1 / 42

Strategic fit

Strategic fit. BS 7799 Ebtrust: dalla sicurezza dei dati alla affidabilità del business in rete. Dott. Stefano Traversa. Agenda. Il Testo Unico e le “misure di Sicurezza” La Risposta DNV al requisito cogente BS7799 Analisi Valutazione e Trattamento del Rischio

nola
Download Presentation

Strategic fit

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Strategic fit BS 7799 Ebtrust: dalla sicurezza dei dati alla affidabilità del business in rete Dott. Stefano Traversa

  2. Agenda • Il Testo Unico e le “misure di Sicurezza” • La Risposta DNV al requisito cogente • BS7799 Analisi Valutazione e Trattamento del Rischio Business Continuity e Gestione degli Incidenti • EBtrust Il Rischio sul Canale Internet Un Modello Modulare Case History • Due parole su DNV

  3. TU 196 – Misure di sicurezza Art. 31 (Obblighi di sicurezza) I dati personali oggetto di trattamento sono custoditi e controllati, ……., in modo da ridurre al minimomediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

  4. TU 196 – Misure di sicurezza Art. 32 (Particolari titolari) 1. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico adotta ai sensi dell’articolo 31 idonee misuretecniche e organizzativeadeguate alrischio esistente, per salvaguardarela sicurezza dei suoi servizi, l’integrità dei dati relativi ……….. 2. ……. 3. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico informa gli abbonati e, ove possibile, gli utenti, se sussiste un particolarerischio di violazione della sicurezzadella rete, indicando, quando il rischio è al di fuori dell’ambito di applicazione delle misure che il fornitore stesso è tenuto ad adottare ai sensi dei commi 1 e 2, tutti i possibili rimedi e i relativi costi presumibili. ……….

  5. ALLEGATO B – Disciplinare tecnico in materia di misure minime di sicurezza (Artt. da 33 a 36 del codice) Altre misure di sicurezza 16. I dati personali sono protetti controil rischio di intrusione ….. 17. Gli aggiornamenti periodici ….vulnerabilità di strumenti elettronici …… Documento programmatico sulla sicurezza 19. Entro il 31 marzo di ogni anno, …….., un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: 19.1. l’elenco dei trattamenti di dati personali; 19.2.la distribuzione dei compiti e delle responsabilitànell’ambito delle strutture preposte al trattamento dei dati; 19.3. l’analisi dei rischiche incombono sui dati; 19.4. le misure da adottare per garantirel’integrità e la disponibilità dei dati, nonché laprotezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; 19.5.la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei datiin seguito a distruzione o danneggiamento di cui al successivo punto 23; 19.6. la previsione di interventi formatividegli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, dellemisure disponibiliperprevenire eventi dannosi, …….;

  6. La Risposta DNV • BS7799 Sistema Di Gestione della Sicurezza delle Informazioni – Gestione del Rischio • EBtrust Sistema Di Gestione dell’E-Business - Specifico per il canale Internet

  7. BS7799 e la Sicurezza delle Informazioni Assicurare le vostre informazioni BS7799 in un ambiente dove il business diventa sempre più vulnerabile

  8. Sicurezza dell’informazione • Lo scopo di BS7799: Assicurare riservatezza, integrità e disponibilità dell’informazione al fine di assicurare la continuità del business, prevenire e minimizzare i danni

  9. Lo standard BS7799 - Obiettivi BS7799 part 1 Base comune per lo sviluppo, l’implementazione e la misurazione dell’efficacia delle pratiche di gestione della sicurezza. Chiarezza nelle trattative internazionali. BS7799 part 2 Requisiti per valutare la conformità del Sistema di Gestione della Sicurezza dell’Informazione ai fini della certificazione

  10. BS7799 part 2 - Certificazione - Requisiti 1. Rischi della sicurezza 2. Requisiti legali e contrattuali 3. Principi, obiettivi e requisiti interni Attenzione: Controlli e grado di flessibilità appropriati dall’ INIZIO!

  11. Sicurezza dell’informazione - Struttura Sicurezza dell’informazione Sicurezza organizzativa Sicurezza informatica Sicurezza Electronic Data Processing Sicurezza della comunicazione

  12. Sicurezza dell’informazione - I Principi a) Riservatezza b) Integrità c) Disponibilità

  13. Sicurezza dell’informazione - definizioni Riservatezza: capacità di non rendere disponibili o divulgare ad individui, entità o processi non autorizzati le informazioni (obbligo legale di riservatezza a tutela delle informazioni di terzi (dati personali)) Integrità: impossibilità di alterare o distruggere, da parte di individui, entità e processi non autorizzati, le informazioni Disponibilità: garanzia di accesso ed utilizzo delle informazioni da parte di chi ne è autorizzato nei tempi richiesti Autenticità: garanzia della provenienza di un’informazione Non ripudio: le informazioni devono essere protette da falsa negazione di ricezione, trasmissione, creazione, sottomissione, trasporto, consegna, ricevuta.

  14. Analisi, Valutazione e Trattamento del rischio, Business Continuity e gestione degli incidenti

  15. Analisi e Valutazione dei Rischi Identificare: le risorse (asset) e i loro responsabili le minacce a queste risorse le vulnerabilità gli impatti di perdite di Riservatezza Integrità Disponibilità su queste risorse Valutare: il danno aziendale da un problema di sicurezza la probabilità di tali problemi Stimare il livello di rischio Determinare se il rischio è accettabile

  16. Trattamento dei Rischi Identificare e valutare le opzioni di trattamento del rischio: (ridurre, trasferire, accettare) Selezionare: gli obiettivi di controllo per ridurre il rischio. i controlli atti a soddisfare gli obiettivi di controllo (Statement Of Applicability). Ottenere l’approvazione della Direzione: in merito al rischio residuo e all’implementazione dei controlli.

  17. Opzioni di trattamento del rischio • Le opzioni sono: • ridurre il rischio: applicare appropriati controlli; • accettare il rischio, consapevolmente e oggettivamente, se tale rischio soddisfa le politiche e i criteri di accettazione (costi, rischio di impresa); • evitare il rischio; • trasferire il rischio (assicurazioni, fornitori).

  18. Selezionare gli obiettivi di controllo • E’ importante selezionare, per ciascun rischio che si vuole ridurre, adeguati obiettivi di controllo. • Oltre a quanto espresso dalla norma, è possibile suddividere tali obiettivi in due grandi famiglie: • prevenzione del successo di un attacco • rilevazione di attacchi e tentativi di attacco, con proprietà di prevenzione e mitigazione • mitigazione dei danni di un attacco riuscito (il trasferimento è una forma di mitigazione).

  19. Obiettivi di controllo: uno schema • Un classico schema per stabilire quale strada principale intraprendere è il seguente: Valore minaccia Valore risorsa/Danni della minaccia

  20. Punto chiave 1: Rischio residuo • L’accettabilità del rischio residuo deve derivare dai criteri espressi dalla Direzione in fase di definizione del metodo di analisi del rischio • Il rischio residuo deve essere successivamente rivalutato e validato dalla Direzione stessa.

  21. Punto chiave 2: Costo dei controlli • Il costo dei controlli deve tenere conto di: • costo economico di acquisto o sviluppo, • tempo di installazione e configurazione, • modalità di mantenimento. • E’ anche opportuno verificare il costo dell’acquisizione delle opportune competenze (formazione, assunzione o contratti di fornitura), anche per gestire le verifiche.

  22. Business Continuity • Il Business Continuity Management ha l’obiettivo di contrastare le interruzioni alle attività aziendali e di proteggere i processi critici dagli effetti di grossi danni o disastri. • Deve essere presente un processo di gestione della continuità del business per ridurre i danni di un’interruzione ad un livello accettabile, attraverso controlli preventivi e di mitigazione. • N.B: Non bisogna confondere il BCM con il Disaster Recovery Plan.

  23. Come realizzare un Business Continuity Management • Le analisi, valutazioni e scelte di trattamento del rischio richieste da un BCM sono le stesse viste in precedenza: • un’analisi e valutazione dei rischi • l’analisi delle conseguenze di disastri, malfunzionamenti, interruzioni di servizi (Business Impact Analysis), • realizzazione di piani (controlli) affinché i processi di business siano riattivati entro il tempo richiesto. • I piani devono essere mantenuti, riesaminati e controllati in modo uguale a tutti gli altri processi di gestione.

  24. Gestione degli incidenti • Deve essere stabilita una procedura (documentata almeno in quella relativa alle azioni correttive) che abbia come obiettivo la minimizzazione degli incidenti di sicurezza e dei malfunzionamenti, il loro controllo e monitoraggio, nonché l’apprendimento dalle esperienze pregresse. • Deve essere stabilito un canale di comunicazione per riportare incidenti, eventualmente differenziato tra le tipologie (attacchi, minacce, vulnerabilità o malfunzionamenti) • Per affrontare correttamente gli incidenti sarà necessario prevedere di raccogliere prove dell’accaduto il prima possibile. • Le procedure devono essere a conoscenza di personale interno, fornitori.

  25. Lo standard BS7799 - Vantaggi Facile da capire Non dipendente nelle tecnologie Non ristretto ad un singolo paese dal punto di vista legale Non specifico ad un tipo di business Best practice Non solo IT Guidata dallo sviluppo del mercato

  26. BS7799 Gestite il Vostro Canale Internet EBtrust in un ambiente dove il business su internet diventa sempre più specifico

  27. EBtrust Lo scopo di EBtrust: Fornire una valutazione, indipendente di terza parte, sulla capacità di mantenere gli impegni verso gli stakeholders

  28. EBtrust • Definire il Business Model Rispetto alle esigenze di Business: Etica, Web Marketing, Process & Organization, Security, Infrastructure • Effettuate un Risk Assesment sul Canale a) Valutare (minacce, vulnerabilità, impatti) b) Circoscritti a (Condotta Etica, Roi , Ottimizzazione Prestazioni di Processo, Security) • Definire i controlli

  29. EBtrust - Vantaggi • Specifico per il canale Internet e di riferimento mondiale • Consente il confronto, lamisura dei gap, l’analisi per lariduzionedei rischi, la definizione di investimenti mirati, corretti ed efficaci • Spinge alla correzione di situazioni critiche, toccando le aree più importanti delcanale Internet - area strategica, area risorse, areaoperativa- e fornendo reports e spunti di miglioramento specifici sulle aree • Modularenella scelta dei moduli da applicare rispetto alle esigenze specifiche edalle criticità dell’azienda - Infrastrutture, Security, Processi ed Organizzazione, Web Marketing, Etica- che permetta la focalizzazione dell’azienda sull’area di interesse e la definizione di un percorso di sviluppo. Riducendo investimenti e costi eccessivi per la certificazione del canale rispetto alle necessità • Chiede che siano definiti obiettivi misurabili e misurati su aspetti operativi - tempi eprestazioni - permettendo l’identificazione diindicatori delleprestazioni chiave • Inserisce aspetti di redditività del canale Internet, consentendo l’analisidiefficacia, l’analisi diredditivitàdel canale, rendendo anche possibile il confrontocon gli altri, ed eventualmente permettendo anche l’analisi di indici ed indicatori economici (ROS, ROI, BeP, Pay Back)

  30. EBtrust – il modello Processi Critici Ethical Business Conduct Human Resources Monitoring & Review Etica Policy Privacy Web marketing Monitoring & Review Results Background Analysis Testing Policy & Procedures Communication Strategy System Functionality Monitoring & Review System Availability Interface Design Infrastrutture Policy & Procedures Organisa- tional Monitoring & Review Sicurezza Logical Physical Policy & Procedures Processi e organizzazione Business Model Production & Delivery Customer Focus Monitoring & Review Policy & Procedures Order Processing

  31. Case History • Processi ed Organizzazione Cust. Satisfaction/ Retention Ricavi unitari Costi unitari Volumi e QdM Indici finanziari Indici economici Indici patrimoniali Monitoraggio Organizzazione (Tempi, Volumi, Costi) Numero contratti a budget Numero contratti acquisiti Indice di raggiungimento del budget Numero di modifiche dell’offerta iniziale Monitoraggio Ordine (no web) (Tempi, Volumi, Ricavi, Costi) Monitoraggio dei processi Monitoraggio Qualifica fornitori Conduzione della gara Aggiudicazione (Tempi, Volumi, Costi) Numero fornitori non inseriti Numero totale fornitori % di errore nella gestione fornitori Chiamate all’Help Desk prima della formazione Chiamate all’Help Desk dopo la formazione Monitoraggio Customer Service (Tempi, Volumi, Costi, Ricavi) Indagini di CS sugli appaltanti Indagini di CS sui fornitori Chiamate all’Help Desk degli appaltanti Chiamate all’HD per supporto tecnico

  32. Case History • Infrastrutture tempo di elaborazione Efficienza Velocità Carico tempo di trasferimento tempo di risposta errori di pagina flusso dati Tempi di risposta dall’INTERNO Tempi di risposta dall’ESTERNO Analisi dei LOG Monitoraggio Performance elaborazione pagine downloads sessioni e-users links percorsi tipici errori errori server utilizzo banda Monitoraggio Velocità (Tempi) % cpu % disco stato memoria stato aree swap disk i/o Carico del sistema Carico della rete Carico delle applicazioni num e stato processi Monitoraggio Carico (Volumi) storage traffico rete dati idc traffico rete internet n utenti attivi Monitoraggio Efficienza (Costi) Contenuti Servizi a supporto Help desk

  33. Case History Infrastruttura in outsourcing - Web Housing

  34. Case History Infrastruttura in outsourcing - Web Housing e rete, garanzie

  35. Case History Infrastruttura in outsourcing - Web Housing, gestione dei cambiamenti

  36. Case History tentativi di accesso • Security Integrità Confidenzialità Disponibilità tentativi di attacco tentativi di pre-attacco Fiewall IDS Sistema antivirus Server (S.O. e applicazioni) Vulnerabilità Disponibilità del sistema Disponibilità delle applicazioni Tempi di risposta dall’ESTERNO Analisi dei LOG numero utenti creati numero amministr. creati Monitoraggio della Sicurezza modifiche privilegi acc. numero utenti connessi tentativi falliti di acc. numero vuln. note frequenza verifica vuln. tempo di reazione Monitoraggio sicurezza logica (Tempi, Costi) disponibilita’ complessiva temperatura alimentazione Accessi Vigilanza Locali archivi, server, ecc. (incendi, allagamenti, ….) risposta alla rete continuita’ dbms Monitoraggio sicurezza fisica (Tempi, Costi) Analisi del rischio Responsabilità ed autorità Attività, procedure e piani di contingenza Audit Monitoraggio sicurezza organizzativa (Tempi, Costi)

  37. Case History Security in outsourcing - Web Housing

  38. Case History Security in outsourcing - Web Housing

  39. Due parole su DNVDet Norske Veritas

  40. Obiettivi LA SALVAGUARDIA DELLA VITA, DELLA PROPRIETÀ, E DELL’AMBIENTE

  41. Organizzazione internazionale Americas 635 Asia 870 Africa 25 Australia 70 Europe 3,900

  42. DNV in Italia Milano 105 Venezia 15 Torino 10 Bologna 13 Genova 3 Total Employees: 187 Total NEX: 281 Firenze 7 Roma 13 Bari 13 Napoli 3 Catania 5

More Related