Privacy e Cyber Security: strumenti tecnici ed Sicurezza dei … · 2018-05-08 · Diamoci del T...

Diamoci del TÜV – ISO/IEC 27001:2013

Sicurezza dei sistemi e servizi IT

Privacy e Cyber Security: strumenti tecnici ed organizzativi per la sicurezza dei dati

Ing. Danilo DiomedeCoordinatore Tecnico


TÜV Italia: Competenza tecnica e conoscenza dei settori di business

Testing & certificazione di prodottoIn ambito chimico, fisico, meccanico, elettrico ed ambientale

Auditing & certificazione di sistemaQualità, ambiente, sicurezza, energia, information security, responsabilità sociale, continuità operativa

IspezioneSu prodotti, sistemi, edifici, impianti ed infrastrutture

Supporto tecnico specialisticoSicurezza, qualità, rischio, energia, compliance regolatoria

TrainingSistemi di gestione, auditing, ruoli tecnici specialistici

TÜV SÜD Slide 28-May-18 ISO 27001 e GDPR

Relatore

Note di presentazione

Speakers notes Our technical expertise and broad industry knowledge enable us to provide the following technical services: Testing & product certification Inspection Auditing & system certification Knowledge services: Technical support such as design reviews and identification of resource optimisation. Training


Principali vincoli di legge relativi all’ambito della sicurezza IT

• Tutela dei dati personali (D.Lgs. n. 196/2003), • Diritto di autore, proprietà intellettuale• DPCM 03/12/2013 – Conservazione a norma• Codice dell’Amministrazione Digitale• Legge 48/2008 che ha aggiunto all’impianto

normativo del D.lgs 231/2001, l’art 24 bis (“Delitti informatici e trattamento illecito dei dati”), ampliando, di fatto, le fattispecie di reato che possono generare la responsabilitàamministrativa delle aziende

• D.Lgs. n. 61/2011 Attuazione della Direttiva 2008/114/CE relativa alle infrastrutture critiche europee

• Regolamento (UE) n. 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (efficace dal 25/05/2018)

• Direttiva n. 2008/114/CE - Infrastrutture critiche

• Regolamento (UE) n. 2014/910 - eIDAS

TÜV SÜD Italia Slide 3ISO 27001 e GDPR08.05.2018


Le sfide della protezione dei dati personali

• Le Organizzazioni sono sempre più dipendenti dai loro asset tecnici (e in particolar modo dall’IT) per gestire e conservare i dati di interesse

• Gli utenti dei processi di privacy (interessati, titolare, responsabili, incaricati, autorità) chiedono sempre maggiore disponibilità di dati, esigenza chespesso confligge con la riservatezza

• Il numero di incidenti (occasionali o provocati) che minacciano riservatezza, integrità e disponibilità dei dati è in crescita

• Un incidente / violazione di sicurezza può :– Intaccare l’immagine aziendale– Ridurre il valore del business– Compromettere futuri introiti– Configurare un reato

TÜV SÜD Italia Slide 408/05/2018 ISO 27001 e GDPR


Lo scenario organizzativo ed operativo della privacy

• L’esigenza di conformità legislativa in un quadro in continua evoluzione, e l’aumento del rischio di incidenti e violazioni hanno reso le Organizzazioniconsapevoli della necessità di dotarsi di un approccio strutturato e sistemico alla gestione della privacy in relazione a molteplici elementi:– Adempimenti (nomine, informative, comunicazioni al Garante)– Competenza delle risorse coinvolte nel trattamento dei dati– Infrastrutture (sistemi per il workflow, per l’archiviazione e il reporting)– Applicativi software– Servizi acquisiti dall’esterno (hosting, archiviazione, conservazione, firma

digitale, cancellazione sicura)– Garanzie richieste dai soggetti interessati (certificazioni)

TÜV SÜD Italia Slide 508/05/2018 ISO 27001 e GDPR


Principali contromisure di sicurezza

TÜV SÜD Slide 6IT Security8-May-18

Fonte: PricewaterhouseCoopers’s Global State of Information Security Survey 2016


GDPR e ISO 27001

Un Sistema di gestione conforme alla norma ISO 27001 rappresenta la metodologia più completa ed efficace per conseguire gli obiettivi di protezione deidati personali nell’ambito del framework stabilito dall’Unione Europea col Reg. n. 2016/679, che si basa su:• Accountability (assunzione di responsabilità documentate e tracciabili)• Valutazione del rischio per i dati personali da trattare• Monitoraggio della compliance legislativa, regolamentare, normativa e contrattuale• Asset management dei supporti per il trattamento dei dati personali• Privacy by Design, interpretata nella ISO 27001 con l’adozione di prassi di protezione

delle informazioni lungo l’intero ciclo di vita

TÜV SÜD Italia Slide 718-05-08 ISO 27001 e GDPR

• Controllo nei rapporti con i fornitori e con tutti i soggetti che partecipano al trattamento dei dati personali


ISO/IEC 27001: 2013Information technology -- Security techniques -- Information security management systems -- Requirements

UNI CEI EN ISO/IEC 27001:2017Tecnologie informatiche - Tecniche per la sicurezza - Sistemi di gestione per la sicurezza delle informazioni - Requisiti

TÜV SÜD Italia Slide 808.05.2018 ISO 27001 e GDPR


Ambito di applicabilità della ISO 27001


• Questa norma non riguarda solo la sicurezza informatica (settore IT), ma è applicabile in tutti i contesti in cui si voglia salvaguardare attraverso un sistema di gestione la riservatezza, l’integrità e la disponibilità delle informazioni gestite dall’Organizzazione

• Organizzazioni pubbliche e private • Fornitori della Pubblica Amministrazione, di CONSIP, di AgID

• Settori di business: Servizi web, Sviluppo software, Bancario/assicurativo, Sanità, R&S, Telecomunicazioni, e-commerce, conservazione, gestori di identità digitale, consulenza strategica, Utilities, gestori di infrastrutture critiche (secondo Direttiva 2008/114/CE)

• Integrabile con le altre norme certificabili (es.: ISO 9001)


I principali punti deboli nella gestione delle informazioni

• Scarsa conoscenza degli aspetti legali e contrattuali (dlg 196/03, dlg 231/01, L 262/05, SLA, carte dei servizi, L 48/2008 ecc.) e delle interazioni con altre discipline (ad es. sicurezza sul posto di lavoro)

• Management “disattento” alla sicurezza delle informazioni (“è un costo”, “è un ostacolo”)

• Scarso collegamento della sicurezza con gli aspetti economico finanziari

• Scarso orientamento agli utilizzatori ed al mercato• Focus privilegiato alla conformità e non all’efficacia (certificazione invece che

sicurezza)

• Troppo tecnicismo e poca organizzazione (+ firewall - cultura)• Outsourcing “indiscriminato” ( scarso controllo)

TÜV SÜD Italia Slide 10ISO 27001 e GDPR18-05-08


Esempi di incidenti di sicurezza

Accesso non autorizzato a risorse informativeCancellazione (totale o parziale) di archivi Furto di identitàDiffusione di dati sensibili (volontaria o meno) Accesso a siti web non consentiti Alterazione di database Intrusione fisica in strutture ad accesso riservato Installazione di programmi (potenzialmente) dannosiDenial of serviceDefacing di sito webUtilizzo di risorse aziendali per cyber attacchi a sistemi terzi Violazione di copyright



Termini e definizioni (ISO/IEC 27000:2018)


Sistema di gestione (management system)Insieme di elementi correlati o interagenti di un’organizzazione per stabilire politiche ed obiettivi, edi processi per raggiungere tali obiettivi

Politica (policy)Intenzioni e orientamento di un’organizzazione espresse formalmente dal top management

Rischio (risk)Effetto dell’incertezza sugli obiettivi

Livello di rischio (level of risk)Dimensione del rischio espressa in termini della combinazione fra impatto e relativa probabilità :R = f (P,D)

Valutazione del rischio (risk assessment)Processo complessivo di identificazione del rischio, analisi del rischio e valutazione del rischio

Informazioni documentate (documented information)Informazioni che si richiede siano controllate e mantenute da una organizzazione e relativi supporti


Struttura della norma & PDCA

PLAN

DOCHECK

ACTTÜV SÜD Italia Slide 1308.05.2018 ISO 27001 e GDPR


Informazioni documentate

4.3 campo di applicazione5.2 policy per la sicurezza delle informazioni6.1.2 processo di valutazione del rischio6.1.3 processo di trattamento del rischio6.1.3.d dichiarazione di applicabilità6.2 obiettivi per la sicurezza delle informazioni7.2 evidenze delle competenze7.5.1 evidenze dell'efficacia del sistema di gestione8.1 evidenze della conformità dei processi ai piani8.2 risultati della valutazione del rischio8.3 risultati del trattamento del rischio9.1 evidenze dei risultati di monitoraggio e misurazione9.2 evidenze del programma di audit e dei risultati9.3 evidenze dei risultati dei riesami della direzione10.1.f evidenze della natura delle non conformità e di ogni azione intrapresa10.1.g evidenze dei risultati delle azioni correttive



Macrocontrolli dell’Annex A

A.5 Politiche per la sicurezza delle informazioniA.6 Organizzazione della sicurezza delle informazioniA.7 Sicurezza delle risorse umaneA.8 Gestione degli asset A.9 Controllo degli accessiA.10 CrittografiaA.11 Sicurezza fisica e ambientaleA.12 Sicurezza delle attività operativeA.13 Sicurezza delle comunicazioniA.14 Acquisizione, sviluppo e manutenzione dei sistemiA.15 Relazioni con i fornitoriA.16 Gestione degli incidenti relativi alla sicurezza delle informazioniA.17 Aspetti relativi alla sicurezza delle informazioni nella gestione della continuità

operativa A.18 Conformità



Cross-reference GDPR / ISO 27001

TÜV SÜD Italia Slide 1618-05-08 ISO 27001 e GDPR

Vedere anche http://www.iso27001security.com%2FISO27k_GDPR_mapping_release_1.docx&usg=AFQjCNH_7PWEfo9PrMih8GhW98gD4ql4NA

http://www.google.it/url?sa=t&rct=j&q=&esrc=s&source=web&cd=5&cad=rja&uact=8&ved=0ahUKEwiFvKbgtYzWAhWF7BQKHeFUA-UQFghIMAQ&url=http://www.iso27001security.com/ISO27k_GDPR_mapping_release_1.docx&usg=AFQjCNH_7PWEfo9PrMih8GhW98gD4ql4NA


Sistema di gestionePer la conformità normativa

Servizi “reattivi”Per contenere i danni

Servizi tecniciPer limitare il rischio

Una strategia di sicurezza IT ad ampio raggio aiuta a contrastare le crescenti minacce

TÜV SÜD Slide 17ISO 27001 e GDPR8-May-18

Velocità nella risposta Creazione di security control points Monitoraggio incidenti di sicurezza Tutela dati sensibili

Leggi nazionali Requisiti per la Supply chain Standard industriali

Velocizzare il tempo di risposta Identificazione di data breaches Identificazione dati sensibili persi Identificazione vulnerabilitàBe

nefic

i

Vulnerability assessment Penetration testing Assessment di sicurezza IT Assessment sulla Data protection Data protection officer Audit di seconda parte

ISO/IEC 27001 ISO 22301 ISO/IEC 20000 PCI compliance s@fer shopping certification Certificazione di Data Center

IT security forensics Breach response team …

Serv

izi

Security as a service

Sviluppo del Test VA/PT

TÜV SÜD Sec-IT GmbH Folie 19ISO 27001 e GDPR08.05.2018

• Altamente vulnerabili quando raggiunte da dispositivi e siti molteplici

• Rischio legato all’accesso non autorizzato ai dati• Test condotto secondo linee guida OWASP• Il report illustra il rating di sicurezza e individua soluzioni per le

debolezze rilevate

Applicazioni web

• Test dei sistemi accessibili dall’esterno (es. Mail server, DNS) e dall’interno (DB, storage)

Infrastruttura

Attacco agli indirizzi IP attraverso le porte disponibili.Tentativi di allargare l’attacco ai sistemi posti “dietro” a quelli compromessi.

WLAN

Individuazione delle porte d’accesso ai sistemi

PCI-DSS

VA/PT - Moduli

TÜV SÜD Sec-IT GmbH Folie 20ISO 27001 e GDPR08.05.2018


Perché implementare un sistema di gestione

• Per sviluppare un approccio di tipo organizzativo e proattivo (e non solo tecnico / reattivo) alla gestione della sicurezza dei dati personali

• Per dimostrare l’assunzione di responsabilità (accountability)• Come supporto metodologico nella puntuale gestione di adempimenti di legge

(soprattutto in ambito GDPR)• Per una più efficace gestione del rischio connesso ai reati previsti nel Modello

231• Per garantire i livelli di sicurezza promessi anche in contratti e mercati

“difficili” (di destinazione o di fornitura)• Per assicurare la necessaria reattività in caso di incidente / violazione di

sicurezza

TÜV SÜD Italia Slide 21ISO 27001 e GDPR18-05-08


Attività per l’implementazione del ISMS

Cultura e consapevolezza della Sicurezza

delle informazioni

Analisi e pianificazione del

sistema di gestione

Assegnazione responsabilità e compiti operativi

Valutazione dei rischi e

individuazione contromisure

Implementazione contromisure e monitoraggio performance

AUDIT

Il percorso di implementazione del sistema di gestione

5° PRIVACY DAY FORUM - ROMATÜV SÜD Italia Slide 2208.05.2018 ISO 27001 e GDPR


Perché certificarsi

• Per sviluppare un approccio organizzativo (e non solo tecnico) alla gestione della sicurezza delle informazioni

• Perché una certificazione ISO è poco opinabile da clienti ed istituzioni

• Perché la certificazione è sempre più richiesta nei bandi e contratti pubblici (es.: Consip, SOGEI)

• Come supporto metodologico nella gestione di adempimenti di legge (es.: D.L. 196, DPCM 03/12/2013)

• Per una più efficace gestione del rischio connesso ai reati previsti nel Modello 231


STAGE 1

STAGE 2

Auditdocumentale

Auditiniziale

Auditcertificazione

SORVEGLIANZAANNUALE (2)

Auditsorveglianza

PRE AUDIT (opzionale)

Auditpreliminare

Rapportopre audit

RapportoAudit docum.le

RapportoAudit iniz.le ePiano di audit

RapportoAudit certif.

RapportoAudit sorv.

KO?

KO?

KO?

KO?

rinno

voIl processo di certificazione

18-05-08 Modulo 1 ISO 27k ver 324 18-05-08 ISO 27001 e GDPR


Per saperne di più…

TÜV SÜD Italia Slide 25ISO 27001 e GDPR

Per saperne di più sulla formazioneAkademie:

www.tuv.it/akademie

I corsi TÜV Italia Akademie sull’argomento:

I corsi Privacy, Governance & Risk Management proposti da TÜV Italia Akademie riguardano:

approfondimenti normativi

focus sugli strumenti gestionali certificabili a disposizione delle organizzazioni e sugli adempimenti normativi necessari

indirizzati a professionisti attivi nell’ambito della privacy e della data security, risk managers, responsabili amministrativi, assicurazione qualità, di ingegneria di prodotto e processo

18-05-08

http://www.tuv.it/akademie

TÜV Italia sui social

TÜV Italia Slide 26

Siamo anche sui social media, scansiona il QR Code qui sotto per trovarci e inizia a seguirci!

Diamoci del TÜV – ISO/IEC 27001:2013TÜV SÜD Italia Slide 2718-05-08

Danilo Diomede

+39 02 24130.111

[email protected]

Coordinatore TecnicoBusiness Assurance Division

Privacy e Cyber Security: strumenti tecnici ed Sicurezza dei … · 2018-05-08 · Diamoci del T...

Documents

Transcript of Privacy e Cyber Security: strumenti tecnici ed Sicurezza dei … · 2018-05-08 · Diamoci del T...