Classificazione delle Informazioni
Transcript
Classificazione delle Informazioni
Verso il GOVERNO dei SISTEMI INFORMATIVI ISACA VENICE MEETING 2014 Information & Data Classification, un approccio strutturato Giuseppe Blasi Andrea Gaglietto Padova, 29 maggio 2014 Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto 29.5.2014 - Padova - ISACA VENICE Chapter 1 Agenda Il contesto 3 Data Breach 4 Security Data Governance 5 Classificazione delle Informazioni 11 Impatti da governare 18 Normative & Standard - Gli aggiornamenti 19 Conclusioni 20 Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto 29.5.2014 - Padova - ISACA VENICE Chapter 2 Il contesto .....L’Incremento del volume dei dati gestiti dalle aziende e dei canali a disposizione per accedervi hanno portato nuove opportunità........ ....E al contempo, una crescita delle potenziali minacce ai requisiti di confidenzialità, integrità e disponibilità delle informazioni...... ....Diventa rilevante definire un approccio strutturato alla gestione delle informazioni, che permetta di mitigare il rischio di compromissione dell’informazioni e di subire un Data Breach..... Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto 29.5.2014 - Padova - ISACA VENICE Chapter Security Risk Process Data 3 Data Breach Alcune Statistiche: • Circa 1 miliardo di utenti/records hanno subito Data Breach nel periodo 20082013. “ • I casi di Data Breach malevoli hanno determinato un costo medio di €115 per record; gli attacchi malevoli hanno causato il costo più elevato. 2013 Data Breaches - Alcuni Esempi Aprile Una società di marketing ha subito un cyber attack massivo ai suoi sistemi, con conseguente “accesso non autorizzato ad alcuni dati di clienti”. L’attacco ha coinvolto nome, e-mail, data di nascita e password criptate, impattando su 50 milioni di utenti. Luglio Una Società francese sviluppatrice e distributrice di videogiochi mette in guardia 58 milioni di utenti rivelando di aver subito un accesso illegale ai suoi sistemi online, e quindi al suo database, che includeva il nome degli utenti, l’indirizzo e-mail e password criptate. Dicembre Hacker russi sono stati in grado di ottenere 54 millioni di dati identificativi di cittadini turchi. Il comitato Turkey’s Supreme Election aveva inizialmente condiviso questi dati con le diverse parti politiche, che conservavano le informazioni su siti web non sicuri, facile preda degli hacker. Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto 29.5.2014 - Padova - ISACA VENICE Chapter 4 Security Data Governance - Minacce La Security Data Governance è l’insieme di processi e di strumenti tesi a garantire l’efficace gestione, in termini di valorizzazione e di protezione delle informazioni aziendali, durante il loro intero ciclo di vita. Persone Asset informativi strategici incustoditi Dipendenti infedeli Disattenzione/incuria nel modificare i dati Relative al sito Social Engineering Hacking Tecnologiche Malfunzionamento/ compromissione Hw e SW Malicious Codes Minacce Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto 29.5.2014 - Padova - ISACA VENICE Chapter 5 Security Data Governance - Lo scenario Key topics • I miei dati sono protetti? • Rispetto i requisiti di legge e dei regolamenti di settore? • Sono consapevole dei requisiti di Data Protection? Normative e regolamenti • Legge 28 Dicembre 2005, n. 262 • Sarbanes Oxley Act – 2002 • D. Lgs. 8 Giugno 2001, n. 231 • D. Lgs. 30 Giugno 2003, n. 196 • Circolare n.263/2006 B.I. Standard Ambiti • ISO 2700x • Management • NIST 800-x • Data Privacy • PCI-DSS • Data Security • COBIT • Vendor Management • ITIL • Incident Response • Physical Security • Training & Awareness Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto 29.5.2014 - Padova - ISACA VENICE Chapter 6 Security Data Governance - Esigenze Indicatori di esigenza di un programma di Security Data Governance: Incidenti con violazione della confidenzialità delle informazioni / Sanzioni comminate Assenza di policy e di procedure per l’adempimento degli obblighi di compliance Identificazione di criticità o di rischi nell’accesso, nella conservazione e nel trattamento delle informazioni Incidenti di sicurezza IT Operazioni straordinarie / rilevanti: fusioni, acquisizioni, dismissioni, partnership, outsourcing di processi di business / sistemi, etc. Mancanza di policy e di processi per la gestione delle informazioni: classificazione, monitoraggio, etc. Incompleta mappatura dei punti di archiviazione / replica delle informazioni aziendali e dei diritti di accesso agli stessi Rischi / criticità relativi all’infrastruttura per il monitoraggio e per il controllo dell’accesso alle informazioni (staffing, strumenti, etc.) Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto 29.5.2014 - Padova - ISACA VENICE Chapter 7 Security Data Governance - Il ciclo di vita La Security Data Governance comprende il processo di Classificazione delle Informazioni, che supporta le aziende nell’adozione di un programma di gestione delle diverse tipologie di Informazioni durante il loro intero ciclo di vita. • Creazione da parte del personale aziendale • Creazione da parte di Terze Parti • Creazione da parte di sistemi e applicazioni • Acquisizione previo NDA o licenza • Classificazione delle Informazioni • Privilegi di accesso • Modalità di trasmissione / comunicazione • Accesso/utilizzo limitato a determinati dispositivi e in determinati siti • Condivisione con Terze Parti • Mantenimento della qualità/integrità • Uso Probatorio durante i procedimenti penali Maintain / Retain • Strategie di archiviazione/storicizzazione • Garanzia della disponibilità • Capitalizzazione del valore delle informazioni Dispose • Analisi costi-benefici del mantenimento/ cancellazione delle informazioni • Procedure di cancellazione sicure e nel rispetto della compliance Create / Receive Distribute Use / Retrieve Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto 29.5.2014 - Padova - ISACA VENICE Chapter 8 Security Data Governance - Le misure di sicurezza Modello di Security Data Governance MISURE ORGANIZZATIVE MISURE TECNOLOGICHE Programma di comunicazione e sensibilizzazione Policy e Procedure di Sicurezza Training Newsletter Workshop Soluzioni di sicurezza perimetrale / infrastrutturale Data Loss Prevention Crittografia Gestione accessi e profili (IAM) Log & Monitoring DRM / IRM Disaster Recovery Classificazione delle Informazioni SEGRETO E-Learning Database Security RISERVATO INTERNO PUBBLICO Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto 29.5.2014 - Padova - ISACA VENICE Chapter 9 Security Data Governance - Modello All’interno di un approccio strutturato alla Security Data Governance si evidenziano due fasi focalizzate sulla rilevazione e Classificazione delle Informazioni. Classificazione delle Informazioni Implementazione delle misure di sicurezza Security Data Governance Model Rilevazione delle informazioni e dell’architettura dei dati Security Risk Process Data Classificazione delle Informazioni ed identificazione dei rischi Definizione Remediation Plan Sviluppo/ miglioramento di policy e processi di sicurezza Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto 29.5.2014 - Padova - ISACA VENICE Chapter 10 Classificazione delle Informazioni - Introduzione L’informazione è definita come insieme di dati strutturati, aventi un valore ed un significato per la Società, che sono creati, diffusi, comunicati, cancellati, archiviati e utilizzati nello svolgimento delle attività lavorative, qualsiasi sia la forma e la tecnologia utilizzata per il loro trattamento e la loro conservazione. Il processo di Classificazione delle Informazioni è quel processo volto all’identificazione del livello di criticità delle informazioni in funzione dei requisiti di riservatezza, integrità e disponibilità, al fine di definire il livello di classifica più adeguato e adottare le misure di protezione più idonee. La Classificazione delle Informazioni risponde pertanto all’esigenza di tutelare, in un modello bilanciato: Requisiti • Confidenzialità • Integrità • Disponibilità Vincoli Classificazione • Livello di protezione desiderato • Sostenibilità dei costi • Esigenze di condivisione (need-to-know vs. need-to-share) Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto 29.5.2014 - Padova - ISACA VENICE Chapter 11 Classificazione delle Informazioni - Benefici I benefici attesi, derivanti dall’implementazione di un processo di Classificazione delle Informazioni aziendali, sono trasversali rispetto all’Organizzazione. Riduzione dei rischi di compromissione del patrimonio informativo aziendale Pianificazione strutturata di interventi migliorativi sui processi e sull’infrastruttura informatica Riduzione dei costi di gestione delle informazioni non business - critical e dei costi derivanti da procedimenti sanzionatori Consapevolezza del personale circa il livello di sensibilità delle informazioni e delle procedure da adottare per la loro tutela Incremento della conoscenza e del controllo sul patrimonio informativo aziendale Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto 29.5.2014 - Padova - ISACA VENICE Chapter 12 Classificazione delle Informazioni - Approccio Mappatura Enterprise Architecture Definizione Linee Guida e Strumenti Analisi del Rischio e Classificazione Gap Analysis Classificazione delle Informazioni M1 - MODULO RILEVAZIONE INFORMAZIONI NATURA DELL'INFORMAZIONE XXXXXXX SpA SOCIETÁ: UNITA' / PROGRAMMA: M1 - ORGANIZZATIVA MODULO RILEVAZIONE INFORMAZIONI INFORMAZIONE OWNER Strategica relativo alle scelte architetturali e - Pianificazione Strategica cartaceo evoluzione dello studio di di dimensionamento. e Business Development Documento di analisi nel quale è - Progettazione prefattbilità, elaborato in funzione riportato lo studio preliminare - Marketing dei contributi specialistici degli Documento di analisi definitivo, Studio di prefattibilità Dott. XXXX Enti esterni (es. partner) relativo alle scelte architetturali e- Progettazione - Pianificazione Strategica altri enti aziendali. inviate dalle evoluzione dello studio di e Business Development altre funzioni aziendali e di di dimensionamento. - Marketing Elettronico e XXXX Enti esterni (es. partner) prefattbilità, elaboratoDott. in funzione ulteriori attività di analisi - Pianificazione Strategica cartaceo dei contributi specialistici degli Documento di analisi definitivo, e Business Development congiunta. Il documento altri enti aziendali. inviate dalle - Progettazione evoluzione dello studio di contenete dati tecnici altre funzioni aziendali e di - Marketing Elettronico e Studio di fattibilità XXXX Enti esterni (es. partner) prefattbilità, elaborato Dott. in funzione (architetturali e di ulteriori attività di analisi - Pianificazione Strategica cartaceo dei contributi specialistici degli dimensionamento) ed economici congiunta. Il documento e Business Development altri enti aziendali. inviate dalle - Progettazione (fattibilità economica). contenete dati tecnici altre funzioni aziendali e di - Marketing Studio di fattibilità Dott. XXXX Enti esterni (es. partner) (architetturali e di Disegno a supporto Disegno e relativi allegati tecnici ulteriori attività di analisi - Pianificazione Strategica - Progettazione dimensionamento) ed economici dello studio di prodotti a supporto dello studio di Dott. XXXX N/A Elettronico congiunta. Il documento e Business Development - Enti esterni (es. partner) (fattibilità economica). prefattibilità / fattibilità fattibilità. contenete dati tecnici (architetturali e di Disegno a supporto e relativi allegati tecnici Banca dati perDisegno l’esecuzione di - Progettazione dimensionamento) ed economici dello studio di prodotti a supporto dello studio di Dott. XXXX N/A Elettronico calcoli di dimensionamento Enti esterni (es. partner) (fattibilità economica). - Progettazione fattibilità dello fattibilità. Banca dati prefattibilità /nell’ambito studio di Dott. XXXX N/A Elettronico - Enti esterni (es. partner) prefattibilità e dello studio di Disegno e relativi allegati tecnici Disegno a supporto Banca dati per l’esecuzione di - Progettazione fattibilità dello studio dicalcoli di dimensionamento prodotti a supporto dello studio di Dott. XXXX N/A - Enti esterni (es. partner) - Progettazione fattibilità dello fattibilità. Banca dati prefattibilità / nell’ambito studio di Dott. XXXX N/A Elettronico Documento di sintesi delle - Enti esterni (es. partner) prefattibilità e dello studio di attività, predisposto in funzione di dati per l’esecuzione di Banca Reportistica Dott. XXXX Vertici aziendali N/A Elettronico fattibilità specifiche esigenze (es. richiesta calcoli di dimensionamento - Progettazione del management). Banca dati nell’ambito dello studio di Dott. XXXX N/A Documento di sintesi delle - Enti esterni (es. partner) prefattibilità e dello studio di attività, predisposto in funzione di Reportistica Dott. XXXX Vertici aziendali N/A Elettronico fattibilità specifiche esigenze (es. richiesta del management). Documento di sintesi delle attività, predisposto in funzione di Reportistica Dott. XXXX Vertici aziendali N/A specifiche esigenze (es. richiesta Studio di fattibilità del management). M3 - MODULO CLASSIFICAZIONE INFORMAZIONI DANNO XXXXXXXX UNITA' ORGANIZZATIVA / PROGRAMMA: XXXXXXXX M1 - MODULO RILEVAZIONE INFORMAZIONI ALTRI SOGGETTI COINVOLTI ANNO DI INIZIO ARCHIVIO ARCHIVIO APPLICAZIONE INFORMAZIONE DESCRIZIONE OWNER TIPOLOGIA ARCHIVIAZIONE ELETTRONICO DI CARTACEO DI REDAZIONE / DI RIFERIMENTO ACCESSO DELLO STORICO RIFERIMENTO XXXXXXXX RIFERIMENTO XXXXXXX SpA UNITA' ORGANIZZATIVA / PROGRAMMA: SOCIETÁ: MODIFICA ALTRI SOGGETTI COINVOLTI ANNO DI INIZIO ARCHIVIO ARCHIVIO APPLICAZIONE INFORMAZIONE DESCRIZIONE OWNER TIPOLOGIA ARCHIVIAZIONE ELETTRONICO DI CARTACEO DI - Central File REDAZIONE / DI RIFERIMENTO Documento di analisi nel quale è - Progettazione ACCESSO - ADDP / OCEWEB - Archivio dell'unità DELLO STORICO RIFERIMENTO RIFERIMENTO riportato lo studio preliminare - Marketing Elettronico e - Altri programmi di MODIFICA ALTRI SOGGETTI COINVOLTI Studio di prefattibilità Dott. XXXX Enti esterni (es. partner) 1980 - PC utente XXX (per ARCHIVIO lo storico ANNO DI INIZIO ARCHIVIO relativo alle scelte architetturali e - Pianificazione Strategica cartaceo calcolo APPLICAZIONE prodotto solo in INFORMAZIONE DESCRIZIONE OWNER TIPOLOGIA ARCHIVIAZIONE ELETTRONICO DI CARTACEO DI di dimensionamento. e Business Development - Central File REDAZIONE / DI RIFERIMENTO Documento di analisi nel quale è - Progettazione cartaceo) ACCESSO - ADDP / OCEWEB - Archivio dell'unità DELLO STORICO RIFERIMENTO RIFERIMENTO riportato lo studio preliminare - Marketing Elettronico e - Altri programmi di MODIFICA Documento di analisi definitivo, Studio di prefattibilità Dott. XXXX Enti esterni (es. partner) 1980 - PC utente XXX (per lo storico XXXXXXX SpA SOCIETÁ: calcolo prodotto solo in - Central File cartaceo) - ADDP / OCEWEB - Archivio dell'unità - Altri programmi di - Central File - PC utente XXX (per lo storico calcolo - ADDP /OCEWEB - Archivio dell'unità prodotto solo in - PC utente XXX (per lo storico cartaceo) prodotto solo in - Central File cartaceo) - ADDP /OCEWEB - Archivio dell'unità - Altri programmi di 1980 - PC utente XXX (per lo storico calcolo prodotto solo in - Central File cartaceo) - ADDP /OCEWEB - Archivio dell'unità Elettronico e - Altri programmi di 1980 - PC utente XXX (per lo storico cartaceo calcolo - MS Office prodotto solo in 1980 PC utente N/A - CATIA cartaceo) Elettronico e cartaceo 1980 1990 1980 - Altri programmi di calcolo - MS Office 1980 - CATIA - Altri programmi di PC utente calcolo Elettronico 1990 - MS Office Elettronico - Elettronico PC utente N/A N/A - MS Office 1980 PC utente - CATIA - Altri programmi di PC utente calcolo - ADDP / OCEWEB (non N/A sistematicamente) - Altri programmi di - PC utente 1990 PC utente calcolo - ADDP / OCEWEB MS Office - N/A N/A Organizzativ Economica / Tecnica / a / di finanziaria tecnologica processo NATURA DELL'INFORMAZIONE Economico Immagine Obblighi legali e contrattuali DANNO LIVELLO DI CLASSIFICA LIVELLO DI CLASSIFICA DRAFT Scheda ricerca - RTPR Consortium Agreement - PM Scheda ricerca - RTPR Lieve Lieve Lieve Internal Lieve Grave Grave Lieve Lieve Lieve N/A (non N/A sistematicamente) - PC utente - ADDP / OCEWEB (non MS Office sistematicamente) - PC utente LIVELLO DI CLASSIFICA STORICO NOTE LIVELLO DI LIVELLO DI LIVELLO DI INFORMAZIONE OWNER CLASSIFICA - CLASSIFICA NOTEdopo 10 Innovation and R&D Strategy Strategie di Sviluppo Company Company Company Documento da considerare storico Organizzativ CLASSIFICA Molto /grave Molto grave Molto grave Obblighi Economica / Tecnica Plan Tecnologico Confidential Confidential DRAFT Restricted STORICO anni Strategica a / di Economico Immagine legali e finanziaria tecnologica processo contrattuali NATURA DELL'INFORMAZIONE DANNO Strategie di Sviluppo Company Company Company Documento da considerare storico dopo 10 LIVELLO DI LIVELLO DI Mappatura tecnologie aziendali Molto grave Molto grave Molto grave LIVELLO DI Tecnologico ConfidentialCompany Confidential Restricted Company anni Innovation and R&D Strategy Strategie di Sviluppo Company Documento da considerare storico dopo 10 INFORMAZIONE OWNER CLASSIFICA - CLASSIFICA NOTE Molto grave Molto grave Molto grave Organizzativ Obblighi Plan Tecnologico Confidential CLASSIFICA Confidential Restricted anni Economica / Tecnica / DRAFT STORICO Strategica a / di Economico Immagine legali e Mappatura tecnologie aziendali Strategie di Sviluppo Company Company Company finanziaria tecnologica Grave Grave Grave N/A processo contrattuali per FNM Tecnologico Restricted Company Restricted Company Restricted Company Strategie di Sviluppo Documento da considerare storico dopo 10 Mappatura tecnologie aziendali Molto grave Molto grave Molto grave Tecnologico Confidential Confidential Restricted anni Innovation and R&D Strategy Strategie di Sviluppo Company Company Company Documento da considerare storico dopo 10 Molto grave Molto grave Molto grave Strategie di Sviluppo Company Company Company Documento da considerare storico dopo 10 Tecnologico Confidential Confidential Restricted anni Roadmap Tecnologica Plan Molto grave Molto grave Molto grave Tecnologico ConfidentialCompany ConfidentialCompany Restricted Company anni Mappatura tecnologie aziendali Strategie di Sviluppo Grave Grave Grave N/A per FNM Tecnologico Restricted Restricted Restricted Strategie di Sviluppo Company Company Company Documento da considerare storico dopo 10 Mappatura Molto grave Molto grave Molto grave Piano di implementazione della tecnologie aziendali Company Company Company Documento da considerare Tecnologico Confidential Confidential Restricted annistorico dopo 10 - PM Molto grave Molto grave Molto grave Roadmap Tecnologica Strategie di Sviluppo Documento da considerare storico dopo 10 ConfidentialCompany ConfidentialCompany Restricted Company anni Roadmap Tecnologica Molto grave Molto grave Molto grave Tecnologico Confidential Confidential Restricted anni Mappatura- tecnologie aziendali Strategie di Sviluppo Company Company Company RTPR Grave Grave Grave N/A per FNM - Sponsor della Tecnologico Restricted Restricted Restricted Piano di implementazione della Company Company Company Documento da considerare storico dopo 10 Scheda proposta di ricerca ricerca (es.- funzione Lieve Molto Nessun Internal Internal Internal N/A PM grave danno Molto grave Lieve Molto grave Roadmap Tecnologica Confidential Confidential Restricted anni aziendale) Strategie di Sviluppo Company Company Company Documento da considerare storico dopo 10 Roadmap Tecnologica Molto grave Molto grave Molto grave - PM Tecnologico Confidential Confidential Restricted anni - RTPR - Sponsor della Proposta Tecnica / Capitolato Company Company Company - RTPR ricercadella (es. funzione Grave LieveGrave LieveGrave NessunRestricted danno Internal Internal Internal N/A da considerare storico dopo 10 Pianodidiricerca implementazione Company Company Company N/A Documento Tecnico Scheda proposta Confidential Restricted - PM Molto grave Molto grave Molto grave aziendale) Roadmap Tecnologica Confidential Confidential Restricted anni - PM Company Company Company - RTPR Consortium Agreement - PM Lieve Grave Grave N/A Restricted Company Restricted Company Restricted Company Proposta Tecnica / Capitolato - Sponsor della - RTPR Grave Grave Grave N/A Tecnico Restricted Confidential Internal Restricted Scheda proposta di ricerca ricerca (es. funzione Lieve Lieve Nessun danno Internal Internal N/A aziendale) Scheda ricerca - RTPR Lieve Lieve Lieve Internal Internal Internal N/A - PM Company Company Company Consortium Agreement - PM Lieve Grave Grave N/A Restricted Restricted Restricted Proposta Tecnica / Capitolato Company Company Company - RTPR Grave Grave Grave N/A Tecnico Restricted Confidential Restricted Internal Company Restricted Internal Internal Company Restricted Internal N/A Company Restricted N/A Internal N/A SOCIETÁ: UNITA' ORGANIZZATIVA / PROGRAMMA: XXXXXXX SpA NATURA DELL'INFORMAZIONE INFORMAZIONE OWNER Strategica DANNO Organizzativ Economico a / di Tecnologica Economico Immagine finanziaria processo XXXXXXXX LIVELLO DI LIVELLO DI LIVELLO DI Obblighi CLASSIFICA CLASSIFICA - CLASSIFICA DRAFT STORICO legali e contrattuali NOTE Studio di prefattibilità Dott. XXXX Company Company Molto grave Molto grave Molto grave Confidential Confidential Internal Documento da considerarsi storico dopo 15 anni Studio di fattibilità Dott. XXXX Molto grave Molto grave Molto grave Company Company Confidential Confidential Internal Documento da considerarsi storico dopo 15 anni Disegno a supporto dello Dott. XXXX studio di prefattibilità / fattibilità Molto grave Molto grave Molto grave Company Company Confidential Confidential Internal Documento da considerarsi storico dopo 15 anni Banca dati Dott. XXXX Reportistica Dott. XXXX Grave Grave Grave Company Restricted Company Restricted Company Restricted N/A Company Company Confidential Confidential Company Restricted Documento da considerarsi storico dopo 15 anni N/A Molto grave Molto grave Molto grave Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto 29.5.2014 - Padova - ISACA VENICE Chapter 13 Classificazione delle Informazioni - Approccio Definizione Linee Guida e Strumenti Mappatura Enterprise Architecture Analisi del Rischio e Classificazione Gap Analysis Classificazione delle Informazioni • Definizione della metodologia di Classificazione delle Informazioni • Definizione delle linee guida per la classificazione • Definizione dello strumento per la classificazione • Definizione delle misure da adottare, in funzione della criticità delle informazioni Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto 29.5.2014 - Padova - ISACA VENICE Chapter 14 Classificazione delle Informazioni - Approccio Definizione Linee Guida e Strumenti Mappatura Enterprise Architecture Analisi del Rischio e Classificazione Gap Analysis Classificazione delle Informazioni • Identificazione delle informazioni trattate dalle strutture organizzative • Identificazione delle modalità di visualizzazione e accesso ai dati aziendali • Identificazione delle applicazioni/informazioni che risiedono sugli Asset IT e dei relativi Data Owner • Mappatura degli archivi elettronici o cartacei di riferimento per la memorizzazione delle informazioni Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto 29.5.2014 - Padova - ISACA VENICE Chapter 15 Classificazione delle Informazioni - Approccio Definizione Linee Guida e Strumenti Mappatura Enterprise Architecture Analisi del Rischio e Classificazione Gap Analysis Classificazione delle Informazioni • Valutazione dell’impatto derivante dalla compromissione della riservatezza, integrità e disponibilità delle Informazioni • Classificazione delle Informazioni sulla base dei livelli/categorie definiti e secondo le regole date Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto 29.5.2014 - Padova - ISACA VENICE Chapter 16 Classificazione delle Informazioni - Approccio Definizione Linee Guida e Strumenti Mappatura Enterprise Architecture Analisi del Rischio e Classificazione Gap Analysis Classificazione delle Informazioni • Rilevazione dei controlli/contromisure presenti (AS IS) a protezione delle informazioni aziendali censite • Analisi degli scostamenti tra AS IS ed i controlli previsti in funzione del livello di Classificazione delle Informazioni • Identificazione degli adeguamenti da apportare ai controlli esistenti e dei controlli da implementare exnovo (TO BE) di tipo logico, organizzativo e fisico Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto 29.5.2014 - Padova - ISACA VENICE Chapter 17 Gli impatti da governare Il processo di Information Governance consente alle Organizzazioni di individuare, gestire e governare le Informazioni al fine di implementare meccanismi di protezione delle stesse. È chiaro come una mancata implementazione di tali meccanismi possa avere impatti seri sull’Organizzazione. Gli impatti non riguardano soltanto la perdita economica derivante dalla fuoriuscita di materiale confidenziale o da sanzioni, ma possono riguardare anche danni di tipo reputazionale. Normativa Il mancato rispetto delle normative vigenti, comporta delle sanzioni economiche e la possibilità che chi è stato danneggiato dalla violazione ricorra ad azioni legali Business Una violazione della sicurezza informatica può comportare interruzioni nell’operatività aziendale e la sottrazione di informazioni strategiche per l’azienda Reputazione Un evento di Data Breach potrebbe comportare il danneggiamento dell’immagine pubblica dell’azienda, questa tipologia di danno seppur difficile da stimare può rappresentare uno di quelli a maggior impatto Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto 29.5.2014 - Padova - ISACA VENICE Chapter 18 Normative & Standard - Ultimi aggiornamenti Circolare n. 263 di Banca d’Italia • Definizione di uno standard aziendale di Data Governance, al fine di assicurare l’integrità, la completezza e la correttezza dei dati. • Definizione della gestione della sicurezza informatica in termini di sicurezza delle informazioni e dei beni aziendali. PCI-DSS 3.0 ISO 27001:2013 Aggiornamento dello standard PCI per rispondere in modo più efficace alle nuove minacce e ai cambiamenti associati all’evoluzione del mercato. Ad esempio: • Gestione delle terze parti • Sicurezza fisica dei terminali Aggiornamento dello standard per la gestione sicura delle informazioni, ad esempio: Normative & Standard • Valutazione dei rischi sulla base dell’impatto derivante dalla compromissione della confidenzialità, dell’integrità e della disponibilità delle informazioni • Domini specifici relativi alla gestione della crittografia e della sicurezza delle informazioni nei rapporti con le terze parti • Gestione account e password Privacy • Regolamento UE n. 611/2013 «il fornitore notifica all’autorità nazionale competente la violazione di dati personali entro un termine di 24 ore......» • Provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali (c.d. Data Breach) - 4 Aprile 2013 Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto 29.5.2014 - Padova - ISACA VENICE Chapter 19 Conclusioni Spesso le società adottano modelli di Security Data Governance solo per rispondere ad un obbligo imposto dal Legislatore e non per rispondere all’esigenza di protezione dei dati e delle Informazioni gestite. Solo adottando la “Cultura” della Classificazione delle Informazioni si potrà avere la corretta metodologia per implementare un’Information Governance. Le informazioni sono una componente strategica del patrimonio aziendale, che deve, pertanto, essere tutelata e gestita opportunamente La Classificazione delle Informazioni permette la massimizzazione della protezione derivante dalle misure di sicurezza implementate L’incremento dell’attività normativa di enti governativi ed organizzazioni internazionali ha condotto ad un incremento degli obblighi di compliance Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto 29.5.2014 - Padova - ISACA VENICE Chapter 20 Grazie! Giuseppe Blasi [email protected] +39 349 2912189 www.protiviti.it Andrea Gaglietto [email protected] +39 345 2517411 www.protiviti.it Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto 29.5.2014 - Padova - ISACA VENICE Chapter 21 Information & Data Classification - Giuseppe Blasi, Andrea Gaglietto 29.5.2014 - Padova - ISACA VENICE Chapter 22