Sicurezza delle informazioni Processi di gestione ......La security Governance indirizza e controlla...

Gestione del rischio o della sicurezza?

3

Rischio e sicurezza – due facce della stessa medaglia

Fonte: Gartner maggio 2011

4

Rischio e sicurezza

Enterprise Risk Management

Information Risk/Security Mgmt

Business Continuity Mgmt

IT Disaster RecoveryIT management

5

Processi di gestione della sicurezza delle informazioni

ISO/IEC 27001

6

Processi di gestione dei rischi

Risk Assessment

Definizione del contesto

Identificazione dei rischi

Analisi dei rischi

Valutazione dei rischi

Trattamento dei rischi

Co

mu

nic

azi

on

e d

el

risc

hio

Mo

nit

ora

gg

io e

re

vis

ion

e

ISO 31000, ISO/IEC 27005

7


ControlliOrganizzativiProceduraliTecnologici

8


ISO/IEC 27001:2013 Annex A

E la Governance?

10

Information Security Governance

� E’ parte della «Corporate Governance» e consiste in:

� Leadership

� Regole e processi

� Strutture organizzative

La security Governance indirizza e controlla le

attività necessarie all’attuazione della strategia di

sicurezza delle informazioni

assicurazione che gli obiettivivengano raggiunti

indirizzo strategico alle attività che riguardano la sicurezza delle

informazioni

11

Pianificazione e indirizzo

� Corporate Strategy «l’insieme di decisioni che determina e rivela gli obiettivi di

un’organizzazione, produce le principali politiche (policy) e piani per raggiungere

quegli obiettivi, definisce gli ambiti di business in cui l’organizzazione intende

operare, il tipo di organizzazione economica ed umana che intende essere e la

natura dei contributi economici e non economici che intende dare ai propri

investitori, impiegati, clienti e comunità» (Kenneth Andrews)

� La strategia per la sicurezza delle informazioni è parte della Corporate Strategy:

� Definisce gli obiettivi

� Delinea le principali policy

� Definisce l’ambito di business

� Definisce lo stato futuro desiderato

� Fornisce le basi per i piani di azioneIndirizza il percorso dallo stato corrente allo

stato futuro desiderato. Include:

• risorse, competenze

• vincoli

• criteri di valutazione (es. risk appetite)

• roadmap

12

Framework di governance

� una strategia di sicurezza a supporto degli obiettivi di business

� idonei processi e una struttura organizzativa esente da conflitti di interesse

� un set di Policy a supporto della strategia

� meccanismi di monitoraggio e metriche di valutazione

� un set di procedure e standard

� un set di canali e modelli di comunicazione

Information Security Governance

13

Strumenti di governance

Policy: enunciati di alto livello che

esprimono gli intenti, le aspettative e le

direttive del management• esplicita gli intenti, le aspettative e le direttive

del management

• articolazione della strategia di sicurezza

• mandato generale di sicurezza

• breve, chiara e semplice per tutte le parti

interessate

• evolve con la strategia

Standard: definiscono metriche,

limiti/tolleranze permesse, o processi

usati per determinare se le procedure

sono conformi alle policy• limiti permessi per le procedure e le prassi

• legge che discende dalle policy

• metro per la misura della conformità

Procedure

direttive operative che definiscono

modalità, metodologie, tecniche da

utilizzare per lo svolgimento delle attività in

conformità alle policy

[di responsabilità delle operation -

management]

Linee guida

raccomandazioni, esempi di modalità

(non obbligatorie) per lo svolgimento

delle attività in conformità alle policy

[di responsabilità delle operation -

management]

Quindi, l'organizzazione?

15

Sistema di Controllo Interno

fonte: AIIA - Associazione Italiana Internal Auditor

16

CDA

Azionisti, Comitato, OdV

Internal Audit

Security/RiskManagement/Compliance

Business line, service line

Livelli di controllo

� Linee di produzione

� Aderenza alle policy e alle procedure

� Responsabile della sicurezza delle informazioni

� Aderenza alle policy, ai modelli di gestione del rischio, ai controlli interni

� Audit interno

� Aderenza alle policy, alle norme, ai controlli interni

� Governance

17

Ruoli e responsabilitàSecurity/Risk mgmt

Audit Business

18

Ruoli e responsabilità

� Proprietà / Consiglio di amministrazione / top management

� Information Security Governance

� CISO (Chief Information Security Officer)

� Definire modelli di gestione dei rischi, supportare l'attuazione dei controlli, offrire

consulenza, gestire le comunicazioni e il reporting

� Executive management

� Definire i requisiti, assicurare l'attuazione dei controlli

� Comitato guida (o sponsor)

� assicurare il coinvolgimento delle parti interessate (stakeholder), risolvere conflitti,

prendere decisioni

19

Ruoli e responsabilità – Information Security Manager

� definisce il modello di gestione dei rischi per la sicurezza delle informazioni

� coordina le attività di analisi dei rischi per la sicurezza delle informazioni

� propone le strategie (opzioni) di trattamento dei rischi per la sicurezza delle informazioni

� definisce il programma annuale per la sicurezza delle informazioni e stima delle risorse necessarie

� definisce i programmi di sensibilizzazione e formazione sui temi della sicurezza delle informazioni

(in collaborazione con HR)

� definisce le policy di sicurezza delle informazioni (in collaborazione con le funzioni di compliance)

� definisce le architetture di sicurezza delle informazioni (in collaborazione con sviluppo e

progettazione)

� verifica lo stato della sicurezza delle informazioni attraverso attività di revisione e verifiche tecniche

� verifica l’avanzamento del programma per la sicurezza delle informazioni, dei piani di trattamento e

di remediation e revisiona le valutazioni di rischio residuo

� svolge l’analisi degli incidenti di sicurezza

� gestisce gli incidenti di sicurezza con impatti per la compliance normativa, in coordinamento con le

altre funzioni di assurance aziendale

� offre parere esperto sui temi di sicurezza delle informazioni (requisiti, gestione incidenti, minacce,

…)

� coordina lo sviluppo dei piani di business continuity

20

Ruoli e responsabilità – Senior Management (o top mgmt)

� Finanziamento del programma

� Approvazione policy

� Approvazione strategie

� Integrazione con corporate governance

� Responsabilità ultima per la sicurezza delle informazioni

� Sostegno alle altre funzioni di management

� Revisione periodica dell’efficacia della sicurezza delle informazioni

21

Ruoli e responsabilità – Comitato Guida (Steering Committee)

� Comprende rappresentanti delle principali funzioni di business

� Necessario in situazioni di forte cambiamento (scarsa maturità e standardizzazione)

� Consenso su priorità e compromessi

� Risoluzione di conflitti

� Decisioni in merito alle risorse

� Sostegno alle responsabilità del security manager

� Strumentale per i necessari cambiamenti culturali e comportamentali

� Gestione di gravi incidenti di sicurezza (in qualità di Comitato di Crisi)

22

Ruoli e responsabilità – Executive Management

� Definizione dei requisiti

� Applicazione dei controlli

� Prima linea di controllo

Ok, ma come scegliere i controlli adatti?

24

I requisiti dei controlli

� assicurare la necessaria separatezza tra le funzioni operative e quelle di controllo ed

evitare situazioni di conflitto di interesse nell'assegnazione delle competenze

� essere in grado di identificare, misurare e monitorare adeguatamente i rischi assunti o

assumibili nei diversi segmenti operativi

� stabilire attività di controllo a ogni livello operativo e consentire l'univoca e formalizzata

individuazione di compiti e responsabilità, in particolare nei compiti di controllo e di

correzione delle irregolarità riscontrate

� assicurare sistemi informativi affidabili e idonee procedure di reporting ai diversi livelli

direzionali ai quali sono attribuite funzioni di controllo

� garantire che le anomalie riscontrate dalle unità operative, dalla funzione di revisione

interna o da altri addetti ai controlli siano tempestivamente portate a conoscenza di

livelli appropriati dell'azienda (del consiglio di amministrazione e del collegio sindacale,

se significative) e gestite con immediatezza

� consentire la registrazione di ogni fatto di gestione e, in particolare, di ogni operazione

con adeguato grado di dettaglio, assicurandone la corretta attribuzione sotto il profilo

temporale

fonte: Linee guida ABI

25

La top 10

� Controlli organizzativi e architetturali

� Procedure e sistemi di gestione degli incidenti

� Procedure e sistemi di controllo degli accessi

� Procedure e sistemi di monitoraggio e tracciamento

� Controlli di "resilienza" (back-up, ridondanze, repliche, DR…)

� Controlli applicativi (in fase di sviluppo, rilascio, esercizio)

� Controlli perimetrali logici

� Controlli crittografici

� Controlli sulle terze parti

� Controlli fisici

Troppo generici.

Come "personalizzarli"?

27

Da dove cominciare?

DB

FS

@

I dati, prima di tutto

quali sonodove sonochi ne ha bisognochi li gestisce

Le applicazioni

quali sonochi le usacome le usa (cosa produce, con quali input)

28

Da dove cominciare?

I vincoli

quali sono i maggiori interessi, le priorità, i tempi quali sono i vincoli da tenere in considerazione (strategie aziendali, leggi, contratti, budget, capacità)

Le conseguenze

quali sono le possibili conseguenzeper l'organizzazione in caso di violazione dei datio disfunzione delle applicazioni

29

La top 3!

� Classificazione informazioni

� Business Impact Analysis

� Risk identification

ID Nome Dato Nome Processo Privacy (P/S/G) Ubicazione Grado di riservatezza Tempo di conservazione Tipo vincolo Sistemi che trattano il dato

1 Sole24Ore.Numero registro

genera le - causa lega le

Supporto lega le, contenzios i giudiziario fi leserver riservato 10+ anni Sole24Ore

2 Sole24Ore. Nome controparte causa

lega le


3 Sole24Ore. Domanda (Tipo atto)

causa lega le


4 Sole24Ore.Importo del la caus a

lega le

Supporto lega le, contenzios i fi leserver riservato 10+ anni Sole24Ore

5 Sole24Ore. Scadenza termini

lega l i /udienze


6 Anagrafica Forni tori e Contratti Acquisti , appa l ti e as sicurazioni s ens ibi le SAP uso interno 5 anni SAP

7 Anagrafica material i - gruppi

merci/carrel lo acquisti

Acquisti , appa l ti e as sicurazioni SAP uso interno 5 anni SAP

9 Cata logo elettronico Acquisti , appa l ti e as sicurazioni SAP uso interno 5 anni SAP

10 Documenti appa l ti Acquisti , appa l ti e as sicurazioni s ens ibi le SAP riservato 5 anni SAP

11 Anagrafica contabi le Amminis trazione, Finanza e Control lo SAP uso interno 6 anni Fis ca le SAP

13 Dati contabi l i Amminis trazione, Finanza e Control lo SAP confidenzia le 6 anni Fis ca le SAP

6 Anagrafica Forni tori e Contratti Amminis trazione, Finanza e Control lo persona le SAP uso interno 6 anni Fis ca le SAP

15 Bozze di bi lancio Amminis trazione, Finanza e Control lo fi leserver? confidenzia le na

16 Report finanziari Amminis trazione, Finanza e Control lo SAP? confidenzia le 2 anni

17 Anagrafica Cl ienti Front-Office - Back-Office persona le SAP confidenzia le s empre Di bus ines s SAP

H D H D H D H D

1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8

Nome Dato 4h 8h 12h 1d 2d 7d 14d 21d RPO_F 4h 8h 12h 1d 2d 7d 14d 21d RPO_O 4h 8h 12h 1d 2d 7d 14d 21d RPO_L 4h 8h 12h 1d 2d 7d 14d 21d RPO_I

Numero regis tro generale - ca us a lega le 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Nome controparte causa lega le 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Doma nda (Tipo a tto) ca usa lega le 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Importo de l la ca usa legale 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Sca denza termini legal i /udienze 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Anagra fica forni tori 1 1 1 1 1 2 2 2 5 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Anagra fica ma teria l i - gruppi merci/ca rrel lo a cquis ti 1 1 1 1 1 2 2 2 5 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Anagra fica contratti - contabi l i tà 1 1 1 1 1 2 2 2 5 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Cata logo e lettronico 1 1 1 1 1 2 2 2 5 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Documenti appa l ti 1 1 1 1 1 2 2 2 5 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Piano oggetti di Conta bi l i zza zione 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Piano de i conti 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Dati conta bi l i 1 1 1 1 1 2 3 3 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Anagra fica forni tori - lato FI in SAP 1 1 1 1 1 1 1 1 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Bozze di bi la ncio 1 1 1 2 2 4 4 4 3 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Report finanzia ri 1 1 1 1 1 2 3 3 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Anagra fica Cl ienti 0 0 0 0 0 0 0 0 8 1 3 3 4 4 4 4 5 1 0 0 0 0 0 0 0 0 8 1 3 3 4 4 4 4 5 1

Progra mmazione anal i s i 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Perdita Finanziaria Perdita operativa Conformità Legale e Contrattuale Immagine e reportazione

30

Classificazione delle informazioni

� E' il primo passo per una data-governance

� Nomenclatura "ufficiale"

� Fonti autorevoli

� Owner, custodian

� Ubicazione

� Utilizzatori (persone e processi)

� Requisiti di riservatezza, integrità, disponibilità, retention

� Requisiti di qualità: completezza, conformità, consistenza, accuratezza, duplicazione,

integrità, validità, rilevanza, puntualità

� …

31

BIA

� Non solo RTO ed RPO

processi critici

priorità dei processi, dipendenze e flussi informativi

risorse necessarie per l'esecuzione dei processi critici

requisiti temporali di ripristino (a partire dal punto di non ritorno o MTPD)

requisiti in termini di livelli di servizio minimi per la continuità operativa (SDO)

H D H D H D H D

1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8

Nome Dato 4h 8h 12h 1d 2d 7d 14d 21d RPO_F 4h 8h 12h 1d 2d 7d 14d 21d RPO_O 4h 8h 12h 1d 2d 7d 14d 21d RPO_L 4h 8h 12h 1d 2d 7d 14d 21d RPO_I

Numero regis tro generale - ca us a lega le 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Nome controparte causa lega le 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Doma nda (Tipo a tto) ca usa lega le 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Importo de l la ca usa legale 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Sca denza termini legal i /udienze 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Anagra fica forni tori 1 1 1 1 1 2 2 2 5 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Anagra fica ma teria l i - gruppi merci/ca rrel lo a cquis ti 1 1 1 1 1 2 2 2 5 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Anagra fica contratti - contabi l i tà 1 1 1 1 1 2 2 2 5 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Cata logo e lettronico 1 1 1 1 1 2 2 2 5 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Documenti appa l ti 1 1 1 1 1 2 2 2 5 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Piano oggetti di Conta bi l i zza zione 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Piano de i conti 1 1 1 1 1 2 2 2 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Dati conta bi l i 1 1 1 1 1 2 3 3 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Anagra fica forni tori - lato FI in SAP 1 1 1 1 1 1 1 1 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Bozze di bi la ncio 1 1 1 2 2 4 4 4 3 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Report finanzia ri 1 1 1 1 1 2 3 3 5 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Anagra fica Cl ienti 0 0 0 0 0 0 0 0 8 1 3 3 4 4 4 4 5 1 0 0 0 0 0 0 0 0 8 1 3 3 4 4 4 4 5 1

Progra mmazione anal i s i 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8 0 0 0 0 0 0 0 0 8

Perdita Finanziaria Perdita operativa Conformità Legale e Contrattuale Immagine e reportazione

32

Risk Identification

Sedi

Informazioni

Processi

Processi

Servizi

Conseguenze, es.:

- Lettura o diffusione dati sensibili

- Indisponibilità dati operativi- Perdita dati storici- Alterazione dati operativi- Indisponibilità prolungata del

servizio

Danno finanziario

Danno operativo

Sanzioni legali

Danno di immagine

Sistemi informativi

Eventi, es.:

- Errore operatore- Incendio/allagamento- Malfunzionamento/Baco sw- Guasto linee tlc- Guasto hw- Diffusione Virus- Manipolazione hacker- Attacco DoS- Furto identità- Accesso non autorizzato

Asset

Asset

Controlli

33

Errori da evitare

� Isolare il responsabile della sicurezza nella struttura IT

� Avere troppi responsabili: rischi, sicurezza, privacy, continuità operativa,

compliance, in strutture organizzative indipendenti (spesso "concorrenti"); l'unica

indipendente dovrebbe essere la funzione Audit

� Avviare una BIA senza avere un censimento dei dati o senza prevederlo nell'ambito

della stessa BIA

� Avviare una BIA e non coinvolgere il Business: un'occasione imperdibile!

� Chiamarla sicurezza informatica … per non coinvolgere il Business (possiamo

chiamarla baseline delle configurazioni)

� Fare un'analisi dei rischi senza avere sviluppato un modello dei fattori di rischio

(eventi, conseguenze, impatti; relazioni tra controlli ed eventi, controlli e

conseguenze, eventi ed impatti)

� Parlare di Disaster Recovery prima di alta affidabilità o, peggio, prima di back-up

(prima di tutto: i dati!)

Grazie per l'attenzione

[email protected]

348 9997200

Sicurezza delle informazioni Processi di gestione ......La security Governance indirizza e controlla...

Documents

Transcript of Sicurezza delle informazioni Processi di gestione ......La security Governance indirizza e controlla...