Sicurezza: cosa si può fare approccio e best practice internazionali
-
Upload
ditech-spa -
Category
Sports
-
view
117 -
download
0
Transcript of Sicurezza: cosa si può fare approccio e best practice internazionali
Cosa si può (o si dovrebbe) fare.
Approccio metodologico e best
practice internazionali
Franco Prosperi
Cosa si può fare?
Cosa si intende per “Sicurezza delle Informazioni”?
Quali sono gli obiettivi di un processo per la “Sicurezza
delle Informazioni”?
• Proteggere gli asset informativi aziendali da un utilizzo incorretto o fraudolento
• Garantire la continuità del Business Aziendale
• Garantire il rispetto degli aspetti cogenti (Leggi, Regolamenti, Normative)
• Proteggere l’immagine e la reputazione aziendale
• Promuovere all’interno dell’organizzazione una cultura della sicurezza e della riservatezza
LA SICUREZZA DELLE INFORMAZIONI
La Sicurezza delle Informazioni nell’impresa di oggi è “il raggiungimento di una condizione dove i rischi ed i controlli sulle informazioni sono
bilanciati.” Jim Anderson, Inovant (2002)
3
“Conosci il nemico come
conosci te stesso….”
“Se non conosci te stesso,
né conosci il tuo nemico,
sii certo che ogni battaglia
sarà per te fonte di pericolo
gravissimo.”
Sun Tzu - L’arte della guerra
LA NECESSITÀ DI CONOSCERE
4
BASTA LA TECNOLOGIA ????
5
CONSIDERAZIONI
La portata del rischio derivante dai diversi agenti di minaccia dipende da molti
fattori legati al contesto aziendale quali:
1. la dimensione
2. il settore di mercato in cui opera
3. la visibilità dell’impresa sul mercato
4. la localizzazione geografica
5. le politiche e i regolamenti aziendali vigenti
6. il livello di cultura e consapevolezza sui temi
di sicurezza
1. il clima aziendale
2. gli strumenti tecnologici adottati
3. le soluzioni di sicurezza implementate
4. i processi di gestione e di controllo
Per ridurre il rischio, visto che non è possibile (o molto difficile) intervenire sui
primi 4 punti, è necessario adottare un processo strutturato che consenta di
individuare gli interventi appropriati sui restanti fattori.
6
I COSTI DELLA SICUREZZA
Costo del Rischio
Livello di Sicurezza
Costi
Costo complessivo
Costo della Sicurezza
Misure idonee
Il Costo della sicurezza è formato da i seguenti
costi:
•selezionare, formare e mantenere personale
qualificato;
•acquisti tecnologia hardware e software;
•aumento della complessità operativa ed
organizzativa (politiche e procedure)
•incremento dell’overhead e degrado delle
performance del sistema
E’ un valore che si può misurare
Il Costo del Rischio è formato da i seguenti
costi:
•sanzioni amministrative;
•sanzioni di tipo penale;
•responsabilità civile;
•blocco dell’operatività aziendale;
•perdita/furto di asset aziendali;
•perdita di immagine/competitività
E’ un valore statistico difficilmente
quantificabile
Le misure idonee sono quel livello
di sicurezza dove il costo
complessivo è al minimo
Costo della sicurezza +
Costo del Rischio =
Costo Complessivo
7
Asset 4
Il primo step necessario per implementare un processo di Information Governance è quello di documentare e relazionare fra loro i seguenti elementi:
i processi aziendali gli asset informativi aziendali da questi utilizzati
In questo modo si ottiene una mappa delle dipendenze necessaria per le successive fasi di gestione dei rischi. N.B. Anche fra gli asset possono esistere delle relazioni di dipendenza
Utilizza
Processo A Asset 1
Asset 2
Asset 3 Utilizza Processo B
INFORMATION GOVERNANCE RISK MANAGEMENT
9
High Impact Low
High
Fre
qu
en
cy
Business
Impact
Analysis
Risk
assessment
Risk
treatment
Training
and
awareness
Audit
&
Review
IL COBIT: UN FRAMEWORK PER L’IT GOVERNANCE
10
ISO27001
Human Resource
security Communicat
ions
and operations
management
Compliance
Access control
Physical
and
environmental
Security Information
systems Acquisition, Developmen,
and maintenance
Asset management
Incident management
Organization of
information security
Security policy
Business continuity
management
INFORMATION SECURITY: GLI 11 ASPETTI DELL’ ISO 27001
11
PRIVACY: UN BUON PUNTO DI PARTENZA?
Cosa Privacy Tutela e protezione aziendale
Classificazione
delle
informazioni
Il Codice definisce come dati personali
tutto le informazioni che identificano un
soggetto, e fra queste identifica 2
sottocategorie chiamate “dati sensibili” e
“dati giudiziari” per i quali il livello di
protezione deve essere più elevato.
In ambito aziendale possono essere definiti più
livelli di classificazione dei dati, a seconda delle
esigenze di riservatezza . Un esempio di
classificazione può essere: “public document”,
“company confidential” , “high confidential”, “Top
secret”. Con il crescere del livello di classe,
aumentano le protezioni da utilizzare e si restringe
l’ambito delle persone che ne possono venire a
conoscenza.
Lettere di
incarico
L’incaricato del trattamento riceve dal
Titolare o dal Responsabile, in quanto
rappresentatati dell’azienda,
l’autorizzazione a compiere i trattamenti
di dati personali che sono necessari allo
svolgimento del proprio lavoro. Allo
stesso tempo, si richiama l’incaricato al
rispetto delle regole imposte dal Codice
ed a quelle definite dall’azienda.
Le politiche che indirizzano la protezione dei beni
aziendali, le relative procedure operative ed i
regolamenti interni si possono considerare
l’equivalente della lettera di incarico, in quanto la
natura mandatoria comporta l’accettazione delle
responsabilità derivanti da parte del dipendente o
collaboratore.
Formazione Obbligatoria e preventiva per tutti gli
incaricati del trattamento.
La formazione è necessaria per rendere edotto
tutto il personale sulle politiche, le procedure e le
prassi aziendali. Inoltre è molto importante spiegare
bene quali sono i rischi che incombono sui
trattamenti dei dati nelle attività specifiche delle
persone.
12
PRIVACY: UN BUON PUNTO DI PARTENZA?
Cosa Privacy Tutela e protezione aziendale
Analisi dei
rischi
All’interno del Documento
Programmatico sulla Sicurezza, è
richiesto che sia effettuata una analisi
dei rischi che incombono sui trattamenti
di dati personali.
E’ parte fondamentale di tutte le moderne
metodologie di Corporate Governance il processo
di Risk Management. Tutti gli eventi dannosi
devono essere identificati, valutata la possibilità di
un loro accadimento e ipotizzati gli impatti
finanziari. Questo processo consente di poter
valutare correttamente le strategie per la
mitigazione dei suddetti rischi.
Misure di
sicurezza.
Il legislatore impone a tutti i Titolari di
trattamenti di dati personali, delle misure
minime di sicurezza sia per le
informazioni gestite in formato
elettronica (con strumenti informatici)
che in formato cartaceo. E’ lasciata poi
alla discrezione del Titolare, l’eventuale
adozione di ulteriori misure di sicurezza
nel caso che l’analisi dei rischi evidenzi
rischi elevati sui trattamenti.
Nell’ambito degli asset aziendali, è interesse
primario dell’azienda stessa definire che cosa e
come deve essere protetto. Il livello minimo di
sicurezza (Baseline security) deve derivare dai
comuni standard di gestione degli ambienti
informatici e dal confronto con altre aziende similari
e del settore. L’analisi dei rischi consente di definire
le misure di sicurezza ulteriori
Revisione
obbligatoria
almeno
annuale
Tutti i documenti, i processi e le misure
di sicurezza predisposti in ottemperanza
alla normativa, devono essere rivisti ed
aggiornati con frequenza almeno
annuale
Un processo strutturato di Gestione delle
Informazioni, per continuare ad essere efficace,
deve essere monitorato e rivisto continuamente,
per rispondere ai cambiamenti che possono
avvenire all’interno o all’esterno dell’azienda, sul
mercato e nelle tecnologie a disposizione.
13
FINE
Grazie per l’attenzione.
14
QUAL È QUELLA SBAGLIATA ?
15