISMS Context)

Pla

n

Design and Implement and Operate the Policy (Process and Procedures)D

o

Measure and assess process performance against policies, objectivesand pratical experience and report the result to decision maker (monitor & review)C

heck

Take corrective and preventative actions to futher improve the process performance (Improve)A

ct

Cosa recepiamo da BS 7799-2


L’ Approccio : I prerequisiti

L’applicazione delle Best Practices suggerite dall’ISO, puo’ portare ad una migliore gestione delle

attività, rispetto ad una situazione non strutturata. Per il successo di una operazione di

introduzione di specifici standard, sono necessarie alcune condizioni :

Il perimetro del progetto e gli obiettivi devono essere

“vestiti” sulla realtà del Cliente. Quanto verrà definito dovrà

essere “gestibile” dal Cliente, in termini operativi, organizzativi

ed economici;

Forte spinta del management e coinvolgimento delle funzioni

aziendali di riferimento (es. direzione generale e Risorse

umane);

Diffusione dell’iniziativa e dei suoi risultati a tutta l’azienda;

Riconoscimento da parte della funzione IT della validità

del modello;

Coinvolgimento e motivazione del personale IT, mediante

un progressivo affiancamento durante le attività di progetto, in

modo tale da trasmettere approcci corretti e metodi per la

gestione della sicurezza e dei controlli;

Identificazione di uno o piu’ “Focal Point” in grado di

coordinare le diverse attività di progetto (es.la produzione della

documentazione e le attività presso la sede del cliente);

TAILORED APPROACH

FORTE SPINTA DEL MANAGEMENT

DIFFUSIONE DELL’INIZIATIVA

APPROVAZIONE DEL MODELLO

COINVOLGIMENTO E MOTIVAZIONE DEL

PERSONALE IT

IDENTIFICAZIONE DEI KEY USERS DI

RIFERIMENTO


“Pensare ed attuare”, un sistema per la gestione della IT Security compliance legato alle Best

Practices espresse dalla ISO17799, significa operativamente attivare tutta una serie di fasi

progettuali che permeano l’ambito IT (ma non solo) a 360° :

1. Identificazione del perimetro di riferimento e dei vincoli associati

2. Acquisizione delle informazioni

3. Revisione di tutti gli ambiti identificati

4. Master Plan delle iniziative – Identificazione delle contromisure

5. Adeguamento della situazione rilevata e costruzione del sistema di controlli

preventivi

6. Controllo e monitoraggio periodico

Master Plan delle iniziative

Acquisizione delle informazioni

Identificazione del perimento di

riferimento

Revisione di tutti gli ambiti

identificatiAdeguamento

della situazione

L’ Approccio : le fasi di progetto

Controllo e monitoraggio

continuo


L’ Approccio : il timing

FASE 1

SET.2007 OTT.2007 NOV. 2007

FASE 2

Kick Off

REVISIONE ATTUALI CRITERI

di SICUREZZA

PROJECT MANAGEMENTPROJECT MANAGEMENT

DIC.2007 GEN. 2008

REALIZZAZIONE / ADEGUAMENTO DEL

SISTEMA per LA GESTIONE DELLA

SICUREZZA


L’ Approccio : il team di progetto

Comitato di progetto

Direzione del Cliente

Project Management

Project Manager Sonepar

Project Manager Logical

Responsabile Logical Security

Risorse Progetto - Ciente

Prima Linea IT -

Key Users per le diverse aree

Responsabili di Direzione

Risorse Progetto - Logical

Specialista Senior - Manager

Specialista - Consultants

Risorse di progetto – Gruppi di lavoro • Esegue le attività di Progetto nel rispetto dei piani di

lavoro definiti

• Assicura la corretta formalizzazione delle attività svolte

• Elabora proposte

• Riporta le attività svolte, segnalando eventi che possano avere impatti sullo svolgimento delle attivitàprogettuali

Comitato di Progetto• Sponsorship del progetto

• Definisce le linee guida del progetto

• Approva il piano di lavoro, l’approccio progettuale e le prioritàd’avanzamento

• Prende decisioni in merito alle proposte elaborate dal Gruppo di Lavoro

• Approva i deliverables finali di ogni fase

Project Management Team• Esegue le attività di Progetto nel rispetto dei piani di

lavoro definiti

• Pianifica le attività progettuali

• Identifica ed assicura risorse al Progetto

• Gestisce l’avanzamento del progetto nel rispetto del piano approvato, anticipando eventuali eventi che potrebbero compromettere il normale svolgimento delle attività

• Relaziona al Comitato di Progetto secondo le modalità e le tempistiche concordate in fase di avvio del progetto

Cliente – SONEPAR ITALIA

LOGICAL SECURITY


L’ Approccio : gli strumenti, checklist

Grazie!.

Il presente documento contiene informazioni confidenziali di Logical Security S.r.l., incluse le sue modalità di erogare servizi e le strategie di pricing dei servizi stessi. Logical Security fornisce queste informazioni al Cliente prevedendo che venga mantenutal'opportuna riservatezza su questo documento. Questo documento viene quindi consegnato con l'espressa intesa che saràmantenuto il corretto livello di riservatezza sui relativi contenuti. Il documento non sarà fotocopiato o riprodotto, in tutto o in parte, né i contenuti divulgati a terzi senza il consenso scritto di Logical Security S.r.l..

Per ulteriori informazioni:

www.logicalsecurity.it

[email protected]

Approccio strutturato per l’applicazione delle best ...

Documents

Transcript of Approccio strutturato per l’applicazione delle best ...