lanalisi e la gestione del rischio come componenti essenziali nella certificazione di un bs7799 i...
TRANSCRIPT
![Page 1: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/1.jpg)
L’Analisi e la Gestione del Rischio come Componenti
essenziali nella Certificazione di un
Information Security Management System
(BS7799BS7799)
Stefano TRAVERSALecce, 21 Maggio 2004
![Page 2: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/2.jpg)
Agenda
Il processo della sicurezza
La gestione dei rischi in BS7799
La nuova sensibilità dei rischi
Scenario• Basilea2, TU196/2003, SLA
Lo standard BS7799: vantaggi
Riflessioni su BS7799
Scenario internazionale
![Page 3: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/3.jpg)
La Sicurezza come Processo
IInformationnformation S Securityecurity MManagementanagement S Systemystem
““Security is a process, not a Security is a process, not a statestate””
(B. Schneier)(B. Schneier)
![Page 4: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/4.jpg)
Security is a process not a State
La sola applicazione di tecnologie è poco efficace, specie per realtà complesse di medio-grandi dimensioni
I progetti di sicurezza (dai requisiti alla soluzione) hanno fornito risposte adeguate alle esigenze puntuali, ma da soli non bastano
Occorrono feedback che alimentino un processo di evoluzione continua delle soluzioni adottate per ottenere la massima efficacia
![Page 5: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/5.jpg)
Gestire il rischio
Processi stabili e ripetibili nel tempo significa anche avere la possibilità di
gestire meglio i rischi
![Page 6: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/6.jpg)
Il controllo interno
In un’ottica di governance, essere dotati di processi stabili e ripetibili nel tempo, significa governare meglio la struttura, per salvaguardare gli stakeholders
![Page 7: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/7.jpg)
Il valore dell’informazione
L’informazione viene supportata da strumenti informatici,
… ma la sua efficacia, in un’impresa, dipende dalla ripetibilità dei suoi processi
![Page 8: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/8.jpg)
Rischio: una nuova realtà
La costante vigilanza sul presente e
sulle potenziali fonti di rischio: componente
vitale del “core value”
delle organizzazioni
![Page 9: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/9.jpg)
Concetti base: L’Analisi dei Rischi
I rischi• business risks
organizational risks
technological risks
Operational risks
Il RISK ASSESSMENT consente di stabilire priorità d’azione per mitigare il rischio complessivo
Il RISK MANAGEMENT consente di pianificare la gestione dei rischi residui e il controllo nel tempo del livello di rischio
![Page 10: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/10.jpg)
Risk Assessment & Management
Managing Risk
No Defined Risk Risk Defined Risk Estimated
Ris
k analy
sis
Ris
k ass
ess
ment
Ris
k m
anegem
ent
Value of the lost
Probability
Not acceptable Risk
![Page 11: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/11.jpg)
Concetti Base: L’Analisi dei Rischi
I risultati dell’analisi vanno inseriti nel flusso delle attività aziendali
• la soluzione non è mai un “qualcosa” a sé stante (Analisi Statica)
L’Analisi è sistemica ed applicata ai processi di business
Processi Stabili e Ripetibili
![Page 12: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/12.jpg)
Concetti Base: L’Analisi dei Rischi
L’obiettivo di un’analisi dei rischi è la valutazione del rischio complessivo, non la sua eliminazione
L’analisi fornisce gli input alla gestione, e causa ripercussioni sull’intera organizzazione e sui processi gestionali
![Page 13: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/13.jpg)
Scenario
Stakeholders:• Azionisti• Partners• Fornitori• Dipendenti• Comunità/Banche/Cliente finale
![Page 14: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/14.jpg)
Scenario: La Nuova Sensibilità ai Rischi
Basilea 2
il black out
gli attacchi di virus e worms
“globali”
SLA orientati alla Continuità del
Servizio
TU 196/2003
regolamento CAI
![Page 15: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/15.jpg)
Scenario: Il Rischio Operativo secondo Basel II
Definizione: “il rischio di perdite derivanti
da processi, comportamenti del
personale o sistemi interni inadeguati o
non andati a buon fine, oppure derivanti
da eventi esterni”
![Page 16: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/16.jpg)
Scenario: Il Rischio Operativo secondo Basel II
Il Nuovo Accordo prevede che le banche possano avvalersi di approcci avanzati di misurazione (“Advanced Measurement Approaches”, AMA),
Lo standard BS7799 appare come un ottimo candidato per l’implementazione
dell’approccio alla gestione avanzata del rischio operativo secondo Basilea 2
I principi descritti nella sezione dedicata agli AMA sono infatti in sintonia con quelli alla base dello standard BS.
![Page 17: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/17.jpg)
Scenario: Il Rischio Operativo secondo Basel II
Nella sezione dedicata agli AMA, inoltre, si fa riferimento all’allegato 7 del Nuovo Accordo di Basilea intitolato “Classificazione dettagliata delle tipologie di eventi di perdita”.
L’allegato descrive sinteticamente quali siano le minacce che devono essere prese in considerazione quando si ha a che fare con il rischio operativo.
![Page 18: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/18.jpg)
Scenario – Quadro Legislativo
Esempio T.U. 196/2003 – Misure Minime
Definizione (art. 4, c. 3, lett. a):il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai Rischi previsti dall’art. 31
Art. 31: rischi di distruzione o perdita anche accidentale dei dati, rischi di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta
I titolari del trattamento sono tenuti ad adottare le misure minime, individuate dal Codice, secondo le modalità previste dal Disciplinare Tecnico (allegato B), per assicurare un livello minimo di protezione dei dati personali.
![Page 19: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/19.jpg)
Scenario – Quadro Legislativo
Esempio T.U. 196/2003 – DPS Documento Programmatico sulla Sicurezza
Redatto entro il 31 marzo di ogni anno
Deve contenere:• l’elenco dei trattamenti di dati personali• la distribuzione dei compiti e delle
responsabilità nell’ambito delle strutture preposte al trattamento
• l’analisi dei rischi che incombono sui dati• le misure da adottare per garantire l’integrità e
la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
• la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento
![Page 20: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/20.jpg)
Scenario – SLA
I Service Level Agreement nei “Servizi Avanzati”
su settori nei quali la perdita di continuità del Servizio crea danni aziendali e di
immagine porta a
penali CONSISTENTI
![Page 21: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/21.jpg)
L’organizzazione innanzitutto
Un modello di risk management, senza supporto organizzativo riconosciuto da tutte le componenti coinvolte non può funzionare!
![Page 22: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/22.jpg)
Il valore della semplicità
Un modello di risk management deve essere il più possibile semplice e fare uso di tools semplici,
perché deve essere:
Comprensibile e applicabile per i pertinenti livelli e ruoli dell’organizzazione;
Verificabile e manutenibile al mutare delle condizioni di Business ed in funzione della
conoscenza acquisita.
![Page 23: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/23.jpg)
L’anello più debole
Collegamento INTERNET
Politiche di
PASSWORD
Desktop non
protettiAmici
in azienda
ManutenzioneesternaMancata conoscenza
Di come agire In caso di incidente
Porte di Comunicazione
Non settate
MancanzaDel
controllo
E’ fondamentale ricordare che in qualsiasi modello, la forza dello stesso è pari all’anello più debole, indipendentemente dagli sforzi che vengono fatti
E’ fondamentale ricordare che in qualsiasi modello, la forza dello stesso è pari all’anello più debole, indipendentemente dagli sforzi che vengono fatti
![Page 24: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/24.jpg)
Sicurezza delle informazioni
Garantire la sicurezza delle informazioni, allora, vuol dire:
assicurare la business continuity Minimizzare i danni al business Supportare la creazione del valore
![Page 25: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/25.jpg)
Principi … Assicurare:a) Riservatezza b) Integrità c) Disponibilità
Requisiti… Base:1) Requisiti Legali 2) Contrattuali 3) Policies obiettivi e requisiti Interni
BS7799-2: Principi e Requisiti
![Page 26: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/26.jpg)
BS7799 L’ISMS come Strumento
Un ISMS è uno Strumento per evidenziare “giustificandone” il motivo (evidenza oggettiva):
1. Una Esigenza di Miglioramento2. L’introduzione di una nuova tecnologia 3. Un Processo Organizzativo
= Vantaggio Competitivo = Fidelizzazione Immagine di Solidità= Posizionamento
![Page 27: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/27.jpg)
Riflessioni sull’adozione di BS7799
Possibili esigenze BS7799
Interni : Dati sensibili informazioni riservate
Esterni Clienti: La Disaster Recovery è un output del processo di Business Continuity compresa nel ISMS definita da BS7799
![Page 28: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/28.jpg)
BS7799 come Standard di RiferimentoFattore comune di riferimento :
nelle PA/Sanità Disaster Recovery Progetti Innovazione
Industry Configuration Management Ottimizzazione
Servizi Avanzati Business On demand Business Continuity Digitale Terrestre
![Page 29: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/29.jpg)
Vantaggi/Benefici
ISO9001 - Forte integrazione Vantaggio competitivo
• Maggiore credibilità nella proposizione del Business
• Visibilità nel mercato
Già adesso usato come Requirement generale nelle PA, nel Finance e ICT
Risposta a requisiti di cogenza Crea Sinergie all’interno del Mercato
Captive
![Page 30: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/30.jpg)
Costi
Per la certificazione dipende dalla complessità del contesto e dal Campo di Applicazione
Come investimento e come palestra per coloro i quali dovranno usarlo come strumento
![Page 31: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/31.jpg)
Lo Scenario Internazionale
In Giappone ma in generale nell’area asiatica la crescita è stata molto rapida
Le necessità di distinguersi dalle produzioni classiche e le volontà di apportare Valore Aggiunto a offerte sempre più competitive e confrontabili
![Page 32: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/32.jpg)
Lo standard BS7799 - Certificazioni
Certificazioni fino al 2003 Certificati 31/03/2004
Nuovi paesi ad oggi
Australia 1 Australia 7 Argentina 1Austria 1 Austria 3 Belgium 1China 2 China 5 Brazil
3
Egypt 1 Egypt 1 Denmark 2Finland 2 Finland
10 Hungary 6
Germany 4 Germany
22 Iceland 3
Greece 2 Greece 2 Macau 1Hong Kong 2 Hong
Kong 17 Malaysia 1
India 6 India 24 Mexico
3
Ireland 2 Ireland 7 Poland
1
Italy 1 Italy 12 Qatar 1Japan 4 Japan 276 Saudi
Arabia1
Korea 3 Korea 22 Slovenia 1Netherlands 1 Netherlan
ds1 South
Africa1
Norway 4 Norway 9 Switzerland
3
Singapore 5 Singapore 10Spain 1 Spain 1Sweden 3 Sweden 4Taiwan 3 Taiwan
10
UAE 1 UAE 2UK 53 UK 125USA 2 USA 9Totale 104 Totale 608fonte: http://www.xisec.com/
![Page 33: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/33.jpg)
Lo standard BS7799 - Certificazioni
Europe N. Asia N. Africa N. Americhe N. AustraliaN.
UK 137 Japan 351 Egypt 1 USA 10 Australia7
Germany 23 India 30 Qatar 1 Brazil 3
Italy 12 Korea 24 Saudi Arabia 1 Mexico 3Finland 10 Hong Kong 17 South Africa 1 Argentina 1
Norway 9 Taiwan 14 UAE 2
Greece 2 Singapore 10Switzerland 3 China 5
Denmark 2 Malaysia 1Iceland 3 Macau 1Sweden 4Austria 3Ireland 7Hungary 6Belgium 1Netherlands 1Poland 1Slovenia 1Spain 1
TotaleTotale 226 453 6 17 7 709
![Page 34: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/34.jpg)
Qualche dato in dettaglio
Crescita dal 2002 al 2004:
Mondo: Da 104 a 608 al 31/03/2004, da 608 a 709 ad OGGI e…….siamo
all’inizioItalia: Da 1 a 12, 30 a fine annoJapan: Da 4 a 351 !!!India: Da 4 a 30 Germania: Da 4 a 22 UK: Da 53 a 137USA: “solo” 10 ma … Federal Reserve Bank of New
YorkJapan: gli ICT es. Sony,Mitsubishi, etcUK: P.A. Royal Mail, the Royal Bank of Scotland,
Criminal Justice, Germany es. Siemens,T-system, Vodafone
![Page 35: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/35.jpg)
ISO9001 e BS7799: Analogie
Best Practices (come strumento per comunicare)
System Management
Forte Commitment dai Vertici (la tecnologia non più come satellite
aziendale)
![Page 36: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/36.jpg)
ISO9001 e BS7799: Differenze
ISO9001 BS7799
“Nasce nel Metalmeccanico” “Servizi Avanzati”
Organizazzione + Project management Organizazzione + Risk management
Partita da 0 Parte da ISO9001
Nessun riferimento Legal TU 196/2003
Balilea 2
Riferimenti Banca Italia su ISO17799 (regolamento CAI) Regione Lombardia
![Page 37: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/37.jpg)
Obiettivi di DNV
LA SALVAGUARDIA
DELLA VITA,
DELLA PROPRIETÀ,
E DELL’AMBIENTE
![Page 38: LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano](https://reader035.vdocuments.mx/reader035/viewer/2022062701/5542eb4a497959361e8b71da/html5/thumbnails/38.jpg)
L’esperienza DNV nel mondo
16% quota di mercato mondiale