Presentazione Franco Cerminara

Transcript

Esperienza di adozione della
nuova ISO 27001:2013
Franco Cerminara, Head of Consulting, Member of the Management
SEITE 1
© InfoGuard AG | infoguard.ch
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
++++++
«La sicurezza informatica è complessa.
Una protezione affidabile degli asset aziendali informazioni, persone, processi e infrastrutture non si può ottenere se non per mezzo di un
processo di sicurezza strutturato e metodico
secondo la norma ISO 27001.»
Franco Cerminara
Head of Consulting
Member of the Management
InfoGuard AG
+41 41 749 19 62
+41 79 308 83 16
[email protected]
Sommario
› Chi è InfoGuard AG
› Perché è meglio la prevenzione con la ISO 27001
della cura dopo un attacco
› Esperienza pratica e fattori critici di successo
› Discussione
SEITE 3
Membro del «The Crypto Group» Competenza dal 1952
› Azienda svizzera specializzata in sicurezza
› Oltre 55 esperti di sicurezza
› Competenza dal 1988
› 300 clienti soddisfatti
› Certificata ISO/IEC 27001:2013
PAGE 4
Avvaletevi della nostra esperienza e
delle nostre competenze!
› Specialisti scelti per una sicurezza
informatica totale.
› Ampia esperienza su progetti nazionali e
internazionali di SGSI nei più variati settori.
› Processi orientati agli obiettivi grazie alle
«Best Practice» e a metodi avanzati.
› Ruoli: consulenti di sicurezza, architetti di
sicurezza, analisti di sicurezza,
Penetration Tester.
SEITE 5
Esperienza e competenza – i nostri clienti
PAGE 6
Sommario
› Discussione
SEITE 7
Perché è meglio la prevenzione con la
ISO 27001 della cura dopo un hacking
SEITE 8
Botnets
© InfoGuard AG / Switzerland
•
Page 9
Nov-15 www.infoguard.ch
Sistema di gestione della sicurezza
delle informazioni-SGSI: cosa e perché
› Decisioni a livello di vertici aziendali (C-level)
› Quotazioni, prezzi, contratti, strategie
› Informazioni per R & D
› Informazioni finanziarie
› Dati dei clienti
› Misure di sicurezza implementate
› Database della conoscenza
› Organizzazione / Risorse umane
La ISO 27001 è lo standard per una sicurezza delle
informazioni che dura nel tempo.
SEITE 10
Persone
Processi
Tecnologia
SEITE 11
Sensibilizzazione alla sicurezza
Impegno della direzione
Terzi
Team della sicurezza
Persone
Change Management
Gestione dei rischi
Gestione degli incidenti
Gestione accessi
Processi
Gestione vulnerabilità
e patch
Gestione degli asset
Cifratura
Gestione di incidenti e
eventi di sicurezza
Tecnologia
Controllo accessi
Infrastruttura ICT sicura
Gestione minacce e identificazione delle violazioni
SEITE 12
SICUREZZA SU MISURA
SEITE 13
Sommario
› Discussione
SEITE 14
Progetto SGSI (Fasi 1 – 11) e successive
ciclo di miglioramento continuo
Fase 3 Definire perimetro.
Fase 2 – Ottenere
supporto della direzione.
Fase 4 – Definire un
metodo di
valutazione dei
rischi.
Fase 1 – Identificaz.
obiettivi di business.
ACT
PLAN
CHECK
DO
Fase 11 –
Condurre
periodicamente audit di
sorveglianza.
Fase 5 – inventario
asset informativi e
classificazione
informazioni.
Fase 6 – Gestire I
rischi, creare piano
di trattamento dei
rischi.
Fase 10 – Preparare l’audit
di certificazione.
Fase 9 – Monitorare
l’implementazione del SGSI.
Fase 7 – Stabilire politiche e
procedure per controllare I rischi.
Fase 8 – Allocare risorse,
formare il personale.
SEITE 16
Organizzazioni certificate ISO
27001:2013 in Svizzera
SEITE 17
Rapporto di referenza
Sunrise Communications AG
› Preparazione completa per la certificazione ISO 27001
Ramo Telecomunicazioni
Sede Zürich-Oerlikon
Fatturato CHF 2012 Mio.
Secondo fornitore di
telecomunicazioni in Svizzera
1’874 dipendenti
8 sedi, 93 negozi
6 call centre esterni in 12
località,
1 operatore di rete mobile
› Rielaborazione totale e completamento della documentazione
www.sunrise.ch
› Concetto, incl. Campagna di sensibilizzazione
(linee-guida, standard, processi, documenti del SGSI)
› Censimento e classificazione di tutti gli obiettivi di protezione
› Analisi dei fornitori di servizi (Outsourcer)
› Esecuzione di gap analysis
› Analisi completa dei rischi
› Affiancamento nella fase di implementazione
› Preparazione e affiancamento nell’audit preliminare
› Affiancamento dell’audit di certificazione ISO
27001:2013
› Supporto al CISO (Chief Information Security Officer)
SEITE 18
Esperienza pratica
Fasi del progetto-tipo…..
› L’implementazione dipende da quali attività sono già state svolte
Definizione
perimetro
Kick-off
Gap
Analysis
Accettazione
perimetro
Piano
contromisure
Implementazione
contromisure
Pianificazione
presa in consegna
Audit
preliminare
Correzioni
Discussione
risultati
Audit di certificazione
Certificazione
tempo
› Requisiti temporali per il SGSI ed eventuale certificazione iniziale: tra i 4 e i
12 mesi. Dipende da:
› Maturità dell’impresa (organizzazione, processi, documentazione)
› Dimensione dell’impresa
› Estensione del perimetro
› Prevedere un tempo sufficiente tra l’audit preliminare (1. fase) e l’audit di
certificazione
› Correzione di eventuali mancanze o nonconformità
SEITE 19
Esperienza pratica
Definizione del perimetro
Definire con precisione il perimetro all’inizio:
conseguenze sulla struttura del SGSI e sul tempo
necessario all’implementazione
SEITE 20
InfoGuard AG ha implementato
un SGSI secondo lo standard
internazionale di sicurezza ISO
27001:2013. In questo modo sia
per InfoGuard che per i suoi
clienti è garantito un rapporto
sicuro con le informazioni.
Esperienza pratica
Supporto della direzione / management
Fattori critici di successo
› Supporto della direzione
› Comunicazione con tutti gli interessati
› Non sottostimare requisiti di tempi e costi
› Tener conto dei tempi del processo decisionale
› Disponibilità di dipendenti e fornitori di servizi a prendere
parte ad analisi, pianificazione e implementazione delle
misure di sicurezza
› Coinvongimento tempestivo del certificatore
› Assicurarsi della disponibilità degli auditor
› Nessun «Progetto-spot»: il SGSI deve essere
http://www.gamingworks.nl/abc-of-ict-sweden
SEITE 21
implementato e vissuto, per meritarsi la certificazione
Esperienza pratica
Stabilire Organizzazione
› Definire e attivare ruoli e responsabilità
› Il «Team di implementazione» non è responsabile di tutto
› Ad es. classificazione: identificare il proprietario dei dati, che si fa carico
della classificazione, evt. opportunamente guidato
› Ad es. Gestione del rischio
› Identificare i proprietari dei rischi, che si fanno carico della stima del rischio (evt.
con l'aiuto del CISO) e definisce le possibili contromisure
› Oppure: Self-Assessment tramite Business/Data Owner
› Minore impegno di tempo per il team di implementazione
› I proprietari dei rischi sono in grado di provvedere autonomamente e
regolarmente, evtl. con una opportuna formazione, a una stima del rischio ->
aumento delle loro competenze e sensibilità
SEITE 22
Esperienza pratica
Stabilire l’organizzazione
Comitato di audit presso il consiglio di amministrazione
• revisione strategica trimestrale dei rischi
Comitato di direzione
• supporta le attività necessarie a stabilire una cultura positiva di sicurezza
• massimo livello di escalation
Comitato di gestione del SGSI
• rappresentanti dell’alta direzione
• definisce piani e priorità delle attività e dei progetti di sicurezza dell'impresa
• tiene sotto costante controllo il SGSI
• discute, commenta e avanza proposte riguardo ai temi di sicurezza più rilevanti
Gruppo di lavoro del SGSI
• rappresentanti delle unità di business e di servizio più importanti
• funge da direzione operativa per la sicurezza di ciascuna UB/US
• scambio regolare di informazioni con il dirigente esecutivo della UB/US coinvolta
• coordina i compiti di sicurezza nella propria UB/US
SEITE 23
Esperienza pratica
Gestione dei rischi
http://www.nist.gov/cyberframework/
Gefährdungskatalog G 0 "Elementare Gefährdungen" - BSI
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/Gefaehrdungskatalog-G0ElementareGefaehrdungen.pdf?__blob=publicationFile
SEITE 24
Esperienza pratica
Documenti
SEITE 25
DOCUMENTO
ISO 27001:2013
CAPITOLO N.
Perimetro SGSI
4.3
Politica e obiettivi di sicurezza
5.2, 6.2
Metodologia di analisi e gestione del rischio
§
Statement of Applicability (SoA)
6.1.3d
Piano delle misure di minimizzazione die rischi
6.1.3e, 6.2
Rapporto analisi die rischi
8.2
Definizione di ruoli e responsabilità in relazione alla sicurezza delle informazioni
A.7.1.2, A.13.2.4
Inventario degli asset
A.8.1.1
Uso accettabile degli asset
A.8.1.3
Politica di controllo degli accessi
A.9.1.1
Procedure operative nella gestione IT
A.12.1.1
Requisiti di configurazione sicura dei sistemi
A.14.2.5
Politica di sicurezza relativa ai fornitori esterni di servizi
A.15.1.1
Procedura di gestione degli incidenti
A.16.1.5
Procedure di continuità di servizio
A.17.1.2
Requisiti applicabili di regolamento, legali e contrattuali
A.18.1.1
Esperienza pratica
Sensibilizzazione del personale
Le persone …
Sensibilizzazione del
personale sulla sicurezza
delle informazioni
SEITE 26
Esperienza pratica
Altri fattori rilevanti
› Gestione centralizzata delle attività / Task list
› Redigere e tenere aggiornato l'inventario degli asset.
Completamento della classificazione delle informazioni, ove
possibile
› Classificazione dei dati
› Creazione preliminare uno schema di classificazione uniforme con
esempi
› Evt. Creare un modello di dati con classificazione di default
› Documentazione dei processi operativi (specialmente nelle piccole
aziende)
› Segregation of duties nelle piccole aziende
› Se necessario, introdurre il «principio dei 4 occhi»
SEITE 27
Esperienza pratica
PMC – la vita dopo la certificazione
› ISO/IEC 27001 stabilisce:
› Miglioramento continuo sulla base di misure
oggettive.
› Come si effettua una misura oggettiva?
› Criteri di misura quale ad es. il numero di incidenti
rilevati o delle contromisure rilevate non sono
adeguati alla misura dell'efficacia.
› Infatti un alto numero di incidenti rilevati potrebbe
portare alla conclusione che la sicurezza nell'impresa
sia scarsa. Al contrario potrebbe essere indice del
fatto che il sistema di rilevamento e contrasto degli
incidenti è molto efficace.
› Non esistono metriche univocamente significative e
quantificabili.
PMC: processo di miglioramento continuo
SEITE 28
Esperienza pratica
PMC - Un possibile strumento di misura
› Uno strumento di misura multifattoriale, basato sui
giudizi degli esperti dei security forum e ispirato in
parte al metodo Delphi.
› L'uso e l'analisi comparativa dei criteri di valutazione
definiti e delle singole opinioni di tutti i membri del
Forum di sicurezza, attribuisce ai risultati delle
misurazioni la massima oggettività possibile.
› La valutazione viene effettuata una volta l’anno,
nell’ambito del riesame della direzione.
Seite 29
Esperienza pratica
PMC - Panorama dei criteri di misura utilizzati
1
Obiettivo /
Completezza
2
Attualità
3
Allarme preliminare
4
Funzione di
prevenzione
5
Controlli
6
Gestione degli
incidenti
7
Funzione di
miglioramento
8
Sistematicità
9
Rapporto
costi/contribuzione
Seite 30
Esperienza pratica
PMC - Criteri di misura in dettaglio (1)
1. Obiettivo / Completezza
• Il SGSI copre tutti i settori rilevanti di rischio di sicurezza delle
informazioni?
2. Attualità
• Il SGSI è costantemente aggiornato e tiene conto degli sviluppi interni
ed esterni?
3. Qualità del compimento della funzione di allarme preliminare
• Il SGSI segnala tempestivamente possibili rischi di sicurezza e rende
possibile l’adozione di adeguate contromisure?
SEITE 31
Esperienza pratica
4. Qualità dell’adempimento di funzioni di prevenzione
• Il SGSI contribuisce a evitare rischi di sicurezza?
5. Qualità dei controlli
• I controlli realizzati sono adeguati per il conseguimento della sicurezza
delle informazioni?
6. La gestione degli incidenti è adeguata agli obiettivi?
• Gli incidenti di sicurezza sono gestiti in modo tale da minimizzare o
eliminare i rischi all’origine?
SEITE 32
Esperienza pratica
7. Funzione di miglioramento
• Le misure di sicurezza da adottare per il miglioramento della sicurezza
delle informazioni sono rapportate agli incidenti di sicurezza e ai risultati
dei controlli?
8. Sistematicità
• Le procedure di attuazione del SGSI sono sistematiche
9. Rapporto costi/contribuzione
• I risultati ottenuti dal SGSI (analisi, piani, prevenzione, osservazione e
miglioramenti) giustificano i rispettivi costi?
SEITE 33
Esperienza pratica
Chi effettua le valutazioni e sistema di misura
› I membri del forum di sicurezza (direzione, settori specialistici, direzione
del personale e funzione sicurezza).
› La valutazione si svolge separatamente gli uni dagli altri, mediante un
questionario.
› Ci siamo serviti di una scala di valutazione facile e univoca, utilizzando il
sistema svizzero dei voti scolastici:
› 6 (ottimo)
› 5 (buono)
› 4 (sufficiente)
› 3 (insufficiente)
› 2 (scarso)
› 1 (pessimo)
Eventuali nuovi criteri di misura utilizzano la stessa scala.
Seite 34
Esperienza pratica
Questionario di rilevamento e valutazione (1)
Seite 35
Esperienza pratica
PMC - Analisi - Tabelle
Seite 36
Esperienza pratica
PMC - Analisi / Valutazione / Contromisure
› Le valutazioni e le eccezioni sono analizzate, discusse e valutate dal forum
di sicurezza sulla base di diagrammi e interpretazioni.
› Le divergenze tra i componenti del Security Forum nel corso del tempo
sono più importanti delle valutazioni assolute.
› Sulla base delle analisi e valutazioni è necessario prendere specifiche
contromisure per l’aumento dell’efficacia del SGSI?
› Se sì:
›
›
›
›
›
›
Seite 37
Perché?
Quali?
Realizzabili?
Passi successivi secondo il modello PDCA.
Come?
Da chi?
Quando?
Esperienza pratica
Strumenti per il SGSI?
https://www.aisec.fraunhofer.de/content/dam/aisec/Dokumente/Publikationen/Studien_TechReports/deutsch/ISMS_Softwaresysteme_ISO27001.pdf
SEITE 38
Esperienza pratica
Conclusione
SEITE 39
Esperienza pratica
Conclusione
Benefici per i clienti
• Evitare costi extra / imprevisti
• Gestione più fluida in quanto
responsabilità e processi sono
chiaramente definiti
• Miglioramento dell’immagine
dell’azienda sul mercato – I clienti
si fidano dell’azienda
SEITE 40
Benefici per i clienti dei
clienti
Benefici per il personale
del cliente
• Lavorare con un fornitore
affidabile conferma l’impegno
dell’azienda nella protezione dei
propri dati
• Instilla fiducia più avanti nella
supply chain, che determina
rapport clienti / fornitori più forti
• Ridotti rischi di esposizione
accidentale a informazioni
riservate / sensibili, grazie a
controlli di accesso appropriati
• Rassicurazione che il datore di
lavoro rispetta le line guida di
sicurezza nella gestione dei dati
• Ruoli e responsabilità chiari e
definiti con precisione che
portano a maggior soddisfazione e
produttività nel lavoro
Discussione
SEITE 42
Gli esperti svizzeri di soluzioni di
sicurezza di rete e di informazioni
Discussione
InfoGuard AG
Lindenstrasse 10, 6340 Baar/Schweiz
Telefon +41 41 749 19 00, Fax +41 41 749 19 10
infoguard.ch, [email protected]
SEITE 43

Presentazione Franco Cerminara

Transcript

Documenti analoghi

Voglio stampare questa lista.

Bizzozero succede a Alfredo Gysi

Diversificare una tecnica ma anche una difficile arte

LUIGI CARNACINA

buono - Newsletter

www.gruendl-wolle.de Seite 1 von 2

hacking the iso 27001

SONY HR Trinitron 1453 MD monitor video a colori, 14 pollici, 280

Mediacentral 2 di Equinux: la più completa soluzione per il