unione industriale torino – 6 novembre 2003 – il testo unico sulla privacy 1 strategic fit dott....
TRANSCRIPT
1Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
Strategic fit
Dott. Stefano Traversa
BS 7799 Ebtrust: dalla sicurezza dei dati
alla affidabilità del business in rete
2Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
Agenda
• Il Testo Unico e le “misure di Sicurezza”
• La Risposta DNV al requisito cogente
• BS7799Analisi Valutazione e Trattamento del RischioBusiness Continuity e Gestione degli Incidenti
• EBtrust
Il Rischio sul Canale InternetUn Modello Modulare Case History
• Due parole su DNV
3Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
TU 196 – Misure di sicurezza
Art. 31
(Obblighi di sicurezza)
I dati personali oggetto di trattamento sono custoditi e controllati, ……., in modo da ridurre al minimo mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
4Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
TU 196 – Misure di sicurezza
Art. 32
(Particolari titolari)
1. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico adotta ai sensi dell’articolo 31 idonee misure tecniche e organizzative adeguate al rischio esistente, per salvaguardare la sicurezza dei suoi servizi, l’integrità dei dati relativi ………..
2. …….
3. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico informa gli abbonati e, ove possibile, gli utenti, se sussiste un particolare rischio di violazione della sicurezza della rete, indicando, quando il rischio è al di fuori dell’ambito di applicazione delle misure che il fornitore stesso è tenuto ad adottare ai sensi dei commi 1 e 2, tutti i possibili rimedi e i relativi costi presumibili. ……….
5Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
ALLEGATO B – Disciplinare tecnico in materia di misure minime di sicurezza
(Artt. da 33 a 36 del codice)
Altre misure di sicurezza16. I dati personali sono protetti contro il rischio di intrusione …..17. Gli aggiornamenti periodici ….vulnerabilità di strumenti elettronici ……
Documento programmatico sulla sicurezza19. Entro il 31 marzo di ogni anno, …….., un documento programmatico sulla
sicurezza contenente idonee informazioni riguardo:19.1. l’elenco dei trattamenti di dati personali;19.2. la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture
preposte al trattamento dei dati;19.3. l’analisi dei rischi che incombono sui dati;19.4. le misure da adottare per garantire l’integrità e la disponibilità dei dati,
nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;
19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli
edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventidannosi, …….;
6Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
La Risposta DNV
• BS7799
Sistema Di Gestione della Sicurezza delle Informazioni – Gestione del Rischio
• EBtrust
Sistema Di Gestione dell’E-Business- Specifico per il canale Internet
Assicurare le vostre informazioniBS7799
in un ambiente dove il business diventa sempre più vulnerabile
BS7799 e la Sicurezza delle Informazioni
8Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
Sicurezza dell’informazione
• Lo scopo di BS7799:
Assicurare riservatezza, integrità e disponibilità dell’informazione al fine di assicurare la continuità
del business, prevenire e minimizzare i danni
9Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
Lo standard BS7799 - Obiettivi
BS7799 part 1 Base comune per lo sviluppo, l’implementazione e la misurazione dell’efficacia delle pratiche di gestione della sicurezza.Chiarezza nelle trattative internazionali.
BS7799 part 2Requisiti per valutare la conformità del Sistema di Gestione della Sicurezza dell’Informazione ai fini della certificazione
10Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
Attenzione: Controlli e grado di flessibilità appropriati dall’ INIZIO!
1. Rischi della sicurezza
2. Requisiti legali e contrattuali
3. Principi, obiettivi e requisiti interni
BS7799 part 2 - Certificazione - Requisiti
11Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
Sicurezza dell’informazione - Struttura
Sicurezza dell’informazioneSicurezza dell’informazione
Sicurezza organizzativaSicurezza organizzativa Sicurezza informaticaSicurezza informatica
Sicurezza Electronic Data ProcessingSicurezza Electronic Data Processing Sicurezza della comunicazioneSicurezza della comunicazione
12Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
a) Riservatezza
b) Integrità
c) Disponibilità
Sicurezza dell’informazione - I Principi
13Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
Riservatezza: capacità di non rendere disponibili o divulgare ad individui, entità o processi non autorizzati le informazioni (obbligo legale di riservatezza a tutela delle informazioni di terzi (dati personali))
Sicurezza dell’informazione - definizioni
Integrità: impossibilità di alterare o distruggere, da parte di individui, entità e processi non autorizzati, le informazioni
Disponibilità: garanzia di accesso ed utilizzo delle informazioni da parte di chi ne è autorizzato nei tempi richiesti
Autenticità: garanzia della provenienza di un’informazioneNon ripudio: le informazioni devono essere protette da falsa negazione di ricezione, trasmissione, creazione, sottomissione, trasporto, consegna, ricevuta.
Analisi, Valutazione e Trattamento del rischio,
Business Continuity e gestione degli incidenti
15Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
Analisi e Valutazione dei Rischi
Identificare:le risorse (asset) e i loro responsabili
le minacce a queste risorse
le vulnerabilità
gli impatti di perdite di Riservatezza Integrità Disponibilità su queste risorse
Valutare:il danno aziendale da un problema di sicurezza
la probabilità di tali problemi
Stimare il livello di rischio
Determinare se il rischio è accettabile
16Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
Trattamento dei Rischi
Identificare e valutare le opzioni di trattamento del rischio:
(ridurre, trasferire, accettare)
Selezionare:gli obiettivi di controllo per ridurre il rischio.
i controlli atti a soddisfare gli obiettivi di controllo (Statement Of Applicability).
Ottenere l’approvazione della Direzione:
in merito al rischio residuo e all’implementazione dei controlli.
17Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
Opzioni di trattamento del rischio
• Le opzioni sono:
• ridurre il rischio: applicare appropriati controlli;
• accettare il rischio, consapevolmente e oggettivamente, se tale rischio soddisfa le politiche e i criteri di accettazione (costi, rischio di impresa);
• evitare il rischio;• trasferire il rischio (assicurazioni, fornitori).
18Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
Selezionare gli obiettivi di controllo
• E’ importante selezionare, per ciascun rischio che si vuole ridurre, adeguati obiettivi di controllo.
• Oltre a quanto espresso dalla norma, è possibile suddividere tali obiettivi in due grandi famiglie:
• prevenzione del successo di un attacco• rilevazione di attacchi e tentativi di attacco,
con proprietà di prevenzione e mitigazione• mitigazione dei danni di un attacco riuscito (il
trasferimento è una forma di mitigazione).
19Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
Obiettivi di controllo: uno schema
• Un classico schema per stabilire quale strada principale intraprendere è il seguente:
PrevenirePrevenireMitigare
Accettare Mitigare
Valo
re
min
acc
ia
Valore risorsa/Danni della minaccia
20Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
Punto chiave 1: Rischio residuo
• L’accettabilità del rischio residuo deve derivare dai criteri espressi dalla Direzione in fase di definizione del metodo di analisi del rischio
• Il rischio residuo deve essere successivamente rivalutato e validato dalla Direzione stessa.
21Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
Punto chiave 2: Costo dei controlli
• Il costo dei controlli deve tenere conto di:1. costo economico di acquisto o sviluppo,
2. tempo di installazione e configurazione,
3. modalità di mantenimento.
• E’ anche opportuno verificare il costo dell’acquisizione delle opportune competenze (formazione, assunzione o contratti di fornitura), anche per gestire le verifiche.
22Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
Business Continuity
• Il Business Continuity Management ha l’obiettivo di contrastare le interruzioni alle attività aziendali e di proteggere i processi critici dagli effetti di grossi danni o disastri.
• Deve essere presente un processo di gestione della continuità del business per ridurre i danni di un’interruzione ad un livello accettabile, attraverso controlli preventivi e di mitigazione.
• N.B: Non bisogna confondere il BCM con il Disaster Recovery Plan.
23Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
Come realizzare un Business Continuity Management
• Le analisi, valutazioni e scelte di trattamento del rischio richieste da un BCM sono le stesse viste in precedenza:
• un’analisi e valutazione dei rischi• l’analisi delle conseguenze di disastri,
malfunzionamenti, interruzioni di servizi (Business Impact Analysis),
• realizzazione di piani (controlli) affinché i processi di business siano riattivati entro il tempo richiesto.
• I piani devono essere mantenuti, riesaminati e controllati in modo uguale a tutti gli altri processi di gestione.
24Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
Gestione degli incidenti
• Deve essere stabilita una procedura (documentata almeno in quella relativa alle azioni correttive) che abbia come obiettivo la minimizzazione degli incidenti di sicurezza e dei malfunzionamenti, il loro controllo e monitoraggio, nonché l’apprendimento dalle esperienze pregresse.
• Deve essere stabilito un canale di comunicazione per riportare incidenti, eventualmente differenziato tra le tipologie (attacchi, minacce, vulnerabilità o malfunzionamenti)
• Per affrontare correttamente gli incidenti sarà necessario prevedere di raccogliere prove dell’accaduto il prima possibile.
• Le procedure devono essere a conoscenza di personale interno, fornitori.
25Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
Lo standard BS7799 - Vantaggi
•Facile da capire
•Non dipendente nelle tecnologie
•Non ristretto ad un singolo paese dal punto di vista legale
•Non specifico ad un tipo di business
•Best practice
•Non solo IT
•Guidata dallo sviluppo del mercato
Gestite il Vostro Canale Internet EBtrust
in un ambiente dove il business su internet diventa sempre più
specifico
BS7799
27Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
EBtrust
Lo scopo di EBtrust:
Fornire una valutazione, indipendente di terza parte, sulla capacità di mantenere gli impegni verso gli
stakeholders
Fornire una valutazione, indipendente di terza parte, sulla capacità di mantenere gli impegni verso gli
stakeholders
28Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
EBtrust
• Definire il Business ModelRispetto alle esigenze di Business:
Etica, Web Marketing,
Process & Organization, Security, Infrastructure
• Effettuate un Risk Assesment sul Canalea) Valutare (minacce, vulnerabilità, impatti)b) Circoscritti a (Condotta Etica, Roi ,
Ottimizzazione Prestazioni di Processo, Security)
• Definire i controlli
29Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
EBtrust - Vantaggi
• Specifico per il canale Internet e di riferimento mondiale
• Consente il confronto, la misura dei gap, l’analisi per la riduzione dei rischi, la definizione di investimenti mirati, corretti ed efficaci
• Spinge alla correzione di situazioni critiche, toccando le aree più importanti del canale Internet - area strategica, area risorse, area operativa - e fornendo reports e spunti di miglioramento specifici sulle aree
• Modulare nella scelta dei moduli da applicare rispetto alle esigenze specifiche ed alle criticità dell’azienda - Infrastrutture, Security, Processi ed Organizzazione, Web Marketing, Etica - che permetta la focalizzazione dell’azienda sull’area di interesse e la definizione di un percorso di sviluppo. Riducendo investimenti e costi eccessivi per la certificazione del canale rispetto alle necessità
• Chiede che siano definiti obiettivi misurabili e misurati su aspetti operativi - tempi e prestazioni - permettendo l’identificazione di indicatori delle prestazioni chiave
• Inserisce aspetti di redditività del canale Internet, consentendo l’analisi di efficacia, l’analisi di redditività del canale, rendendo anche possibile il confronto con gli altri, ed eventualmente permettendo anche l’analisi di indici ed indicatori economici (ROS, ROI, BeP, Pay Back)
30Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
EBtrust – il modello
Etica
Web marketing
Sicurezza
Order Processing
Policy &Procedures
Policy &Procedures
Policy &Procedures
Policy &Procedures
Organisa-tional
Processi Critici
Infrastrutture
Policy Privacy
Production & Delivery
SystemFunctionality
Testing
Human Resources
Physical
SystemAvailability
Results
EthicalBusinessConduct
BusinessModel
Logical
InterfaceDesign
BackgroundAnalysis
Monitoring & Review
Monitoring & Review
Monitoring & Review
Monitoring & Review
Monitoring & Review
CommunicationStrategy
CustomerFocus
Processi e organizzazion
e
31Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
• Processi ed OrganizzazioneVolumi e QdM Costi unitari
Monitoraggio
dei processi
MonitoraggioOrdine (no
web)(Tempi,
Volumi, Ricavi, Costi)
Numero contratti a budget
Numero contratti acquisiti
Indice di raggiungimento del budget
Numero di modifiche dell’offerta inizialeMonitoraggio
Qualifica fornitoriConduzione della
garaAggiudicazione(Tempi, Volumi,
Costi)
Numero fornitori non inseriti
Numero totale fornitori
% di errore nella gestione fornitori
Chiamate all’Help Desk prima della formazione
Chiamate all’Help Desk dopo la formazione
Ricavi unitari
MonitoraggioCustomer
Service(Tempi, Volumi,
Costi, Ricavi)
Indagini di CS sugli appaltanti
Indagini di CS sui fornitori
Chiamate all’Help Desk degli appaltanti
Chiamate all’HD per supporto tecnico
MonitoraggioOrganizzazione(Tempi, Volumi,
Costi)
Indici finanziari
Indici economici
Indici patrimoniali
Cust. Satisfaction/Retention
Case History
32Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
Case History
• InfrastruttureVelocità Carico
Monitoraggio
Performance
MonitoraggioVelocità(Tempi)
Tempi di risposta dall’INTERNO
Tempi di risposta dall’ESTERNO
Analisi dei LOG
MonitoraggioCarico
(Volumi)
Carico del sistema
Carico della rete
Carico delle applicazioni
Efficienza
MonitoraggioEfficienza
(Costi)
Contenuti
Servizi a supporto
Help desk
tempo di elaborazionetempo di trasferimento
tempo di risposta
elaborazione paginedownloadssessionie-userslinkspercorsi tipicierrori errori serverutilizzo banda
% cpu% disco
stato memoriastato aree swapdisk i/o
num e stato processistorage
traffico rete dati idctraffico rete internet
n utenti attivi
errori di paginaflusso dati
33Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
Penali (% del valore contrattuale del servizio nel
periodo di osservazione)
Livelli di servizio Valori di soglia
Causale Importo Disponibilità del sito in rete
98-99.5% del tempo operativo previsto
Per ogni punto percentuale di scostamento in diminuzione
2,5% - 3%
Disponibilità banda di connessione ad internet
La banda concordata deve essere rispettata al 100%
Per ogni punto percentuale di scostamento in diminuzione
0,8 % - 1%
Tempo di attesa per l’accesso alle pagine
Il tempo d’attesa medio nel periodo non deve superare i 5 sec
Per ogni secondo, o frazione, di scostamento in più
0,8% - 1%
Disponibilità del mirroring
Il server deve essere replicato secondo i piani nel 100% dei casi
Per ogni punto percentuale di scostamento in diminuzione
0,6% - 0,8%
Case History
Infrastruttura in outsourcing - Web Housing
34Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
Indicatori Parametro
Garanzia sui tempi di attivazione
Tempi di attivazione
Garanzia sulla Latenza di Rete
La Latenza media di Rete sulla rete: - europea non supera i 70 ms al mese.
- transatlantica non supera i 150 ms al mese.
Garanzia sui pacchetti persi “Packet Loss”
La percentuale di pacchetti persi sulla rete è minore dell’ 1% al mese.
Garanzia sulla Disponibilità del Servizio
Disponibilità % : dei Circuiti di Accesso alla rete del fornitore: 99.85%
dei Circuiti all’interno dell’Internet Solution Center (ISC): 100%
del Backbone Network: 99.99%
Garanzia sulla gestione dei guasti
Per i Guasti che Degradano il Servizio, il Tempo di Ripristino Obiettivo è di 4 ore. Per Guasti che Non Degradano il Servizio, i Tempi di Ripristino saranno concordati di volta in volta. In linea generale, il fornitore ha come obiettivo il ripristino di tali guasti entro 3 giorni lavorativi.
Garanzia sull’Alimentazione elettrica per il servizio di HOUSING
Il fornitore garantisce l’alimentazione al 100% del tempo, per i RACK del servizio di HOUSING. Non è inclusa la mancanza di disponibilità risultante da: (a) circuiti o apparecchiature del cliente (b) applicazioni o apparecchiature del cliente (c) atti o omissioni del cliente, o ogni utilizzo autorizzato dal cliente (d) Cause di Forza Maggiore.
Case HistoryInfrastruttura in outsourcing - Web Housing e rete, garanzie
35Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
Livello di servizio Valori di soglia Importo Penali (*)
Rispetto dei piani di aggiornamento del sistema
Le scadenze devono essere rispettate al 96-98% entro la data prevista, per il 2-4% entro i 4-8 giorni successivi
2% - 4%
Rispetto dei piani di manutenzione programmata
Le scadenze devono essere rispettate al 96-98% entro la data prevista, per il 2-4% entro i 2-4 giorni successivi
2% - 4%
Tempestività di trasmissione delle informazioni al servizio di configurazione del sistema
Le informazioni per l’aggiornamento della configurazione devono essere trasmesse alla funzione competente entro 30-60 minuti dalla installazione della modifica, nel 99-100% dei casi
1% - 2%
Tempestività di applicazione delle correzioni sul Sw relative alle vulnerabilità
Entro 1-3 ore nei casi di massima urgenza (ad es. in presenza di attacchi in rete). Negli altri casi entro 24-64 ore nel 96- 98% dei casi, entro 48- 128 ore nel restante 2- 4%
1% - 2%
Garanzia di integrità (completezza, accuratezza, validità) dei piani
Le attività concordate con il cliente devono essere rispettate nei piani al 96-98% , nel periodo di riferimento.
1% - 2%
Case History
Infrastruttura in outsourcing - Web Housing, gestione dei cambiamenti
36Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
• SecurityConfidenzialità Disponibilit
à
Monitoraggio
della Sicurezza
Monitoraggiosicurezza
logica(Tempi, Costi)
Fiewall
IDS
Sistema antivirus
Server (S.O. e applicazioni)
Vulnerabilità
Disponibilità del sistema
Disponibilità delle applicazioni
Tempi di risposta dall’ESTERNO
Analisi dei LOG
Monitoraggiosicurezza
fisica(Tempi, Costi)
Accessi
Vigilanza
Locali archivi, server, ecc. (incendi, allagamenti, ….)
Integrità
Monitoraggiosicurezza
organizzativa(Tempi, Costi)
Analisi del rischio
Responsabilità ed autorità
Attività, procedure e piani di contingenza
Audit
Case History
tentativi di accesso
numero utenti creatinumero amministr. creatimodifiche privilegi acc.numero utenti connessitentativi falliti di acc.
tentativi di attaccotentativi di pre-attacco
numero vuln. notefrequenza verifica vuln.tempo di reazione
disponibilita’ complessivatemperaturaalimentazionerisposta alla retecontinuita’ dbms
37Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
Indicatore
Definizione
Valori
Security incident response Tempo di risposta per un incidente di sicurezza
15 minuti
Normal firewall policy change
Tempo di effettuazione di una modifica sul firewall classificata come “normale”
8 ore
Urgent firewall policy change
Tempo di effettuazione di una modifica sul firewall classificata come “urgente”
2 ore
Indicatore Definizione Valori
Vulnerabilità effettiva
Numero di intrusioni rilevate ed effettuate nel periodo di riferimento (Numero di accessi al sito non autorizzati ma ugualmente effettuati)
Le infrazioni dolose al sito devono essere zero
Vulnerabilità preventiva
Tentativi di intrusioni di prova effettuati con successo nel test periodico
Il numero dei tentativi riusciti deve essere in numero limitato (2- 3
per ogni test)
Case History
Security in outsourcing - Web Housing
38Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
INDICATORE Livelli di servizio Definizione Misure da rilevare
Tempestività di notifica
Tempestività di notifica al servizio di Gestione dei cambiamenti
Tempo massimo entro il quale deve essere attivata la struttura che deve gestire l'Incidente (in questo caso il "servizio di gestione dei cambiamenti").
Tempo tra la rilevazione di un incidente di sicurezza e la presa in carico da parte degli specialisti.
Penali (% del valore contrattuale del servizio
nel periodo di osservazione)
Livelli di servizio Valori di soglia
Causale Importo Tempestività di notifica al servizio di Gestione dei cambiamenti
15’ - 25’ nel 99% dei casi
Per ogni punto percentuale in più rispetto ai valori di soglia
1% - 2%
Case History
Security in outsourcing - Web Housing
DNVDet Norske Veritas
Due parole su
40Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
Obiettivi
LA SALVAGUARDIA
DELLA VITA,
DELLA PROPRIETÀ,
E DELL’AMBIENTE
41Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
Organizzazione internazionale
Europe 3,900
Africa 25
Asia 870
Australia 70
Americas 635
Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy
DNV in Italia
Venezia15
Bari13
Bologna13
Catania 5
Torino 10Genova3
Firenze7 Roma
13
Milano 105
Napoli 3
Total Employees: 187
Total NEX: 281