Sei sulla pagina 1di 88

La sicurezza ICT:

Introduzione ai concetti e lo standard


ISO27001

a cura di Natale Prampolini,


LA ISO27001, CISA, CISM, ITIL, ISO20000, CMMI v1.2 DEV

2011 – Verona Natale Prampolini Pag. 1


Obiettivi della presentazione

 Introduzione sulla sicurezza ICT:


 Riservatezza, Integrità, Disponibilità, Conformità;

 ISO27001 Sistemi di Gestione della Sicurezza delle Informazione:


 Sistema di Processo;
 Analisi del Rischio, definizione di Bene, Impatto, Minaccia,
Vulnerabilità;
 Aspetti organizzativi, tecnologici e fisici;
 Le 11 Aree, i 34 obiettivi di controllo, i 133 Controlli, e la
Dichiarazione di applicabilità;
 PDCA, Il modello di Miglioramento Continuo.

2011 – Verona Natale Prampolini Pag. 2


3
La Sicurezza delle Informazioni

I concetti base

Riservatezza

Integrità

Disponibilità

Conformità

2011 – Verona Natale Prampolini Pag. 3


Standard 27000: 4
Perché?

Approccio largamente condiviso sul mercato, che vanta anni di


applicazioni pratiche in diversi settori.
È un insieme di “best practices” utilizzate da migliaia di esperti e
costituisce uno strumento PRATICO che consente di tenere sotto
controllo i diversi aspetti che impattano sulla sicurezza delle
informazioni.
È un approccio olistico, cioè a livello di sistema globale. Non si
risponde alle richieste singole, ma si guarda all’insieme : si possono
ridurre i costi, evitando controlli tecnologici ridondanti e facilitando il
processo di gestione.
2011 – Verona Natale Prampolini Pag. 4
Standard 27000: 5

Costi tangibili

• Perdite :
– di materiale (danno fisico);
– dovute alla indisponibilità delle informazioni;
– dovute alla clientela che insoddisfatta si rivolge ai concorrenti;
– di produttività del personale (non IT) che si trova a lavorare in
condizioni degradate, (o nel caso peggiore non lavora proprio),
durante le operazioni di ripristino;
• Lavoro
– per il rilevamento, il contenimento, la riparazione e la ricostruzione
dei danni ai dati;
– per la corretta raccolta dei dati e il mantenimento delle prove.

2011 – Verona Natale Prampolini Pag. 5


Standard 27000: 6

Costi intangibili

• Perdita di fiducia dei clienti;

• Rallentamento, e/o arretramento, della propria


posizione di mercato, in seguito a cattiva
pubblicità;

• Accesso dei concorrenti a informazioni


confidenziali o riservate.

2011 – Verona Natale Prampolini Pag. 6


Standard 27000: 7
Come ?

Utilizzata da un GRUPPO di esperti di sicurezza come un AIUTO


PRATICO per valutare se si sono presi in considerazione “tutti gli
aspetti possibili”.

La norma non pretende di fornire tutto quello che serve al nostro


Sistema di Gestione della Sicurezza delle Informazioni,
ma tutto quello che è previsto dalle “best practices” internazionali.

Pag. 7
2011 – Verona Natale Prampolini
Standard 27000: 8

Cosa ?

Non esiste garanzia di sicurezza al 100%

 Non si è consapevoli di tutte le possibili minacce.


 In fase di progettazione, non si è tenuto conto dei criteri di sicurezza.
 Non ci sono le risorse per implementare (subito) tutte le contromisure
ipotizzabili.
 Le condizioni al contorno cambiano.
 Le modalità e le tipologie di attacco si perfezionano.
 …….

Occorre mettere in piedi un sistema di gestione e controllo continuo

Pag. 8
2011 – Verona Natale Prampolini
Standard 27000: 9

Cosa ?

 Valutare e gestire i possibili rischi.

 Tenere sotto controllo TUTTI gli aspetti che influenzano la sicurezza


delle informazioni.
 Controllare costantemente l’efficacia delle misure adottate.

 Dare una chiara classificazione alle informazioni.


 Controllare l’intero PROCESSO che tratta le informazioni.

 Identificare chiaramente il PERSONALE responsabile della gestione


della sicurezza

Costituire stabilmente un
Sistema di Gestione della Sicurezza delle Informazioni : SGSI
Pag. 9
2011 – Verona Natale Prampolini
Standard 27000: 10

Cosa ?

Un SGSI è un insieme di :
 PoliticA della sicurezza delle informazioni
 PoliticHE,
 Procedure,
 Standard
 Linee guida
 Soluzioni tecniche

progettato per uno specifico sistema in modo da preservarne i


requisiti di Riservatezza, Integrità e Disponibilità delle informazioni.

Pag. 10
2011 – Verona Natale Prampolini
Standard 27000: 11

la famiglia

27000 Foundamental and vocabulary


27001 ISMS Requirements Il modello

27002 Code of practice of ISMS I controlli

27003 ISMS implementation guidance

27004 Measurements

27005 Risk Management

27006 Requirements for the accreditation of certification bodies

27007 Guidelines for ISMS auditing

Pag. 11
2011 – Verona Natale Prampolini
Standard 27000: 12

la famiglia

ISO 27011 - Information security management guidelines for telecommunications

ISO 27031 - ICT readiness for business continuity

ISO 27032 - Guidelines for cybersecurity

ISO 27033 - IT network security

ISO 27034 - Guidelines for application security

ISO 27799 - Security Management in Health using ISO/IEC 27002

Pag. 12
12
2011 – Verona Natale Prampolini
Gestione della sicurezza: 13

Standard 27001 :2005

UNI CEI ISO/IEC 27001:2006

Tecnologia delle informazioni -


Tecniche di sicurezza - Sistemi di
gestione della sicurezza delle
informazioni - Requisiti

Pag. 13
13
2011 – Verona Natale Prampolini
27001:05 14

L’approccio ciclico

Parti
Parti
interessate Progettare
Implementare interessate
(Stakeholders) l’SGSI (PLAN)
l’SGSI (DO) (Stakeholders)

Requisiti e Mantenere Sicurezza


aspettative per
Monitorare
Migliorare delle
la sicurezza Revisionare
l’SGSI (ACT)
delle l’ SGSI informazioni
informazioni (CHECK) gestita

Pag. 14
2011 – Verona Natale Prampolini
Gestione della sicurezza: 15

Standard 27001:2005

Analisi dei rischi

Pag. 15
2011 – Verona Natale Prampolini
27001:05 16

Il modello per processi


PLAN Stabilire la politica del Sistema di Gestione per la
Stabilire Sicurezza delle Informazioni, gli obiettivi, i processi e le
il S.G.S.I. procedure pertinenti per gestire i rischi e migliorare la
sicurezza delle informazioni al fine di produrre risultati
conformi alle politiche ed agli obiettivi generali
dell’organizzazione
DO Attuare e rendere operativa la politica del Sistema di
Attuare e condurre il Gestione per la Sicurezza delle Informazioni, i controlli, i
S.G.S.I. processi e le procedure

CHECK Valutare e, ove applicabile, misurare le prestazioni del


Monitorare e processo a fronte della politica del Sistema di Gestione
riesaminare il per la Sicurezza delle Informazioni, degli obiettivi e delle
S.G.S.I. esperienze pratiche, quindi riportare i risultati alla
direzione ai fini del riesame
ACT Intraprendere azioni correttive e preventive, basate sui
Mantenere attivo, risultati degli audit interni del S.G.S.I. e sul riesame da
aggiornato e migliorare parte della direzione o sulle altre informazioni pertinenti,
il S.G.S.I. al fine di ottenere il miglioramento continuo del S.G.S.I.

Modulo 3 Pag. 16
2011 – Verona Natale Prampolini
27001:05 17

Il modello per processi


PLAN Stabilire la politica del Sistema di Gestione per la
PLAN
Stabilire Stabilire perInformazioni,
Sicurezza delle lo SGSI :
gli obiettivi, i processi e
il S.G.S.I. le–procedure
la politica,pertinenti per gestire i rischi e migliorare
Stabilire la sicurezza delle informazioni al fine di produrre
– gli obiettivi,
risultati conformi alle politiche ed agli obiettivi
lo – i processi
generali e le procedure,
dell’organizzazione
– le misure di sicurezza delle informazioni
S.G.S.I. DO
Attuare e condurre il S.G.S.I.
Attuare e rendere operativa la politica del Sistema di Gestione per la Sicurezza delle Informazioni, i
controlli, i processi e le procedure

CHECK Valutare e, ove applicabile, misurare le prestazioni del processo a fronte della politica del Sistema di
Monitorare e riesaminare il Gestione per la Sicurezza delle Informazioni, degli obiettivi e delle esperienze pratiche, quindi riportare i
S.G.S.I. risultati alla direzione ai fini del riesame

ACT Intraprendere azioni correttive e preventive, basate sui risultati degli audit interni del S.G.S.I. e sul riesame
Mantenere attivo, aggiornato e da parte della direzione o sulle altre informazioni pertinenti, al fine di ottenere il miglioramento continuo del
migliorare il S.G.S.I. S.G.S.I.

Modulo 3 Pag. 17
2011 – Verona Natale Prampolini
L’Analisi dei Rischi: 18

LA politicA della sicurezza

È la “dichiarazione di intenti “ dell’alta Direzione che stabilisce


e ratifica :

 Gli obiettivi strategici del management sulla sicurezza delle


informazioni che ritiene “critiche”.

 Le regole con cui gestire e proteggere queste informazioni.

 Il comportamento degli utenti.

 Gli attori coinvolti e relative responsabilità.

 Le regole di interazione con i fornitori e gli utenti.

 I criteri e le modalità di valutazione dei rischi.

Pag. 18
2011 – Verona Natale Prampolini
L’Analisi dei Rischi: 19

Un esempio

La politica

INDICE tipo
Motivazione
Obiettivi di sicurezza
Indicazioni
Ruoli e responsabilità
Applicabilità
Conformità
Politiche specifiche
Divulgazione
Riesame

Pag. 19
2011 – Verona Natale Prampolini
L’Analisi dei Rischi: 20

Le fasi

PIANIFICAZIONE dell’analisi e rilevazione dello scenario


1
o Costituzione gruppo di lavoro
o Individuazione proprietari dei dati
o Individuazione referente applicativo della sicurezza
o Individuazione referente di infrastruttura
o Definizione tempistica delle attività

2 INVENTARIO DEI BENI


(tutto quanto contribuisce/supporta il trattamento delle informazioni e costituisce
un bene per l’Azienda):
o Supporti informatici (sistemi, apparati, Applicativi, reti locali, reti geografiche,…)
o Documenti (cartacei e non)
o Impianti (corrente elettrica, UPS, aria condizionata/riscaldamento,….)
o Persone (manager, sviluppatori, utenti, sistemisti, ….)
o Immagine aziendale, ….
o ……..

Pag. 20
2011 – Verona Natale Prampolini
L’Analisi dei Rischi: 21

Le fasi

3 CLASSIFICAZIONE delle informazioni da proteggere :


o Dati ES.
o Documenti • Pubblico
o Immagini • Aziendale
o Sw • Riservato
• Confidenziale

4 VALUTAZIONE DEL RISCHIO che incombe su ogni asset.


Minacce
Vulnerabilità
Non si può parlare di “calcolo” del rischio.
Impatto

Probabilità
Pag. 21
2011 – Verona Natale Prampolini
L’Analisi dei Rischi: 22

Le fasi

INDIVIDUAZIONE delle possibili CONTROMISURE :


5 • Fisiche
• Tecniche
• Organizzative

6 PREPARAZIONE DEL REPORT al management


• Lista di priorità dei rischi da affrontare
• Elenco di priorità delle contromisure
• Costi delle contromisure per ciascun rischio
• Tempo
• Persone
• Denaro
• Valutazione del rischio residuo

Pag. 22
2011 – Verona Natale Prampolini
L’Analisi dei Rischi: 23

Le fasi

7 PRESENTAZIONE del report al management

8 DECISIONI POSSIBILI relative al rischio valutato :


• Ridotto
Si adottano tutte o parte delle contromisure individuate.
• Trasferito
Si trasferisce il rischio a un altro soggetto, come un’assicurazione.
• Accettato
Si decide di assorbire il costo in caso di rischio andato a buon fine.
• Evitato
Si decide di evitare l’attività che comporta un rischio troppo alto.

Pag. 23
2011 – Verona Natale Prampolini
L’Analisi dei Rischi: 24

Le fasi

9 VALUTAZIONE DEL NUOVO VALORE DEL RISCHIO RESIDUO


Se il management da parte del management e autorizzazione
formale ad implementare le contromisure.

10 ACCETTAZIONE FORMALE RISCHIO RESIDUO da parte del


management e autorizzazione formale ad implementare le
contromisure.

11 PIANIFICAZIONE.

Pag. 24
2011 – Verona Natale Prampolini
Il piano della sicurezza: 25

Indice CNIPA

ANALISI DEI RISCHI

SISTEMA DI SICUREZZA
•Sicurezza fisica
•Sicurezza logica
•Sicurezza organizzativa

PIANO DI FORMAZIONE/SENSIBILIZZAZIONE

PIANO OPERATIVO

PIANO DI CONTINUITA’ OPERATIVA

ADERENZA ALLA NORMATIVA

Pag. 25
2011 – Verona Natale Prampolini
Il piano della sicurezza: 26

Indice CNIPA

ANALISI DEI RISCHI

SISTEMA DI SICUREZZA
•Sicurezza fisica Soluzioni di sicurezza fisica
•Sicurezza logica
•Sicurezza organizzativa

PIANO DI FORMAZIONE/SENSIBILIZZAZIONE

PIANO OPERATIVO

PIANO DI CONTINUITA’ OPERATIVA

ADERENZA ALLA NORMATIVA

2011 – Verona Natale Prampolini Pag. 26


Il piano della sicurezza: 27

Indice CNIPA

ANALISI DEI RISCHI

SISTEMA DI SICUREZZA
•Sicurezza fisica Sicurezza perimetrale
•Sicurezza logica Sicurezza degli apparati
•Sicurezza organizzativa Sistemi antivirus
Soluzioni crittografiche
Sicurezza delle trasmissioni su rete
PIANO DI FORMAZIONE/SENSIBILIZZAZIONE
Controllo accessi logici :
Sistema di autenticazione e autorizzazione
Firma digitale
PIANO OPERATIVO Token

PIANO DI CONTINUITA’ OPERATIVA

ADERENZA ALLA NORMATIVA

2011 – Verona Natale Prampolini Pag. 27


Il piano della sicurezza: 28

Indice CNIPA

ANALISI DEI RISCHI

SISTEMA DI SICUREZZA
•Sicurezza fisica
•Sicurezza logica
L’organizzazione della sicurezza
•Sicurezza organizzativa Ruoli e responsabilità
La politica della sicurezza
PIANO DI FORMAZIONE/SENSIBILIZZAZIONE Le politiche di sicurezza
Fisiche e tecnologiche
Organizzative
PIANO OPERATIVO Le procedure di sicurezza

PIANO DI CONTINUITA’ OPERATIVA

ADERENZA ALLA NORMATIVA

2011 – Verona Natale Prampolini Pag. 28


Il piano della sicurezza: 29

Indice CNIPA

ANALISI DEI RISCHI

SISTEMA DI SICUREZZA
•Sicurezza fisica
•Sicurezza logica
•Sicurezza organizzativa

PIANO DI FORMAZIONE/SENSIBILIZZAZIONE

PIANO OPERATIVO Quando


Come
Chi
PIANO DI CONTINUITA’ OPERATIVA

ADERENZA ALLA NORMATIVA

2011 – Verona Natale Prampolini Pag. 29


Il piano della sicurezza: 30

Indice CNIPA

ANALISI DEI RISCHI

SISTEMA DI SICUREZZA
•Sicurezza fisica
•Sicurezza logica
•Sicurezza organizzativa

PIANO DI FORMAZIONE/SENSIBILIZZAZIONE

PIANO OPERATIVO

PIANO DI CONTINUITA’ OPERATIVA

ADERENZA ALLA NORMATIVA 196/2003

2011 – Verona Natale Prampolini Pag. 30


Il piano della sicurezza: 31

Indice CNIPA

….e il DPS ?
ANALISI DEI RISCHI
Trattamento dei dati
personali e sensibili SISTEMA DI SICUREZZA
•Sicurezza fisica
•Sicurezza logica
•Sicurezza organizzativa

PIANO DI FORMAZIONE/SENSIBILIZZAZIONE

PIANO OPERATIVO

PIANO DI CONTINUITA’ OPERATIVA

ADERENZA ALLA NORMATIVA

2011 – Verona Natale Prampolini Pag. 31


Gestione della sicurezza: 32

Standard 27001:2005

2011 – Verona Natale Prampolini Pag. 32


33
27001:05
Il modello per processi
PLAN Stabilire la politica del Sistema di Gestione per la
Stabilire Sicurezza delle Informazioni, gli obiettivi, i processi e le
il S.G.S.I. procedure pertinenti per gestire i rischi e migliorare la
sicurezza delle informazioni al fine di produrre risultati
conformi alle politiche ed agli obiettivi generali
dell’organizzazione
DO
DO Attuare e rendere
Attuare e rendere operativa la operativi per di lo
politica del Sistema
Attuare
Attuare e e SGSI
Gestione : per la Sicurezza delle Informazioni, i controlli,
condurre il lo •la politica, i processi e le procedure
condurre
S.G.S.I.
S.G.S.I. •i controlli,
CHECK Valutare e, ove applicabile, misurare le prestazioni del
•iprocesso
processia fronte della politica del Sistema di Gestione
Monitorare e
riesaminare il •le
per procedure
la Sicurezza delle Informazioni, degli obiettivi e
S.G.S.I. delle esperienze pratiche, quindi riportare i risultati alla
direzione ai fini del riesame
ACT Intraprendere azioni correttive e preventive, basate sui risultati degli audit interni del S.G.S.I. e sul riesame da
Mantenere attivo, aggiornato parte della direzione o sulle altre informazioni pertinenti, al fine di ottenere il miglioramento continuo del
e migliorare il S.G.S.I. S.G.S.I.

Modulo 3
2011 – Verona Natale Prampolini Pag. 33
27001:05 34

Attuare e condurre il SGSI (Do)

• Attuare il piano di trattamento del rischio

• Eseguire i controlli selezionati per conseguire gli obiettivi di controllo

• Definire come misurare l’efficacia dei controlli

• Attuare i programmi di formazione e la consapevolezza

• Gestire operativamente il SGSI

• Gestire le risorse per il SGSI

• Istituire procedure e altri controlli capaci di :


• rilevare tempestivamente
• rispondere adeguatamente agli incidenti relativi alla sicurezza

2011 – Verona Natale Prampolini Pag. 3434


Gestione della sicurezza : 35

Misurare l’efficacia

MISURA di efficacia delle contromisure effettivamente adottate

INDICATORI indicazione sintetica in grado di definire lo stato


di un sistema o processo rispetto all’obiettivo di
sicurezza.
Ha un valore di soglia fissato.

2011 – Verona Natale Prampolini Pag. 35


Attuare e condurre il SGSI (Do): 36

Misurare l’efficacia

AREA INDICATORE
Sicurezza delle Percentuale di personale del SGSI che ha seguito
risorse umane corsi di formazione specifica sulla sicurezza.
Percentuale degli incidenti alla Sicurezza causati da
una scarsa formazione del personale.
Controllo degli Numero di riattivazioni delle credenziali di accesso
accessi rispetto al numero di utenti del sistema.
Percentuale di sistemi che seguono una politica di
gestione delle password.
Numero di account con privilegi da amministratore
utilizzati per le normali attività .
Numero di account non associati a utenti specifici.
Gestione degli Percentuale di incidenti per Area / Unità complessa.
incidenti di
sicurezza delle
informazioni

2011 – Verona Natale Prampolini Pag. 36


Attuare e condurre il SGSI (Do): 37

Misurare l’efficacia

Per ciascuna metrica adottata devono essere definiti i seguenti campi:


Controllo degli accessi
Indicatore Numero di riattivazioni delle credenziali di accesso rispetto al
numero di utenti del sistema
Descrizione Indica la percentuale delle riattivazione delle credenziali
Codice IP1101
Dati in input Nriatt = Numero di riattivazioni delle credenziali
Ntotut = Numero totale di utenti
Formula IP1101
N riatt
100
N totut
Valore Percentuale
Frequenza Annuale
Responsabile Responsabile Sicurezza
Criteri È accettabile quando 0% IP1101 20%
È inaccettabile quando 20% IP1101 100 %

2011 – Verona Natale Prampolini Pag. 37


Gestione della sicurezza : 38

Standard 27001:2005

2011 – Verona Natale Prampolini Pag. 38


39
27001:05
Il modello per processi
PLAN Stabilire la politica del Sistema di Gestione per la Sicurezza delle Informazioni, gli obiettivi, i processi e le
Stabilire procedure pertinenti per gestire i rischi e migliorare la sicurezza delle informazioni al fine di produrre risultati
il S.G.S.I. conformi alle politiche ed agli obiettivi generali dell’organizzazione

DO Attuare e rendere operativa la politica del Sistema di


Attuare e Gestione per la Sicurezza delle Informazioni, i
condurre il controlli, i processi e le procedure
CHECKS.G.S.I.Valutare lo SGSI e, ove applicabile,
misurarne
Valutare e, ovele prestazioni
applicabile, a
misurare fronte
le di :
prestazioni del
Monitorare
CHECK
– politica,
processo a fronte della politica del Sistema di
Monitorare e
e il
riesaminare –
Gestione per la Sicurezza delle Informazioni, degli
obiettivi,
obiettivi e delle esperienze pratiche, quindi riportare i
riesaminare risultati
S.G.S.I. – esperienze
alla direzionepratiche,
ai fini del riesame
il S.G.S.I.
ACT Intraprendere azioni correttive e preventive, basate
Mantenere Riportare i risultati
sui risultati degli alla
audit interni del direzione
S.G.S.I. e sul per il
attivo, riesame da parte della direzione o sulle altre
riesame
informazioni pertinenti, al fine di ottenere il
aggiornato e
migliorare il miglioramento continuo del S.G.S.I.
S.G.S.I.
Modulo 3
2011 – Verona Natale Prampolini Pag. 39
27001:05 40

Monitorare e riesaminare SGSI (Check)

Eseguire procedure di monitoraggio


• Svolgere riesami regolari sull’efficacia dell’SGSI
• Registrare azioni ed eventi
• Misurare l’efficacia dei controlli
• Riesaminare le valutazioni del rischio residuo ed i rischi
accettabili tenendo in considerazione i cambiamenti
• Condurre audit interni dell’SGSI ad intervalli pianificati
• Effettuare un riesame da parte della Direzione
• Aggiornare i piani per la sicurezza

2011 – Verona Natale Prampolini Pag. 4040


27001:05 41
Monitorare e riesaminare SGSI (Check)

In questa fase si verifica se :

– i controlli sono effettivamente operativi come previsto,


– lo SGSI è efficace.
- Non siano state modificate le assunzioni o l’ambito tanto
da dover riprendere l’analisi del rischio per individuare
controlli più adeguati alla situazione attuale ed eventuali
azioni correttive.
L’efficacia dei controlli deve essere misurata secondo la
metrica definita nella fase precedente.

2011 – Verona Natale Prampolini Pag. 4141


27001:05 42
Monitorare e riesaminare SGSI (Check)

AUDIT

Potente strumento per la dimostrazione dell’efficacia e della conformità


dello SGSI.

È necessaria una procedura documentata per assicurare l’efficace


gestione degli audit interni, ivi inclusa l’assicurazione dell’indipendenza di
giudizio degli auditor utilizzati.

(*) UNI EN ISO 19011:2003 Linea guida per ogni tipologia di audit sui sistemi di gestione ISO.

2011 – Verona Natale Prampolini Pag. 4242


Audit di sicurezza: 43

Definizione

È uno strumento di monitoraggio del livello di sicurezza del sistema.

È un'indagine strutturata e metodica che mira a individuare eventuali


vulnerabilità o il mancato rispetto di normative e leggi specifiche.

È un processo sistematico, indipendente e documentato che mira a


ottenere evidenze oggettive che, valutate con obiettività, consentano di
determinare il grado di conformità alla politica di sicurezza, alle
procedure o ai requisiti presi come riferimento, da parte del
servizio/sistema/organizzazione esaminato.(*)

(*) CNIPA quaderno 23 cap. 6

2011 – Verona Natale Prampolini Pag. 43


Gestione della sicurezza : 44
Audit di sicurezza

Audit di prima parte


È condotto con personale interno alla stessa organizzazione cui
appartiene il sistema da verificare.

Audit di seconda parte


È condotto dalla stessa organizzazione cui appartiene il sistema da
verificare con consulenti di sua scelta

Audit di terza parte


È condotto da un ente esterno autorizzato dotato delle opportune
caratteristiche di affidabilità e imparzialità.

2011 – Verona Natale Prampolini Pag. 44


Audit di sicurezza: 45

Finalità

PRIMA PARTE SECONDA PARTE TERZA PARTE


Verificare il rispetto dei Qualificare un fornitore Iscrivere lo SGSI della
requisiti di una norma o azienda valutata in un
di altre prescrizioni apposito registro
stabilite dall’azienda

Forniscono Determinano Forniscono confidenza


informazioni per azioni l’affidabilità del fornitore ad un numero elevato
correttive, preventive, di di potenziali clienti
miglioramento

2011 – Verona Natale Prampolini Pag. 45


Gestione della sicurezza : 46

Standard 27001:2005

2011 – Verona Natale Prampolini Pag. 46


47
27001:05
Il modello per processi
PLAN Stabilire la politica del Sistema di Gestione per la Sicurezza delle
Stabilire Informazioni, gli obiettivi, i processi e le procedure pertinenti per gestire i
il S.G.S.I. rischi e migliorare la sicurezza delle informazioni al fine di produrre risultati
conformi alle politiche ed agli obiettivi generali dell’organizzazione

DO Attuare e rendere operativa la politica del Sistema di Gestione per la


Attuare e condurre il Sicurezza delle Informazioni, i controlli, i processi e le procedure
S.G.S.I.

CHECK Valutare e, ove applicabile, misurare le prestazioni del processo a fronte


Monitorare e della politica del Sistema di Gestione per la Sicurezza delle Informazioni,
riesaminare il S.G.S.I. degli obiettivi e delle esperienze pratiche, quindi riportare i risultati alla
ACT Intraprendere azioni
direzione ai fini del riesame correttive e
Mantenere preventive, basate su :
attivo,
ACT
Mantenere attivo,
Intraprendere azioni correttive e preventive, basate sui risultati degli audit
interni del S.G.S.I. e sul riesame da parte della direzione o sulle altre
aggiornato
aggiornato e
e migliorare – risultati degli audit interni
informazioni pertinenti, al fine di ottenere il miglioramento continuo del
il S.G.S.I.
migliorare il – riesame da parte della direzione
S.G.S.I.

S.G.S.I. – altre informazioni pertinenti

Modulo 3
2011 – Verona Natale Prampolini Pag. 47
27001:05 48
Mantenere attivo, aggiornare e
migliorare

• Attuare i miglioramenti individuati


• Intraprendere le appropriate azioni correttive e preventive.
• Applicare gli insegnamenti acquisiti dalle esperienze
• Comunicare le azioni e i miglioramenti a tutte le parti interessate
• Assicurarsi che i miglioramenti conseguano gli obiettivi prefissati

È diretta conseguenza dei risultati della fase precedente

“non conformità”
“azioni correttive”
Può impattare sulle fasi “Progettare” “Implementare” “Utilizzare”.

2011 – Verona Natale Prampolini Pag. 4848


63
Gestione della sicurezza
Approfondimenti

UNI CEI ISO/IEC 27001:06 Organizzazione


REQUISITI

A.5 Politica per la sicurezza


ISO/IEC 27002:05 A.6 Organizzazione della Sicurezza

A.11 Controllo degli


A.7 Gestione dei beni
accessi

BEST
A.15 Conformità
PRACTICES A.8 Sicurezza delle A.9 Sicurezza fisica
risorse umane e ambientale

A.12 Acquisizione, A.13 Gestione A.14 Gestione A.10 Gestione delle


sviluppo e Incidenti di della continuità comunicazioni e
manutenzione dei Sicurezza operativa Dell’operatività
sistemi

APPROFONDIMENTI ISO /IEC 12207 BS25599 ISO/IEC 24762


ISO 20000
Operatività

2011 – Verona Natale Prampolini Pag. 63


64
27002:2005

Area Descrizione
A.5 Politica
ISO27002:2005 è un
framework per A.6 Organizzazione
implementare controlli A.7 Gestione degli asset
di tipo:
A.8 Risorse umane
• organizzativo,
• tecnico, A.9 Fisica e ambientale
• fisico, A.10 Operatività e comunicazioni
A.11 Controllo accessi
I controlli proposti sono
133 raggruppati in 39 A.12 Requisiti di sicurezza dei SI
obiettivi e 11 aree. A.13 Incidenti di sicurezza
A.14 Continuità operativa
A.15 Conformità
2011 – Verona Natale Prampolini Pag. 64
65
27002:2005
Politica per la sicurezza

Area Descrizione
Fornire gli indirizzi ed il supporto A.5 Politica
della Direzione per la sicurezza
delle informazioni, in conformità A.6 Organizzazione
ai requisiti del business e alle A.7 Gestione degli asset
leggi e regolamenti pertinenti.
A.8 Risorse umane
A.9 Fisica e ambientale
A.10 Operatività e comunicazioni
A.11 Controllo accessi
A.12 Requisiti di sicurezza dei SI
A.13 Incidenti di sicurezza
A.14 Continuità operativa
A.15 Conformità
2011 – Verona Natale Prampolini Pag. 65
66
27002:2005
Organizzazione della sicurezza

Area Descrizione
• Istituzione del Comitato della A.5 Politica
Sicurezza delle Informazioni
A.6 Organizzazione
• Nomina dello RSI A.7 Gestione degli asset
(Responsabile della Sicurezza
delle Informazioni) A.8 Risorse umane
A.9 Fisica e ambientale
A.10 Operatività e comunicazioni
A.11 Controllo accessi
A.12 Requisiti di sicurezza dei SI
A.13 Incidenti di sicurezza
A.14 Continuità operativa
A.15 Conformità
2011 – Verona Natale Prampolini Pag. 66
67
27002:2005
Gestione dei beni

Area Descrizione
• Classificazione delle A.5 Politica
informazioni A.6 Organizzazione
• Conseguire e mantenere attiva
un’adeguata protezione dei beni A.7 Gestione degli asset
dell’organizzazione A.8 Risorse umane
A.9 Fisica e ambientale
A.10 Operatività e comunicazioni
A.11 Controllo accessi
A.12 Requisiti di sicurezza dei SI
A.13 Incidenti di sicurezza
A.14 Continuità operativa
A.15 Conformità
2011 – Verona Natale Prampolini Pag. 67
68
27002:2005
Sicurezza delle risorse umane

Area Descrizione
A.5 Politica
•Prima dell’assunzione A.6 Organizzazione
•Durante il rapporto di lavoro A.7 Gestione degli asset
A.8 Risorse umane
•Alla cessazione del rapporto di
lavoro A.9 Fisica e ambientale
A.10 Operatività e comunicazioni
A.11 Controllo accessi
A.12 Requisiti di sicurezza dei SI
A.13 Incidenti di sicurezza
A.14 Continuità operativa
A.15 Conformità
2011 – Verona Natale Prampolini Pag. 68
27002:2005 69

Sicurezza fisica ed ambientale

Area Descrizione
A.5 Politica
A.6 Organizzazione
A.7 Gestione degli asset
•Controllo accessi fisici
A.8 Risorse umane
•Controllo sistemi ambientali A.9 Fisica e ambientale
A.10 Operatività e comunicazioni
A.11 Controllo accessi
A.12 Requisiti di sicurezza dei SI
A.13 Incidenti di sicurezza
A.14 Continuità operativa
A.15 Conformità
2011 – Verona Natale Prampolini Pag. 69
27002:2005 70

Gestione della operatività

Area Descrizione
A.5 Politica
A.6 Organizzazione
•Procedure operative A.7 Gestione degli asset
•Servizi di terze parti
•Progettazione dei sistemi A.8 Risorse umane
•Protezione contro software A.9 Fisica e ambientale
maligno
•Backup A.10 Operatività e comunicazioni
•Sicurezza delle rete A.11 Controllo accessi
•Scambio dati
•Gestione supporti A.12 Requisiti di sicurezza dei SI
•On-line A.13
•Monitoraggio
Incidenti di sicurezza
A.14 Continuità operativa
A.15 Conformità
2011 – Verona Natale Prampolini Pag. 70
27002:2005 71

Controllo degli accessi

Area Descrizione
A.5 Politica
A.6 Organizzazione
A.7 Gestione degli asset
• Controllo accessi A.8 Risorse umane
• Gestione accessi dell’utente
A.9 Fisica e ambientale
• Responsabilità degli utenti
A.10 Operatività e comunicazioni
• Accesso alla Rete
• Accesso al Sistema A.11 Controllo accessi
Operativo A.12 Requisiti di sicurezza dei SI
• Accesso alle Applicazioni A.13 Incidenti di sicurezza
• Uso di dispositivi portatili A.14 Continuità operativa
A.15 Conformità
2011 – Verona Natale Prampolini Pag. 71
27002:2005
72
Acquisizione, sviluppo e
manutenzione dei S.I.

Area Descrizione
A.5 Politica
A.6 Organizzazione
A.7 Gestione degli asset
• Requisiti di sicurezza A.8 Risorse umane
• Corretta elaborazione delle
applicazioni A.9 Fisica e ambientale
• Controlli crittografici A.10 Operatività e comunicazioni
• Sicurezza dei file di sistema
A.11 Controllo accessi
• Sicurezza nei processi di
sviluppo e supporto A.12 Requisiti di sicurezza dei SI
• Gestione delle vulnerabilità
A.13 Incidenti di sicurezza
A.14 Continuità operativa
A.15 Conformità
2011 – Verona Natale Prampolini Pag. 72
73
27002:2005
Incidenti di sicurezza

Area Descrizione
A.5 Politica
A.6 Organizzazione
A.7 Gestione degli asset
A.8 Risorse umane
A.9 Fisica e ambientale
A.10 Operatività e comunicazioni
• Segnalazione degli Incidenti A.11 Controllo accessi
A.12 Requisiti di sicurezza dei SI
• Gestione degli Incidenti
A.13 Incidenti di sicurezza
A.14 Continuità operativa
A.15 Conformità
2011 – Verona Natale Prampolini Pag. 73
27002:2005 74

Gestione della continuità operativa

Area Descrizione
A.5 Politica
A.6 Organizzazione
A.7 Gestione degli asset
A.8 Risorse umane
A.9 Fisica e ambientale
A.10 Operatività e comunicazioni
A.11 Controllo accessi
A.12 Requisiti di sicurezza dei SI
Soluzioni per garantire la
continuità delle attività A.13 Incidenti di sicurezza
A.14 Continuità operativa
A.15 Conformità
2011 – Verona Natale Prampolini Pag. 74
75
ISO/IEC 27002: Conformità

Area Descrizione
A.5 Politica
A.6 Organizzazione
A.7 Gestione degli asset
A.8 Risorse umane
A.9 Fisica e ambientale
A.10 Operatività e comunicazioni
• Rispetto dei requisiti di legge A.11 Controllo accessi
A.12 Requisiti di sicurezza dei SI
• Rispetto degli standard di
sicurezza A.13 Incidenti di sicurezza
A.14 Continuità operativa
• Aspetti degli audit di sicurezza
A.15 Conformità
2011 – Verona Natale Prampolini Pag. 75
78
La continuità operativa: Business
Continuity Plan e Disaster
Recovery Plan

Business Continuity Plan


Finanze

Software Infrastrutture
Hardware
Collegamenti Impianti
Personale CED
Disaster Norme
Sito Alternativo
Recovery Plan
Basi Dati Documenti
Logistica
Documentazione Persone

Organizzazione Comunicazioni

Strumenti Informatici

2011 – Verona 2 Natale Prampolini Pag. 78


Gestione della sicurezza: 79

La continuità operativa

Misura preventiva atta a garantire la continuità dei processi


dell’Organizzazione in funzione del loro valore e della qualità dei prodotti/servizi
erogati tramite il supporto dell’infrastruttura di ICT, prevenendo e minimizzando
l’impatto di incidenti intenzionali o accidentali e dei conseguenti possibili danni.
(*)

Non riguarda soltanto le risorse informatiche, ma anche quelle fisiche,


organizzative e le persone necessarie per il funzionamento del sistema.

Il settore pubblico deve proteggere e mantenere accessibili i dati gestiti, che


giuridicamente appartengono ai cittadini e sono soltanto “affidati in gestione”
all’Amministrazione.

(*) CNIPA quaderno 23 “Linee guida per la sicurezza ICT nelle Pubbliche Amministrazioni”

2011 – Verona 2 Natale Prampolini Pag. 79


Continuità operativa: 81

Le componenti

Business Continuity
Ha come obiettivo la continuità dei servizi istituzionali di
un’Amministrazione. Adotta tutti i metodi che consentono
di eliminare o ridurre gli effetti negativi di situazioni
disastrose.

Disaster Recovery
Attività necessarie per ripristinare – in tutto o in parte – le
funzionalità del sistema informatico (hardware, software
e servizi di comunicazione).
.
Le sole funzioni vitali

2011 – Verona 2 Natale Prampolini Pag. 81


La continuità operativa: 82

Business Impact Analysis

 Identifica gli impatti tangibili e intangibili sui processi di business nel caso di
indisponibilità delle risorse :
• Tecnologiche
• Umane
• Fisiche

 Fornisce alla Direzione le informazioni necessarie a disegnare una strategia


di ripristino secondo un preciso ordine di priorità.

 Identifica
• Chi e cosa è vitale per la sopravvivenza del business.
• Le priorità e i tempi necessari per il ripristino.

 Valuta i costi in caso di disastro.


• Diretti
• Indiretti

2011 – Verona 2 Natale Prampolini Pag. 82


La continuità operativa: 83

Business Impact Analysis

 Identifica gli impatti tangibili e intangibili sui processi di business nel caso di
indisponibilità delle risorse :
• Tecnologiche
• Umane
• Fisiche

Richiede :
 Fornisce alla Direzione le informazioni necessarie a disegnare una strategia
• secondo
di ripristino un supporto consistente
un preciso della
ordine Direzione
di priorità.
• una visione chiara dei processi aziendali
 Identifica • un ampio coinvolgimento di personale IT e di utenti.
• Chi e cosa è vitale per la sopravvivenza del business.
• Le priorità e i tempi necessari per il ripristino.

 Valuta i costi in caso di disastro.


• Diretti
• Indiretti

2011 – Verona 2 Natale Prampolini Pag. 83


La continuità operativa: 84

Business Impact Analysis

Identificare le funzioni critiche per


il raggiungimento degli obiettivi
istituzionali / aziendali.
RTO “Recovery Time Objective”,
Tempo massimo per recuperare il servizio.
Identificare le risorse che Intervallo di tempo entro il quale il servizio
supportano le funzioni critiche deve essere ripristinato per non causare
danni irreversibili.

Ipotizzare gli scenari di possibili RPO “Recovery Point Objective”,


evenienze o i disastri Intervallo di tempo all’interno del quale la
perdita di dati non causa danni irreparabili.
Intervallo tra il verificarsi dell’emergenza e
Scegliere le strategie di l’ultimo salvataggio utile e ripristinabile dei
contingency planning dati.

2011 – Verona 2 Natale Prampolini Pag. 84


La continuità operativa: 85

2011 – Verona 2 Natale Prampolini Pag. 85


La continuità operativa : 86

Disaster Recovery Plan

Situazione Servizio
Normale CED fuori uso Ripristinato

Dati
Ricostruzione dei
Orfani
Dati Orfani

Preparazione Dati
Sito Recovery Recuperati

Diagnosi Fase di Recovery

t1 t2 t3 t4 t5

2011 – Verona 2 Natale Prampolini Pag. 86


La continuità operativa : 87

Disaster Recovery Plan

Indice tipo

Introduzione
Obiettivi
Ruoli e Responsabilità
Esercitazione e manutenzione
Attivazione del piano
Modalità di dichiarazione di disastro o di incidente
Valutazione del danno
Attivazione del team
Esecuzione del piano
Procedure
Centro di Emergenza o Crisi
Comunicazioni
Soggetti da informare
Contatti
Messaggi
Fornitori
Lista dei fornitori di recovery
Dettagli dei contratti

2011 – Verona 2 Natale Prampolini Pag. 87


La continuità operativa : 88

Disaster Recovery Plan

Contenuti minimi

•Response Team
• Da chi è formato,
• Ruolo e responsabilità di ciascun componente
• Chi ne è responsabile e lo coordina

•Sito secondario
• Individuazione della sede
• Equipaggiamento

• Procedure di continuità
• Per i processi critici
• Per le funzioni vitali

2011 – Verona 2 Natale Prampolini Pag. 88


La continuità operativa : 89

Disaster Recovery Plan

Aspetti tecnici
• Come recuperare tempestivamente i dati di backup
• Come recuperare le informazioni per cui potrebbe non esistere backup
• Realizzazione di siti alternativi
• Reti di comunicazione alternative
• Realizzazione del passaggio dal primario al secondari

Aspetti organizzativi
• Assegnazione delle responsabilità
• Mobilitazione e spostamenti del personale
o Chi decide di avviare la procedura di DR?
o Chi opera nel sito secondario? Come può raggiungerlo?
o Chi si deve avvisare?
• Formazione e sensibilizzazione Il DRP viene progettato ipotizzando un evento
• Test del DRP che, nella maggior parte dei casi, non si è
ancora mai verificato.

2011 – Verona 2 Natale Prampolini Pag. 89


La continuità operativa : 90

Disaster Recovery Plan

Indice tipo

Introduzione
Obiettivi
Ruoli e Responsabilità Prima che accada un incidente
Esercitazione e manutenzione deve essere chiaro chi fa che cosa.
Attivazione del piano
Modalità di dichiarazione di disastro o di incidente
Valutazione del danno
Attivazione del team
Esecuzione del piano
Procedure
Centro di Emergenza o Crisi
Comunicazioni
Soggetti da informare
Contatti
Messaggi
Fornitori
Lista dei fornitori di recovery
Dettagli dei contratti

2011 – Verona 2 Natale Prampolini Pag. 90


La continuità operativa : 91

Disaster Recovery Plan

Indice tipo

Introduzione
Obiettivi
Ruoli e Responsabilità
Esercitazione e manutenzione Quando, come e chi testa il piano.
Attivazione del piano
Modalità di dichiarazione di disastro o di incidente
Valutazione del danno
Attivazione del team
Esecuzione del piano
Procedure
Centro di Emergenza o Crisi
Comunicazioni
Soggetti da informare
Contatti
Messaggi
Fornitori
Lista dei fornitori di recovery
Dettagli dei contratti

2011 – Verona 2 Natale Prampolini Pag. 91


La continuità operativa : 92

Disaster Recovery Plan

Indice tipo

Introduzione
Obiettivi
Ruoli e Responsabilità
Esercitazione e manutenzione
Attivazione del piano Chi può dichiarare il disastro.
Modalità di dichiarazione di disastro o di incidente
Valutazione del danno
Attivazione del team
Esecuzione del piano
Procedure
Centro di Emergenza o Crisi
Comunicazioni
Soggetti da informare
Contatti
Messaggi
Fornitori
Lista dei fornitori di recovery
Dettagli dei contratti

2011 – Verona 2 Natale Prampolini Pag. 92


La continuità operativa : 93

Disaster Recovery Plan

Indice tipo

Introduzione
Obiettivi
Responsabilità
Esercitazione e manutenzione
Attivazione del piano
Modalità di dichiarazione di disastro o di incidente
Valutazione del danno
Attivazione del team Interno o del gestore del servizio.
Esecuzione del piano
Procedure
Centro di Emergenza o Crisi
Comunicazioni
Soggetti da informare
Contatti
Messaggi
Fornitori
Lista dei fornitori di recovery
Dettagli dei contratti

2011 – Verona 2 Natale Prampolini Pag. 93


La continuità operativa : 94

Disaster Recovery Plan

Indice tipo

Introduzione
Obiettivi
Responsabilità
Esercitazione e manutenzione
Attivazione del piano
Modalità di dichiarazione di disastro o di incidente
Valutazione del danno
Attivazione del team
Esecuzione del piano
Procedure Mix di interventi di tipo organizzativo
Centro di Emergenza o Crisi e di tipo tecnico
Comunicazioni Cosa fare (ripristinare, riconfigurare,
Soggetti da informare
riavviare,…..)
Contatti
Messaggi Dove andare (sito secondario?)
Fornitori Chi avvertire.
Lista dei fornitori di recovery
Dettagli dei contratti

2011 – Verona 2 Natale Prampolini Pag. 94


La continuità operativa : 95

Disaster Recovery Plan

Indice tipo

Introduzione
Obiettivi
Responsabilità
Esercitazione e manutenzione
Attivazione del piano
Modalità di dichiarazione di disastro o di incidente
Valutazione del danno
Attivazione del team
Esecuzione del piano
Procedure
Centro di Emergenza o Crisi
Comunicazioni
Soggetti da informare
Contatti
Messaggi
Incaricare qualcuno delle comunicazioni
Fornitori con l’esterno.
Lista dei fornitori di recovery
Dettagli dei contratti

2011 – Verona 2 Natale Prampolini Pag. 95


La continuità operativa : 96

Disaster Recovery Plan

Indice tipo

Introduzione
Obiettivi
Responsabilità
Esercitazione e manutenzione
Attivazione del piano
Modalità di dichiarazione di disastro o di incidente
Valutazione del danno
Attivazione del team
Esecuzione del piano
Procedure
Centro di Emergenza o Crisi
Comunicazioni
Soggetti da informare
Contatti
Messaggi
Fornitori
Lista dei fornitori di recovery
Dettagli dei contratti Definire accuratamente i termini del
servizio.
2011 – Verona 2 Natale Prampolini Pag. 96
101
Grafico dei costi per
problemi di sicurezza

costi

0 10 100 1.000

livello di sicurezza (n. casi anomali gestiti)

2011 – Verona Natale Prampolini Pag. 101


102
Grafico dei costi per
problemi di sicurezza

costi

0 10 100 1.000

livello di sicurezza (n. casi anomali gestiti)

2011 – Verona Natale Prampolini Pag. 102


103
I costi complessivi

costi
Curva dei costi totali

costo
minimo
livello di sicurezza
livello di sicurezza ottimale

2011 – Verona Natale Prampolini Pag. 103


104

I costi sociali

costi
Curva dei costi totali

costo
minimo

livello di sicurezza
livello minimo di sicurezza
per norme cogenti livello di sicurezza ottimale

2011 – Verona Natale Prampolini Pag. 104


I costi sociali

costi
Curva dei costi totali

costo
sociale
costo
ottimale
livello di sicurezza
livello minimo di sicurezza
per norme cogenti

2011 – Verona Natale Prampolini Pag. 105


Conclusioni

• Abbiamo parlato di organizzazione della sicurezza delle


informazioni.
• Abbiamo visto come strutturare un sistema per la gestione
della sicurezza delle informazioni secondo una norma
internazionale [ISO 27001] e tutta una serie di norme
correlate attraverso l’applicazione di controlli o
contromisure.
• Abbiamo dato priorità alla gestione / organizzazione della
gestione rispetto all’applicazione della tecnologia, che è
importante e necessaria ma non sufficiente a garantire un
buona sicurezza (= basso rischio o rischio accettabile).

2011 – Verona Natale Prampolini Pag. 107


Ricorsività della gestione

• La norma indica spesso la necessità di assicurare risultati


misurabili, comparabili e riproducibili
• Ciò implica un continuo riesame che deve partire dalla
rivalutazione del rischio
• La sicurezza non è un prodotto ma un processo.
• Occorre operare in concreto al fine di ridurre al minimo i
rischi mediante l’utilizzazione di controlli/sistemi di
sicurezza costantemente adeguati nel tempo

2011 – Verona Natale Prampolini Pag. 108


Ricorsività della gestione

• In ciò sta il concetto di “Sistema di gestione per la sicurezza delle


Informazioni”
• In ciò sta il concetto che la sicurezza è un concetto organizzativo e non
tecnico
• In ciò sta il concetto di applicare in ogni fase della norma il PDCA

La ISO 27001 è una norma di gestione.


Attraverso poi la scelta dei controlli (Appendice A della norma e quindi ISO
27002)
creo i collegamenti con le norme tecniche

2011 – Verona Natale Prampolini Pag. 109


Grazie per l’attenzione

prampolini@ordine.ingegneri.vi.it

2011 – Verona Natale Prampolini Pag. 110