Gestione ed adeguamento Sicurezza dei Sistemi Informativi ......• processi per limitare la...

"Gestione ed adeguamento Sicurezza dei Sistemi Informativi in Smart Working"

26 Marzo 2020 – WEBINAR

Sicurezza Lavoro da Remoto AgileGiuseppe Adduce

• Dalla raccolta dei dati alla corretta gestione in sicurezza delle informazioni • Cyberspazio• Percezione e analisi del rischio Cyber nei contesti on-premise e Cloud• Il ruolo fondamentale dell’utente • Contromisure tecniche e organizzative

Le nuove minacce alla protezione dei dati nello SmartWorking:strumenti di protezione e sfide

Giuseppe Adduce26 Marzo 2020

DEFINIZIONI

Cyber Security è un sinonimo di sicurezza informatica, ovvero di tutte quelletecnologie utili a proteggere un computer o un insieme di computer (sistemainformatico) da attacchi che possono portare alla perdita o compromissione didati ed informazioni.

La Cyber Security, al contrario dell’information security, dipende solo dallatecnologia informatica. Per capire se un sistema informatico è più o menosicuro bisogna trovare le minacce e vulnerabilità e proteggerli da eventualiattacchi.


SOGGETTI COINVOLTI NELL’ERA 4.0

Sono coinvolti nella cyber security tutte le aziende che devono garantire sicurezza delleinformazioni nell’innovazione di processo, di prodotto, di servizi, di gestione, con impattisignificativi sugli impianti, sui prodotti, sulle informazioni e ovviamente, non ultimo, sullepersone.

Tutto questo sarà incentrato e reso possibile grazie alla pervasività delle tecnologie ICT e aquello che è ormai comunemente chiamato il cyberspazio (è la cosa più complessa e articolatache l’uomo abbia mai concepito, unione di migliaia di reti dati e di stratificazioni di software cheinterconnettono uomini e cose in giro per il mondo.)

Una delle conseguenze auspicate dal 4.0(compreso lo smartworking) è lo status di Always-ondell’Impresa al pari di ciò che ciascuno di noi sta sperimentando a livello individuale, ovvero lostatus del tutto connesso, sempre.


«CONNESSO SEMPRE» – I principali rischi

Connesso Sempre significa, in pratica, “più porte e più finestre” verso il mondo esterno. La conseguenzadiretta è un significativo aumento del rischio che gli attaccanti riescano, a costi ridotti, a sottrarreinformazioni, dati e know-how fondamentali per le aziende.

Vi è poi un altro rischio indubbiamente meno evidente, ma altrettanto reale e con effetti potenzialmentealtrettanto devastanti: che i nostri sistemi informativi e soprattutto i nostri prodotti, se nonadeguatamente progettati, vengano utilizzati dagli attaccanti come “basi di appoggio” e “porti” da cuipartire per sferrare attacchi devastanti verso altri. Per molte aziende questo sarebbe la fine: il nostroprodotto era “mal progettato”; il suo impiego ha danneggiato in qualche modo i nostri clienti e ora siamochiamati a pagarne i danni e a subirne le conseguenze in termini di immagine e di quote di mercato.

Altro rischio è la mancanza di sensibilità al problema da parte dell’imprenditore. Come insegna la SocialEngineering, la componente umana, il cosiddetto Man-in-the-middle è l’anello debole della catena e unadelle porte di accesso più facili e meno costose da utilizzare da parte di un attaccante malevolo.


«4.0 - SmartWorking»


«IOT»


«L’Occhio delle Cose»

1. Vulnerabilità2. Estrapolazione dati 3. Difetto di controllo4. Qualità del consenso5. Profilazione intrusiva6. Usi secondari o ulteriori7. Incertezza8. Divulgazione continua9. Cultura IoT


Valore del Dato Aziendale nei contesti utilizzati – Analisi Rischi

1 2 3 4 5 6 7 8 9

Attività di valutazionee scoring

Decisione automatizzate che producono significativi effetti su business aziendale

Monitoraggio sistematico

Analisi dati su larga scala

Informazioni e dati che impediscono di esercitare un diritto o di avvalersi di un servizio o di un contratto

Dati relativi al Business vulnerabili

Dati sensibili o di natura estremamente Aziendali

Combinazione o raffronto di insiemi di dati

Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative

Informazioni finalizzate ad assumere decisioni

sul business

Oltre ai trattamenti di dati sensibili Aziendali vanno tenuti in

considerazione anche i dati la cui violazione comporterebbe

evidentemente un grave impatto sul business dell’azienda

Analisi dati dell’azienda tramite sistemi automatizzati

Informazioni che utilizzano una nuova tecnologia ossia innovativa rispetto al grado di conoscenze

tecnologiche raggiunto

Attività predittiveInformazioni utilizzate per osservare, monitorare o

controllareBig DATA

Informazioni relative al business

Informazioni che implicano l’esclusione di un beneficio


Rifermenti Nazionali ed Internazionali sulla Sicurezza

• CIS CSC – Center for internet security• COBIT - Control Objectives for Information and related Technology• ISO/IEC 27001 – Sicurezza delle informazioni• NSIT – CSRC Computer Security Resource Center• Misure Minime AgID – Agenzia per l’Italia digitale


Framework NSIT – Cobit – CIS

Giuseppe Adduce14 Febbraio 2020

Contromisure Tecniche e organizzative per lasicurezza dei dati – Corretta Gestione della Infrastruttura

Informatica (HW e SW)

PERIMETRO AZIENDALE

La Norma CEI UNI ISO/IEC 27001:2017 Sistemi di gestione per la sicurezza delle informazioni

Le Norme per i servizi cloud ISO/IEC 27017 e la ISO/IEC 27018


Sistema di Gestione della sicurezza delle informazioni (ISO/IEC 27001)

• Riservatezza - Proprietà per cui l’informazione non è resa disponibile orivelata a individui, entità o processi non autorizzati

• Integrità - Proprietà relativa alla salvaguardia dell’accuratezza e dellacompletezza dei beni

• Disponibilità - Proprietà di essere accessibile e utilizzabile su richiesta diun’entità autorizzata

• Sicurezza delle Informazioni - Conservazione della riservatezza,dell'integrità e della disponibilità delle informazioni

Definizioni



Un controllo è una contromisura per gestire il rischio e che può essere rappresentato dapolitiche, processi, procedure, strutture organizzative, funzioni hardware e software.

I controlli sono descritti in maniera sintetica. La ISO/IEC 27002 rappresenta una guidaimplementativa.

I controlli possono essere selezionati dalla ISO/IEC 27001, da altri elenchi o possono esserneprogettati di nuovi sulla base di specifiche esigenze

Qualche numero:14 capitoli (dal 5 al 18) 35 obiettivi di controllo 114 controlli

Controlli


Sistema di Gestione della sicurezza delle informazioni – Servizi Cloud ISO/IEC 27017

• Suddivisione delle responsabilità tra fornitore e clienti dei servizi cloud• Rimozione / assegnazione delle attività alla cessazione di un contratto• Protezione e separazione degli ambienti virtuali dei diversi Clienti• Configurazione delle Virtual Machine• Attività amministrative e procedure connesse con l'ambiente cloud• Monitoraggio delle attività del cliente all’interno dell'ambiente cloud• Allineamento degli ambienti virtuale e cloud


Standard Sistema di Gestione della sicurezza delle informazioni dei dati personali nei sistemi Cloud ISO/IEC 27018

• strumenti che consentono ai clienti di rispettare i requisiti relativi all'accesso ai dati, alla correzione dei dati e allarimozione dei dati

• processi per garantire che elaboreranno le informazioni personali come indicato dal cliente• processi per garantire che elaborino le informazioni personali solo per le attività di marketing con il consenso esplicito

del cliente• processi per limitare la divulgazione di informazioni personali alle autorità di contrasto solo se legalmente obbligati a

farlo• una politica in base alla quale essi comunicano al cliente l'identità dei subappaltatori e le possibili posizioni in cui le

informazioni personali possono essere elaborate prima di stipulare un contratto di servizi con tale cliente• processi per assistere i propri clienti nel rispettare gli obblighi di notifica in caso di violazione dei dati• una politica per la restituzione, il trasferimento o la cancellazione di informazioni personali, che deve specificare il

periodo per il quale le informazioni saranno conservate• verifiche periodiche di sicurezza da parte di una terza parte accreditata indipendente per il mantenimento della

certificazione• processi per garantire che il personale sia vincolato da impegni di riservatezza e segua una formazione adeguata



Capitoli5. Politiche per la sicurezza delle informazioni;6. Organizzazione della sicurezza delle informazioni;7. Sicurezza delle risorse umane;8. Gestione degli asset;9. Controllo degli accessi;10. Crittografia;11. Sicurezza fisica e ambientale;12. Sicurezza delle attività operative;13. Sicurezza delle comunicazioni;14. Acquisizione, sviluppo e manutenzione dei sistemi;15. Relazioni con i fornitori;16. Gestione degli incidenti relativi alla sicurezza delle

informazioni;17. Aspetti relativi alla sicurezza delle informazioni nella

gestione della continuità operativa;18. Conformità

MANUALE DELLE CONTROMISURE

(MC) definisce le buone prassi e procedure

per attuare un sistema di gestione della sicurezza dei

dati e delle informazioni

ragionevolmente adeguato al rischio residuo analizzato


Telelavoro e SmartWorking Definizione

Con telelavoro/smartworking/lavoro da remoto si intendono tutte le formedi lavoro fuori ufficio, inclusi gli ambienti di lavoro non tradizionali (stazioni dilavoro flessibili, lavoro a distanza e ambienti di lavoro virtuali).

Il dipendente è responsabile nell’impedire l'accesso non autorizzato allerisorse informative da parte di altri utenti che condividono la stessa struttura,per esempio famiglia e amici.


Procedure Sicurezze da attuare in SmartWorking

• Telelavoro e SmartWorking con strumenti aziendali Organizzazione della sicurezza delle informazioni;

• Telelavoro e SmartWorking(BRING YOUR DEVICE) con Strumenti Personali;

• Telelavoro e SmartWorking – Trattamento informazioni con su documenti cartacei;

• Telelavoro e SmartWorking – Conversazioni e Comunicazioni Telefoniche;

Procedure Operative per i Dipendenti e Collaboratoridefiniscono le

buone prassi per attuare un sistema

di gestione della sicurezza dei dati e delle informazioni ragionevolmente

adeguato al rischio residuo analizzato


Telelavoro e SmartWorking Rischi Potenziali

• Accessi abusivi per manipolare/rubare informazioni

• Perdita e Divulgazioni di dati Personali ed Aziendali

• I dispositivi IT usati in Smartworking e i dati possono essere danneggiati o manipolati

• Gli interessi aziendali potrebbero essere compromessi

• Danni permanenti sui dati personali e aziendali


Telelavoro e SmartWorking con strumenti aziendali Organizzazione della sicurezza delle informazioni

• Non è consentito far collegare alle rete da remoto apparecchiature non autorizzate dall’ufficio IT o altri dispositivi che non siano i propri PC assegnati.

• Chiudere il collegamento ogni volta si abbandona la postazione di lavoro

• Non è consentito fare intervenire sui strumenti aziendali fornitori IT non autorizzati.

• le postazioni sono configurate secondo gli standard Aziendali e qualsiasi modifica deve essere autorizzata dall’Amministratore di sistema, responsabile dei servizi informativi.



• E’ vietata l’istallazione sul computer di qualsiasi tipo di software senza l’autorizzazione della Direzione, al fine di prevenire l’istallazione di software pericolosi (quali ad esempio virus informatici che possono alterare la stabilità dei sistemi operativi) o sprovvisti di regolare licenza d’uso (d.lgs. 29 dicembre 1992, n. 518, L. 18 agosto 2000, n. 248)

• E’ vietato, se non a seguito di esplicito consenso o richiesta da parte dell’azienda, collegare il computer ad altri computer, reti esterne, a modem, a router, a schede di rete o a qualsiasi dispositivo compreso telefono cellulare o periferica che non siano quelle previste dall’Azienda

• In presenza di terzi, è necessario accertarsi che questi non possano leggere le informazioni sul PC



• E’ fatto divieto di caricare sul PC dati estranei all’attività lavorativa

• Una volta attivato il PC, è opportuno non lasciare incustodita la postazione senzaprima averne bloccato l’accesso

• L’utilizzo di eventuali supporti esterni - oltre a dover essere autorizzato - deveessere preceduto da una opportuna verifica che accerti: l’origine del supporto, ilsuo contenuto e l’assenza di virus al suo interno

• Non è consentito utilizzare programmi informatici o strumenti per intercettare,falsificare, alterare o sopprimere per finalità illecite il contenuto di comunicazionie/o documenti informatici

• L’azienda si riserva la facoltà di procedere alla rimozione di ogni file o applicazioneche riterrà essere potenzialmente pericolosi per la sicurezza del sistema, ovveroacquisiti o istallati in violazione del presente regolamento.


Telelavoro e SmartWorking(BRING YOUR DEVICE) con Strumenti Personali - Definizione

Bring Your Own Device (BYOD), espressione con la quale si fa riferimento all’utilizzo daparte dei dipendenti/collaboratori dei propri dispositivi mobili al fine di accedere,conservare e trattare informazioni e applicazioni aziendali.In altre parole, il termine BYOD allude all’utilizzo, da parte dei dipendenti/collaboratori,dei propri apparecchi per accedere alle reti e ai contenuti di proprietà dell’azienda.

Tale definizione, tuttavia, necessita di alcuni chiarimenti interpretativi, specie in relazioneal significato ed al perimetro concettuale dei suoi 3 elementi costitutivi, ovvero:1. Dispositivi mobili2. Dipendenti/Collaboratori3. Informazioni aziendali


Telelavoro e SmartWorking(BRING YOUR DEVICE) con Strumenti Personali - Definizione

Bring Your Own Device (BYOD), è innanzitutto strettamente connessa al concetto di“dispositivo mobile”, da intendersi quale dispositivo di elaborazione portatile dotato disistema operativo proprio (O.S.), funzionalità e capacità informatiche di diversa natura(Wi-Fi, Bluetooth, GPS, fotocamera etc.) ed in grado di supportare applicazioni software,meglio conosciute come Apps.

Nonostante la molteplicità di dispositivi mobili attualmente presenti sul mercato edaventi le suesposte caratteristiche, una corretta interpretazione della definizione diBYOD impone di restringere il campo d’applicazione a telefoni cellulari, smartphone,tablets e notebook.


Telelavoro e SmartWorking(BRING YOUR DEVICE) con Strumenti Personali - Politiche

Le Politiche di BYOD interessano la ben più ampia categoria dei “lavoratori”, daintendersi quali individui che lavorano per conto di un soggetto, indipendentementedall’esistenza di un contratto di lavoro subordinato.

Si pensi, a titolo esemplificativo, alle figure professionali rientranti all’interno delle varieforme di rapporto di lavoro parasubordinato (o autonomo), quali:• lavoratori a progetto;• freelance;• consulenti;• professionisti;• etc.


Telelavoro e SmartWorking(BRING YOUR DEVICE) con Strumenti Personali - Rischi

Il fattore di maggior problematicità è rappresentato dall’utilizzo promiscuo e perfinalità differenti (lavorative e personali) dei dispositivi mobili da parte dei lavoratori.Il dipendente/lavoratore gestisce ed utilizza per fini aziendali il dispositivo di suastessa proprietà, mentre il datore di lavoro/Impresa è il soggetto obbligato aconformarsi alle prescrizioni e regole GDPR.

In particolare, l’Impresa interessata all’implementazione del BYOD sarà tenuta aconsiderare, in ottica preventiva, i seguenti aspetti:• la tipologia e la natura dei dati trattati• il luogo di conservazione dei dati• le modalità di trasferimento e il flusso dei dati• le possibilità di perdita/alterazione dei dati


Telelavoro e SmartWorking(BRING YOUR DEVICE) con Strumenti Personali - Rischi

• Il livello di commistione/promiscuità tra finalità personali e aziendali nei trattamenti dei dati

• Il livello di sicurezza dei singoli dispositivi mobili

• Gli effetti di una potenziale conclusione del rapporto lavorativo tra Impresa e lavoratore

• Le modalità di gestione di eventuali perdite, furti, malfunzionamenti e/o rotture di un dispositivo


Telelavoro e SmartWorking(BRING YOUR DEVICE) con Strumenti Personali

• L’Azienda/Titolare può, in qualunque momento, procedere alla rimozionerispettivamente di ogni file o applicazione che riterrà essere pericolosa per lasicurezza e/o non inerente all’attività lavorativa sul dispositivo

• L’Azienda/Titolare può rimuovere in qualsiasi momento l’accesso da remoto

• È assolutamente vietato collegare alla rete aziendale da remoto, dispositivipersonali di fornitori/clienti/collaboratori, se non si è stati esplicitamenteautorizzati dal Titolare

• Le informazioni sull’infrastruttura collegamenti/applicazioni e sui suoi componentisono da considerarsi informazioni riservate e quindi non devono essere trasmessea personale non autorizzato

• Chiudere il collegamento ogni volta si abbandona la postazione di lavoro



• Non è consentito fare intervenire sulle configurazioni di dispositivi connessi personale non autorizzati

• I dispositivi personali sono configurate secondo gli standard Aziendali e qualsiasi modifica deve essere autorizzata dall’Amministratore di sistema, responsabile dei servizi informativi

• In presenza di terzi, è necessario accertarsi che questi non possano leggere le informazioni sul dispositivo

• Una volta attivato il dispositivo, è opportuno non lasciare incustodita la postazione senza prima averne bloccato l’accesso

• L’utilizzo di eventuali supporti esterni - oltre a dover essere autorizzato - deve essere preceduto da una opportuna verifica che accerti: l’origine del supporto, il suo contenuto e l’assenza di virus al suo interno



• Non è consentito utilizzare programmi informatici o strumenti perintercettare, falsificare, alterare o sopprimere per finalità illecite ilcontenuto di comunicazioni e/o documenti informatici.

• L’azienda/Titolare si riserva la facoltà di procedere alla rimozione di ogni fileo applicazione che riterrà essere potenzialmente pericolosi per la sicurezzadel sistema, ovvero acquisiti o istallati in violazione del regolamento.


Telelavoro e SmartWorking – Trattamento informazioni con su documenti cartacei

• Consegna dei documenti via postaNel caso la consegna di documenti, originali o fotocopiati contenenti dati particolari oinformazioni qualificate come riservate, avvenga per posta, si richiede l’utilizzo di tipidi spedizione che garantiscano di tracciare i movimenti del documento (ad es.raccomandata, etc.). Quale che sia il tipo di spedizione adottato, si raccomanda diaccertare che esso consenta di avere prova certa del fatto che il destinatario abbiaeffettivamente ricevuto i documenti inviati e che essi siano giunti integri, e quindi nonmanomessi o alterati in fase di trasporto.

• Custodia dei documenti all’esterno dei luoghi di lavoroQualora per motivi di lavoro vengano trasportati documenti all'esterno del luogo dilavoro, l’incaricato deve tenere sempre sotto controllo il plico, avendo cura altresì chenessun soggetto terzo non autorizzato possa vedere anche solo la copertina deldocumento in questione.


Telelavoro e SmartWorking – Conversazioni e Comunicazioni Telefoniche

Si deve raccomandare di non discutere, comunicare o comunque trattare datiaziendali se non si è certi che il corrispondente sia un incaricato autorizzato atrattare i dati in questione.

Si deve raccomandare la massima attenzione nella scelta dei luoghi ovesvolgere le conversazioni telefoniche.


Cyber Security ed Etica Digitale

«scongiurare i rischi connessi al digitale valorizzando le sue straordinarie opportunità attraverso l’assunzione di

responsabilità da parte di ciascun soggetto coinvolto nel governo della tecnologia nella salvaguardia del diritto alla protezione dei dati quale risorsa per mantenere la persona

nella sua libertà al centro della società digitale»


• Domande e risposte(tanto non c’è tempo)


Contatti [email protected]

http://blog.pomiager.com/

cell. 3488278623www.pomiager.com

Giuseppe Adduce


mailto:[email protected]

http://blog.pomiager.com/

https://www.iqcbox.com/BadgePreview.aspx?IDBadge=5bGFgD%2b8QSBbWEFw%2b3EcdA%3d%3d

Gestione ed adeguamento Sicurezza dei Sistemi Informativi ......• processi per limitare la...

Documents

Transcript of Gestione ed adeguamento Sicurezza dei Sistemi Informativi ......• processi per limitare la...