Presentazione Franco Cerminara
Transcript
Presentazione Franco Cerminara
Esperienza di adozione della nuova ISO 27001:2013 Franco Cerminara, Head of Consulting, Member of the Management SEITE 1 © InfoGuard AG | infoguard.ch ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ ++++++ «La sicurezza informatica è complessa. Una protezione affidabile degli asset aziendali informazioni, persone, processi e infrastrutture non si può ottenere se non per mezzo di un processo di sicurezza strutturato e metodico secondo la norma ISO 27001.» Franco Cerminara Head of Consulting Member of the Management InfoGuard AG +41 41 749 19 62 +41 79 308 83 16 [email protected] Sommario › Chi è InfoGuard AG › Perché è meglio la prevenzione con la ISO 27001 della cura dopo un attacco › Esperienza pratica e fattori critici di successo › Discussione SEITE 3 © InfoGuard AG | infoguard.ch Membro del «The Crypto Group» Competenza dal 1952 › Azienda svizzera specializzata in sicurezza › Oltre 55 esperti di sicurezza › Competenza dal 1988 › 300 clienti soddisfatti › Certificata ISO/IEC 27001:2013 PAGE 4 © InfoGuard AG | infoguard.ch Avvaletevi della nostra esperienza e delle nostre competenze! › Specialisti scelti per una sicurezza informatica totale. › Ampia esperienza su progetti nazionali e internazionali di SGSI nei più variati settori. › Processi orientati agli obiettivi grazie alle «Best Practice» e a metodi avanzati. › Ruoli: consulenti di sicurezza, architetti di sicurezza, analisti di sicurezza, Penetration Tester. SEITE 5 © InfoGuard AG | infoguard.ch Esperienza e competenza – i nostri clienti PAGE 6 © InfoGuard AG | infoguard.ch Sommario › Chi è InfoGuard AG › Perché è meglio la prevenzione con la ISO 27001 della cura dopo un attacco › Esperienza pratica e fattori critici di successo › Discussione SEITE 7 © InfoGuard AG | infoguard.ch Perché è meglio la prevenzione con la ISO 27001 della cura dopo un hacking SEITE 8 © InfoGuard AG | infoguard.ch Botnets © InfoGuard AG / Switzerland • Page 9 Nov-15 www.infoguard.ch Sistema di gestione della sicurezza delle informazioni-SGSI: cosa e perché › Decisioni a livello di vertici aziendali (C-level) › Quotazioni, prezzi, contratti, strategie › Informazioni per R & D › Informazioni finanziarie › Dati dei clienti › Misure di sicurezza implementate › Database della conoscenza › Organizzazione / Risorse umane La ISO 27001 è lo standard per una sicurezza delle informazioni che dura nel tempo. SEITE 10 © InfoGuard AG | infoguard.ch Sistema di gestione della sicurezza delle informazioni-SGSI: cosa e perché Persone Processi Tecnologia SEITE 11 © InfoGuard AG | infoguard.ch Sistema di gestione della sicurezza delle informazioni-SGSI: cosa e perché Sensibilizzazione alla sicurezza Impegno della direzione Terzi Team della sicurezza Persone Change Management Gestione dei rischi Gestione degli incidenti Gestione accessi Processi Gestione vulnerabilità e patch Gestione degli asset Cifratura Gestione di incidenti e eventi di sicurezza Tecnologia Controllo accessi Infrastruttura ICT sicura Gestione minacce e identificazione delle violazioni SEITE 12 © InfoGuard AG | infoguard.ch Sistema di gestione della sicurezza delle informazioni-SGSI: cosa e perché SICUREZZA SU MISURA SEITE 13 © InfoGuard AG | infoguard.ch Sommario › Chi è InfoGuard AG › Perché è meglio la prevenzione con la ISO 27001 della cura dopo un attacco › Esperienza pratica e fattori critici di successo › Discussione SEITE 14 © InfoGuard AG | infoguard.ch Progetto SGSI (Fasi 1 – 11) e successive ciclo di miglioramento continuo Fase 3 Definire perimetro. Fase 2 – Ottenere supporto della direzione. Fase 4 – Definire un metodo di valutazione dei rischi. Fase 1 – Identificaz. obiettivi di business. ACT PLAN CHECK DO Fase 11 – Condurre periodicamente audit di sorveglianza. Fase 5 – inventario asset informativi e classificazione informazioni. Fase 6 – Gestire I rischi, creare piano di trattamento dei rischi. Fase 10 – Preparare l’audit di certificazione. Fase 9 – Monitorare l’implementazione del SGSI. Fase 7 – Stabilire politiche e procedure per controllare I rischi. Fase 8 – Allocare risorse, formare il personale. SEITE 16 © InfoGuard AG | infoguard.ch Organizzazioni certificate ISO 27001:2013 in Svizzera SEITE 17 © InfoGuard AG | infoguard.ch Rapporto di referenza Sunrise Communications AG › Preparazione completa per la certificazione ISO 27001 Ramo Telecomunicazioni Sede Zürich-Oerlikon Fatturato CHF 2012 Mio. Secondo fornitore di telecomunicazioni in Svizzera 1’874 dipendenti 8 sedi, 93 negozi 6 call centre esterni in 12 località, 1 operatore di rete mobile › Rielaborazione totale e completamento della documentazione www.sunrise.ch › Concetto, incl. Campagna di sensibilizzazione (linee-guida, standard, processi, documenti del SGSI) › Censimento e classificazione di tutti gli obiettivi di protezione › Analisi dei fornitori di servizi (Outsourcer) › Esecuzione di gap analysis › Analisi completa dei rischi › Affiancamento nella fase di implementazione › Preparazione e affiancamento nell’audit preliminare › Affiancamento dell’audit di certificazione ISO 27001:2013 › Supporto al CISO (Chief Information Security Officer) SEITE 18 © InfoGuard AG | infoguard.ch Esperienza pratica Fasi del progetto-tipo….. › L’implementazione dipende da quali attività sono già state svolte Definizione perimetro Kick-off Gap Analysis Accettazione perimetro Piano contromisure Implementazione contromisure Pianificazione presa in consegna Audit preliminare Correzioni Discussione risultati Audit di certificazione Certificazione tempo › Requisiti temporali per il SGSI ed eventuale certificazione iniziale: tra i 4 e i 12 mesi. Dipende da: › Maturità dell’impresa (organizzazione, processi, documentazione) › Dimensione dell’impresa › Estensione del perimetro › Prevedere un tempo sufficiente tra l’audit preliminare (1. fase) e l’audit di certificazione › Correzione di eventuali mancanze o nonconformità SEITE 19 © InfoGuard AG | infoguard.ch Esperienza pratica Definizione del perimetro Definire con precisione il perimetro all’inizio: conseguenze sulla struttura del SGSI e sul tempo necessario all’implementazione SEITE 20 InfoGuard AG ha implementato un SGSI secondo lo standard internazionale di sicurezza ISO 27001:2013. In questo modo sia per InfoGuard che per i suoi clienti è garantito un rapporto sicuro con le informazioni. © InfoGuard AG | infoguard.ch Esperienza pratica Supporto della direzione / management Fattori critici di successo › Supporto della direzione › Comunicazione con tutti gli interessati › Non sottostimare requisiti di tempi e costi › Tener conto dei tempi del processo decisionale › Disponibilità di dipendenti e fornitori di servizi a prendere parte ad analisi, pianificazione e implementazione delle misure di sicurezza › Coinvongimento tempestivo del certificatore › Assicurarsi della disponibilità degli auditor › Nessun «Progetto-spot»: il SGSI deve essere http://www.gamingworks.nl/abc-of-ict-sweden SEITE 21 implementato e vissuto, per meritarsi la certificazione © InfoGuard AG | infoguard.ch Esperienza pratica Stabilire Organizzazione › Definire e attivare ruoli e responsabilità › Il «Team di implementazione» non è responsabile di tutto › Ad es. classificazione: identificare il proprietario dei dati, che si fa carico della classificazione, evt. opportunamente guidato › Ad es. Gestione del rischio › Identificare i proprietari dei rischi, che si fanno carico della stima del rischio (evt. con l'aiuto del CISO) e definisce le possibili contromisure › Oppure: Self-Assessment tramite Business/Data Owner › Minore impegno di tempo per il team di implementazione › I proprietari dei rischi sono in grado di provvedere autonomamente e regolarmente, evtl. con una opportuna formazione, a una stima del rischio -> aumento delle loro competenze e sensibilità SEITE 22 © InfoGuard AG | infoguard.ch Esperienza pratica Stabilire l’organizzazione Comitato di audit presso il consiglio di amministrazione • revisione strategica trimestrale dei rischi Comitato di direzione • supporta le attività necessarie a stabilire una cultura positiva di sicurezza • massimo livello di escalation Comitato di gestione del SGSI • rappresentanti dell’alta direzione • definisce piani e priorità delle attività e dei progetti di sicurezza dell'impresa • tiene sotto costante controllo il SGSI • discute, commenta e avanza proposte riguardo ai temi di sicurezza più rilevanti Gruppo di lavoro del SGSI • rappresentanti delle unità di business e di servizio più importanti • funge da direzione operativa per la sicurezza di ciascuna UB/US • scambio regolare di informazioni con il dirigente esecutivo della UB/US coinvolta • coordina i compiti di sicurezza nella propria UB/US SEITE 23 © InfoGuard AG | infoguard.ch Esperienza pratica Gestione dei rischi http://www.nist.gov/cyberframework/ Gefährdungskatalog G 0 "Elementare Gefährdungen" - BSI https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Download/Gefaehrdungskatalog-G0ElementareGefaehrdungen.pdf?__blob=publicationFile SEITE 24 © InfoGuard AG | infoguard.ch Esperienza pratica Documenti http://www.gamingworks.nl/abc-of-ict-sweden SEITE 25 DOCUMENTO ISO 27001:2013 CAPITOLO N. Perimetro SGSI 4.3 Politica e obiettivi di sicurezza 5.2, 6.2 Metodologia di analisi e gestione del rischio § Statement of Applicability (SoA) 6.1.3d Piano delle misure di minimizzazione die rischi 6.1.3e, 6.2 Rapporto analisi die rischi 8.2 Definizione di ruoli e responsabilità in relazione alla sicurezza delle informazioni A.7.1.2, A.13.2.4 Inventario degli asset A.8.1.1 Uso accettabile degli asset A.8.1.3 Politica di controllo degli accessi A.9.1.1 Procedure operative nella gestione IT A.12.1.1 Requisiti di configurazione sicura dei sistemi A.14.2.5 Politica di sicurezza relativa ai fornitori esterni di servizi A.15.1.1 Procedura di gestione degli incidenti A.16.1.5 Procedure di continuità di servizio A.17.1.2 Requisiti applicabili di regolamento, legali e contrattuali A.18.1.1 © InfoGuard AG | infoguard.ch Esperienza pratica Sensibilizzazione del personale Le persone … Sensibilizzazione del personale sulla sicurezza delle informazioni SEITE 26 © InfoGuard AG | infoguard.ch Esperienza pratica Altri fattori rilevanti › Gestione centralizzata delle attività / Task list › Redigere e tenere aggiornato l'inventario degli asset. Completamento della classificazione delle informazioni, ove possibile › Classificazione dei dati › Creazione preliminare uno schema di classificazione uniforme con esempi › Evt. Creare un modello di dati con classificazione di default › Documentazione dei processi operativi (specialmente nelle piccole aziende) › Segregation of duties nelle piccole aziende › Se necessario, introdurre il «principio dei 4 occhi» SEITE 27 © InfoGuard AG | infoguard.ch Esperienza pratica PMC – la vita dopo la certificazione › ISO/IEC 27001 stabilisce: › Miglioramento continuo sulla base di misure oggettive. › Come si effettua una misura oggettiva? › Criteri di misura quale ad es. il numero di incidenti rilevati o delle contromisure rilevate non sono adeguati alla misura dell'efficacia. › Infatti un alto numero di incidenti rilevati potrebbe portare alla conclusione che la sicurezza nell'impresa sia scarsa. Al contrario potrebbe essere indice del fatto che il sistema di rilevamento e contrasto degli incidenti è molto efficace. http://www.gamingworks.nl/abc-of-ict-sweden › Non esistono metriche univocamente significative e quantificabili. PMC: processo di miglioramento continuo SEITE 28 © InfoGuard AG | infoguard.ch Esperienza pratica PMC - Un possibile strumento di misura › Uno strumento di misura multifattoriale, basato sui giudizi degli esperti dei security forum e ispirato in parte al metodo Delphi. › L'uso e l'analisi comparativa dei criteri di valutazione definiti e delle singole opinioni di tutti i membri del Forum di sicurezza, attribuisce ai risultati delle misurazioni la massima oggettività possibile. › La valutazione viene effettuata una volta l’anno, nell’ambito del riesame della direzione. Seite 29 © InfoGuard AG | infoguard.ch Esperienza pratica PMC - Panorama dei criteri di misura utilizzati 1 Obiettivo / Completezza 2 Attualità 3 Allarme preliminare 4 Funzione di prevenzione 5 Controlli 6 Gestione degli incidenti 7 Funzione di miglioramento 8 Sistematicità 9 Rapporto costi/contribuzione Seite 30 © InfoGuard AG | infoguard.ch Esperienza pratica PMC - Criteri di misura in dettaglio (1) 1. Obiettivo / Completezza • Il SGSI copre tutti i settori rilevanti di rischio di sicurezza delle informazioni? 2. Attualità • Il SGSI è costantemente aggiornato e tiene conto degli sviluppi interni ed esterni? 3. Qualità del compimento della funzione di allarme preliminare • Il SGSI segnala tempestivamente possibili rischi di sicurezza e rende possibile l’adozione di adeguate contromisure? SEITE 31 © InfoGuard AG | infoguard.ch Esperienza pratica PMC - Criteri di misura in dettaglio (2) 4. Qualità dell’adempimento di funzioni di prevenzione • Il SGSI contribuisce a evitare rischi di sicurezza? 5. Qualità dei controlli • I controlli realizzati sono adeguati per il conseguimento della sicurezza delle informazioni? 6. La gestione degli incidenti è adeguata agli obiettivi? • Gli incidenti di sicurezza sono gestiti in modo tale da minimizzare o eliminare i rischi all’origine? SEITE 32 © InfoGuard AG | infoguard.ch Esperienza pratica PMC - Criteri di misura in dettaglio (3) 7. Funzione di miglioramento • Le misure di sicurezza da adottare per il miglioramento della sicurezza delle informazioni sono rapportate agli incidenti di sicurezza e ai risultati dei controlli? 8. Sistematicità • Le procedure di attuazione del SGSI sono sistematiche 9. Rapporto costi/contribuzione • I risultati ottenuti dal SGSI (analisi, piani, prevenzione, osservazione e miglioramenti) giustificano i rispettivi costi? SEITE 33 © InfoGuard AG | infoguard.ch Esperienza pratica Chi effettua le valutazioni e sistema di misura › I membri del forum di sicurezza (direzione, settori specialistici, direzione del personale e funzione sicurezza). › La valutazione si svolge separatamente gli uni dagli altri, mediante un questionario. › Ci siamo serviti di una scala di valutazione facile e univoca, utilizzando il sistema svizzero dei voti scolastici: › 6 (ottimo) › 5 (buono) › 4 (sufficiente) › 3 (insufficiente) › 2 (scarso) › 1 (pessimo) Eventuali nuovi criteri di misura utilizzano la stessa scala. Seite 34 © InfoGuard AG | infoguard.ch Esperienza pratica Questionario di rilevamento e valutazione (1) Seite 35 © InfoGuard AG | infoguard.ch Esperienza pratica PMC - Analisi - Tabelle Seite 36 © InfoGuard AG | infoguard.ch Esperienza pratica PMC - Analisi / Valutazione / Contromisure › Le valutazioni e le eccezioni sono analizzate, discusse e valutate dal forum di sicurezza sulla base di diagrammi e interpretazioni. › Le divergenze tra i componenti del Security Forum nel corso del tempo sono più importanti delle valutazioni assolute. › Sulla base delle analisi e valutazioni è necessario prendere specifiche contromisure per l’aumento dell’efficacia del SGSI? › Se sì: › › › › › › Seite 37 Perché? Quali? Realizzabili? Passi successivi secondo il modello PDCA. Come? Da chi? Quando? © InfoGuard AG | infoguard.ch Esperienza pratica Strumenti per il SGSI? https://www.aisec.fraunhofer.de/content/dam/aisec/Dokumente/Publikationen/Studien_TechReports/deutsch/ISMS_Softwaresysteme_ISO27001.pdf SEITE 38 © InfoGuard AG | infoguard.ch Esperienza pratica Conclusione SEITE 39 © InfoGuard AG | infoguard.ch Esperienza pratica Conclusione Benefici per i clienti • Evitare costi extra / imprevisti • Gestione più fluida in quanto responsabilità e processi sono chiaramente definiti • Miglioramento dell’immagine dell’azienda sul mercato – I clienti si fidano dell’azienda SEITE 40 Benefici per i clienti dei clienti Benefici per il personale del cliente • Lavorare con un fornitore affidabile conferma l’impegno dell’azienda nella protezione dei propri dati • Instilla fiducia più avanti nella supply chain, che determina rapport clienti / fornitori più forti • Ridotti rischi di esposizione accidentale a informazioni riservate / sensibili, grazie a controlli di accesso appropriati • Rassicurazione che il datore di lavoro rispetta le line guida di sicurezza nella gestione dei dati • Ruoli e responsabilità chiari e definiti con precisione che portano a maggior soddisfazione e produttività nel lavoro © InfoGuard AG | infoguard.ch Discussione SEITE 42 © InfoGuard AG | infoguard.ch Gli esperti svizzeri di soluzioni di sicurezza di rete e di informazioni Discussione InfoGuard AG Lindenstrasse 10, 6340 Baar/Schweiz Telefon +41 41 749 19 00, Fax +41 41 749 19 10 infoguard.ch, [email protected] SEITE 43