Privacy e Cyber Security: strumenti tecnici ed Sicurezza dei … · 2018-05-08 · Diamoci del T...
Transcript of Privacy e Cyber Security: strumenti tecnici ed Sicurezza dei … · 2018-05-08 · Diamoci del T...
Diamoci del TÜV – ISO/IEC 27001:2013
Sicurezza dei sistemi e servizi IT
Privacy e Cyber Security: strumenti tecnici ed organizzativi per la sicurezza dei dati
Ing. Danilo DiomedeCoordinatore Tecnico
Diamoci del TÜV – ISO/IEC 27001:2013
TÜV Italia: Competenza tecnica e conoscenza dei settori di business
Testing & certificazione di prodottoIn ambito chimico, fisico, meccanico, elettrico ed ambientale
Auditing & certificazione di sistemaQualità, ambiente, sicurezza, energia, information security, responsabilità sociale, continuità operativa
IspezioneSu prodotti, sistemi, edifici, impianti ed infrastrutture
Supporto tecnico specialisticoSicurezza, qualità, rischio, energia, compliance regolatoria
TrainingSistemi di gestione, auditing, ruoli tecnici specialistici
TÜV SÜD Slide 28-May-18 ISO 27001 e GDPR
Diamoci del TÜV – ISO/IEC 27001:2013
Principali vincoli di legge relativi all’ambito della sicurezza IT
• Tutela dei dati personali (D.Lgs. n. 196/2003), • Diritto di autore, proprietà intellettuale• DPCM 03/12/2013 – Conservazione a norma• Codice dell’Amministrazione Digitale• Legge 48/2008 che ha aggiunto all’impianto
normativo del D.lgs 231/2001, l’art 24 bis (“Delitti informatici e trattamento illecito dei dati”), ampliando, di fatto, le fattispecie di reato che possono generare la responsabilitàamministrativa delle aziende
• D.Lgs. n. 61/2011 Attuazione della Direttiva 2008/114/CE relativa alle infrastrutture critiche europee
• Regolamento (UE) n. 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (efficace dal 25/05/2018)
• Direttiva n. 2008/114/CE - Infrastrutture critiche
• Regolamento (UE) n. 2014/910 - eIDAS
TÜV SÜD Italia Slide 3ISO 27001 e GDPR08.05.2018
Diamoci del TÜV – ISO/IEC 27001:2013
Le sfide della protezione dei dati personali
• Le Organizzazioni sono sempre più dipendenti dai loro asset tecnici (e in particolar modo dall’IT) per gestire e conservare i dati di interesse
• Gli utenti dei processi di privacy (interessati, titolare, responsabili, incaricati, autorità) chiedono sempre maggiore disponibilità di dati, esigenza chespesso confligge con la riservatezza
• Il numero di incidenti (occasionali o provocati) che minacciano riservatezza, integrità e disponibilità dei dati è in crescita
• Un incidente / violazione di sicurezza può :– Intaccare l’immagine aziendale– Ridurre il valore del business– Compromettere futuri introiti– Configurare un reato
TÜV SÜD Italia Slide 408/05/2018 ISO 27001 e GDPR
Diamoci del TÜV – ISO/IEC 27001:2013
Lo scenario organizzativo ed operativo della privacy
• L’esigenza di conformità legislativa in un quadro in continua evoluzione, e l’aumento del rischio di incidenti e violazioni hanno reso le Organizzazioniconsapevoli della necessità di dotarsi di un approccio strutturato e sistemico alla gestione della privacy in relazione a molteplici elementi:– Adempimenti (nomine, informative, comunicazioni al Garante)– Competenza delle risorse coinvolte nel trattamento dei dati– Infrastrutture (sistemi per il workflow, per l’archiviazione e il reporting)– Applicativi software– Servizi acquisiti dall’esterno (hosting, archiviazione, conservazione, firma
digitale, cancellazione sicura)– Garanzie richieste dai soggetti interessati (certificazioni)
TÜV SÜD Italia Slide 508/05/2018 ISO 27001 e GDPR
Diamoci del TÜV – ISO/IEC 27001:2013
Principali contromisure di sicurezza
TÜV SÜD Slide 6IT Security8-May-18
Fonte: PricewaterhouseCoopers’s Global State of Information Security Survey 2016
Diamoci del TÜV – ISO/IEC 27001:2013
GDPR e ISO 27001
Un Sistema di gestione conforme alla norma ISO 27001 rappresenta la metodologia più completa ed efficace per conseguire gli obiettivi di protezione deidati personali nell’ambito del framework stabilito dall’Unione Europea col Reg. n. 2016/679, che si basa su:• Accountability (assunzione di responsabilità documentate e tracciabili)• Valutazione del rischio per i dati personali da trattare• Monitoraggio della compliance legislativa, regolamentare, normativa e contrattuale• Asset management dei supporti per il trattamento dei dati personali• Privacy by Design, interpretata nella ISO 27001 con l’adozione di prassi di protezione
delle informazioni lungo l’intero ciclo di vita
TÜV SÜD Italia Slide 718-05-08 ISO 27001 e GDPR
• Controllo nei rapporti con i fornitori e con tutti i soggetti che partecipano al trattamento dei dati personali
Diamoci del TÜV – ISO/IEC 27001:2013
ISO/IEC 27001: 2013Information technology -- Security techniques -- Information security management systems -- Requirements
UNI CEI EN ISO/IEC 27001:2017Tecnologie informatiche - Tecniche per la sicurezza - Sistemi di gestione per la sicurezza delle informazioni - Requisiti
TÜV SÜD Italia Slide 808.05.2018 ISO 27001 e GDPR
Diamoci del TÜV – ISO/IEC 27001:2013
Ambito di applicabilità della ISO 27001
TÜV SÜD Italia Slide 908.05.2018 ISO 27001 e GDPR
• Questa norma non riguarda solo la sicurezza informatica (settore IT), ma è applicabile in tutti i contesti in cui si voglia salvaguardare attraverso un sistema di gestione la riservatezza, l’integrità e la disponibilità delle informazioni gestite dall’Organizzazione
• Organizzazioni pubbliche e private • Fornitori della Pubblica Amministrazione, di CONSIP, di AgID
• Settori di business: Servizi web, Sviluppo software, Bancario/assicurativo, Sanità, R&S, Telecomunicazioni, e-commerce, conservazione, gestori di identità digitale, consulenza strategica, Utilities, gestori di infrastrutture critiche (secondo Direttiva 2008/114/CE)
• Integrabile con le altre norme certificabili (es.: ISO 9001)
Diamoci del TÜV – ISO/IEC 27001:2013
I principali punti deboli nella gestione delle informazioni
• Scarsa conoscenza degli aspetti legali e contrattuali (dlg 196/03, dlg 231/01, L 262/05, SLA, carte dei servizi, L 48/2008 ecc.) e delle interazioni con altre discipline (ad es. sicurezza sul posto di lavoro)
• Management “disattento” alla sicurezza delle informazioni (“è un costo”, “è un ostacolo”)
• Scarso collegamento della sicurezza con gli aspetti economico finanziari
• Scarso orientamento agli utilizzatori ed al mercato• Focus privilegiato alla conformità e non all’efficacia (certificazione invece che
sicurezza)
• Troppo tecnicismo e poca organizzazione (+ firewall - cultura)• Outsourcing “indiscriminato” ( scarso controllo)
TÜV SÜD Italia Slide 10ISO 27001 e GDPR18-05-08
Diamoci del TÜV – ISO/IEC 27001:2013
Esempi di incidenti di sicurezza
Accesso non autorizzato a risorse informativeCancellazione (totale o parziale) di archivi Furto di identitàDiffusione di dati sensibili (volontaria o meno) Accesso a siti web non consentiti Alterazione di database Intrusione fisica in strutture ad accesso riservato Installazione di programmi (potenzialmente) dannosiDenial of serviceDefacing di sito webUtilizzo di risorse aziendali per cyber attacchi a sistemi terzi Violazione di copyright
TÜV SÜD Italia Slide 1108.05.2018 ISO 27001 e GDPR
Diamoci del TÜV – ISO/IEC 27001:2013
Termini e definizioni (ISO/IEC 27000:2018)
TÜV SÜD Italia Slide 1208.05.2018 ISO 27001 e GDPR
Sistema di gestione (management system)Insieme di elementi correlati o interagenti di un’organizzazione per stabilire politiche ed obiettivi, edi processi per raggiungere tali obiettivi
Politica (policy)Intenzioni e orientamento di un’organizzazione espresse formalmente dal top management
Rischio (risk)Effetto dell’incertezza sugli obiettivi
Livello di rischio (level of risk)Dimensione del rischio espressa in termini della combinazione fra impatto e relativa probabilità :R = f (P,D)
Valutazione del rischio (risk assessment)Processo complessivo di identificazione del rischio, analisi del rischio e valutazione del rischio
Informazioni documentate (documented information)Informazioni che si richiede siano controllate e mantenute da una organizzazione e relativi supporti
Diamoci del TÜV – ISO/IEC 27001:2013
Struttura della norma & PDCA
PLAN
DOCHECK
ACTTÜV SÜD Italia Slide 1308.05.2018 ISO 27001 e GDPR
Diamoci del TÜV – ISO/IEC 27001:2013
Informazioni documentate
4.3 campo di applicazione5.2 policy per la sicurezza delle informazioni6.1.2 processo di valutazione del rischio6.1.3 processo di trattamento del rischio6.1.3.d dichiarazione di applicabilità6.2 obiettivi per la sicurezza delle informazioni7.2 evidenze delle competenze7.5.1 evidenze dell'efficacia del sistema di gestione8.1 evidenze della conformità dei processi ai piani8.2 risultati della valutazione del rischio8.3 risultati del trattamento del rischio9.1 evidenze dei risultati di monitoraggio e misurazione9.2 evidenze del programma di audit e dei risultati9.3 evidenze dei risultati dei riesami della direzione10.1.f evidenze della natura delle non conformità e di ogni azione intrapresa10.1.g evidenze dei risultati delle azioni correttive
TÜV SÜD Italia Slide 1408.05.2018 ISO 27001 e GDPR
Diamoci del TÜV – ISO/IEC 27001:2013
Macrocontrolli dell’Annex A
A.5 Politiche per la sicurezza delle informazioniA.6 Organizzazione della sicurezza delle informazioniA.7 Sicurezza delle risorse umaneA.8 Gestione degli asset A.9 Controllo degli accessiA.10 CrittografiaA.11 Sicurezza fisica e ambientaleA.12 Sicurezza delle attività operativeA.13 Sicurezza delle comunicazioniA.14 Acquisizione, sviluppo e manutenzione dei sistemiA.15 Relazioni con i fornitoriA.16 Gestione degli incidenti relativi alla sicurezza delle informazioniA.17 Aspetti relativi alla sicurezza delle informazioni nella gestione della continuità
operativa A.18 Conformità
TÜV SÜD Italia Slide 1508.05.2018 ISO 27001 e GDPR
Diamoci del TÜV – ISO/IEC 27001:2013
Cross-reference GDPR / ISO 27001
TÜV SÜD Italia Slide 1618-05-08 ISO 27001 e GDPR
Vedere anche http://www.iso27001security.com%2FISO27k_GDPR_mapping_release_1.docx&usg=AFQjCNH_7PWEfo9PrMih8GhW98gD4ql4NA
Diamoci del TÜV – ISO/IEC 27001:2013
Sistema di gestionePer la conformità normativa
Servizi “reattivi”Per contenere i danni
Servizi tecniciPer limitare il rischio
Una strategia di sicurezza IT ad ampio raggio aiuta a contrastare le crescenti minacce
TÜV SÜD Slide 17ISO 27001 e GDPR8-May-18
Velocità nella risposta Creazione di security control points Monitoraggio incidenti di sicurezza Tutela dati sensibili
Leggi nazionali Requisiti per la Supply chain Standard industriali
Velocizzare il tempo di risposta Identificazione di data breaches Identificazione dati sensibili persi Identificazione vulnerabilitàBe
nefic
i
Vulnerability assessment Penetration testing Assessment di sicurezza IT Assessment sulla Data protection Data protection officer Audit di seconda parte
ISO/IEC 27001 ISO 22301 ISO/IEC 20000 PCI compliance s@fer shopping certification Certificazione di Data Center
IT security forensics Breach response team …
Serv
izi
Security as a service
Sviluppo del Test VA/PT
TÜV SÜD Sec-IT GmbH Folie 19ISO 27001 e GDPR08.05.2018
• Altamente vulnerabili quando raggiunte da dispositivi e siti molteplici
• Rischio legato all’accesso non autorizzato ai dati• Test condotto secondo linee guida OWASP• Il report illustra il rating di sicurezza e individua soluzioni per le
debolezze rilevate
Applicazioni web
• Test dei sistemi accessibili dall’esterno (es. Mail server, DNS) e dall’interno (DB, storage)
Infrastruttura
Attacco agli indirizzi IP attraverso le porte disponibili.Tentativi di allargare l’attacco ai sistemi posti “dietro” a quelli compromessi.
WLAN
Individuazione delle porte d’accesso ai sistemi
PCI-DSS
VA/PT - Moduli
TÜV SÜD Sec-IT GmbH Folie 20ISO 27001 e GDPR08.05.2018
Diamoci del TÜV – ISO/IEC 27001:2013
Perché implementare un sistema di gestione
• Per sviluppare un approccio di tipo organizzativo e proattivo (e non solo tecnico / reattivo) alla gestione della sicurezza dei dati personali
• Per dimostrare l’assunzione di responsabilità (accountability)• Come supporto metodologico nella puntuale gestione di adempimenti di legge
(soprattutto in ambito GDPR)• Per una più efficace gestione del rischio connesso ai reati previsti nel Modello
231• Per garantire i livelli di sicurezza promessi anche in contratti e mercati
“difficili” (di destinazione o di fornitura)• Per assicurare la necessaria reattività in caso di incidente / violazione di
sicurezza
TÜV SÜD Italia Slide 21ISO 27001 e GDPR18-05-08
Diamoci del TÜV – ISO/IEC 27001:2013
Attività per l’implementazione del ISMS
Cultura e consapevolezza della Sicurezza
delle informazioni
Analisi e pianificazione del
sistema di gestione
Assegnazione responsabilità e compiti operativi
Valutazione dei rischi e
individuazione contromisure
Implementazione contromisure e monitoraggio performance
AUDIT
Il percorso di implementazione del sistema di gestione
5° PRIVACY DAY FORUM - ROMATÜV SÜD Italia Slide 2208.05.2018 ISO 27001 e GDPR
Diamoci del TÜV – ISO/IEC 27001:2013
Perché certificarsi
• Per sviluppare un approccio organizzativo (e non solo tecnico) alla gestione della sicurezza delle informazioni
• Perché una certificazione ISO è poco opinabile da clienti ed istituzioni
• Perché la certificazione è sempre più richiesta nei bandi e contratti pubblici (es.: Consip, SOGEI)
• Come supporto metodologico nella gestione di adempimenti di legge (es.: D.L. 196, DPCM 03/12/2013)
• Per una più efficace gestione del rischio connesso ai reati previsti nel Modello 231
TÜV SÜD Italia Slide 2308.05.2018 ISO 27001 e GDPR
STAGE 1
STAGE 2
Auditdocumentale
Auditiniziale
Auditcertificazione
SORVEGLIANZAANNUALE (2)
Auditsorveglianza
PRE AUDIT (opzionale)
Auditpreliminare
Rapportopre audit
RapportoAudit docum.le
RapportoAudit iniz.le ePiano di audit
RapportoAudit certif.
RapportoAudit sorv.
KO?
KO?
KO?
KO?
rinno
voIl processo di certificazione
18-05-08 Modulo 1 ISO 27k ver 324 18-05-08 ISO 27001 e GDPR
Diamoci del TÜV – ISO/IEC 27001:2013
Per saperne di più…
TÜV SÜD Italia Slide 25ISO 27001 e GDPR
Per saperne di più sulla formazioneAkademie:
www.tuv.it/akademie
I corsi TÜV Italia Akademie sull’argomento:
I corsi Privacy, Governance & Risk Management proposti da TÜV Italia Akademie riguardano:
approfondimenti normativi
focus sugli strumenti gestionali certificabili a disposizione delle organizzazioni e sugli adempimenti normativi necessari
indirizzati a professionisti attivi nell’ambito della privacy e della data security, risk managers, responsabili amministrativi, assicurazione qualità, di ingegneria di prodotto e processo
18-05-08
TÜV Italia sui social
TÜV Italia Slide 26
Siamo anche sui social media, scansiona il QR Code qui sotto per trovarci e inizia a seguirci!
Diamoci del TÜV – ISO/IEC 27001:2013TÜV SÜD Italia Slide 2718-05-08
Danilo Diomede
+39 02 24130.111
Coordinatore TecnicoBusiness Assurance Division