Cosa si può (o si dovrebbe) fare.

Approccio metodologico e best

practice internazionali

Franco Prosperi

Cosa si può fare?

Cosa si intende per “Sicurezza delle Informazioni”?

Quali sono gli obiettivi di un processo per la “Sicurezza

delle Informazioni”?

• Proteggere gli asset informativi aziendali da un utilizzo incorretto o fraudolento

• Garantire la continuità del Business Aziendale

• Garantire il rispetto degli aspetti cogenti (Leggi, Regolamenti, Normative)

• Proteggere l’immagine e la reputazione aziendale

• Promuovere all’interno dell’organizzazione una cultura della sicurezza e della riservatezza

LA SICUREZZA DELLE INFORMAZIONI

La Sicurezza delle Informazioni nell’impresa di oggi è “il raggiungimento di una condizione dove i rischi ed i controlli sulle informazioni sono

bilanciati.” Jim Anderson, Inovant (2002)

3

“Conosci il nemico come

conosci te stesso….”

“Se non conosci te stesso,

né conosci il tuo nemico,

sii certo che ogni battaglia

sarà per te fonte di pericolo

gravissimo.”

Sun Tzu - L’arte della guerra

LA NECESSITÀ DI CONOSCERE

4

BASTA LA TECNOLOGIA ????

5

CONSIDERAZIONI

La portata del rischio derivante dai diversi agenti di minaccia dipende da molti

fattori legati al contesto aziendale quali:

1. la dimensione

2. il settore di mercato in cui opera

3. la visibilità dell’impresa sul mercato

4. la localizzazione geografica

5. le politiche e i regolamenti aziendali vigenti

6. il livello di cultura e consapevolezza sui temi

di sicurezza

1. il clima aziendale

2. gli strumenti tecnologici adottati

3. le soluzioni di sicurezza implementate

4. i processi di gestione e di controllo

Per ridurre il rischio, visto che non è possibile (o molto difficile) intervenire sui

primi 4 punti, è necessario adottare un processo strutturato che consenta di

individuare gli interventi appropriati sui restanti fattori.

6

I COSTI DELLA SICUREZZA

Costo del Rischio

Livello di Sicurezza

Costi

Costo complessivo

Costo della Sicurezza

Misure idonee

Il Costo della sicurezza è formato da i seguenti

costi:

•selezionare, formare e mantenere personale

qualificato;

•acquisti tecnologia hardware e software;

•aumento della complessità operativa ed

organizzativa (politiche e procedure)

•incremento dell’overhead e degrado delle

performance del sistema

E’ un valore che si può misurare

Il Costo del Rischio è formato da i seguenti

costi:

•sanzioni amministrative;

•sanzioni di tipo penale;

•responsabilità civile;

•blocco dell’operatività aziendale;

•perdita/furto di asset aziendali;

•perdita di immagine/competitività

E’ un valore statistico difficilmente

quantificabile

Le misure idonee sono quel livello

di sicurezza dove il costo

complessivo è al minimo

Costo della sicurezza +

Costo del Rischio =

Costo Complessivo

7

Asset 4

Il primo step necessario per implementare un processo di Information Governance è quello di documentare e relazionare fra loro i seguenti elementi:

i processi aziendali gli asset informativi aziendali da questi utilizzati

In questo modo si ottiene una mappa delle dipendenze necessaria per le successive fasi di gestione dei rischi. N.B. Anche fra gli asset possono esistere delle relazioni di dipendenza

Utilizza

Processo A Asset 1

Asset 2

Asset 3 Utilizza Processo B

INFORMATION GOVERNANCE RISK MANAGEMENT

9

High Impact Low

High

Fre

qu

en

cy

Business

Impact

Analysis

Risk

assessment

Risk

treatment

Training

and

awareness

Audit

&

Review

IL COBIT: UN FRAMEWORK PER L’IT GOVERNANCE

10

ISO27001

Human Resource

security Communicat

ions

and operations

management

Compliance

Access control

Physical

and

environmental

Security Information

systems Acquisition, Developmen,

and maintenance

Asset management

Incident management

Organization of

information security

Security policy

Business continuity

management

INFORMATION SECURITY: GLI 11 ASPETTI DELL’ ISO 27001

11

PRIVACY: UN BUON PUNTO DI PARTENZA?

Cosa Privacy Tutela e protezione aziendale

Classificazione

delle

informazioni

Il Codice definisce come dati personali

tutto le informazioni che identificano un

soggetto, e fra queste identifica 2

sottocategorie chiamate “dati sensibili” e

“dati giudiziari” per i quali il livello di

protezione deve essere più elevato.

In ambito aziendale possono essere definiti più

livelli di classificazione dei dati, a seconda delle

esigenze di riservatezza . Un esempio di

classificazione può essere: “public document”,

“company confidential” , “high confidential”, “Top

secret”. Con il crescere del livello di classe,

aumentano le protezioni da utilizzare e si restringe

l’ambito delle persone che ne possono venire a

conoscenza.

Lettere di

incarico

L’incaricato del trattamento riceve dal

Titolare o dal Responsabile, in quanto

rappresentatati dell’azienda,

l’autorizzazione a compiere i trattamenti

di dati personali che sono necessari allo

svolgimento del proprio lavoro. Allo

stesso tempo, si richiama l’incaricato al

rispetto delle regole imposte dal Codice

ed a quelle definite dall’azienda.

Le politiche che indirizzano la protezione dei beni

aziendali, le relative procedure operative ed i

regolamenti interni si possono considerare

l’equivalente della lettera di incarico, in quanto la

natura mandatoria comporta l’accettazione delle

responsabilità derivanti da parte del dipendente o

collaboratore.

Formazione Obbligatoria e preventiva per tutti gli

incaricati del trattamento.

La formazione è necessaria per rendere edotto

tutto il personale sulle politiche, le procedure e le

prassi aziendali. Inoltre è molto importante spiegare

bene quali sono i rischi che incombono sui

trattamenti dei dati nelle attività specifiche delle

persone.

12

PRIVACY: UN BUON PUNTO DI PARTENZA?

Cosa Privacy Tutela e protezione aziendale

Analisi dei

rischi

All’interno del Documento

Programmatico sulla Sicurezza, è

richiesto che sia effettuata una analisi

dei rischi che incombono sui trattamenti

di dati personali.

E’ parte fondamentale di tutte le moderne

metodologie di Corporate Governance il processo

di Risk Management. Tutti gli eventi dannosi

devono essere identificati, valutata la possibilità di

un loro accadimento e ipotizzati gli impatti

finanziari. Questo processo consente di poter

valutare correttamente le strategie per la

mitigazione dei suddetti rischi.

Misure di

sicurezza.

Il legislatore impone a tutti i Titolari di

trattamenti di dati personali, delle misure

minime di sicurezza sia per le

informazioni gestite in formato

elettronica (con strumenti informatici)

che in formato cartaceo. E’ lasciata poi

alla discrezione del Titolare, l’eventuale

adozione di ulteriori misure di sicurezza

nel caso che l’analisi dei rischi evidenzi

rischi elevati sui trattamenti.

Nell’ambito degli asset aziendali, è interesse

primario dell’azienda stessa definire che cosa e

come deve essere protetto. Il livello minimo di

sicurezza (Baseline security) deve derivare dai

comuni standard di gestione degli ambienti

informatici e dal confronto con altre aziende similari

e del settore. L’analisi dei rischi consente di definire

le misure di sicurezza ulteriori

Revisione

obbligatoria

almeno

annuale

Tutti i documenti, i processi e le misure

di sicurezza predisposti in ottemperanza

alla normativa, devono essere rivisti ed

aggiornati con frequenza almeno

annuale

Un processo strutturato di Gestione delle

Informazioni, per continuare ad essere efficace,

deve essere monitorato e rivisto continuamente,

per rispondere ai cambiamenti che possono

avvenire all’interno o all’esterno dell’azienda, sul

mercato e nelle tecnologie a disposizione.

13

FINE

Grazie per l’attenzione.

14

QUAL È QUELLA SBAGLIATA ?

15