Presentazione di PowerPointwebtv.confindustria.vicenza.it/importedfiles/Telmon-Vicenza... ·...

Sicuramente www.clusit.it

L’applicazione degli standard della sicurezza delle

informazioni nella piccola e media impresa

Claudio Telmon – Clusit [email protected]


Associazione “no profit” con sede presso

l’ Università degli Studi di Milano,

Dipartimento di Informatica e Comunicazione


Claudio Telmon

Membro del Comitato Tecnico e del Consiglio Direttivo di Clusit

[email protected]

Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit

Cos’è la sicurezza delle informazioni?

È il mantenimento della riservatezza, integrità e disponibilità delle informazioni

Perché?


Contromisure

Impatto Probabilità

Minacce

Dipende…


Cos’è il rischio e perché ci interessa

Rischio: effetto dell’incertezza sugli obiettivi (ISO/IEC 27000:2014)

Rischio Operativo: il rischio di perdite derivanti da processi interni, persone o sistemi inadeguati o dal loro fallimento, o da eventi esterni. Includono i rischi legali ma non quelli reputazionali (European Banking Authority)


In cosa ci aiuta la prospettiva del rischio

Il rischio è un concetto connaturato all’Impresa

ci aiuta a condividere i concetti con il resto dell’azienda

ci aiuta ad allineare gli obiettivi con l’azienda

ci aiuta a capire e spiegare dove, quanto e perché investire in sicurezza

Per ragionare sul rischio, è necessario parlare con i «business owner»: sono loro che sanno:

quali sono gli impatti sui processi e quindi sull’azienda

quali sono le informazioni e i servizi di valore

qual è l’appetibilità delle informazioni, ad esempio, per i concorrenti

«La sicurezza assoluta non esiste»

Quindi?


Standard e riferimenti

Famiglia di standard ISO/IEC 27xxx (27000, 27001, 27002…)

«The information security management system preserves the confidentiality, integrity and availability of information by applying a risk management process and gives confidence to interested parties that risks are adequately managed»

27005: affronta specificamente l’ «Information security risk management»

27002: fornisce i «controlli» con cui mitigare il rischio

Famiglia di standard NIST SP 800-xxx (e adesso, anche SP 1800-xxx sulla Cybersecurity)

Nati per i sistemi informativi federali, sono un buon riferimento anche per altre organizzazioni, anche non US

Riferimento principale : NIST SP 800-53 (rev. 4)

Vari documenti sul rischio, fra cui SP 800-30 «Guide for Conducting Risk Assessments»

Possono essere scaricati gratuitamente


I fattori di rischio (NIST SP 800-30)


Processo di gestione del rischio (ISO 27005)


Approccio alla gestione del rischio

Perché facciamo una analisi?

Per conformità normativa

Spesso ci viene indicato come svolgere l’analisi (perimetro, minacce, a volte questionari…)

Per requisiti contrattuali

I requisiti sono indicati nel contratto, a volte in riferimento ad uno standard (es. ISO/IEC 27001), a specifiche clausole contrattuali, o a policy della controparte

Tipico dei contratti con grossi clienti che operano in un contesto regolamentato

Per esigenze interne

Indirizzare la scelta di controlli utili ed efficaci per la riduzione del rischio ad un livello accettabile per l’azienda

Ci facciamo guidare dalle esigenze aziendali


Cosa ci serve definire

Perimetro dell’analisi

Datacenter

PdL / strumenti mobili

Rete commerciale

Partner, fornitori

…

Approccio quantitativo, qualitativo, semi-quantitativo..

Criteri di valutazione dell’impatto

Sui processi di business

Sugli asset e sui sistemi IT a supporto


Metodologia: analisi dell’impatto

Amministrazione

Processo 2… Marketing Processo1 Processo 1 … Processi

business

Sistemi/ applicazioni a

supporto


supporto


supporto


supporto


supporto

Sistemi a

supporto

Strumento: questionario erogato ai business owner di processi con

una dipendenza critica dal sistema informativo

Obiettivi:

• individuare i servizi e quindi le applicazioni critiche

• definire il profilo di impatto per quelle applicazioni (e i componenti

infrastrutturali)


Ris

erv

ate

zza

Inte

gri

tà

Dis

ponib

ilità

• Furto di informazioni (dell’azienda, dei

clienti, proprietà intellettuale, segreti

industriali…)

• Furto di dispositivi

• Diffusione di informazioni su social media

• …

• …

• Modifiche non autorizzate ai dati dei

clienti

• Modifiche non autorizzati ai dati aziendali

• Malware, …

• Sabotaggio (HW)

• Attacchi (D)DOS

• Disastri (incendi, allagamenti, …)

• Malware (es. Ransomware)…

Conseguenze reputazionali

Conseguenze legali /

contrattuali

Perdita dell’ operatività

Impatti di business /

strategici

Perdite economiche

Scenari di rischio: valutazione di impatto

Altri fattori umani/sociali

Rischi strategici


Profilo di rischio

Per ogni processo/asset/sistema otteniamo un profilo di impatto sulla base ad es. del massimo impatto per scenario:

Se non lo abbiamo ancora fatto, dobbiamo individuare con chiarezza i componenti del sistema informativo a supporto dei processi

Processo 1:

Processo 2:

…

Processo n:

Alto Medio Medio

Riservatezza Integrità Disponibilità

Alto Alto Basso

Basso Basso Basso


La componente probabilistica

I fattori di rischio (specifici, generali)

Minacce e fonti (agenti) di minaccia

Vulnerabilità e condizioni favorevoli

Probabilità (appetibilità, condizioni generali)

Rischio reale e rischio percepito

Attenzione al rischio percepito

del consulente


La disponibilità di informazioni

Informazioni sul contesto globale/nazionale

Informazioni sul settore merceologico

Informazioni storiche sull’azienda

Informazioni sull’evoluzione delle minacce (early warning)

Usare i dati storici per stimare il rischio è come guidare guardando nello specchietto retrovisore


Basso Medio Alto

Alta

Media

Bassa

Molto Bassa Basso

Basso

Basso

Medio Basso

Medio

Medio

Basso

Medio

Molto Alto Alto

Alto

Valutazione del rischio: la heatmap P

rob

abil

ità

Impatto

Criteri di accettazione del rischio (esempio):

molto alto: trasferire/evitare

alto: trattare obbligatoriamente

medio: valutare caso per caso

basso: accettare


Altri concetti sul rischio

Rischio inerente: rischio in assenza di controlli

Rischio residuo: rischio rimanente dopo aver applicato i controlli previsti

Quando stimiamo la probabilità e l’impatto, teniamo conto dei controlli già in essere, perché ci interessa (di solito) capire

dove intervenire per ridurre ulteriormente il rischio (migliorare/aggiungere controlli)

Avversione/propensione al rischio: preferenza/avversione per un ammontare certo rispetto a una quantità aleatoria

si concretizza generalmente in un limite superiore al rischio potenziale legato ai sistemi informativi


Trattamento del rischio

Quali controlli?

Framework come la ISO 27xxx e NIST 800-xxx forniscono ognuna un insieme coerente e (abbastanza) completo di controlli

Ognuno dei controlli si deve concretizzare nel contesto specifico dell’azienda

Sono fondamentali gli aspetti organizzativi e di gestione, compresa la definizione di policy e procedure

È essenziale il commitment della Direzione

le policy non devono essere emesse dalla gestione IT

Quanto sono efficaci i controlli?

Livello di maturità / implementazione

Definizione di KPI per misurare l’efficacia (es. riduzione delle infezioni da virus, tempo speso nella gestione di incidenti…)


Trattamento del rischio

Logiche di baseline

Non ci serve un’analisi del rischio per sapere che serve una protezione verso Internet: ci serve un’analisi per capire se basta una protezione di base

Stesso principio per antivirus, autenticazione, ecc. ecc.

Quanto sono efficaci i controlli?

Livello di maturità / implementazione

Definizione di KPI per misurare l’efficacia (es. riduzione delle infezioni da virus, tempo speso nella gestione di incidenti…)


Esempio di libreria dei controlli: ISO/IEC 27002:2013

Politiche per la sicurezza delle informazioni

Organizzazione della sicurezza delle informazioni

Sicurezza delle risorse umane

Gestione degli asset

Controllo degli accessi

Crittografia

Sicurezza fisica e ambientale

Sicurezza delle attività operative

Sicurezza delle comunicazioni

Acquisizione, sviluppo e manutenzione dei sistemi

Relazioni con i fornitori

Gestione degli incidenti relativi alla sicurezza delle informazioni

Aspetti relativi alla sicurezza delle informazioni nella gestione della continuità operativa

Conformità


Riferimenti

Serie 27xxx:

http://www.iso.org/iso/home/standards/management-standards/iso27001.htm

NIST SP 800-xxx:

http://csrc.nist.gov/publications/PubsSPs.html

ENISA - Inventory of Risk Management / Risk Assessment Methods:

https://www.enisa.europa.eu/activities/risk-management/current-risk/risk-management-inventory/rm-ra-methods

Clusit - Rapporto Clusit:

https://clusit.it/rapportoclusit/





















































[email protected]

Presentazione di PowerPointwebtv.confindustria.vicenza.it/importedfiles/Telmon-Vicenza... ·...

Documents

Transcript of Presentazione di PowerPointwebtv.confindustria.vicenza.it/importedfiles/Telmon-Vicenza... ·...