Sei sulla pagina 1di 12

3- Autovalutazione Lautovalutazione il processo che permette di rilevare le informazioni dove si trovano, di ridurre le differenze tra la percezione dei bisogni

i aziendali e il loro soddisfacimento, di analizzare la situazione in essere e segnalare le anomalie pi rilevanti a coloro che devono prendere le decisioni. La possibilit di valutare e riprogettare i processi operativi dellazienda pu essere considerata come una specie di azione di marketing interno, una fase di avvicinamento allobiettivo primario che, in questo caso, il coinvolgimento di tutte le componenti aziendali alla realizzazione e alla gestione di un Sistema per la Sicurezza Informatica adeguato alle esigenze dellorganizzazione. Il documento di autovalutazione predisposto da Usernet ha lo scopo di consentire alle aziende di rilevare il livello di sicurezza informatica e provvedere a dare seguito al progetto per sanare eventuali deficit.

QUESTIONARIO PER LAUTOVALUTAZIONE DEL LIVELLO DI SICUREZZA INFORMATICA

Questa procedura stata realizzata dai consulenti di Usernet. Coloro che entrano in possesso della procedura devono impegnarsi a non riprodurla, non commercializzarla e non cederla a terzi.

Copia n. 00
Introduzione
Si rileva che la difficolt di coinvolgere le strutture aziendali in un processo di autovalutazione, nasce spesso da una certa diffidenza e timore di azioni sanzionatorie: questo pericolo pu essere evitato con limpiego di un buon metodo valutativo, con lassegnazione di una sufficiente autonomia e con la diffusione di principi di valutazione a livello di sistema in generale. Un processo di autovalutazione deve, pertanto, essere eseguito da persone competenti ed autonome che devono, per, agire in un contesto favorevole, a responsabilit diffusa, orientato a risultati di qualit; sono certamente utili a questo scopo i richiami ad aspetti di buona gestione, di pressione esterna (es. leggi) e sociale (difesa dei diritti individuali). Lo scopo della presente procedura di autovalutazione quello di fornire un punto di riferimento per consentire alle aziende di rilevare il livello di protezione del proprio sistema informatico e di individuare le pi idonee azioni correttive/preventive e le priorit di realizzazione, al fine di supportare lorganizzazione sia nel contrastare potenziali minacce, sia nellapplicare gli adempimenti normativi di riferimento (es. D.lgs.196/03). bene, per, notare che il livello protettivo individuato non pu, in alcun modo, rappresentare una soluzione esaustiva, completa e definitiva della sicurezza informatica, ma pu costituire una solida base di protezione sulla quale implementare successivamente altre contromisure.

Il documento
Obiettivi Il questionario ha lo scopo di guidare lAzienda nel processo di autovalutazione del livello di protezione del proprio patrimonio informatico, rispetto alla base minima raccomandata. I risultati dellautovalutazione devono essere oggetto di attente considerazioni da parte degli organi aziendali che presidiano la sicurezza informatica, al fine di definire e pianificare le azioni correttive e preventive per rendere la protezione del patrimonio informatico adeguata alle necessit aziendali in tema di sicurezza. Il questionario stato impostato al fine di consentire un processo operativo affidabile e rapido. Modalit di rilevazione Al fine di realizzare gli obiettivi sopra indicati sono state definite dieci schede, una per ciascuna delle aree previste dalla Norma BS 7799-2: 1. Politica della sicurezza; 6. Gestione operativa del sistema informatico; 2. Organizzazione della sicurezza; 7. Controllo accessi; 3. Classificazione delle risorse; 8. Sviluppo e manutenzione del sistema informativo; 4. Sicurezza del personale; 9. Gestione continuit; 5. Sicurezza fisica ed ambientale; 10. Conformit;

2
La presente procedura stata progettata e realizzata da Carlo Galimberti e ceduta a titolo gratuito, ma non esclusivo, ad Aused per la distribuzione ai propri associati. Questi devono impegnarsi a non riprodurla, non commercializzarla e non cederla a terzi.

Ogni scheda articolata in quattro sezioni: 1. Obiettivi specifici delle rilevazioni che devono essere eseguite; 2. Elementi per la valutazione: una guida alle domande che dovrebbero essere poste per individuare il livello di sicurezza relativo allargomento trattato dalla scheda; 3. Valutazione: sono indicate le possibili risposte ripartite su quattro valori da 1 a 4 nellambito delle quali dovrebbe essere indicata quella maggiormente coerente con la situazione riscontrata. Il documento prevede anche un quadro riassuntivo che riporta il titolo delle dieci schede e lo spazio per riportare, quanto segnalato, nelle relative sezioni di valutazione. Eseguendo poi una semplice somma dei valori espressi in verticale si ottiene un totale per colonna e un totale generale che rileva il grado di protezione del patrimonio informatico dellazienda. I valori cos ottenuti sono da considerare come il livello di protezione del patrimonio informatico. Le considerazioni che si possono fare su questi valori sono i seguenti: da 10 a 20 il patrimonio informatico deve essere considerato poco protetto da 21 a 30 il patrimonio informatico deve essere considerato sufficientemente protetto da 31 a 40 il patrimonio informatico deve essere considerato adeguatamente protetto

Pag. 3
Questa procedura stata realizzata dai consulenti di Usernet. Coloro che entrano in possesso della procedura devono impegnarsi a non riprodurla, non commercializzarla e non cederla a terzi.

Le schede per lautovalutazione


1.1.1.1.1.1.1 OLITICA DELLA SICUREZZA 1.2 Obiettivi - Verificare lesistenza di una appropriata Politica della Sicurezza Informatica. 1.3 Elementi per la valutazione - La Politica aziendale fornisce indicazioni sia per la sicurezza degli strumenti informatici utilizzati che per le informazioni/dati? E in grado di fornire elementi per gli obiettivi di sicurezza e di continuit dei business? E in grado di fornire elementi per realizzare un adeguato Sistema per la Sicurezza Informatica? E in grado di fornire elementi per misurare la coerenza del Sistema per la Sicurezza Informatica ai bisogni aziendali? - Lanalisi del rischio copre tutte le risorse informatiche e le minacce ragionevolmente probabili? Il personale coinvolto? Sono stimati gli impatti sul business? Sono valutati i costi/benefici delle contromisure suggerite? 1.4 Valutazione 1 Non esiste alcun documento che tratti delle Politiche per la Sicurezza Informatica (compreso DPS e analisi del rischio); 2 La Sicurezza Informatica solo parzialmente e indirettamente indirizzata dalle Politiche per la Sicurezza Informatica; 3 Le Politiche per la Sicurezza Informatica esistono e possono essere migliorate; 4 Le Politiche per la Sicurezza Informatica sono formalizzate e complete. 2 ORGANIZZAZIONE DELLA SICUREZZA 2.1 Obiettivi - Verificare che nella struttura organizzativa siano previste le funzioni e le responsabilit per la progettazione, realizzazione, gestione del Sistema per la Sicurezza Informatica. 1.5 Elementi per la valutazione - Esiste in azienda la consapevolezza che linformazione una risorsa vitale per il business e che, pertanto, va protetta soprattutto a livello organizzativo con assegnazioni e formalizzazione scritta di precise responsabilit, compreso limpegno dellAlta Direzione? - Le risorse informatiche sono allineate alle esigenze degli utilizzatori e sottoposte a verifiche periodiche che originano piani di adeguamento? - Le risorse informatiche sono adeguatamente protette dallaccesso di terzi non autorizzati? - Nellaffidare la gestione e il controllo dei sistemi informatici, reti e/o ambienti, posta la necessaria attenzione alle clausole contrattuali, ai Service Level Agreement, ai principi di riservatezza, disponibilit e integrit delle informazioni? P

Pag. 4
Questa procedura stata realizzata dai consulenti di Usernet. Coloro che entrano in possesso della procedura devono impegnarsi a non riprodurla, non commercializzarla e non cederla a terzi.

1.6 Valutazione 1 Non esistono riferimenti di responsabilit del Sistema per la Sicurezza Informatica; 2 I riferimenti alle responsabilit del Sistema per la Sicurezza Informatica sono solo formali e poco aggiornati; 3 Le responsabilit del Sistema per la Sicurezza Informatica sono assegnate con criteri di competenza, ma non sono formalizzate; 4 Le responsabilit del Sistema per la Sicurezza Informatica sono assegnate, formalizzate e controllate dallAlta Direzione. 3 CLASSIFICAZIONE DELLE RISORSE 2.1 Obiettivi - Verificare che le risorse informatiche (hw. sw, dati) siano sotto costante protezione e controllo. 1.7 Elementi per la valutazione - Esiste un inventario delle risorse informatiche pi rilevanti? - Laggiornamento dellinventario eseguito almeno annualmente? - Esiste un documento, protetto e riservato, che costituisce la Linea Guida per la classificazione e laggiornamento, di tutte le risorse informatiche? 1.8 Valutazione 1 Non esistono elenchi riferiti alla esistenza delle risorse informatiche allinterno o esterno dellazienda; 2 Esistono elenchi delle risorse informatiche, ma non sono periodicamente aggiornati in modo organico; 3 Esistono elenchi delle risorse informatiche periodicamente e organicamente aggiornati pur senza il riferimento di una Linea Guida; 4 Esiste una Linea Guida che definisce i criteri di classificazione e protezione delle risorse e le modalit di rilevamento e aggiornamento degli inventari. 1.8.1.1.1.1.1 ICUREZZA DEL PERSONALE S

1.9 Obiettivi - Assicurare che gli utenti siano a conoscenza dei pericoli riguardanti la debolezza di un Sistema per la Sicurezza Informatica al fine di ridurre i rischi di errore umano, furto, truffa e uso improprio delle attrezzature e di ridurre al minimo i danni derivati. 1.10 Elementi per la valutazione - La consapevolezza sulla Sicurezza Informatica e sulla Riservatezza dei dati personali ragionevolmente diffusa? - I dipendenti sottoscrivono un accordo di responsabilit sulle integrit e riservatezza dei dati personali? - Esistono programmi di sensibilizzazione e formazione sulla Sicurezza Informatica e sulla Riservatezza dei dati personali? 1.11 Valutazione 1 I dipendenti non sono sensibilizzati al corretto uso delle attrezzature informatiche e della riservatezza dei dati personali. Nessun piano di addestramento previsto;
Pag. 5
Questa procedura stata realizzata dai consulenti di Usernet. Coloro che entrano in possesso della procedura devono impegnarsi a non riprodurla, non commercializzarla e non cederla a terzi.

3 4

I dipendenti risultano responsabilizzati al corretto uso delle apparecchiature informatiche e alla riservatezza dei dati personali, ma non esistono documenti formali, norme e procedure che possano attestare la sottoscrizione di responsabilit. Nessun piano di addestramento previsto; Esistono documenti, norme e procedure finalizzate al buon uso delle apparecchiature informatiche e della riservatezza dei dati, ma nessun piano di addestramento previsto; Documenti, norme, procedure ed evidenze oggettive sono complete e attestano la piena responsabilit degli utenti nelluso delle apparecchiature informatiche e i dipendenti sono periodicamente informati, formati ed addestrati secondo un Piano di formazione in relazione alla Sicurezza Informatica e alla Riservatezza dei dati personali. S

1.11.1.1.1.1.1 ICUREZZA FISICA ED AMBIENTALE

1.12 Obiettivi - Prevenire gli accessi non autorizzati, danni agli edifici, perdite, furto e compromissione dei dati aziendali e delle attrezzature informatiche, interruzione delle attivit dei processi aziendali. 1.13 Elementi per la valutazione - Le apparecchiature informatiche sono allocate in precisi perimetri attrezzati per assicurare la sicurezza delle persone e delle attrezzature? - Le aree fisiche riservate alle apparecchiature informatiche sono protette da adeguati controlli di accesso? - Le attrezzature sono protette da apparati che assicurano la continuit elettrica e delle telecomunicazioni? - Le apparecchiature informatiche sono sottoposte a rigidi e formalizzati contratti di manutenzione? - Le apparecchiature sono protette dal rischio di furto e manomissione? 1.14 Valutazione 1 Le apparecchiature informatiche non sono allocate in aree sicure e non sono protette da accessi di personale non autorizzato. Non esistono contratti di manutenzione formalizzati; 2 Le apparecchiature informatiche sono allocate in aree sicure, ma non sono soggette a controllo accessi. Esistono contratti di manutenzione formalizzati; 3 Le apparecchiature informatiche sono allocate in aree sicure, soggette a controllo accessi. Esistono i contratti di manutenzione formalizzati, ma non esistono procedure di riferimento per la gestione di questi requisiti; 4 Le apparecchiature sono adeguatamente protette e sono in vigore procedure di gestione di questi requisiti ed esistono contratti di manutenzione formalizzati. 1.14.1.1.1.1.1 ESTIONE OPERATIVA DEL SISTEMA INFORMATICO G

1.15 Obiettivi - Assicurare la corretta, sicura e continua operativit delle strutture di elaborazione dati e, quindi, della continuit delle attivit dei processi aziendali;

Pag. 6
Questa procedura stata realizzata dai consulenti di Usernet. Coloro che entrano in possesso della procedura devono impegnarsi a non riprodurla, non commercializzarla e non cederla a terzi.

Ridurre al minimo il rischio di guasti dei sistemi informatici e proteggere lintegrit di programmi, dati e telecomunicazioni.

1.16 Elementi per la valutazione - Sono chiaramente individuati i ruoli degli utenti e degli amministratori del sistema informatico? - Lo sviluppo delle risorse informatiche opportunamente pianificato per avere sempre disponibili risorse adeguate? - Esistono controlli sistematici per assicurare lintegrit delle informazioni, la continuit dei sistemi informatici e la riservatezza dei dati personali? - Esistono procedure formalizzate per assicurare il corretto utilizzo delle apparecchiature informatiche da parte degli utenti? 1.17 Valutazione 1 La gestione operativa del sistema informatico e della sicurezza inadeguato; 2 Le responsabilit e la distribuzione delle competenze fra specialisti e utenti sono assegnate, ma si rileva una insufficienza nella gestione del Sistema per la Sicurezza Informatica; 3 Le responsabilit e le competenze sono assegnate e, pur se con un presidio informale, il Sistema per la Sicurezza Informatica risulta efficace; 4 La gestione operativa del sistema informatico e del Sistema per la Sicurezza Informatica ben presidiato ed efficace. 1.17.1.1.1.1.1 ONTROLLO ACCESSI C

1.18 Obiettivi - Impedire laccesso non autorizzato ai dati in uso, a quelli archiviati, alle applicazioni, ai sistemi informatici, alla rete di telecomunicazioni e alle aree riservate; 1.19 Elementi per la valutazione - Il sistema di controllo degli accessi in grado di garantire accessi selezionati, efficaci aggiornamenti dei privilegi utenti, tempestive rilevazioni delle violazioni? - Agli utenti sono date indicazioni per la corretta definizione delle password, per la loro gestione e sostituzione periodica? - Sono periodicamente eseguiti controlli per la corretta gestione delle password da parte degli utilizzatori del sistema informatico? - Sono periodicamente analizzati i report relativi alle violazioni e presi i provvedimenti eventuali? 1.20 Valutazione 1 Il controllo degli accessi ai sistemi informatici, ai dati aziendali e alle aree, inadeguato alle esigenze della azienda; 2 Il controllo degli accessi adeguato, ma non formalizzato e privo di sistemi di monitoraggio; 3 Il controllo degli accessi adeguato e monitorato, ma non esistono procedure formalizzate; 4 Il sistema di controllo degli accessi risulta adeguato alle esigenze aziendali, completo di attivit di monitoraggio e di procedure formalizzate.

Pag. 7
Questa procedura stata realizzata dai consulenti di Usernet. Coloro che entrano in possesso della procedura devono impegnarsi a non riprodurla, non commercializzarla e non cederla a terzi.

1.20.1.1.1.1.1 VILUPPO E MANUTENZIONE DEL SISTEMA INFORMATIVO

1.21 Obiettivi - Impedire la perdita, modifica, inserimento e uso non corretto dei dati aziendali utilizzati dai sistemi informativi, nel rispetto dei requisiti di integrit, disponibilit e riservatezza; - Assicurare che i sistemi informativi siano progettati, realizzati e gestiti con lintegrazione dei requisiti del Sistema per la Sicurezza Informatica nelle funzioni applicative; - Mantenere la sicurezza dei dati e dei programmi applicativi assicurando che i progetti informatici e le attivit di supporto siano realizzati in maniera sicura. 1.22 Elementi per la valutazione - Il sistema informativo automatizzato protetto da interventi che possono compromettere lintegrit e la continuit del sistema? - I progetti informatici e le attivit di supporto sono gestiti in maniera sicura? - Le richieste dimplementazione del sistema informativo sono regolate da principi di pianificazione generale? - Sono in atto dei metodi per garantire che i dati di input/output del sistema applicativo siano controllati prima del loro utilizzo? 1.23 Valutazione 1 I sistemi informativi aziendali vengono aggiornati e sviluppati senza che sia attuata alcuna forma di controllo; 2 Lo sviluppo del software, realizzato da risorse interne allazienda o affidato a terze parti, non sottoposto a controlli per la tutela del Sistema per la Sicurezza Informatica; 3 Laggiornamento e lo sviluppo dei sistemi informativi controllato ma non esistono procedure formalizzate; 4 In azienda sono in vigore efficaci sistemi di controllo dello sviluppo interno/esterno del sistema informativo.

Pag. 8
Questa procedura stata realizzata dai consulenti di Usernet. Coloro che entrano in possesso della procedura devono impegnarsi a non riprodurla, non commercializzarla e non cederla a terzi.

1.23.1.1.1.1 .1 G E S T I O N E C O N T I N U I T A 1.24 Obiettivi - Neutralizzare le interruzioni delle attivit aziendali e proteggere i processi critici dagli effetti di gravi disastri; 1.25 Elementi per la valutazione - Esiste un piano strategico di analisi della continuit delle attivit aziendali e dellimpatto delle interruzioni di erogazione dei servizi informatici sui processi aziendali? - Vengono definiti e gestiti i piani di continuit basati sullanalisi dei rischi, sulla assegnazione delle priorit di intervento e sul ripristino dei dati? - Esiste in azienda una struttura per la pianificazione dei piani di continuit e dellanalisi dei rischi? 1.26 Valutazione 1 Non esistono in azienda i piani per la gestione della continuit della attivit e dei processi aziendali; 2 Esistono piani di continuit aziendale, ma non sono adeguatamente formalizzati; 3 Esistono piani di continuit formalizzati, ma mancano periodiche revisioni e analisi dei rischi residui; 4 I piani di continuit sono efficaci, completi e periodicamente controllati; 1.26.1.1.1.1.1 ONFORMITA C

1.27 Obiettivi - Evitare la violazione delle leggi penali e civili e degli obblighi statutari, contrattuali e regolamentari; - Evitare la violazione dei requisiti di integrit, disponibilit e riservatezza dei dati personali;
Pag. 9
Questa procedura stata realizzata dai consulenti di Usernet. Coloro che entrano in possesso della procedura devono impegnarsi a non riprodurla, non commercializzarla e non cederla a terzi.

Evitare, in particolare, la violazione del D.lgs 196/03 relativo alla protezione dei dati personali.

1.28 Elementi per la valutazione - Esiste in azienda la sensibilit sulla ottemperanza delle leggi penali e civili in relazione alla Sicurezza Informatica e alla Riservatezza dei dati personali? - Tutti i tipi di archiviazione aziendali sono adeguatamente protetti? - I dati personali sensibili sono protetti da procedure nel rispetto del D.lgs 196/03? - La direzione aziendale coinvolta nella assegnazione delle autorizzazioni per luso degli apparati informatici? 1.29 Valutazione 1 Si rileva che lazienda non ha in atto alcun processo per controllare con regolarit lottemperanza ai requisiti legali civili e penali; 2 Lazienda cerca di ottemperare ai requisiti legali, ma i presidi non sono individuati con chiarezza; 3 Lazienda ottempera con efficacia alla normativa D.lgs 196/03 sulla riservatezza dei dati personali, ma i presidi sui requisiti legali della sicurezza informatica sono individuati, ma non formalizzati; 4 La conformit ai requisiti legali seguita con attenzione, i processi e i presidi sono adeguati.

Pag. 10
Questa procedura stata realizzata dai consulenti di Usernet. Coloro che entrano in possesso della procedura devono impegnarsi a non riprodurla, non commercializzarla e non cederla a terzi.

Quadro riassuntivo delle valutazioni


Livello protezione del patrimonio informatico
Le schede dellautodiagnosi 1. Politica della sicurezza 2. Organizzazione della sicurezza 3. Classificazione delle risorse 4. Sicurezza del personale 5. Sicurezza fisica ed ambientale 6. Gestione operativa del sistema informatico 7. Controllo accessi 8. Sviluppo e manutenzione del sistema informativo 9. Gestione continuit 10. Conformit Totale Totale generale

Valutazioni
non adeguato
1 2

adeguato
3 4

Pag. 11
Questa procedura stata realizzata dai consulenti di Usernet. Coloro che entrano in possesso della procedura devono impegnarsi a non riprodurla, non commercializzarla e non cederla a terzi.