Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture...

45
Attilio Rampazzo - Luca Moroni Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive

description

 

Transcript of Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture...

Page 1: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

Attilio Rampazzo - Luca Moroni

Sicurezza informatica e PMI

dalla continuità operativa alla protezione delle infrastrutture produttive

Page 2: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

ISACA Venice Chapter è una associazione non profit costituita in Venezia nel novembre 2011 da un gruppo di professionisti del Triveneto che operano nel settore della Gestione e del Controllo dei Sistemi Informativi.

Riunisce coloro che nell’Italia del Nord Est svolgono attività di Governance, Auditing e Controllo dei Sistemi Informativi promuovendo le competenze e le certificazioni professionali sviluppate da ISACA©: CISA©, CISM©, CGEIT©, CRISC©, COBIT5© Foundation (www.isaca.org/chapters5/venice).

ISACA (Information Systems Audit & Control Association) è una associazione internazionale, indipendente e senza scopo di lucro.

Con oltre 100.000 associati a 200 Capitoli in più di 160 Paesi, ISACA è leader mondiale nello sviluppo delle competenze certificate, nella promozione di community professionali e nella formazione nei settori dell’assurance e sicurezza del governo dell’impresa, della gestione dell’IT, dei rischi e della compliance in ambito IT (www.isaca.org).

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Attilio Rampazzo

Page 3: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

The ISACA International Chapter Support Committee recognizes the vital role that Chapters play in attracting new members. On behalf of the Chapter Support Committee, I am pleased to extend our congratulations to the VENICE Chapter for an outstanding year in 2013. Your chapter has attained the highest percentage growth of all ISACA Medium Chapters with an increase in membership of 44% in 2013. You should be very proud of the hard work your chapter has put forth in order to earn this distinction.

Please accept our congratulations on a job very well done by your chapter board and your active members who have no doubt contributed significantly to this achievement

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Attilio Rampazzo

Page 4: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

Attilio Rampazzo CISA, CRISC, C|CISO CMC

E’ tra i fondatori di ISACA Venice Chapter dove ricopre il ruolo di CISA Coordinator e Research Director.

Consulente di Sistemi Informativi in AlmavivA Spa

Svolge attività̀# come Valutatore di Sistemi di Sicurezza delle Informazioni e di Sistemi di Gestione dei Servizi IT per CSQA

E’ VicePresidente di AICA Nord Est e di AICQ Triveneta

E’ membro UNINFO del gruppo di lavoro “Sicurezza delle Informazioni” che collabora con ISO (International Organization for Standardization) per le norme della famiglia ISO/IEC 27000.

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Attilio Rampazzo

Page 5: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

Luca Moroni CISA, ITIL

Coordinatore di gruppi di Approfondimento per ISACA VENICE Chapter e quest'anno del gruppo di approfondimento “Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est”.

Laureato in Informatica a Milano, Certificato CISA e ITIL V3 + Certificazioni di settore

Membro di ISACA

Da 15 anni appassionato di Sicurezza Informatica a livello professionale.

Si occupa di selezionare per i clienti le aziende fornitrici di tecnologie informatiche in base alle loro competenze specifiche.

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Attilio Rampazzo

Page 6: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Attilio Rampazzo

Page 7: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

Continuità OperativaMa a cosa devono essere pronte le aziende?

… a salvaguardare il proprio

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Attilio Rampazzo

Page 8: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

8

Continuità Operativa

Black out Incendio Fenomeni atmosferici

Innondazioni Esondazioni

… quali sono le minacce al Business

Terremoti Criminalità informatica

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Attilio Rampazzo

Page 9: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

Il rapporto dei servizi segreti italiani, per la prima volta, ci avverte che i pericoli informatici sono indicati in testa alle minacce …

Dal rapporto Clusit 2014 viene evidenziato che in Italia aumentano hacktivism e spionaggio

Minacce sottovalutate dalle aziende italiane

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Attilio Rampazzo

Page 10: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

Per salvaguardare il Business vanno protetti gli asset

Infrastruttura

Persone

Informazioni

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Attilio Rampazzo

Page 11: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

Gli interrogativiPosto che qualcosa devo fare per tutelarmi ed effettuare una corretta salvaguardia della mia azienda

Lo devo fare e devo avere un piano!

cosa faccio?come lo faccio?

come posso avere una guida esaustiva da applicare?

esiste un metodo che fornisce buoni livelli di trattamento sicuro e i risultati attesi?

come faccio a fornire all’esterno evidenza incontroversibile della mia diligenza?

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Attilio Rampazzo

Page 12: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

Ecco una risposta …

Gli standard o framework non pretendono di essere il rimedio a tutti mali della gestione aziendale, ma costituiscono il punto di partenza per impostare un Sistema Organizzativo che comprenda gli aspetti importanti di una gestione idonea dell’azienda

Sono quindi un modello organizzativo, più che degli standard tecnici

non “come” fare, ma “cosa” fare

ISO/IEC 27001:2013Information technology -- Security techniques -- Information security management systems – Requirements

ISO 22301:2012Societal security -- Business continuity management systems --- Requirements

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Attilio Rampazzo

Page 13: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

COBIT 5

ISO/IEC 27001:2013

ISO 22301:2012

• Framework applicabili a realtà di ogni dimensione

• Conosciuti dal mondo IT da molti anni• Dicono cosa fare, non come farlo• Rivolti al continuo miglioramento• Sono ormai un riferimento universale

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Attilio Rampazzo

Page 14: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

… dubitare di una indubbia sensazione di protezione …

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Attilio Rampazzo

Page 15: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

Un’azienda non nasce per fare Gestione della Sicurezza delle Informazioni e/o della Continuità

Operatività, ma per fare PROFITTO …

La Gestione organizzata dell’azienda consente di salvaguardare l’azienda dai rischi …

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Attilio Rampazzo

Page 16: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

L’anno scorso abbiamo fatto questa domanda:Ha mai svolto delle analisi di sicurezza nel perimetro interno?

Dove l’analisi è composta da una serie di processi che simulano le azioni normalmente svolte da un dipendente e consulente nella rete interna.

Si No No esigenza0.00%

12.50%

25.00%

37.50%

50.00%

Il 57% non ha mai svolto una analisi interna o non ne sente l’esigenza

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni

Page 17: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

Ma se fosse una Azienda/Ente che un impatto sulla vita sociale?

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni

Questa la ricordiamo tutti

Page 18: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

Cosa si intende per Infrastruttura Critica

Una infrastruttura viene considerata critica a livello europeo se la sua compromissione avrebbe un serio

impatto sulla vita sociale dei cittadini, cioè per esempio sulla salute, la sicurezza fisica e logica o il

benessere economico dei cittadini, o sull’effettivo funzionamento dello Stato; oppure potrebbe portare

gravi conseguenze sociali o altre drammatiche conseguenze per la comunità

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni

Page 19: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

Quali sono i settori critici per l’Italia

• Produzione, trasmissione, distribuzione, dispacciamento dell'energia elettrica e di tutte le forme di energia, quali ad esempio il gas naturale

• Telecomunicazioni e telematica; • Risorse idriche e gestione delle acque reflue; • Agricoltura, produzione delle derrate alimentari e loro distribuzione; • Sanità, ospedali e reti di servizi e interconnessione• Trasporti aereo, navale, ferroviario, stradale e la distribuzione dei carburanti e dei prodotti di prima necessitali• Banche e servizi finanziari; • Sicurezza, protezione e difesa civile (forze dell'ordine, forze armate,

ordine pubblico); • Le reti a supporto del Governo, centrale e territoriale e per la gestione e delle

Emergenze. • TUTTE LE AZIENDE IN CUI LA COMPROMISSIONE DEI SISTEMI IMPATTA SULLA VITA

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni

Page 20: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

Cyber minaccia per le Infrastrutture Critiche dell’Italia

9/3/2014: La "relazione sulla politica dell’Informazione per la Sicurezza - 2013”, presentata in Parlamento dalla Presidenza del Consiglio per la prima volta pone al primo posto la Minaccia Cyber.Sebbene le Infrastrutture Critiche debbano rimanere un obiettivo importante del piano di protezione nazionale, l’Italia vanta una delle più alte percentuali in Europa di PIL prodotto da aziende medie, piccole e micro-aziende, le quali detengono un patrimonio in termini di know-how. Questo know-how è a rischio, come descrive la relazione. Per due motivi: 1) Vi è in grande numero di attori interessati ad appropriarsi di know-how attraverso l’uso di strumenti Cyber2) Le piccole e medie imprese sono di gran lunga meno protette delle grandi aziende, di conseguenza la sottrazione di know-how avviene in modo più semplice e invisibile.

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni

http://www.agendadigitale.eu/infrastrutture/722_cybercrime-danneggia-il-sistema-italia-per-20-40-mld-annui.htm

Page 21: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

Le aziende appartenenti ai settori Critici nel Nord Est

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni

® Gruppo di Lavoro 2013 Isaca VeneziaSicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est Indagine svolta su 55 aziende

Produzione, trasmissione, distribuzione,

dispacciamento dell'energia elettrica e di

tutte le forme di energia, quali ad esempio il gas naturale ;

Series1; 24; 13%

Telecomuni-cazioni e

telematica; Se-ries1; 7; 4%

Risorse idriche e gestione delle acque reflue; Series1; 3; 2%

Agricoltura, pro-duzione delle der-rate alimentari e loro distribuzione; Series1; 74; 40%

Sanità, ospedali e reti di servizi e

interconnes-sione; Series1;

19; 10%

Trasporti aereo, navale, fer-

roviario, stradale e la dis-

tribuzione dei carburanti e dei

prodotti di prima necessità; Series1; 21; 11%

Banche e servizi finanziari; Se-ries1; 29; 16%

Sicurezza, pro-tezione e difesa

civile (forze dell'ordine,

forze armate, ordine pub-

blico);; Series1; 2; 1%

Le reti a sup-porto del Gov-

erno, centrale e territoriale e

per la gestione e delle Emer-

genze; Series1; 6; 3%

Produzione, trasmissione, distribuzione, dispacciamento dell'energia elettrica e di tutte le forme di energia, quali ad esempio il gas naturale Telecomunicazioni e telematicaRisorse idriche e gestione delle acque reflueAgricoltura, produzione delle derrate alimentari e loro distribuzioneSanità, ospedali e reti di servizi e interconnessioneTrasporti aereo, navale, ferroviario, stradale e la distribuzione dei carburanti e dei prodotti di prima necessitàBanche e servizi finanziariSicurezza, protezione e difesa civile (forze dell'ordine, forze armate, ordine pubblico);Le reti a supporto del Governo, centrale e territoriale e per la gestione e delle Emergenze

Page 22: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

DOMANDA: Ha mai avuto problemi legati alla sicurezza informatica?

Si No0%

15%

30%

45%

60%

® Gruppo di Lavoro 2013 Isaca VeneziaSicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est Indagine svolta su 55 aziende

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni

Page 23: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

DOMANDA: Esiste una previsione di spesa dedicata specificatamente alla sicurezza informatica?

Si No0.00%

15.00%

30.00%

45.00%

60.00%

® Gruppo di Lavoro 2013 Isaca VeneziaSicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est Indagine svolta su 55 aziende

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni

Page 24: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni

Abbiamo preso i dati dal recente report CLUSIT 2014 e abbiamo aggregato gli incidenti informatici nei settori critici nel periodo 2011 – 2013. Li abbiamo inseriti in un modello statistico per ipotizzare l’andamento nei prossimi anni. L’ipotesi peggiore potrebbe prevedere quasi un raddoppio degli incidenti alla fine del 2014. Magari sull’onda dalla crescita fatta segnare dai nuovi obiettivi. Oppure confermare una stabilizzazione iniziata da Telecomunicazioni, Sanità ed Enti Governativi e Militari.

Uno scenario

Page 25: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

DOMANDA: Se rientra fra le infrastrutture critiche e' consapevole che una violazione di sicurezza informatica di un elemento della sua infrastruttura potrebbe avere un effetto anche al di fuori

della sua azienda?

Si No0%

23%

45%

68%

90%

® Gruppo di Lavoro 2013 Isaca VeneziaSicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est Indagine svolta su 55 aziende

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni

Page 26: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

Lo scenario verso la fabbrica

• Norme: di origine UE centrate attorno alla Infrastrutture Critiche e il loro controllo sempre più informatizzato

• L’Italia aggiunge anche la PMI• Diffusione attacchi cibernetici a infrastrutture e impianti• Principi applicabili a tutti, non solo alle IC designate:• Approccio basato sulla gestione del rischio ed ad una sua

valutazione per capire il contesto in cui si trova l’azienda• Se gli impianti usano tecnologie ICT sono soggetti agli stessi

rischi degli uffici e della sala server (vedi Stuxnet)

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni

Page 27: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

I Sistemi di Fabbrica – L’evoluzione della sicurezza

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni

IERI OGGI

ARCHITETTURA Collegamenti fisici dedicati

Reti aperte su base IPADSL, USB, WIFI

TECNOLOGIA Sistemi proprietari con protocolli specifici

Sistemi standard con protocolli standard

INCIDENTI Scarsi In crescita rapida

…..aziende medie, piccole e micro-aziende, le quali detengono un patrimonio in termini di know-how…..

Page 28: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

I Sistemi di Fabbrica – L’evoluzione della sicurezza

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni

IERI OGGI

ARCHITETTURA Collegamenti fisici dedicati

Reti aperte su base IPADSL, USB, WIFI

TECNOLOGIA Sistemi proprietari con protocolli specifici

Sistemi standard con protocolli standard

INCIDENTI Scarsi In crescita rapida

DATI USA: http://www.scadahacker.com/

Page 29: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

Le 10 minacce più insidiose nei sistemi IT di fabbrica

• Uso non autorizzato degli accessi remoti per la manutenzione (VNC)• Attacchi Online attraverso la rete degli uffici • Attacchi a dispositivi IT standard presenti nella rete di fabbrica• Attacchi DDOS • Errori umani e sabotaggi• Introduzione di Virus/Trojan con memorie rimovibili (USB, Fotocamere, Cell ecc…)• Lettura e scrittura di comandi manipolabili perché non criptati (VPN)• Accessi non autenticati alle risorse del sistema di fabbrica (e Configurazioni di Default)• Violazioni agli apparati di rete• Problemi tecnici e casualità (backup delle configurazioni)

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni

Sorgente: BSI analysis about cyber security 2012

Page 30: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

Ufficio IT e Controllo di Fabbrica – Colloquio difficile

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni

Devo prepararmi ad aggiornare!

Che problema c’è? Funziona e

non si tocca

PER ME CONTA DI PIU’ LA PROTEZIONE DELLA

COMUNICAZIONE

PER ME CONTA DI PIU’ LA DISPONIBILITA’

PROBLEMA!

Gianni Stefano

Page 31: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

Ufficio IT e Controllo di Fabbrica – Esigenze diverse

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni

Fabbrica Requisiti di Sicurezza Ufficio IT

Disponibilità, Integrità, Confidenziailità Priorità della Sicurezza Confidenziailità, Integrità, Disponibilità

h24x365g (Riavvio non possibile)

Disponibilità Normalmente orario ufficio 8h(Riavvio possibile)

Nel peggiore dei casi molto seri, possibili anche vittime

Danni per l’Azienda Perdita di Denaro Violazione Privacy

10 - 20 Anni Longevità 3-5 Anni

Risposte in Real Time Tempi di risposta Non importante

Dipende dal Produttore Mediamente lunghi (una volta ogni 1~4 Anni)

Tempo medio di Update Frequenti e Regolari

Ufficio Produzione e Automazione Gestione a carico di Ufficio CED

Differenti Standard / definiti a livello di Nazione

Standard di Sicurezza Standard Internazionali

Apparati (Attrezzature, Prodotti) Servizi (Conitnuità)

Obiettivo della Sicurezza Protezione delle informazioni

Page 32: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

DOMANDA: Quali di questi elementi della Sicurezza Informatica, che sono diventati rilevanti in relazione alle nuove tecnologie, non ha mai preso in considerazione?

® Gruppo di Lavoro 2013 Isaca VeneziaSicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est Indagine svolta su 55 aziende

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni

0% 35% 70%

Cloud/OutsourcingFurto di informazioni in formato elettronico dall'internoFurto di informazioni in formato elettronico dall'esternoSistemi di Automazione Industriale (PLC, DCS, etc..)

Page 33: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

ROI per un attaccante

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni

Dove creo più danni e magari posso ricattare

una azienda

PER ME CONTA DI PIU’ LA PROTEZIONE DELLA

COMUNICAZIONE

PER ME CONTA DI PIU’ LA DISPONIBILITA’

Page 34: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

Ma se stiamo parlando di questo...

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni

Page 35: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

E’ richiesta maggiore responsabilità

la Comunità Europea invita le industrie a riflettere sui modi per responsabilizzare amministratori delegati e le commissioni sulla sicurezza

informatica. Questa indicazione del livello di sicurezza informatica diventerà un valore per l’azienda come indicatore di affidabilità in particolare per le aziende

considerate critiche.

Concetti come “IT Security by Design” prevedono di incorporare la sicurezza informatica in tutte le fasi e aspetti, dalla progettazione delle strutture, alla

costruzione fino alla messa in produzione.

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni

Page 36: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

Il nostro contributo: uno strumento di autovalutazione

Abbiamo creato 5 check list, una per ognuna delle cinque aree di processi in cui viene scomposta la gestione della continuità operativa per una Infrastruttura Critica.

1. Misure preventive2. Revisione della gestione della crisi3. Gestione della crisi vera e propria4. Follow-up (successivo alla crisi)5. Esercitazioni

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni

Page 37: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

Il nostro contributo: uno strumento di autovalutazione

Prima check list: Misure preventive

Le misure preventive riguardano i processi relativi alla prevenzione degli eventi disastrosi.

EsempioArea “misure preventive”, sez. “Information Technology”:1.7.3.2 I dati critici sono memorizzati in posti diversi?

(Si verifica la disponibilità di backup dislocati in molteplici luoghi)

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni

Page 38: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

Il nostro contributo: uno strumento di autovalutazione

Seconda check list: Revisione della gestione della crisi

La revisione della gestione della crisi riguarda la preparazione dell’ambiente aziendale in modo che ci sia una efficace risposta alle situazioni disastrose.

EsempioArea “Revisione della gestione della crisi”, sez. “Informazioni richieste ed archivi”2.1.5.3 Gli archivi necessari sono tutti a portata di mano?

(Si verifica la disponibilità degli archivi necessari per la gestione della crisi)

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni

Page 39: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

Il nostro contributo: uno strumento di autovalutazione

Terza check list: Gestione della crisi vera e propria

La gestione della crisi vera e propria comprende i processi necessari a contenere le conseguenze di un evento disastroso quando quest’ultimo accade.

EsempioArea “Gestione della crisi vera e propria”, sez. “Trattamento di dati critici ed archivi”3.2.9.1 I supporti e gli archivi critici sono sempre tenuti in contenitori a prova di incendio e allagamento?

(si verifica l’efficacia delle misure di protezione di archivi e supporti durante un evento disastroso)

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni

Page 40: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

Il nostro contributo: uno strumento di autovalutazione

Quarta check list: Follow-up (successivo alla crisi)

Il follow-up permette di ricavare gli elementi di miglioramento del sistema di gestione dalla diretta esperienza nella gestione di un evento disastroso.

EsempioArea “Follow-up”:4.9 È stato fatto l'inventario degli edifici danneggiati, strutture e attrezzature?

(solo quando la crisi sia avvenuta davvero, si opera un controllo sulle attrezzature danneggiate. Il follow up serve per migliorare il sistema dall’esperienza diretta di una crisi.)

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni

Page 41: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

Il nostro contributo: uno strumento di autovalutazione

Quinta check list: Esercitazioni

Le esercitazioni sono i test di risposta agli eventi disastrosi.

EsempioArea “Esercitazioni”, sez. ” Generalità”:5.1.3 I canali di comunicazione interna ed esterna sono testati?

(Le esercitazioni sono necessarie per tenere tutta la struttura preparata ad affrontare la possibile crisi. I canali di comunicazione sono una delle infrastrutture necessarie per una buona gestione degli eventi disastrosi)

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni

Page 42: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

Conclusioni

Giustamente l’Europa e l’Italia devono imporre una gestione normata del problema e devono supportare le aziende nei costi di gestione. Standard riconosciuti, come la norma ISO 27001 o COBIT, vengono scarsamente adottati dalle aziende italiane proprio perché

non percepiti come valore. Alcuni settori critici come quello bancario stanno già adottando normative standard di sicurezza

cybernetica. La nostra Check List può fornire delle indicazioni ad un auditor ma non può esulare una azienda critica dall’affrontare una analisi più

specifica del contesto di sicurezza cybernetica in cui si trova.La fabbrica è l’anello più debole della sicurezza informatica

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni

Page 43: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni - CISA

Domande

Page 44: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni - CISA

[email protected]@rampazzo.it

Page 45: Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle infrastrutture produttive SMAU Bologna 2014

Jesolo 17 maggio 2013 (80Km da qui)

http://www.youtube.com/watch?feature=player_detailpage&v=VIqQyk_NNQY

Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni

LUCA! Sei sempre catastrofico. Non sono problemi per le nostre aziende