L’Analisi e la Gestione del Rischio come Componenti

essenziali nella Certificazione di un

Information Security Management System

(BS7799BS7799)

Stefano TRAVERSALecce, 21 Maggio 2004

Agenda

Il processo della sicurezza

La gestione dei rischi in BS7799

La nuova sensibilità dei rischi

Scenario• Basilea2, TU196/2003, SLA

Lo standard BS7799: vantaggi

Riflessioni su BS7799

Scenario internazionale

La Sicurezza come Processo

IInformationnformation S Securityecurity MManagementanagement S Systemystem

““Security is a process, not a Security is a process, not a statestate””

(B. Schneier)(B. Schneier)

Security is a process not a State

La sola applicazione di tecnologie è poco efficace, specie per realtà complesse di medio-grandi dimensioni

I progetti di sicurezza (dai requisiti alla soluzione) hanno fornito risposte adeguate alle esigenze puntuali, ma da soli non bastano

Occorrono feedback che alimentino un processo di evoluzione continua delle soluzioni adottate per ottenere la massima efficacia

Gestire il rischio

Processi stabili e ripetibili nel tempo significa anche avere la possibilità di

gestire meglio i rischi

Il controllo interno

In un’ottica di governance, essere dotati di processi stabili e ripetibili nel tempo, significa governare meglio la struttura, per salvaguardare gli stakeholders

Il valore dell’informazione

L’informazione viene supportata da strumenti informatici,

… ma la sua efficacia, in un’impresa, dipende dalla ripetibilità dei suoi processi

Rischio: una nuova realtà

La costante vigilanza sul presente e

sulle potenziali fonti di rischio: componente

vitale del “core value”

delle organizzazioni

Concetti base: L’Analisi dei Rischi

I rischi• business risks

organizational risks

technological risks

Operational risks

Il RISK ASSESSMENT consente di stabilire priorità d’azione per mitigare il rischio complessivo

Il RISK MANAGEMENT consente di pianificare la gestione dei rischi residui e il controllo nel tempo del livello di rischio

Risk Assessment & Management

Managing Risk

No Defined Risk Risk Defined Risk Estimated

Ris

k analy

sis

Ris

k ass

ess

ment

Ris

k m

anegem

ent

Value of the lost

Probability

Not acceptable Risk

Concetti Base: L’Analisi dei Rischi

I risultati dell’analisi vanno inseriti nel flusso delle attività aziendali

• la soluzione non è mai un “qualcosa” a sé stante (Analisi Statica)

L’Analisi è sistemica ed applicata ai processi di business

Processi Stabili e Ripetibili

Concetti Base: L’Analisi dei Rischi

L’obiettivo di un’analisi dei rischi è la valutazione del rischio complessivo, non la sua eliminazione

L’analisi fornisce gli input alla gestione, e causa ripercussioni sull’intera organizzazione e sui processi gestionali

Scenario

Stakeholders:• Azionisti• Partners• Fornitori• Dipendenti• Comunità/Banche/Cliente finale

Scenario: La Nuova Sensibilità ai Rischi

Basilea 2

il black out

gli attacchi di virus e worms

“globali”

SLA orientati alla Continuità del

Servizio

TU 196/2003

regolamento CAI

Scenario: Il Rischio Operativo secondo Basel II

Definizione: “il rischio di perdite derivanti

da processi, comportamenti del

personale o sistemi interni inadeguati o

non andati a buon fine, oppure derivanti

da eventi esterni”

Scenario: Il Rischio Operativo secondo Basel II

Il Nuovo Accordo prevede che le banche possano avvalersi di approcci avanzati di misurazione (“Advanced Measurement Approaches”, AMA),

Lo standard BS7799 appare come un ottimo candidato per l’implementazione

dell’approccio alla gestione avanzata del rischio operativo secondo Basilea 2

I principi descritti nella sezione dedicata agli AMA sono infatti in sintonia con quelli alla base dello standard BS.

Scenario: Il Rischio Operativo secondo Basel II

Nella sezione dedicata agli AMA, inoltre, si fa riferimento all’allegato 7 del Nuovo Accordo di Basilea intitolato “Classificazione dettagliata delle tipologie di eventi di perdita”.

L’allegato descrive sinteticamente quali siano le minacce che devono essere prese in considerazione quando si ha a che fare con il rischio operativo.

Scenario – Quadro Legislativo

Esempio T.U. 196/2003 – Misure Minime

Definizione (art. 4, c. 3, lett. a):il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai Rischi previsti dall’art. 31

Art. 31: rischi di distruzione o perdita anche accidentale dei dati, rischi di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta

I titolari del trattamento sono tenuti ad adottare le misure minime, individuate dal Codice, secondo le modalità previste dal Disciplinare Tecnico (allegato B), per assicurare un livello minimo di protezione dei dati personali.

Scenario – Quadro Legislativo

Esempio T.U. 196/2003 – DPS Documento Programmatico sulla Sicurezza

Redatto entro il 31 marzo di ogni anno

Deve contenere:• l’elenco dei trattamenti di dati personali• la distribuzione dei compiti e delle

responsabilità nell’ambito delle strutture preposte al trattamento

• l’analisi dei rischi che incombono sui dati• le misure da adottare per garantire l’integrità e

la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;

• la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento

Scenario – SLA

I Service Level Agreement nei “Servizi Avanzati”

su settori nei quali la perdita di continuità del Servizio crea danni aziendali e di

immagine porta a

penali CONSISTENTI

L’organizzazione innanzitutto

Un modello di risk management, senza supporto organizzativo riconosciuto da tutte le componenti coinvolte non può funzionare!

Il valore della semplicità

Un modello di risk management deve essere il più possibile semplice e fare uso di tools semplici,

perché deve essere:

Comprensibile e applicabile per i pertinenti livelli e ruoli dell’organizzazione;

Verificabile e manutenibile al mutare delle condizioni di Business ed in funzione della

conoscenza acquisita.

L’anello più debole

Collegamento INTERNET

Politiche di

PASSWORD

Desktop non

protettiAmici

in azienda

ManutenzioneesternaMancata conoscenza

Di come agire In caso di incidente

Porte di Comunicazione

Non settate

MancanzaDel

controllo

E’ fondamentale ricordare che in qualsiasi modello, la forza dello stesso è pari all’anello più debole, indipendentemente dagli sforzi che vengono fatti

E’ fondamentale ricordare che in qualsiasi modello, la forza dello stesso è pari all’anello più debole, indipendentemente dagli sforzi che vengono fatti

Sicurezza delle informazioni

Garantire la sicurezza delle informazioni, allora, vuol dire:

assicurare la business continuity Minimizzare i danni al business Supportare la creazione del valore

Principi … Assicurare:a) Riservatezza b) Integrità c) Disponibilità

Requisiti… Base:1) Requisiti Legali 2) Contrattuali 3) Policies obiettivi e requisiti Interni

BS7799-2: Principi e Requisiti

BS7799 L’ISMS come Strumento

Un ISMS è uno Strumento per evidenziare “giustificandone” il motivo (evidenza oggettiva):

1. Una Esigenza di Miglioramento2. L’introduzione di una nuova tecnologia 3. Un Processo Organizzativo

= Vantaggio Competitivo = Fidelizzazione Immagine di Solidità= Posizionamento

Riflessioni sull’adozione di BS7799

Possibili esigenze BS7799

Interni : Dati sensibili informazioni riservate

Esterni Clienti: La Disaster Recovery è un output del processo di Business Continuity compresa nel ISMS definita da BS7799

BS7799 come Standard di RiferimentoFattore comune di riferimento :

nelle PA/Sanità Disaster Recovery Progetti Innovazione

Industry Configuration Management Ottimizzazione

Servizi Avanzati Business On demand Business Continuity Digitale Terrestre

Vantaggi/Benefici

ISO9001 - Forte integrazione Vantaggio competitivo

• Maggiore credibilità nella proposizione del Business

• Visibilità nel mercato

Già adesso usato come Requirement generale nelle PA, nel Finance e ICT

Risposta a requisiti di cogenza Crea Sinergie all’interno del Mercato

Captive

Costi

Per la certificazione dipende dalla complessità del contesto e dal Campo di Applicazione

Come investimento e come palestra per coloro i quali dovranno usarlo come strumento

Lo Scenario Internazionale

In Giappone ma in generale nell’area asiatica la crescita è stata molto rapida

Le necessità di distinguersi dalle produzioni classiche e le volontà di apportare Valore Aggiunto a offerte sempre più competitive e confrontabili

Lo standard BS7799 - Certificazioni

Certificazioni fino al 2003 Certificati 31/03/2004

Nuovi paesi ad oggi

Australia 1 Australia 7 Argentina 1Austria 1 Austria 3 Belgium 1China 2 China 5 Brazil        

            3

Egypt 1 Egypt 1 Denmark 2Finland 2 Finland

       10 Hungary 6

Germany 4 Germany      

22 Iceland 3

Greece 2 Greece 2 Macau 1Hong Kong 2 Hong

Kong    17 Malaysia 1

India 6 India       24 Mexico         

3

Ireland 2 Ireland 7 Poland                 

1

Italy 1 Italy 12 Qatar 1Japan 4 Japan 276 Saudi

Arabia1

Korea 3 Korea 22 Slovenia 1Netherlands 1 Netherlan

ds1 South

Africa1

Norway 4 Norway 9 Switzerland

3

Singapore 5 Singapore 10Spain 1 Spain 1Sweden 3 Sweden 4Taiwan 3 Taiwan 

           10

UAE 1 UAE 2UK 53 UK   125USA 2 USA        9Totale 104 Totale 608fonte: http://www.xisec.com/

Lo standard BS7799 - Certificazioni

Europe N. Asia N. Africa N. Americhe N. AustraliaN.

UK              137 Japan       351 Egypt 1 USA 10 Australia7

Germany 23 India      30 Qatar 1 Brazil             3

Italy     12 Korea      24 Saudi Arabia 1 Mexico          3Finland  10 Hong Kong  17 South Africa 1 Argentina 1

Norway       9 Taiwan  14 UAE 2

Greece 2 Singapore   10Switzerland 3 China 5

Denmark 2 Malaysia 1Iceland 3 Macau 1Sweden 4Austria 3Ireland 7Hungary 6Belgium 1Netherlands 1Poland          1Slovenia 1Spain 1

TotaleTotale 226   453   6   17   7 709

Qualche dato in dettaglio

Crescita dal 2002 al 2004:

Mondo: Da 104 a 608 al 31/03/2004, da 608 a 709 ad OGGI e…….siamo

all’inizioItalia: Da 1 a 12, 30 a fine annoJapan: Da 4 a 351 !!!India: Da 4 a 30 Germania: Da 4 a 22 UK: Da 53 a 137USA: “solo” 10 ma … Federal Reserve Bank of New

YorkJapan: gli ICT es. Sony,Mitsubishi, etcUK: P.A. Royal Mail, the Royal Bank of Scotland,

Criminal Justice, Germany es. Siemens,T-system, Vodafone

ISO9001 e BS7799: Analogie

Best Practices (come strumento per comunicare)

System Management

Forte Commitment dai Vertici (la tecnologia non più come satellite

aziendale)

ISO9001 e BS7799: Differenze

ISO9001 BS7799

“Nasce nel Metalmeccanico” “Servizi Avanzati”

Organizazzione + Project management Organizazzione + Risk management

Partita da 0 Parte da ISO9001

Nessun riferimento Legal TU 196/2003

Balilea 2

Riferimenti Banca Italia su ISO17799 (regolamento CAI) Regione Lombardia

Obiettivi di DNV

LA SALVAGUARDIA

DELLA VITA,

DELLA PROPRIETÀ,

E DELL’AMBIENTE

L’esperienza DNV nel mondo

16% quota di mercato mondiale