la sicurezza ict: introduzione ai concetti e lo standard ... · 2011 –verona natale prampolini...

Natale Prampolini2011 – Verona Pag. 1

La sicurezza ICT:

Introduzione ai concetti e lo standard ISO27001

a cura di Natale Prampolini,

LA ISO27001, CISA, CISM, ITIL, ISO20000, CMMI v1.2 DEV

Natale Prampolini

Obiettivi della presentazione

Introduzione sulla sicurezza ICT:

Riservatezza, Integrità, Disponibilità, Conformità;

ISO27001 Sistemi di Gestione della Sicurezza delle Informazione:

Sistema di Processo;

Analisi del Rischio, definizione di Bene, Impatto, Minaccia, Vulnerabilità;

Aspetti organizzativi, tecnologici e fisici;

Le 11 Aree, i 34 obiettivi di controllo, i 133 Controlli, e la Dichiarazione di applicabilità;

PDCA, Il modello di Miglioramento Continuo.

Pag. 22011 – Verona

Natale Prampolini

La Sicurezza delle Informazioni

I concetti base

Riservatezza

Integrità

Disponibilità

Conformità

3


Natale Prampolini

Approccio largamente condiviso sul mercato, che vanta anni di

applicazioni pratiche in diversi settori.

È un insieme di “best practices” utilizzate da migliaia di esperti e

costituisce uno strumento PRATICO che consente di tenere sotto

controllo i diversi aspetti che impattano sulla sicurezza delle

informazioni.

Standard 27000:Perché?

È un approccio olistico, cioè a livello di sistema globale. Non si

risponde alle richieste singole, ma si guarda all’insieme : si possono

ridurre i costi, evitando controlli tecnologici ridondanti e facilitando il

processo di gestione.

4


Natale Prampolini

• Perdite : – di materiale (danno fisico);

– dovute alla indisponibilità delle informazioni;

– dovute alla clientela che insoddisfatta si rivolge ai concorrenti;

– di produttività del personale (non IT) che si trova a lavorare in condizioni degradate, (o nel caso peggiore non lavora proprio), durante le operazioni di ripristino;

• Lavoro – per il rilevamento, il contenimento, la riparazione e la ricostruzione

dei danni ai dati;

– per la corretta raccolta dei dati e il mantenimento delle prove.

Standard 27000:Costi tangibili

5


Natale Prampolini

• Perdita di fiducia dei clienti;

• Rallentamento, e/o arretramento, della propriaposizione di mercato, in seguito a cattivapubblicità;

• Accesso dei concorrenti a informazioniconfidenziali o riservate.

6Standard 27000:Costi intangibili


Natale Prampolini

Standard 27000:Come ?

Utilizzata da un GRUPPO di esperti di sicurezza come un AIUTO

PRATICO per valutare se si sono presi in considerazione “tutti gli

aspetti possibili”.

La norma non pretende di fornire tutto quello che serve al nostro

Sistema di Gestione della Sicurezza delle Informazioni,

ma tutto quello che è previsto dalle “best practices” internazionali.

7


Natale Prampolini

8

Non si è consapevoli di tutte le possibili minacce.

In fase di progettazione, non si è tenuto conto dei criteri di sicurezza.

Non ci sono le risorse per implementare (subito) tutte le contromisure

ipotizzabili.

Le condizioni al contorno cambiano.

Le modalità e le tipologie di attacco si perfezionano.

…….

Non esiste garanzia di sicurezza al 100%

Occorre mettere in piedi un sistema di gestione e controllo continuo

Standard 27000:Cosa ?


Natale Prampolini

9

Valutare e gestire i possibili rischi.

Tenere sotto controllo TUTTI gli aspetti che influenzano la sicurezza

delle informazioni.

Controllare costantemente l’efficacia delle misure adottate.

Dare una chiara classificazione alle informazioni.

Controllare l’intero PROCESSO che tratta le informazioni.

Identificare chiaramente il PERSONALE responsabile della gestione

della sicurezza

Costituire stabilmente un

Sistema di Gestione della Sicurezza delle Informazioni : SGSI



Natale Prampolini

10

Un SGSI è un insieme di :

PoliticA della sicurezza delle informazioni

PoliticHE,

Procedure,

Standard

Linee guida

Soluzioni tecniche

progettato per uno specifico sistema in modo da preservarne i

requisiti di Riservatezza, Integrità e Disponibilità delle informazioni.



Natale Prampolini

11

27000 Foundamental and vocabulary

27001 ISMS Requirements

27002 Code of practice of ISMS

27003 ISMS implementation guidance

27004 Measurements

27005 Risk Management

27006 Requirements for the accreditation of certification bodies

27007 Guidelines for ISMS auditing

Standard 27000:la famiglia

Il modello

I controlli


Natale Prampolini 12

ISO 27011 - Information security management guidelines for telecommunications

ISO 27031 - ICT readiness for business continuity

ISO 27032 - Guidelines for cybersecurity

ISO 27033 - IT network security

ISO 27034 - Guidelines for application security

ISO 27799 - Security Management in Health using ISO/IEC 27002

12Standard 27000:la famiglia


Natale Prampolini 13

Gestione della sicurezza: Standard 27001 :2005

UNI CEI ISO/IEC 27001:2006

Tecnologia delle informazioni -

Tecniche di sicurezza - Sistemi di

gestione della sicurezza delle

informazioni - Requisiti

13


http://www.uni.com/

Natale Prampolini

14

Parti

interessate

(Stakeholders)

Sicurezza

delle

informazioni

gestita

Parti

interessate

(Stakeholders)

Requisiti e

aspettative per

la sicurezza

delle

informazioni

Progettare

l’SGSI (PLAN)Implementare

l’SGSI (DO)

Mantenere

Migliorare

l’SGSI (ACT)

Monitorare

Revisionare

l’ SGSI

(CHECK)

27001:05 L’approccio ciclico


Natale Prampolini

15Gestione della sicurezza:

Standard 27001:2005

Analisi dei rischi


Natale Prampolini

16

PLANStabilire il S.G.S.I.

Stabilire la politica del Sistema di Gestione per la Sicurezza delle Informazioni, gli obiettivi, i processi e le procedure pertinenti per gestire i rischi e migliorare la sicurezza delle informazioni al fine di produrre risultati conformi alle politiche ed agli obiettivi generali dell’organizzazione

DOAttuare e condurre il

S.G.S.I.

Attuare e rendere operativa la politica del Sistema di Gestione per la Sicurezza delle Informazioni, i controlli, i processi e le procedure

CHECKMonitorare e riesaminare il

S.G.S.I.

Valutare e, ove applicabile, misurare le prestazioni del processo a fronte della politica del Sistema di Gestione per la Sicurezza delle Informazioni, degli obiettivi e delle esperienze pratiche, quindi riportare i risultati alla direzione ai fini del riesame

ACTMantenere attivo,

aggiornato e migliorare il S.G.S.I.

Intraprendere azioni correttive e preventive, basate sui risultati degli audit interni del S.G.S.I. e sul riesame da parte della direzione o sulle altre informazioni pertinenti, al fine di ottenere il miglioramento continuo del S.G.S.I.

Modulo 3

27001:05 Il modello per processi


Natale Prampolini

17



DOAttuare e condurre il S.G.S.I.



S.G.S.I.


ACTMantenere attivo, aggiornato e

migliorare il S.G.S.I.


Modulo 3

PLANStabilire

lo S.G.S.I.

Stabilire per lo SGSI :– la politica,– gli obiettivi,– i processi e le procedure,– le misure di sicurezza delle informazioni



Natale Prampolini

18

Gli obiettivi strategici del management sulla sicurezza delleinformazioni che ritiene “critiche”.

Le regole con cui gestire e proteggere queste informazioni.

Il comportamento degli utenti.

Gli attori coinvolti e relative responsabilità.

Le regole di interazione con i fornitori e gli utenti.

I criteri e le modalità di valutazione dei rischi.

L’Analisi dei Rischi:

LA politicA della sicurezza

È la “dichiarazione di intenti “ dell’alta Direzione che stabilisce

e ratifica :


Natale Prampolini

19

INDICE tipo

Motivazione

Obiettivi di sicurezza

Indicazioni

Ruoli e responsabilità

Applicabilità

Conformità

Politiche specifiche

Divulgazione

Riesame

La politica


Un esempio


http://images.google.it/imgres?imgurl=http://www.mini-web.it/images/Ingranaggi.gif&imgrefurl=http://www.mini-web.it/minicare.asp&h=251&w=301&sz=12&hl=it&start=1&um=1&usg=__JsnQifSGH5UfcZ3P_cFwPrSzNZA=&tbnid=H3aclBJan7QPDM:&tbnh=97&tbnw=116&prev=/images%3Fq%3Dingranaggi%26um%3D1%26hl%3Dit%26lr%3Dlang_it

Natale Prampolini

20

1 PIANIFICAZIONE dell’analisi e rilevazione dello scenario

o Costituzione gruppo di lavoro

o Individuazione proprietari dei dati

o Individuazione referente applicativo della sicurezza

o Individuazione referente di infrastruttura

o Definizione tempistica delle attività

2 INVENTARIO DEI BENI(tutto quanto contribuisce/supporta il trattamento delle informazioni e costituisce

un bene per l’Azienda):

o Supporti informatici (sistemi, apparati, Applicativi, reti locali, reti geografiche,…)

o Documenti (cartacei e non)

o Impianti (corrente elettrica, UPS, aria condizionata/riscaldamento,….)

o Persone (manager, sviluppatori, utenti, sistemisti, ….)

o Immagine aziendale, ….

o ……..


Le fasi


Natale Prampolini

21

CLASSIFICAZIONE delle informazioni da proteggere :

o Dati

o Documenti

o Immagini

o Sw

3ES.

• Pubblico

• Aziendale

• Riservato

• Confidenziale

4 VALUTAZIONE DEL RISCHIO che incombe su ogni asset.

Minacce

Vulnerabilità

Impatto

Probabilità

Non si può parlare di “calcolo” del rischio.


Le fasi


Natale Prampolini

22

5INDIVIDUAZIONE delle possibili CONTROMISURE :

• Fisiche

• Tecniche

• Organizzative

6 PREPARAZIONE DEL REPORT al management

• Lista di priorità dei rischi da affrontare

• Elenco di priorità delle contromisure

• Costi delle contromisure per ciascun rischio

• Tempo

• Persone

• Denaro

• Valutazione del rischio residuo


Le fasi


Natale Prampolini

23

7 PRESENTAZIONE del report al management

• Ridotto

Si adottano tutte o parte delle contromisure individuate.

• Trasferito

Si trasferisce il rischio a un altro soggetto, come un’assicurazione.

• Accettato

Si decide di assorbire il costo in caso di rischio andato a buon fine.

• Evitato

Si decide di evitare l’attività che comporta un rischio troppo alto.

8 DECISIONI POSSIBILI relative al rischio valutato :


Le fasi


Natale Prampolini

24

10 ACCETTAZIONE FORMALE RISCHIO RESIDUO da parte del

management e autorizzazione formale ad implementare le

contromisure.

9 VALUTAZIONE DEL NUOVO VALORE DEL RISCHIO RESIDUO

Se il management da parte del management e autorizzazione

formale ad implementare le contromisure.

11 PIANIFICAZIONE.


Le fasi


Natale Prampolini

Il piano della sicurezza:

Indice CNIPA

25

ANALISI DEI RISCHI

SISTEMA DI SICUREZZA•Sicurezza fisica

•Sicurezza logica

•Sicurezza organizzativa

PIANO DI FORMAZIONE/SENSIBILIZZAZIONE

PIANO OPERATIVO

PIANO DI CONTINUITA’ OPERATIVA

ADERENZA ALLA NORMATIVA


Natale Prampolini

26

ANALISI DEI RISCHI


•Sicurezza logica



PIANO OPERATIVO



Soluzioni di sicurezza fisica


Indice CNIPA


Natale Prampolini

27

ANALISI DEI RISCHI


•Sicurezza logica



PIANO OPERATIVO



Sicurezza perimetrale

Sicurezza degli apparati

Sistemi antivirus

Soluzioni crittografiche

Sicurezza delle trasmissioni su rete

Controllo accessi logici :

Sistema di autenticazione e autorizzazione

Firma digitale

Token


Indice CNIPA


Natale Prampolini

28

ANALISI DEI RISCHI


•Sicurezza logica



PIANO OPERATIVO



L’organizzazione della sicurezza

Ruoli e responsabilità

La politica della sicurezza

Le politiche di sicurezza

Fisiche e tecnologiche

Organizzative

Le procedure di sicurezza


Indice CNIPA


Natale Prampolini

29

ANALISI DEI RISCHI


•Sicurezza logica



PIANO OPERATIVO



Quando

Come

Chi


Indice CNIPA


Natale Prampolini

30

ANALISI DEI RISCHI


•Sicurezza logica



PIANO OPERATIVO


ADERENZA ALLA NORMATIVA196/2003


Indice CNIPA


Natale Prampolini

31

ANALISI DEI RISCHI

SISTEMA DI SICUREZZA

•Sicurezza fisica

•Sicurezza logica



PIANO OPERATIVO



….e il DPS ?Trattamento dei dati

personali e sensibili


Indice CNIPA


Natale Prampolini

32Gestione della sicurezza:

Standard 27001:2005


Natale Prampolini

33



DOAttuare e

condurre il S.G.S.I.



S.G.S.I.


ACTMantenere attivo, aggiornato

e migliorare il S.G.S.I.


Modulo 3

DOAttuare e

condurre lo S.G.S.I.

Attuare e rendere operativi per loSGSI :•la politica,•i controlli,•i processi•le procedure



Natale Prampolini

• Attuare il piano di trattamento del rischio

• Eseguire i controlli selezionati per conseguire gli obiettivi di controllo

• Definire come misurare l’efficacia dei controlli

• Attuare i programmi di formazione e la consapevolezza

• Gestire operativamente il SGSI

• Gestire le risorse per il SGSI

• Istituire procedure e altri controlli capaci di :

• rilevare tempestivamente

• rispondere adeguatamente agli incidenti relativi alla sicurezza

34

27001:05 Attuare e condurre il SGSI (Do)

34


Natale Prampolini

35Gestione della sicurezza : Misurare l’efficacia

MISURA di efficacia delle contromisure effettivamente adottate

INDICATORI indicazione sintetica in grado di definire lo stato

di un sistema o processo rispetto all’obiettivo di

sicurezza.

Ha un valore di soglia fissato.


Natale Prampolini

36

AREA INDICATORESicurezza delle risorse umane

Percentuale di personale del SGSI che ha seguitocorsi di formazione specifica sulla sicurezza.Percentuale degli incidenti alla Sicurezza causati dauna scarsa formazione del personale.

Controllo degli accessi

Numero di riattivazioni delle credenziali di accessorispetto al numero di utenti del sistema.Percentuale di sistemi che seguono una politica digestione delle password.Numero di account con privilegi da amministratoreutilizzati per le normali attività .Numero di account non associati a utenti specifici.

Gestione degli incidenti di sicurezza delle informazioni

Percentuale di incidenti per Area / Unità complessa.

Attuare e condurre il SGSI (Do):Misurare l’efficacia


Natale Prampolini

37

Per ciascuna metrica adottata devono essere definiti i seguenti campi:

Controllo degli accessi

Indicatore Numero di riattivazioni delle credenziali di accesso rispetto alnumero di utenti del sistema

Descrizione Indica la percentuale delle riattivazione delle credenziali

Codice IP1101

Dati in input Nriatt = Numero di riattivazioni delle credenzialiNtotut = Numero totale di utenti

Formula

Valore Percentuale

Frequenza Annuale

Responsabile Responsabile Sicurezza

Criteri È accettabile quando

È inaccettabile quando

1001101totut

riatt

N

NIP

%201101%0 IP

%1001101%20 IP

Attuare e condurre il SGSI (Do):Misurare l’efficacia


Natale Prampolini

38Gestione della sicurezza :

Standard 27001:2005


Natale Prampolini

39



DOAttuare e

condurre il S.G.S.I.



S.G.S.I.


ACTMantenere

attivo, aggiornato e migliorare il

S.G.S.I.


Modulo 3

CHECKMonitorare

e riesaminare il S.G.S.I.

Valutare lo SGSI e, ove applicabile,misurarne le prestazioni a fronte di :

– politica,– obiettivi,– esperienze pratiche,

Riportare i risultati alla direzione per il

riesame



Natale Prampolini

Eseguire procedure di monitoraggio

• Svolgere riesami regolari sull’efficacia dell’SGSI

• Registrare azioni ed eventi

• Misurare l’efficacia dei controlli

• Riesaminare le valutazioni del rischio residuo ed i rischi

accettabili tenendo in considerazione i cambiamenti

• Condurre audit interni dell’SGSI ad intervalli pianificati

• Effettuare un riesame da parte della Direzione

• Aggiornare i piani per la sicurezza

40

27001:05Monitorare e riesaminare SGSI (Check)

40


Natale Prampolini

In questa fase si verifica se :

– i controlli sono effettivamente operativi come previsto,

– lo SGSI è efficace.

- Non siano state modificate le assunzioni o l’ambito tantoda dover riprendere l’analisi del rischio per individuarecontrolli più adeguati alla situazione attuale ed eventualiazioni correttive.

L’efficacia dei controlli deve essere misurata secondo lametrica definita nella fase precedente.

41


41


Natale Prampolini

Potente strumento per la dimostrazione dell’efficacia e della conformità

dello SGSI.

È necessaria una procedura documentata per assicurare l’efficace

gestione degli audit interni, ivi inclusa l’assicurazione dell’indipendenza di

giudizio degli auditor utilizzati.

42

42

(*) UNI EN ISO 19011:2003 Linea guida per ogni tipologia di audit sui sistemi di gestione ISO.


AUDIT


Natale Prampolini

43Audit di sicurezza: Definizione

È un'indagine strutturata e metodica che mira a individuare eventuali

vulnerabilità o il mancato rispetto di normative e leggi specifiche.

È uno strumento di monitoraggio del livello di sicurezza del sistema.

È un processo sistematico, indipendente e documentato che mira a

ottenere evidenze oggettive che, valutate con obiettività, consentano di

determinare il grado di conformità alla politica di sicurezza, alle

procedure o ai requisiti presi come riferimento, da parte del

servizio/sistema/organizzazione esaminato.(*)

(*) CNIPA quaderno 23 cap. 6


Natale Prampolini

44Gestione della sicurezza : Audit di sicurezza

Audit di prima parte

Audit di terza parte

È condotto con personale interno alla stessa organizzazione cui

appartiene il sistema da verificare.

È condotto da un ente esterno autorizzato dotato delle opportune

caratteristiche di affidabilità e imparzialità.

Audit di seconda parte

È condotto dalla stessa organizzazione cui appartiene il sistema da

verificare con consulenti di sua scelta


Natale Prampolini

45Audit di sicurezza:

Finalità

PRIMA PARTE SECONDA PARTE TERZA PARTE

Verificare il rispetto deirequisiti di una norma odi altre prescrizionistabilite dall’azienda

Qualificare un fornitore Iscrivere lo SGSI dellaazienda valutata in unapposito registro

Fornisconoinformazioni per azionicorrettive, preventive, dimiglioramento

Determinano l’affidabilità del fornitore

Forniscono confidenza ad un numero elevato di potenziali clienti


Natale Prampolini

46Gestione della sicurezza :

Standard 27001:2005


Natale Prampolini

47



DOAttuare e condurre il

S.G.S.I.


CHECKMonitorare e

riesaminare il S.G.S.I.


ACTMantenere attivo,

aggiornato e migliorare il S.G.S.I.


Modulo 3

ACTMantenere

attivo, aggiornato e migliorare il

S.G.S.I.

Intraprendere azioni correttive epreventive, basate su :

– risultati degli audit interni – riesame da parte della direzione – altre informazioni pertinenti



Natale Prampolini

• Attuare i miglioramenti individuati

• Intraprendere le appropriate azioni correttive e preventive.

• Applicare gli insegnamenti acquisiti dalle esperienze

• Comunicare le azioni e i miglioramenti a tutte le parti interessate

• Assicurarsi che i miglioramenti conseguano gli obiettivi prefissati

48

27001:05 Mantenere attivo, aggiornare e

migliorare

È diretta conseguenza dei risultati della fase precedente

48

“non conformità”

“azioni correttive”

Può impattare sulle fasi “Progettare” “Implementare” “Utilizzare”.


Natale Prampolini

6363Gestione della sicurezza

Approfondimenti

A.5 Politica per la sicurezza

A.6 Organizzazione della Sicurezza

A.7 Gestione dei beniA.11 Controllo degli

accessi

A.15 Conformità

A.8 Sicurezza delle

risorse umaneA.9 Sicurezza fisica

e ambientale

A.12 Acquisizione,

sviluppo e

manutenzione dei

sistemi

A.10 Gestione delle

comunicazioni e

Dell’operatività

A.14 Gestione

della continuità

operativa

A.13 Gestione

Incidenti di

Sicurezza

Organizzazione

Operatività

UNI CEI ISO/IEC 27001:06

ISO

/IE

C 2

70

02

:05

REQUISITI

BEST

PRACTICES

APPROFONDIMENTI

ISO 20000

BS25599 ISO/IEC 24762ISO /IEC 12207

2011 – Verona Pag. 63

Natale Prampolini

64

ISO27002:2005 è un framework per implementare controlli di tipo:

• organizzativo,

• tecnico,

• fisico,

I controlli proposti sono

133 raggruppati in 39obiettivi e 11 aree.

Area Descrizione

A.5 Politica

A.6 Organizzazione

A.7 Gestione degli asset

A.8 Risorse umane

A.9 Fisica e ambientale

A.10 Operatività e comunicazioni

A.11 Controllo accessi

A.12 Requisiti di sicurezza dei SI

A.13 Incidenti di sicurezza

A.14 Continuità operativa

A.15 Conformità

27002:2005


Natale Prampolini

65

Fornire gli indirizzi ed il supporto

della Direzione per la sicurezza

delle informazioni, in conformità

ai requisiti del business e alle

leggi e regolamenti pertinenti.

27002:2005 Politica per la sicurezza

Area Descrizione

A.5 Politica

A.6 Organizzazione


A.8 Risorse umane







A.15 Conformità


Natale Prampolini

6627002:2005 Organizzazione della sicurezza

Area Descrizione

A.5 Politica

A.6 Organizzazione


A.8 Risorse umane







A.15 Conformità

• Istituzione del Comitato della

Sicurezza delle Informazioni

• Nomina dello RSI (Responsabile della Sicurezza

delle Informazioni)


Natale Prampolini

6727002:2005Gestione dei beni

Area Descrizione

A.5 Politica

A.6 Organizzazione


A.8 Risorse umane







A.15 Conformità

• Classificazione delle

informazioni

• Conseguire e mantenere attiva

un’adeguata protezione dei beni

dell’organizzazione


Natale Prampolini

6827002:2005Sicurezza delle risorse umane

Area Descrizione

A.5 Politica

A.6 Organizzazione


A.8 Risorse umane







A.15 Conformità

•Prima dell’assunzione

•Durante il rapporto di lavoro

•Alla cessazione del rapporto di

lavoro


Natale Prampolini

6927002:2005Sicurezza fisica ed ambientale

Area Descrizione

A.5 Politica

A.6 Organizzazione


A.8 Risorse umane







A.15 Conformità

•Controllo accessi fisici

•Controllo sistemi ambientali


Natale Prampolini

7027002:2005 Gestione della operatività

•Procedure operative

•Servizi di terze parti

•Progettazione dei sistemi

•Protezione contro software

maligno

•Backup

•Sicurezza delle rete

•Scambio dati

•Gestione supporti

•On-line

•Monitoraggio

Area Descrizione

A.5 Politica

A.6 Organizzazione


A.8 Risorse umane







A.15 Conformità


Natale Prampolini

7127002:2005Controllo degli accessi

Area Descrizione

A.5 Politica

A.6 Organizzazione


A.8 Risorse umane







A.15 Conformità

• Controllo accessi

• Gestione accessi dell’utente

• Responsabilità degli utenti

• Accesso alla Rete

• Accesso al Sistema

Operativo

• Accesso alle Applicazioni

• Uso di dispositivi portatili


Natale Prampolini

7227002:2005

Acquisizione, sviluppo e manutenzione dei S.I.

Area Descrizione

A.5 Politica

A.6 Organizzazione


A.8 Risorse umane







A.15 Conformità

• Requisiti di sicurezza

• Corretta elaborazione delle

applicazioni

• Controlli crittografici

• Sicurezza dei file di sistema

• Sicurezza nei processi di

sviluppo e supporto

• Gestione delle vulnerabilità


Natale Prampolini

7327002:2005Incidenti di sicurezza

Area Descrizione

A.5 Politica

A.6 Organizzazione


A.8 Risorse umane







A.15 Conformità

• Segnalazione degli Incidenti

• Gestione degli Incidenti


Natale Prampolini

7427002:2005Gestione della continuità operativa

Area Descrizione

A.5 Politica

A.6 Organizzazione


A.8 Risorse umane







A.15 Conformità

Soluzioni per garantire la

continuità delle attività


Natale Prampolini

75ISO/IEC 27002: Conformità

Area Descrizione

A.5 Politica

A.6 Organizzazione


A.8 Risorse umane







A.15 Conformità

• Rispetto dei requisiti di legge

• Rispetto degli standard di

sicurezza

• Aspetti degli audit di sicurezza


Natale Prampolini

78La continuità operativa: Business Continuity Plan e Disaster

Recovery Plan

Business Continuity Plan

Disaster

Recovery Plan

Strumenti Informatici

Finanze

Documenti

Infrastrutture

Impianti

Norme

Persone

Comunicazioni

Software

Hardware

Collegamenti

Basi Dati

Logistica

Personale CED

Sito Alternativo

Documentazione

Organizzazione

Pag. 782011 – Verona 2

Natale Prampolini

79Gestione della sicurezza: La continuità operativa

Misura preventiva atta a garantire la continuità dei processi

dell’Organizzazione in funzione del loro valore e della qualità dei prodotti/servizi

erogati tramite il supporto dell’infrastruttura di ICT, prevenendo e minimizzando

l’impatto di incidenti intenzionali o accidentali e dei conseguenti possibili danni.

(*)

Non riguarda soltanto le risorse informatiche, ma anche quelle fisiche,

organizzative e le persone necessarie per il funzionamento del sistema.

Il settore pubblico deve proteggere e mantenere accessibili i dati gestiti, che

giuridicamente appartengono ai cittadini e sono soltanto “affidati in gestione”

all’Amministrazione.

(*) CNIPA quaderno 23 “Linee guida per la sicurezza ICT nelle Pubbliche Amministrazioni”


Natale Prampolini

81

Business ContinuityHa come obiettivo la continuità dei servizi istituzionali di

un’Amministrazione. Adotta tutti i metodi che consentono

di eliminare o ridurre gli effetti negativi di situazioni

disastrose.

Disaster RecoveryAttività necessarie per ripristinare – in tutto o in parte – le

funzionalità del sistema informatico (hardware, software

e servizi di comunicazione)..

Continuità operativa: Le componenti

Le sole funzioni vitali


Natale Prampolini

82La continuità operativa: Business Impact Analysis

Identifica gli impatti tangibili e intangibili sui processi di business nel caso diindisponibilità delle risorse :

• Tecnologiche

• Umane

• Fisiche

Fornisce alla Direzione le informazioni necessarie a disegnare una strategiadi ripristino secondo un preciso ordine di priorità.

Identifica

• Chi e cosa è vitale per la sopravvivenza del business.

• Le priorità e i tempi necessari per il ripristino.

Valuta i costi in caso di disastro.

• Diretti

• Indiretti


Natale Prampolini


Identifica gli impatti tangibili e intangibili sui processi di business nel caso diindisponibilità delle risorse :

• Tecnologiche

• Umane

• Fisiche

Fornisce alla Direzione le informazioni necessarie a disegnare una strategiadi ripristino secondo un preciso ordine di priorità.

Identifica

• Chi e cosa è vitale per la sopravvivenza del business.

• Le priorità e i tempi necessari per il ripristino.

Valuta i costi in caso di disastro.

• Diretti

• Indiretti

Richiede :

• un supporto consistente della Direzione

• una visione chiara dei processi aziendali

• un ampio coinvolgimento di personale IT e di utenti.


Natale Prampolini


Identificare le funzioni critiche per

il raggiungimento degli obiettivi

istituzionali / aziendali.

Identificare le risorse che

supportano le funzioni critiche

Ipotizzare gli scenari di possibili

evenienze o i disastri

Scegliere le strategie di

contingency planning

RTO “Recovery Time Objective”,

Tempo massimo per recuperare il servizio.

Intervallo di tempo entro il quale il servizio

deve essere ripristinato per non causare

danni irreversibili.

RPO “Recovery Point Objective”,

Intervallo di tempo all’interno del quale la

perdita di dati non causa danni irreparabili.

Intervallo tra il verificarsi dell’emergenza e

l’ultimo salvataggio utile e ripristinabile dei

dati.


Natale Prampolini

85La continuità operativa:


Natale Prampolini

86

t1 t4t3t2 t5

Situazione

Normale

Servizio

Ripristinato

Dati

OrfaniRicostruzione dei

Dati Orfani

Dati

Recuperati

Preparazione

Sito Recovery

Diagnosi Fase di Recovery

CED fuori uso

La continuità operativa : Disaster Recovery Plan


Natale Prampolini

87

Introduzione

Obiettivi

Ruoli e Responsabilità

Esercitazione e manutenzione

Attivazione del piano

Modalità di dichiarazione di disastro o di incidente

Valutazione del danno

Attivazione del team

Esecuzione del piano

Procedure

Centro di Emergenza o Crisi

Comunicazioni

Soggetti da informare

Contatti

Messaggi

Fornitori

Lista dei fornitori di recovery

Dettagli dei contratti


Indice tipo


Natale Prampolini

88

•Response Team• Da chi è formato,

• Ruolo e responsabilità di ciascun componente

• Chi ne è responsabile e lo coordina

•Sito secondario• Individuazione della sede

• Equipaggiamento

• Procedure di continuità• Per i processi critici

• Per le funzioni vitali


Contenuti minimi


Natale Prampolini

89La continuità operativa : Disaster Recovery Plan

Aspetti tecnici

Aspetti organizzativi

• Come recuperare tempestivamente i dati di backup

• Come recuperare le informazioni per cui potrebbe non esistere backup

• Realizzazione di siti alternativi

• Reti di comunicazione alternative

• Realizzazione del passaggio dal primario al secondari

• Assegnazione delle responsabilità

• Mobilitazione e spostamenti del personale

o Chi decide di avviare la procedura di DR?

o Chi opera nel sito secondario? Come può raggiungerlo?

o Chi si deve avvisare?

• Formazione e sensibilizzazione

• Test del DRPIl DRP viene progettato ipotizzando un evento

che, nella maggior parte dei casi, non si è

ancora mai verificato.


Natale Prampolini

90

Introduzione

Obiettivi








Procedure


Comunicazioni


Contatti

Messaggi

Fornitori




Indice tipo

Prima che accada un incidente

deve essere chiaro chi fa che cosa.


Natale Prampolini

91

Introduzione

Obiettivi








Procedure


Comunicazioni


Contatti

Messaggi

Fornitori




Indice tipo

Quando, come e chi testa il piano.


Natale Prampolini

92

Introduzione

Obiettivi








Procedure


Comunicazioni


Contatti

Messaggi

Fornitori




Indice tipo

Chi può dichiarare il disastro.


Natale Prampolini

93

Introduzione

Obiettivi

Responsabilità







Procedure


Comunicazioni


Contatti

Messaggi

Fornitori




Indice tipo

Interno o del gestore del servizio.


Natale Prampolini

94

Introduzione

Obiettivi

Responsabilità







Procedure


Comunicazioni


Contatti

Messaggi

Fornitori




Indice tipo

Mix di interventi di tipo organizzativo

e di tipo tecnico

Cosa fare (ripristinare, riconfigurare,

riavviare,…..)

Dove andare (sito secondario?)

Chi avvertire.


Natale Prampolini

95

Introduzione

Obiettivi

Responsabilità







Procedure


Comunicazioni


Contatti

Messaggi

Fornitori




Indice tipo

Incaricare qualcuno delle comunicazioni

con l’esterno.


Natale Prampolini

96

Introduzione

Obiettivi

Responsabilità







Procedure


Comunicazioni


Contatti

Messaggi

Fornitori




Indice tipo

Definire accuratamente i termini del

servizio.


Natale Prampolini

Grafico dei costi per problemi di sicurezza

costi

0 10 100 1.000

livello di sicurezza (n. casi anomali gestiti)

101


Natale Prampolini

0 10 100 1.000

costi

livello di sicurezza (n. casi anomali gestiti)

102Grafico dei costi per problemi di sicurezza


Natale Prampolini

I costi complessivi

cost

i

Curva dei costi totali

livello di sicurezza ottimale

costo

minimo

livello di sicurezza

103


Natale Prampolini

I costi sociali

livello minimo di sicurezza per norme cogenti

cost

i


livello di sicurezza ottimale

costo

minimo


104


Natale Prampolini

cost

i

livello minimo di sicurezza

per norme cogenti


costo

ottimale


costo

sociale

I costi sociali


Natale Prampolini

Conclusioni

• Abbiamo parlato di organizzazione della sicurezza delle informazioni.

• Abbiamo visto come strutturare un sistema per la gestione della sicurezza delle informazioni secondo una norma internazionale [ISO 27001] e tutta una serie di norme correlate attraverso l’applicazione di controlli o contromisure.

• Abbiamo dato priorità alla gestione / organizzazione della gestione rispetto all’applicazione della tecnologia, che è importante e necessaria ma non sufficiente a garantire un buona sicurezza (= basso rischio o rischio accettabile).


Natale Prampolini

Ricorsività della gestione

• La norma indica spesso la necessità di assicurare risultati misurabili, comparabili e riproducibili

• Ciò implica un continuo riesame che deve partire dalla rivalutazione del rischio

• La sicurezza non è un prodotto ma un processo.

• Occorre operare in concreto al fine di ridurre al minimo i rischi mediante l’utilizzazione di controlli/sistemi di sicurezza costantemente adeguati nel tempo


Natale Prampolini

• In ciò sta il concetto di “Sistema di gestione per la sicurezza delle Informazioni”

• In ciò sta il concetto che la sicurezza è un concetto organizzativo e non tecnico

• In ciò sta il concetto di applicare in ogni fase della norma il PDCA

La ISO 27001 è una norma di gestione.

Attraverso poi la scelta dei controlli (Appendice A della norma e quindi ISO 27002)

creo i collegamenti con le norme tecniche

Ricorsività della gestione


Natale Prampolini

Grazie per l’attenzione

[email protected]


la sicurezza ict: introduzione ai concetti e lo standard ... · 2011 –verona natale prampolini...

Documents