unione industriale torino – 6 novembre 2003 – il testo unico sulla privacy 1 strategic fit dott....

1Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy

Strategic fit

Dott. Stefano Traversa

BS 7799 Ebtrust: dalla sicurezza dei dati

alla affidabilità del business in rete


Agenda

• Il Testo Unico e le “misure di Sicurezza”

• La Risposta DNV al requisito cogente

• BS7799Analisi Valutazione e Trattamento del RischioBusiness Continuity e Gestione degli Incidenti

• EBtrust

Il Rischio sul Canale InternetUn Modello Modulare Case History

• Due parole su DNV


TU 196 – Misure di sicurezza

Art. 31

(Obblighi di sicurezza)

I dati personali oggetto di trattamento sono custoditi e controllati, ……., in modo da ridurre al minimo mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.


TU 196 – Misure di sicurezza

Art. 32

(Particolari titolari)

1. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico adotta ai sensi dell’articolo 31 idonee misure tecniche e organizzative adeguate al rischio esistente, per salvaguardare la sicurezza dei suoi servizi, l’integrità dei dati relativi ………..

2. …….

3. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico informa gli abbonati e, ove possibile, gli utenti, se sussiste un particolare rischio di violazione della sicurezza della rete, indicando, quando il rischio è al di fuori dell’ambito di applicazione delle misure che il fornitore stesso è tenuto ad adottare ai sensi dei commi 1 e 2, tutti i possibili rimedi e i relativi costi presumibili. ……….


ALLEGATO B – Disciplinare tecnico in materia di misure minime di sicurezza

(Artt. da 33 a 36 del codice)

Altre misure di sicurezza16. I dati personali sono protetti contro il rischio di intrusione …..17. Gli aggiornamenti periodici ….vulnerabilità di strumenti elettronici ……

Documento programmatico sulla sicurezza19. Entro il 31 marzo di ogni anno, …….., un documento programmatico sulla

sicurezza contenente idonee informazioni riguardo:19.1. l’elenco dei trattamenti di dati personali;19.2. la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture

preposte al trattamento dei dati;19.3. l’analisi dei rischi che incombono sui dati;19.4. le misure da adottare per garantire l’integrità e la disponibilità dei dati,

nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;

19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;

19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli

edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventidannosi, …….;


La Risposta DNV

• BS7799

Sistema Di Gestione della Sicurezza delle Informazioni – Gestione del Rischio

• EBtrust

Sistema Di Gestione dell’E-Business- Specifico per il canale Internet

Assicurare le vostre informazioniBS7799

in un ambiente dove il business diventa sempre più vulnerabile

BS7799 e la Sicurezza delle Informazioni


Sicurezza dell’informazione

• Lo scopo di BS7799:

Assicurare riservatezza, integrità e disponibilità dell’informazione al fine di assicurare la continuità

del business, prevenire e minimizzare i danni


Lo standard BS7799 - Obiettivi

BS7799 part 1 Base comune per lo sviluppo, l’implementazione e la misurazione dell’efficacia delle pratiche di gestione della sicurezza.Chiarezza nelle trattative internazionali.

BS7799 part 2Requisiti per valutare la conformità del Sistema di Gestione della Sicurezza dell’Informazione ai fini della certificazione


Attenzione: Controlli e grado di flessibilità appropriati dall’ INIZIO!

1. Rischi della sicurezza

2. Requisiti legali e contrattuali

3. Principi, obiettivi e requisiti interni

BS7799 part 2 - Certificazione - Requisiti


Sicurezza dell’informazione - Struttura

Sicurezza dell’informazioneSicurezza dell’informazione

Sicurezza organizzativaSicurezza organizzativa Sicurezza informaticaSicurezza informatica

Sicurezza Electronic Data ProcessingSicurezza Electronic Data Processing Sicurezza della comunicazioneSicurezza della comunicazione


a) Riservatezza

b) Integrità

c) Disponibilità

Sicurezza dell’informazione - I Principi


Riservatezza: capacità di non rendere disponibili o divulgare ad individui, entità o processi non autorizzati le informazioni (obbligo legale di riservatezza a tutela delle informazioni di terzi (dati personali))

Sicurezza dell’informazione - definizioni

Integrità: impossibilità di alterare o distruggere, da parte di individui, entità e processi non autorizzati, le informazioni

Disponibilità: garanzia di accesso ed utilizzo delle informazioni da parte di chi ne è autorizzato nei tempi richiesti

Autenticità: garanzia della provenienza di un’informazioneNon ripudio: le informazioni devono essere protette da falsa negazione di ricezione, trasmissione, creazione, sottomissione, trasporto, consegna, ricevuta.

Analisi, Valutazione e Trattamento del rischio,

Business Continuity e gestione degli incidenti


Analisi e Valutazione dei Rischi

Identificare:le risorse (asset) e i loro responsabili

le minacce a queste risorse

le vulnerabilità

gli impatti di perdite di Riservatezza Integrità Disponibilità su queste risorse

Valutare:il danno aziendale da un problema di sicurezza

la probabilità di tali problemi

Stimare il livello di rischio

Determinare se il rischio è accettabile


Trattamento dei Rischi

Identificare e valutare le opzioni di trattamento del rischio:

(ridurre, trasferire, accettare)

Selezionare:gli obiettivi di controllo per ridurre il rischio.

i controlli atti a soddisfare gli obiettivi di controllo (Statement Of Applicability).

Ottenere l’approvazione della Direzione:

in merito al rischio residuo e all’implementazione dei controlli.


Opzioni di trattamento del rischio

• Le opzioni sono:

• ridurre il rischio: applicare appropriati controlli;

• accettare il rischio, consapevolmente e oggettivamente, se tale rischio soddisfa le politiche e i criteri di accettazione (costi, rischio di impresa);

• evitare il rischio;• trasferire il rischio (assicurazioni, fornitori).


Selezionare gli obiettivi di controllo

• E’ importante selezionare, per ciascun rischio che si vuole ridurre, adeguati obiettivi di controllo.

• Oltre a quanto espresso dalla norma, è possibile suddividere tali obiettivi in due grandi famiglie:

• prevenzione del successo di un attacco• rilevazione di attacchi e tentativi di attacco,

con proprietà di prevenzione e mitigazione• mitigazione dei danni di un attacco riuscito (il

trasferimento è una forma di mitigazione).


Obiettivi di controllo: uno schema

• Un classico schema per stabilire quale strada principale intraprendere è il seguente:

PrevenirePrevenireMitigare

Accettare Mitigare

Valo

re

min

acc

ia

Valore risorsa/Danni della minaccia


Punto chiave 1: Rischio residuo

• L’accettabilità del rischio residuo deve derivare dai criteri espressi dalla Direzione in fase di definizione del metodo di analisi del rischio

• Il rischio residuo deve essere successivamente rivalutato e validato dalla Direzione stessa.


Punto chiave 2: Costo dei controlli

• Il costo dei controlli deve tenere conto di:1. costo economico di acquisto o sviluppo,

2. tempo di installazione e configurazione,

3. modalità di mantenimento.

• E’ anche opportuno verificare il costo dell’acquisizione delle opportune competenze (formazione, assunzione o contratti di fornitura), anche per gestire le verifiche.


Business Continuity

• Il Business Continuity Management ha l’obiettivo di contrastare le interruzioni alle attività aziendali e di proteggere i processi critici dagli effetti di grossi danni o disastri.

• Deve essere presente un processo di gestione della continuità del business per ridurre i danni di un’interruzione ad un livello accettabile, attraverso controlli preventivi e di mitigazione.

• N.B: Non bisogna confondere il BCM con il Disaster Recovery Plan.


Come realizzare un Business Continuity Management

• Le analisi, valutazioni e scelte di trattamento del rischio richieste da un BCM sono le stesse viste in precedenza:

• un’analisi e valutazione dei rischi• l’analisi delle conseguenze di disastri,

malfunzionamenti, interruzioni di servizi (Business Impact Analysis),

• realizzazione di piani (controlli) affinché i processi di business siano riattivati entro il tempo richiesto.

• I piani devono essere mantenuti, riesaminati e controllati in modo uguale a tutti gli altri processi di gestione.


Gestione degli incidenti

• Deve essere stabilita una procedura (documentata almeno in quella relativa alle azioni correttive) che abbia come obiettivo la minimizzazione degli incidenti di sicurezza e dei malfunzionamenti, il loro controllo e monitoraggio, nonché l’apprendimento dalle esperienze pregresse.

• Deve essere stabilito un canale di comunicazione per riportare incidenti, eventualmente differenziato tra le tipologie (attacchi, minacce, vulnerabilità o malfunzionamenti)

• Per affrontare correttamente gli incidenti sarà necessario prevedere di raccogliere prove dell’accaduto il prima possibile.

• Le procedure devono essere a conoscenza di personale interno, fornitori.


Lo standard BS7799 - Vantaggi

•Facile da capire

•Non dipendente nelle tecnologie

•Non ristretto ad un singolo paese dal punto di vista legale

•Non specifico ad un tipo di business

•Best practice

•Non solo IT

•Guidata dallo sviluppo del mercato

Gestite il Vostro Canale Internet EBtrust

in un ambiente dove il business su internet diventa sempre più

specifico

BS7799


EBtrust

Lo scopo di EBtrust:

Fornire una valutazione, indipendente di terza parte, sulla capacità di mantenere gli impegni verso gli

stakeholders

Fornire una valutazione, indipendente di terza parte, sulla capacità di mantenere gli impegni verso gli

stakeholders


EBtrust

• Definire il Business ModelRispetto alle esigenze di Business:

Etica, Web Marketing,

Process & Organization, Security, Infrastructure

• Effettuate un Risk Assesment sul Canalea) Valutare (minacce, vulnerabilità, impatti)b) Circoscritti a (Condotta Etica, Roi ,

Ottimizzazione Prestazioni di Processo, Security)

• Definire i controlli


EBtrust - Vantaggi

• Specifico per il canale Internet e di riferimento mondiale

• Consente il confronto, la misura dei gap, l’analisi per la riduzione dei rischi, la definizione di investimenti mirati, corretti ed efficaci

• Spinge alla correzione di situazioni critiche, toccando le aree più importanti del canale Internet - area strategica, area risorse, area operativa - e fornendo reports e spunti di miglioramento specifici sulle aree

• Modulare nella scelta dei moduli da applicare rispetto alle esigenze specifiche ed alle criticità dell’azienda - Infrastrutture, Security, Processi ed Organizzazione, Web Marketing, Etica - che permetta la focalizzazione dell’azienda sull’area di interesse e la definizione di un percorso di sviluppo. Riducendo investimenti e costi eccessivi per la certificazione del canale rispetto alle necessità

• Chiede che siano definiti obiettivi misurabili e misurati su aspetti operativi - tempi e prestazioni - permettendo l’identificazione di indicatori delle prestazioni chiave

• Inserisce aspetti di redditività del canale Internet, consentendo l’analisi di efficacia, l’analisi di redditività del canale, rendendo anche possibile il confronto con gli altri, ed eventualmente permettendo anche l’analisi di indici ed indicatori economici (ROS, ROI, BeP, Pay Back)


EBtrust – il modello

Etica

Web marketing

Sicurezza

Order Processing

Policy &Procedures

Policy &Procedures

Policy &Procedures

Policy &Procedures

Organisa-tional

Processi Critici

Infrastrutture

Policy Privacy

Production & Delivery

SystemFunctionality

Testing

Human Resources

Physical

SystemAvailability

Results

EthicalBusinessConduct

BusinessModel

Logical

InterfaceDesign

BackgroundAnalysis

Monitoring & Review

Monitoring & Review

Monitoring & Review

Monitoring & Review

Monitoring & Review

CommunicationStrategy

CustomerFocus

Processi e organizzazion

e


• Processi ed OrganizzazioneVolumi e QdM Costi unitari

Monitoraggio

dei processi

MonitoraggioOrdine (no

web)(Tempi,

Volumi, Ricavi, Costi)

Numero contratti a budget

Numero contratti acquisiti

Indice di raggiungimento del budget

Numero di modifiche dell’offerta inizialeMonitoraggio

Qualifica fornitoriConduzione della

garaAggiudicazione(Tempi, Volumi,

Costi)

Numero fornitori non inseriti

Numero totale fornitori

% di errore nella gestione fornitori

Chiamate all’Help Desk prima della formazione

Chiamate all’Help Desk dopo la formazione

Ricavi unitari

MonitoraggioCustomer

Service(Tempi, Volumi,

Costi, Ricavi)

Indagini di CS sugli appaltanti

Indagini di CS sui fornitori

Chiamate all’Help Desk degli appaltanti

Chiamate all’HD per supporto tecnico

MonitoraggioOrganizzazione(Tempi, Volumi,

Costi)

Indici finanziari

Indici economici

Indici patrimoniali

Cust. Satisfaction/Retention

Case History


Case History

• InfrastruttureVelocità Carico

Monitoraggio

Performance

MonitoraggioVelocità(Tempi)

Tempi di risposta dall’INTERNO

Tempi di risposta dall’ESTERNO

Analisi dei LOG

MonitoraggioCarico

(Volumi)

Carico del sistema

Carico della rete

Carico delle applicazioni

Efficienza

MonitoraggioEfficienza

(Costi)

Contenuti

Servizi a supporto

Help desk

tempo di elaborazionetempo di trasferimento

tempo di risposta

elaborazione paginedownloadssessionie-userslinkspercorsi tipicierrori errori serverutilizzo banda

% cpu% disco

stato memoriastato aree swapdisk i/o

num e stato processistorage

traffico rete dati idctraffico rete internet

n utenti attivi

errori di paginaflusso dati


Penali (% del valore contrattuale del servizio nel

periodo di osservazione)

Livelli di servizio Valori di soglia

Causale Importo Disponibilità del sito in rete

98-99.5% del tempo operativo previsto

Per ogni punto percentuale di scostamento in diminuzione

2,5% - 3%

Disponibilità banda di connessione ad internet

La banda concordata deve essere rispettata al 100%


0,8 % - 1%

Tempo di attesa per l’accesso alle pagine

Il tempo d’attesa medio nel periodo non deve superare i 5 sec

Per ogni secondo, o frazione, di scostamento in più

0,8% - 1%

Disponibilità del mirroring

Il server deve essere replicato secondo i piani nel 100% dei casi


0,6% - 0,8%

Case History

Infrastruttura in outsourcing - Web Housing


Indicatori Parametro

Garanzia sui tempi di attivazione

Tempi di attivazione

Garanzia sulla Latenza di Rete

La Latenza media di Rete sulla rete: - europea non supera i 70 ms al mese.

- transatlantica non supera i 150 ms al mese.

Garanzia sui pacchetti persi “Packet Loss”

La percentuale di pacchetti persi sulla rete è minore dell’ 1% al mese.

Garanzia sulla Disponibilità del Servizio

Disponibilità % : dei Circuiti di Accesso alla rete del fornitore: 99.85%

dei Circuiti all’interno dell’Internet Solution Center (ISC): 100%

del Backbone Network: 99.99%

Garanzia sulla gestione dei guasti

Per i Guasti che Degradano il Servizio, il Tempo di Ripristino Obiettivo è di 4 ore. Per Guasti che Non Degradano il Servizio, i Tempi di Ripristino saranno concordati di volta in volta. In linea generale, il fornitore ha come obiettivo il ripristino di tali guasti entro 3 giorni lavorativi.

Garanzia sull’Alimentazione elettrica per il servizio di HOUSING

Il fornitore garantisce l’alimentazione al 100% del tempo, per i RACK del servizio di HOUSING. Non è inclusa la mancanza di disponibilità risultante da: (a) circuiti o apparecchiature del cliente (b) applicazioni o apparecchiature del cliente (c) atti o omissioni del cliente, o ogni utilizzo autorizzato dal cliente (d) Cause di Forza Maggiore.

Case HistoryInfrastruttura in outsourcing - Web Housing e rete, garanzie


Livello di servizio Valori di soglia Importo Penali (*)

Rispetto dei piani di aggiornamento del sistema

Le scadenze devono essere rispettate al 96-98% entro la data prevista, per il 2-4% entro i 4-8 giorni successivi

2% - 4%

Rispetto dei piani di manutenzione programmata

Le scadenze devono essere rispettate al 96-98% entro la data prevista, per il 2-4% entro i 2-4 giorni successivi

2% - 4%

Tempestività di trasmissione delle informazioni al servizio di configurazione del sistema

Le informazioni per l’aggiornamento della configurazione devono essere trasmesse alla funzione competente entro 30-60 minuti dalla installazione della modifica, nel 99-100% dei casi

1% - 2%

Tempestività di applicazione delle correzioni sul Sw relative alle vulnerabilità

Entro 1-3 ore nei casi di massima urgenza (ad es. in presenza di attacchi in rete). Negli altri casi entro 24-64 ore nel 96- 98% dei casi, entro 48- 128 ore nel restante 2- 4%

1% - 2%

Garanzia di integrità (completezza, accuratezza, validità) dei piani

Le attività concordate con il cliente devono essere rispettate nei piani al 96-98% , nel periodo di riferimento.

1% - 2%

Case History

Infrastruttura in outsourcing - Web Housing, gestione dei cambiamenti


• SecurityConfidenzialità Disponibilit

à

Monitoraggio

della Sicurezza

Monitoraggiosicurezza

logica(Tempi, Costi)

Fiewall

IDS

Sistema antivirus

Server (S.O. e applicazioni)

Vulnerabilità

Disponibilità del sistema

Disponibilità delle applicazioni

Tempi di risposta dall’ESTERNO

Analisi dei LOG


fisica(Tempi, Costi)

Accessi

Vigilanza

Locali archivi, server, ecc. (incendi, allagamenti, ….)

Integrità


organizzativa(Tempi, Costi)

Analisi del rischio

Responsabilità ed autorità

Attività, procedure e piani di contingenza

Audit

Case History

tentativi di accesso

numero utenti creatinumero amministr. creatimodifiche privilegi acc.numero utenti connessitentativi falliti di acc.

tentativi di attaccotentativi di pre-attacco

numero vuln. notefrequenza verifica vuln.tempo di reazione

disponibilita’ complessivatemperaturaalimentazionerisposta alla retecontinuita’ dbms


Indicatore

Definizione

Valori

Security incident response Tempo di risposta per un incidente di sicurezza

15 minuti

Normal firewall policy change

Tempo di effettuazione di una modifica sul firewall classificata come “normale”

8 ore

Urgent firewall policy change

Tempo di effettuazione di una modifica sul firewall classificata come “urgente”

2 ore

Indicatore Definizione Valori

Vulnerabilità effettiva

Numero di intrusioni rilevate ed effettuate nel periodo di riferimento (Numero di accessi al sito non autorizzati ma ugualmente effettuati)

Le infrazioni dolose al sito devono essere zero

Vulnerabilità preventiva

Tentativi di intrusioni di prova effettuati con successo nel test periodico

Il numero dei tentativi riusciti deve essere in numero limitato (2- 3

per ogni test)

Case History

Security in outsourcing - Web Housing


INDICATORE Livelli di servizio Definizione Misure da rilevare

Tempestività di notifica

Tempestività di notifica al servizio di Gestione dei cambiamenti

Tempo massimo entro il quale deve essere attivata la struttura che deve gestire l'Incidente (in questo caso il "servizio di gestione dei cambiamenti").

Tempo tra la rilevazione di un incidente di sicurezza e la presa in carico da parte degli specialisti.

Penali (% del valore contrattuale del servizio

nel periodo di osservazione)

Livelli di servizio Valori di soglia

Causale Importo Tempestività di notifica al servizio di Gestione dei cambiamenti

15’ - 25’ nel 99% dei casi

Per ogni punto percentuale in più rispetto ai valori di soglia

1% - 2%

Case History

Security in outsourcing - Web Housing

DNVDet Norske Veritas

Due parole su


Obiettivi

LA SALVAGUARDIA

DELLA VITA,

DELLA PROPRIETÀ,

E DELL’AMBIENTE


Organizzazione internazionale

Europe 3,900

Africa 25

Asia 870

Australia 70

Americas 635

Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy

DNV in Italia

Venezia15

Bari13

Bologna13

Catania 5

Torino 10Genova3

Firenze7 Roma

13

Milano 105

Napoli 3

Total Employees: 187

Total NEX: 281

unione industriale torino – 6 novembre 2003 – il testo unico sulla privacy 1 strategic fit dott....

Documents