Classificazione delle Informazioni

Verso il
GOVERNO
dei SISTEMI INFORMATIVI
ISACA VENICE MEETING
2014
Information & Data Classification,
un approccio strutturato
Giuseppe Blasi
Andrea Gaglietto
Padova, 29 maggio 2014
Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto
29.5.2014 - Padova - ISACA VENICE Chapter
1
Agenda
Il contesto
3
Data Breach
4
Security Data Governance
5
Classificazione delle Informazioni
11
Impatti da governare
18
Normative & Standard - Gli aggiornamenti
19
Conclusioni
20
Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto
29.5.2014 - Padova - ISACA VENICE Chapter
2
Il contesto
.....L’Incremento del volume dei dati gestiti
dalle aziende e dei canali a disposizione per
accedervi hanno portato nuove
opportunità........
....E al contempo, una crescita delle
potenziali minacce ai requisiti di
confidenzialità, integrità e disponibilità
delle informazioni......
....Diventa rilevante definire un approccio
strutturato alla gestione delle informazioni,
che permetta di mitigare il rischio di
compromissione dell’informazioni e di
subire un Data Breach.....
Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto
29.5.2014 - Padova - ISACA VENICE Chapter
Security
Risk
Process
Data
3
Data Breach
Alcune Statistiche:
• Circa 1 miliardo di utenti/records hanno
subito Data Breach nel periodo 20082013.
“
• I casi di Data Breach malevoli hanno
determinato un costo medio di €115 per
record; gli attacchi malevoli hanno
causato il costo più elevato.
2013 Data Breaches - Alcuni Esempi
Aprile
Una società di marketing ha subito un cyber attack massivo ai suoi sistemi, con
conseguente “accesso non autorizzato ad alcuni dati di clienti”. L’attacco ha coinvolto
nome, e-mail, data di nascita e password criptate, impattando su 50 milioni di utenti.
Luglio
Una Società francese sviluppatrice e distributrice di videogiochi mette in guardia 58 milioni
di utenti rivelando di aver subito un accesso illegale ai suoi sistemi online, e quindi al suo
database, che includeva il nome degli utenti, l’indirizzo e-mail e password criptate.
Dicembre
Hacker russi sono stati in grado di ottenere 54 millioni di dati identificativi di cittadini
turchi. Il comitato Turkey’s Supreme Election aveva inizialmente condiviso questi dati con
le diverse parti politiche, che conservavano le informazioni su siti web non sicuri, facile
preda degli hacker.
Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto
29.5.2014 - Padova - ISACA VENICE Chapter
4
Security Data Governance - Minacce
La Security Data Governance è l’insieme di processi e di strumenti tesi a garantire l’efficace gestione, in termini di
valorizzazione e di protezione delle informazioni aziendali, durante il loro intero ciclo di vita.
Persone
Asset informativi
strategici incustoditi
Dipendenti infedeli
Disattenzione/incuria
nel modificare i dati
Relative al sito
Social Engineering
Hacking
Tecnologiche
Malfunzionamento/
compromissione Hw e SW
Malicious Codes
Minacce
Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto
29.5.2014 - Padova - ISACA VENICE Chapter
5
Security Data Governance - Lo scenario
Key topics
•
I miei dati sono protetti?
•
Rispetto i requisiti di legge e
dei regolamenti di settore?
•
Sono consapevole dei
requisiti di Data Protection?
Normative e regolamenti
•
Legge 28 Dicembre 2005, n.
262
•
Sarbanes Oxley Act – 2002
•
D. Lgs. 8 Giugno 2001, n. 231
•
D. Lgs. 30 Giugno 2003, n.
196
•
Circolare n.263/2006 B.I.
Standard
Ambiti
•
ISO 2700x
•
Management
•
NIST 800-x
•
Data Privacy
•
PCI-DSS
•
Data Security
•
COBIT
•
Vendor Management
•
ITIL
•
Incident Response
•
Physical Security
•
Training & Awareness
Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto
29.5.2014 - Padova - ISACA VENICE Chapter
6
Security Data Governance - Esigenze
Indicatori di esigenza di un programma di Security Data
Governance:
Incidenti con violazione della confidenzialità delle informazioni /
Sanzioni comminate
Assenza di policy e di procedure per l’adempimento degli obblighi di
compliance
Identificazione di criticità o di rischi nell’accesso, nella conservazione e
nel trattamento delle informazioni
Incidenti di sicurezza IT
Operazioni straordinarie / rilevanti: fusioni, acquisizioni, dismissioni,
partnership, outsourcing di processi di business / sistemi, etc.
Mancanza di policy e di processi per la gestione delle informazioni:
classificazione, monitoraggio, etc.
Incompleta mappatura dei punti di archiviazione / replica delle
informazioni aziendali e dei diritti di accesso agli stessi
Rischi / criticità relativi all’infrastruttura per il monitoraggio e per il
controllo dell’accesso alle informazioni (staffing, strumenti, etc.)
Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto
29.5.2014 - Padova - ISACA VENICE Chapter
7
Security Data Governance - Il ciclo di vita
La Security Data Governance comprende il processo di Classificazione delle Informazioni, che supporta le
aziende nell’adozione di un programma di gestione delle diverse tipologie di Informazioni durante il loro intero
ciclo di vita.
• Creazione da parte del personale aziendale
• Creazione da parte di Terze Parti
• Creazione da parte di sistemi e
applicazioni
• Acquisizione previo NDA o licenza
• Classificazione delle Informazioni
• Privilegi di accesso
• Modalità di trasmissione / comunicazione
• Accesso/utilizzo limitato a determinati
dispositivi e in determinati siti
• Condivisione con Terze Parti
• Mantenimento della qualità/integrità
• Uso Probatorio durante i procedimenti
penali
Maintain / Retain
• Strategie di archiviazione/storicizzazione
• Garanzia della disponibilità
• Capitalizzazione del valore delle
informazioni
Dispose
• Analisi costi-benefici del mantenimento/
cancellazione delle informazioni
• Procedure di cancellazione sicure e nel
rispetto della compliance
Create / Receive
Distribute
Use / Retrieve
Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto
29.5.2014 - Padova - ISACA VENICE Chapter
8
Security Data Governance - Le misure di sicurezza
Modello di Security Data
Governance
MISURE
ORGANIZZATIVE
MISURE
TECNOLOGICHE
Programma di comunicazione e
sensibilizzazione
Policy e Procedure di Sicurezza
Training
Newsletter
Workshop
Soluzioni di sicurezza
perimetrale /
infrastrutturale
Data Loss Prevention
Crittografia
Gestione accessi e
profili (IAM)
Log & Monitoring
DRM / IRM
Disaster Recovery
Classificazione delle
Informazioni
SEGRETO
E-Learning
Database Security
RISERVATO
INTERNO
PUBBLICO
Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto
29.5.2014 - Padova - ISACA VENICE Chapter
9
Security Data Governance - Modello
All’interno di un approccio strutturato alla Security Data Governance si evidenziano due fasi focalizzate sulla
rilevazione e Classificazione delle Informazioni.
Classificazione delle Informazioni
Implementazione
delle misure di
sicurezza
Security Data Governance
Model
Rilevazione delle
informazioni e
dell’architettura
dei dati
Security
Risk
Process
Data
Classificazione
delle Informazioni
ed identificazione
dei rischi
Definizione
Remediation Plan
Sviluppo/
miglioramento di
policy e processi
di sicurezza
Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto
29.5.2014 - Padova - ISACA VENICE Chapter
10
Classificazione delle Informazioni - Introduzione
L’informazione è definita come insieme di dati strutturati, aventi un valore ed un significato per la Società, che
sono creati, diffusi, comunicati, cancellati, archiviati e utilizzati nello svolgimento delle attività lavorative,
qualsiasi sia la forma e la tecnologia utilizzata per il loro trattamento e la loro conservazione.
Il processo di Classificazione delle Informazioni è quel processo volto all’identificazione del livello di criticità
delle informazioni in funzione dei requisiti di riservatezza, integrità e disponibilità, al fine di definire il livello di
classifica più adeguato e adottare le misure di protezione più idonee.
La Classificazione delle Informazioni risponde pertanto all’esigenza di tutelare, in un modello bilanciato:
Requisiti
• Confidenzialità
• Integrità
• Disponibilità
Vincoli
Classificazione
• Livello di protezione desiderato
• Sostenibilità dei costi
• Esigenze di condivisione (need-to-know vs.
need-to-share)
Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto
29.5.2014 - Padova - ISACA VENICE Chapter
11
Classificazione delle Informazioni - Benefici
I benefici attesi, derivanti dall’implementazione di un processo di Classificazione delle Informazioni aziendali,
sono trasversali rispetto all’Organizzazione.
Riduzione dei rischi di compromissione del
patrimonio informativo aziendale
Pianificazione strutturata di interventi
migliorativi sui processi e sull’infrastruttura
informatica
Riduzione dei costi di gestione delle
informazioni non business - critical e dei
costi derivanti da procedimenti
sanzionatori
Consapevolezza del personale circa il
livello di sensibilità delle informazioni e
delle procedure da adottare per la loro
tutela
Incremento della conoscenza e del controllo
sul patrimonio informativo aziendale
Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto
29.5.2014 - Padova - ISACA VENICE Chapter
12
Classificazione delle Informazioni - Approccio
Mappatura
Enterprise
Architecture
Definizione Linee
Guida e Strumenti
Analisi del Rischio
e Classificazione
Gap Analysis
Classificazione delle Informazioni
M1 - MODULO RILEVAZIONE INFORMAZIONI
NATURA DELL'INFORMAZIONE
XXXXXXX SpA
SOCIETÁ:
UNITA'
/ PROGRAMMA:
M1 - ORGANIZZATIVA
MODULO RILEVAZIONE
INFORMAZIONI
INFORMAZIONE
OWNER
Strategica
relativo alle scelte architetturali e
- Pianificazione Strategica
cartaceo
evoluzione dello studio di
di dimensionamento.
e Business Development
Documento di analisi nel quale è
- Progettazione
prefattbilità, elaborato in funzione
riportato lo studio preliminare
- Marketing
dei contributi specialistici degli
Documento di analisi definitivo,
Studio di prefattibilità
Dott. XXXX
Enti esterni (es. partner)
relativo alle scelte architetturali e- Progettazione
- Pianificazione Strategica
altri enti aziendali. inviate dalle
evoluzione dello studio di
e Business Development
altre funzioni aziendali e di di dimensionamento.
- Marketing
Elettronico e
XXXX
Enti esterni (es. partner)
prefattbilità, elaboratoDott.
in funzione
ulteriori attività di analisi
- Pianificazione Strategica
cartaceo
dei contributi specialistici degli
Documento di analisi definitivo, e Business Development
congiunta. Il documento
altri enti aziendali. inviate dalle
- Progettazione
evoluzione dello studio di
contenete dati tecnici
altre funzioni aziendali e di
- Marketing
Elettronico e
Studio di fattibilità
XXXX
Enti esterni (es. partner)
prefattbilità, elaborato Dott.
in funzione
(architetturali e di
ulteriori attività di analisi
- Pianificazione Strategica
cartaceo
dei contributi specialistici degli
dimensionamento) ed economici
congiunta. Il documento
e Business Development
altri enti aziendali. inviate dalle
- Progettazione
(fattibilità economica).
contenete dati tecnici
altre funzioni aziendali e di
- Marketing
Studio di fattibilità
Dott. XXXX
Enti esterni (es. partner)
(architetturali e di
Disegno a supporto
Disegno e relativi allegati tecnici
ulteriori attività di analisi
- Pianificazione Strategica
- Progettazione
dimensionamento) ed economici
dello studio di
prodotti a supporto dello studio
di Dott.
XXXX
N/A
Elettronico
congiunta.
Il documento
e Business Development
- Enti esterni (es. partner)
(fattibilità economica).
prefattibilità / fattibilità
fattibilità.
contenete dati tecnici
(architetturali e di
Disegno a supporto
e relativi
allegati tecnici
Banca dati perDisegno
l’esecuzione
di
- Progettazione
dimensionamento) ed economici
dello studio di
prodotti a supporto dello studio di Dott. XXXX
N/A
Elettronico
calcoli di dimensionamento
Enti
esterni
(es.
partner)
(fattibilità economica).
- Progettazione
fattibilità dello
fattibilità.
Banca dati prefattibilità /nell’ambito
studio di
Dott. XXXX
N/A
Elettronico
- Enti esterni (es. partner)
prefattibilità
e dello studio di Disegno e relativi allegati tecnici
Disegno a supporto
Banca dati per l’esecuzione di
- Progettazione
fattibilità
dello studio dicalcoli di dimensionamento
prodotti a supporto dello studio di Dott. XXXX
N/A
- Enti esterni (es. partner)
- Progettazione
fattibilità dello
fattibilità.
Banca dati prefattibilità / nell’ambito
studio di
Dott. XXXX
N/A
Elettronico
Documento di sintesi delle
- Enti esterni (es. partner)
prefattibilità e dello studio di
attività, predisposto in funzione
di dati per l’esecuzione di
Banca
Reportistica
Dott. XXXX
Vertici aziendali
N/A
Elettronico
fattibilità
specifiche esigenze (es. richiesta
calcoli di dimensionamento
- Progettazione
del
management).
Banca
dati
nell’ambito dello studio di
Dott. XXXX
N/A
Documento di sintesi delle
- Enti esterni (es. partner)
prefattibilità e dello studio di
attività, predisposto in funzione di
Reportistica
Dott. XXXX
Vertici aziendali
N/A
Elettronico
fattibilità
specifiche esigenze (es. richiesta
del management).
Documento di sintesi delle
attività, predisposto in funzione di
Reportistica
Dott. XXXX
Vertici aziendali
N/A
specifiche esigenze (es. richiesta
Studio di fattibilità
del management).
M3 - MODULO CLASSIFICAZIONE INFORMAZIONI
DANNO
XXXXXXXX
UNITA'
ORGANIZZATIVA
/ PROGRAMMA:
XXXXXXXX
M1 - MODULO
RILEVAZIONE
INFORMAZIONI
ALTRI SOGGETTI COINVOLTI
ANNO DI INIZIO
ARCHIVIO
ARCHIVIO
APPLICAZIONE
INFORMAZIONE
DESCRIZIONE
OWNER
TIPOLOGIA
ARCHIVIAZIONE
ELETTRONICO DI CARTACEO DI
REDAZIONE /
DI RIFERIMENTO
ACCESSO
DELLO STORICO
RIFERIMENTO XXXXXXXX
RIFERIMENTO
XXXXXXX SpA
UNITA' ORGANIZZATIVA / PROGRAMMA:
SOCIETÁ:
MODIFICA
ALTRI SOGGETTI
COINVOLTI
ANNO DI INIZIO
ARCHIVIO
ARCHIVIO
APPLICAZIONE
INFORMAZIONE
DESCRIZIONE
OWNER
TIPOLOGIA
ARCHIVIAZIONE
ELETTRONICO
DI CARTACEO DI
- Central File
REDAZIONE /
DI RIFERIMENTO
Documento di analisi nel quale è
- Progettazione
ACCESSO
- ADDP / OCEWEB
- Archivio dell'unità
DELLO STORICO
RIFERIMENTO
RIFERIMENTO
riportato lo studio preliminare
- Marketing
Elettronico
e
- Altri programmi di
MODIFICA
ALTRI SOGGETTI
COINVOLTI
Studio di prefattibilità
Dott. XXXX
Enti esterni (es. partner)
1980
- PC utente
XXX (per ARCHIVIO
lo storico
ANNO DI INIZIO
ARCHIVIO
relativo alle scelte architetturali e
- Pianificazione Strategica
cartaceo
calcolo
APPLICAZIONE
prodotto solo in
INFORMAZIONE
DESCRIZIONE
OWNER
TIPOLOGIA
ARCHIVIAZIONE
ELETTRONICO
DI CARTACEO DI
di dimensionamento.
e Business
Development
- Central File
REDAZIONE /
DI RIFERIMENTO
Documento di analisi nel quale è
- Progettazione
cartaceo)
ACCESSO
- ADDP / OCEWEB
- Archivio dell'unità
DELLO STORICO
RIFERIMENTO
RIFERIMENTO
riportato lo studio preliminare
- Marketing
Elettronico e
- Altri programmi di
MODIFICA
Documento di analisi definitivo,
Studio di prefattibilità
Dott. XXXX
Enti esterni (es. partner)
1980
- PC utente
XXX (per lo storico
XXXXXXX SpA
SOCIETÁ:
calcolo
prodotto solo in
- Central File
cartaceo)
- ADDP / OCEWEB - Archivio dell'unità
- Altri programmi di
- Central
File
- PC
utente
XXX (per lo storico
calcolo
- ADDP /OCEWEB
- Archivio dell'unità
prodotto solo in
- PC utente
XXX (per lo storico
cartaceo)
prodotto solo in
- Central File
cartaceo)
- ADDP /OCEWEB
- Archivio dell'unità
- Altri programmi di
1980
- PC utente
XXX (per lo storico
calcolo
prodotto solo in
- Central File
cartaceo)
- ADDP /OCEWEB
- Archivio dell'unità
Elettronico e
- Altri programmi di
1980
- PC utente
XXX (per lo storico
cartaceo
calcolo
- MS Office
prodotto solo in
1980
PC utente
N/A
- CATIA
cartaceo)
Elettronico e
cartaceo
1980
1990
1980
- Altri programmi di
calcolo
- MS Office
1980
- CATIA
- Altri programmi
di
PC utente
calcolo
Elettronico
1990
-
MS Office
Elettronico
-
Elettronico
PC utente
N/A
N/A
- MS Office
1980
PC utente
- CATIA
- Altri programmi
di
PC utente
calcolo - ADDP / OCEWEB
(non
N/A
sistematicamente)
- Altri programmi di
- PC utente
1990
PC utente
calcolo - ADDP / OCEWEB
MS Office
-
N/A
N/A
Organizzativ
Economica / Tecnica /
a / di
finanziaria tecnologica
processo
NATURA DELL'INFORMAZIONE
Economico
Immagine
Obblighi
legali e
contrattuali
DANNO
LIVELLO DI
CLASSIFICA
LIVELLO DI
CLASSIFICA DRAFT
Scheda ricerca
- RTPR
Consortium Agreement
- PM
Scheda ricerca
- RTPR




Lieve
Lieve
Lieve
Internal
Lieve
Grave
Grave
Lieve
Lieve
Lieve
N/A
(non
N/A
sistematicamente)
- PC utente
- ADDP / OCEWEB
(non
MS Office
sistematicamente)
- PC utente
LIVELLO DI
CLASSIFICA STORICO
NOTE
LIVELLO DI
LIVELLO DI
LIVELLO DI
INFORMAZIONE
OWNER
CLASSIFICA
- CLASSIFICA
NOTEdopo 10
Innovation and R&D
Strategy
Strategie di Sviluppo
Company
Company
Company
Documento
da considerare storico
Organizzativ
CLASSIFICA
Molto /grave
Molto grave
Molto grave Obblighi

 Economica
 / Tecnica
Plan
Tecnologico
Confidential
Confidential DRAFT
Restricted STORICO
anni
Strategica
a / di
Economico
Immagine
legali
e
finanziaria tecnologica
processo
contrattuali
NATURA DELL'INFORMAZIONE
DANNO
Strategie di Sviluppo
Company
Company
Company
Documento da considerare storico dopo 10
LIVELLO DI
LIVELLO DI
Mappatura tecnologie aziendali
Molto grave
Molto grave
Molto grave


LIVELLO
DI
Tecnologico
ConfidentialCompany
Confidential
Restricted Company
anni
Innovation and R&D Strategy
Strategie di Sviluppo
Company
Documento da considerare storico dopo 10
INFORMAZIONE
OWNER 
CLASSIFICA - CLASSIFICA NOTE
Molto grave
Molto grave
Molto grave


Organizzativ
Obblighi
Plan
Tecnologico
Confidential CLASSIFICA
Confidential
Restricted
anni
Economica / Tecnica /
DRAFT
STORICO
Strategica
a / di
Economico
Immagine
legali e
Mappatura tecnologie aziendali Strategie di Sviluppo
Company
Company
Company
finanziaria tecnologica
Grave
Grave
Grave
N/A
processo
contrattuali

per FNM
Tecnologico
Restricted Company
Restricted Company
Restricted Company
Strategie di Sviluppo
Documento da considerare storico dopo 10
Mappatura tecnologie aziendali
Molto grave
Molto grave
Molto grave


Tecnologico
Confidential
Confidential
Restricted
anni
Innovation and R&D Strategy
Strategie di Sviluppo
Company
Company
Company
Documento da considerare storico dopo 10
Molto grave
Molto grave
Molto grave



Strategie di Sviluppo
Company
Company
Company
Documento da considerare storico dopo 10
Tecnologico
Confidential
Confidential
Restricted
anni
Roadmap Tecnologica Plan
Molto grave
Molto grave
Molto grave



Tecnologico
ConfidentialCompany
ConfidentialCompany
Restricted Company
anni
Mappatura tecnologie aziendali
Strategie di Sviluppo
Grave
Grave
Grave
N/A

per FNM
Tecnologico
Restricted
Restricted
Restricted
Strategie di Sviluppo
Company
Company
Company
Documento da considerare storico dopo 10
Mappatura
Molto grave
Molto grave
Molto grave


Piano di implementazione
della tecnologie aziendali
Company
Company
Company
Documento
da considerare
Tecnologico
Confidential
Confidential
Restricted
annistorico dopo 10
- PM
Molto grave
Molto grave
Molto grave


Roadmap Tecnologica
Strategie di Sviluppo
Documento da considerare storico dopo 10
ConfidentialCompany
ConfidentialCompany
Restricted Company
anni
Roadmap Tecnologica
Molto grave
Molto grave
Molto grave



Tecnologico
Confidential
Confidential
Restricted
anni
Mappatura- tecnologie
aziendali Strategie di Sviluppo
Company
Company
Company
RTPR
Grave
Grave
Grave
N/A

per FNM - Sponsor della
Tecnologico
Restricted
Restricted
Restricted
Piano di implementazione della
Company
Company
Company
Documento da considerare storico dopo 10
Scheda proposta di ricerca
ricerca (es.- funzione

Lieve Molto
Nessun
Internal
Internal
Internal
N/A
PM
grave danno
Molto grave
 
 Lieve Molto grave
Roadmap Tecnologica
Confidential
Confidential
Restricted
anni
aziendale)
Strategie di Sviluppo
Company
Company
Company
Documento da considerare storico dopo 10
Roadmap Tecnologica
Molto grave
Molto grave
Molto grave



- PM
Tecnologico
Confidential
Confidential
Restricted
anni
- RTPR
- Sponsor della
Proposta Tecnica / Capitolato
Company
Company
Company
- RTPR ricercadella

(es. funzione
 
 Grave
LieveGrave
LieveGrave NessunRestricted
danno
Internal
Internal
Internal
N/A da considerare storico dopo 10
Pianodidiricerca
implementazione
Company
Company
Company N/A Documento
Tecnico Scheda proposta
Confidential
Restricted
- PM
Molto grave
Molto grave
Molto grave


aziendale)
Roadmap Tecnologica
Confidential
Confidential
Restricted
anni
- PM
Company
Company
Company
- RTPR
Consortium Agreement
- PM
Lieve
Grave
Grave
N/A


Restricted Company
Restricted Company
Restricted Company
Proposta Tecnica / Capitolato
- Sponsor della
- RTPR
Grave
Grave
Grave
N/A


Tecnico
Restricted
Confidential Internal
Restricted
Scheda proposta di ricerca
ricerca (es. funzione


Lieve
Lieve
Nessun
danno
Internal
Internal
N/A
aziendale)
Scheda ricerca
- RTPR
Lieve
Lieve
Lieve
Internal
Internal
Internal
N/A


- PM
Company
Company
Company
Consortium Agreement
- PM
Lieve
Grave
Grave
N/A


Restricted
Restricted
Restricted
Proposta Tecnica / Capitolato
Company
Company
Company
- RTPR
Grave
Grave
Grave
N/A


Tecnico
Restricted
Confidential
Restricted


Internal
Company
Restricted
Internal
Internal
Company
Restricted
Internal
N/A
Company
Restricted
N/A
Internal
N/A
SOCIETÁ:
UNITA' ORGANIZZATIVA /
PROGRAMMA:
XXXXXXX SpA
NATURA DELL'INFORMAZIONE
INFORMAZIONE
OWNER
Strategica
DANNO
Organizzativ
Economico a / di
Tecnologica Economico Immagine
finanziaria
processo
XXXXXXXX
LIVELLO DI LIVELLO DI
LIVELLO DI
Obblighi CLASSIFICA CLASSIFICA - CLASSIFICA DRAFT
STORICO
legali e
contrattuali
NOTE
Studio di prefattibilità
Dott. XXXX



Company Company
Molto grave Molto grave Molto grave
Confidential Confidential
Internal
Documento da considerarsi storico dopo 15
anni
Studio di fattibilità
Dott. XXXX



Molto grave Molto grave Molto grave
Company Company
Confidential Confidential
Internal
Documento da considerarsi storico dopo 15
anni
Disegno a supporto dello
Dott. XXXX
studio di prefattibilità / fattibilità

Molto grave Molto grave Molto grave
Company Company
Confidential Confidential
Internal
Documento da considerarsi storico dopo 15
anni
Banca dati
Dott. XXXX

Reportistica
Dott. XXXX
Grave
Grave
Grave
Company
Restricted
Company
Restricted
Company
Restricted
N/A
Company Company
Confidential Confidential
Company
Restricted
Documento da considerarsi storico dopo 15
anni
N/A



Molto grave Molto grave Molto grave
Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto
29.5.2014 - Padova - ISACA VENICE Chapter
13
Classificazione delle Informazioni - Approccio
Definizione Linee
Guida e Strumenti
Mappatura
Enterprise
Architecture
Analisi del Rischio
e Classificazione
Gap Analysis
Classificazione delle Informazioni
•
Definizione della metodologia di Classificazione delle Informazioni
•
Definizione delle linee guida per la classificazione
•
Definizione dello strumento per la classificazione
•
Definizione delle misure da adottare, in funzione della criticità delle informazioni
Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto
29.5.2014 - Padova - ISACA VENICE Chapter
14
Classificazione delle Informazioni - Approccio
Definizione Linee
Guida e Strumenti
Mappatura
Enterprise
Architecture
Analisi del Rischio
e Classificazione
Gap Analysis
Classificazione delle Informazioni
•
Identificazione delle informazioni trattate dalle strutture organizzative
•
Identificazione delle modalità di visualizzazione e accesso ai dati aziendali
•
Identificazione delle applicazioni/informazioni che risiedono sugli Asset IT e dei relativi Data Owner
•
Mappatura degli archivi elettronici o cartacei di riferimento per la memorizzazione delle informazioni
Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto
29.5.2014 - Padova - ISACA VENICE Chapter
15
Classificazione delle Informazioni - Approccio
Definizione Linee
Guida e Strumenti
Mappatura
Enterprise
Architecture
Analisi del Rischio
e Classificazione
Gap Analysis
Classificazione delle Informazioni
•
Valutazione dell’impatto derivante dalla compromissione della riservatezza, integrità e disponibilità delle
Informazioni
•
Classificazione delle Informazioni sulla base dei livelli/categorie definiti e secondo le regole date
Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto
29.5.2014 - Padova - ISACA VENICE Chapter
16
Classificazione delle Informazioni - Approccio
Definizione Linee
Guida e Strumenti
Mappatura
Enterprise
Architecture
Analisi del Rischio
e Classificazione
Gap Analysis
Classificazione delle Informazioni
•
Rilevazione dei controlli/contromisure presenti (AS IS) a protezione delle informazioni aziendali censite
•
Analisi degli scostamenti tra AS IS ed i controlli previsti in funzione del livello di Classificazione delle
Informazioni
•
Identificazione degli adeguamenti da apportare ai controlli esistenti e dei controlli da implementare exnovo (TO BE) di tipo logico, organizzativo e fisico
Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto
29.5.2014 - Padova - ISACA VENICE Chapter
17
Gli impatti da governare
 Il processo di Information Governance consente alle Organizzazioni di individuare, gestire e governare le
Informazioni al fine di implementare meccanismi di protezione delle stesse.
 È chiaro come una mancata implementazione di tali meccanismi possa avere impatti seri
sull’Organizzazione. Gli impatti non riguardano soltanto la perdita economica derivante dalla fuoriuscita di
materiale confidenziale o da sanzioni, ma possono riguardare anche danni di tipo reputazionale.
Normativa
Il mancato rispetto delle normative vigenti, comporta delle sanzioni
economiche e la possibilità che chi è stato danneggiato dalla violazione
ricorra ad azioni legali
Business
Una violazione della sicurezza informatica può comportare interruzioni
nell’operatività aziendale e la sottrazione di informazioni strategiche per
l’azienda
Reputazione
Un evento di Data Breach potrebbe comportare il danneggiamento
dell’immagine pubblica dell’azienda, questa tipologia di danno seppur
difficile da stimare può rappresentare uno di quelli a maggior impatto
Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto
29.5.2014 - Padova - ISACA VENICE Chapter
18
Normative & Standard - Ultimi aggiornamenti
Circolare n. 263 di Banca d’Italia
• Definizione di uno standard aziendale di Data Governance, al fine di assicurare
l’integrità, la completezza e la correttezza dei dati.
• Definizione della gestione della sicurezza informatica in termini di sicurezza delle
informazioni e dei beni aziendali.
PCI-DSS 3.0
ISO 27001:2013
Aggiornamento dello standard PCI per rispondere
in modo più efficace alle nuove minacce e ai
cambiamenti associati all’evoluzione del mercato.
Ad esempio:
• Gestione delle terze parti
• Sicurezza fisica dei terminali
Aggiornamento dello standard per la gestione
sicura delle informazioni, ad esempio:
Normative
&
Standard
• Valutazione dei rischi sulla base dell’impatto
derivante dalla compromissione della
confidenzialità, dell’integrità e della
disponibilità delle informazioni
• Domini specifici relativi alla gestione della
crittografia e della sicurezza delle informazioni
nei rapporti con le terze parti
• Gestione account e password
Privacy
• Regolamento UE n. 611/2013 «il fornitore notifica all’autorità nazionale competente
la violazione di dati personali entro un termine di 24 ore......»
• Provvedimento in materia di attuazione della disciplina sulla comunicazione delle
violazioni di dati personali (c.d. Data Breach) - 4 Aprile 2013
Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto
29.5.2014 - Padova - ISACA VENICE Chapter
19
Conclusioni
Spesso le società adottano
modelli di Security Data
Governance solo per rispondere
ad un obbligo imposto dal
Legislatore e non per rispondere
all’esigenza di protezione dei dati
e delle Informazioni gestite.
Solo adottando la “Cultura” della
Classificazione delle Informazioni
si potrà avere la corretta
metodologia per implementare
un’Information Governance.
Le informazioni sono una componente strategica del
patrimonio aziendale, che deve, pertanto, essere tutelata e
gestita opportunamente
La Classificazione delle Informazioni permette la
massimizzazione della protezione derivante dalle misure di
sicurezza implementate
L’incremento dell’attività normativa di enti governativi ed
organizzazioni internazionali ha condotto ad un incremento
degli obblighi di compliance
Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto
29.5.2014 - Padova - ISACA VENICE Chapter
20
Grazie!
Giuseppe Blasi
[email protected]
+39 349 2912189
www.protiviti.it
Andrea Gaglietto
[email protected]
+39 345 2517411
www.protiviti.it
Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto
29.5.2014 - Padova - ISACA VENICE Chapter
21
Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto
29.5.2014 - Padova - ISACA VENICE Chapter
22