Privacy e Sicurezza nei servizi in outsourcing

Seminario AIEA
Roma, 9 marzo 2005
Privacy e Sicurezza nei
servizi in Outsourcing
Raffaella D’Alessandro
Senior
Senior Manager
Manager Technology
Technology &
& Security
Security Risk
Risk Services
Services
Lead
Auditor
BS
7799,
CISA
Lead Auditor BS 7799, CISA
Agenda
• Privacy e Sicurezza nei contratti di outsourcing
– La Privacy nei contratti di Outsourcing: i ruoli e le
responsabilità
– BS 7799: Sicurezza e Outsourcing
• Casistiche prevalenti di fornitura in outsourcing
– Oggetto della fornitura
– Tipologia Dati/Trattamenti
– Misure Minime di Sicurezza da prevedere
– I controlli attuabili
2
Motivazioni del crescente ricorso
all’Outsourcing
• Le aziende si concentrano sul core business
• Rapporto costi/benefici
• Flessibilità strutture organizzative aziendali
• Flessibilità aggiornamento infrastruttura
tecnologica
• Specializzazione del fornitore in outsourcing, in
particolare per le funzioni di sicurezza
3
Ricorso all’outsourcing di funzioni di sicurezza
Indicate which of the following information security functions
are outsourced. If you are using this service, please rate its
effectiveness in improving information security posture
or in reducing data protection risks in your organization.
Outsourced Functions
4
Percent
Yes
Maybe
in 2004
No
Count
Percent of
Respondents
Average
Effectiveness
Very Low
1
Effectiveness
Very High
2
3
4
5
Vulnerability assessment/penetration testing
37
15
48
14
0
0 14 36 50
Network boundary protection
34
3
63
15
0
0
Data archiving and restoration
23
0
77
12
0
0 42 33 25
Information security risk assessments
19
3
77
10
0 20 20 40 20
Anti-virus and content filtering services
19
0
81
11
0
0 18 45 36
Security monitoring
16
5
79
7
0
0 43 29 29
Anti-SPAM
13
13
75
7
14
0 14 29 43
Incident management
11
0
89
6
Very Low
1
2
Very High
3
4
7 53 40
0 33 17 33 17
'Count' is the number of respondents who checked 'Yes'
and also answered the 'effectiveness' question.
2004
2004 E&Y
E&Y Global
Global Information
Information Security
Security Survey
Survey –– Italy
Italy Report
Report
Sorted by Percent of 'Yes'
5
I rischi connessi al ricorso
all’Outsourcing
• Il costo eccede le attese del contraente
• Perdita di know how interno sui S.I.
• Perdita di controllo sui S.I.
• Insuccesso aziendale/fallimento del fornitore
• Difficoltà nel rinegoziare gli accordi
• Carenza nella conformità ai requisiti legislativi
(soprattutto per Offshore Outsourcing)
5
Offshore Outsourcing
Please indicate whether any of the following operations are in place
or whether your organization plans to deploy it in 2004.
Do you have significant information technology
operations outside of your country?
Has your organization outsourced any information
technology operations(s) to third-party providers
located outside of your country?
Does your organization conduct an assessment of the
third-party provider's compliance to your organization's
information security policy on a regular basis?
Does your organization conduct an assessment
of the third-party provider's compliance to your
country's applicable information security regulatory
requirements on a regular basis?
23%
25%
28%
21%
Yes
6%
53%
5%
18%
63%
15%
16%
Plan to Deploy
in 2004
6
2004
2004 E&Y
E&Y Global
Global Information
Information Security
Security Survey
Survey –– Italy
Italy Report
Report
49%
50%
No
7%
8%
13%
Not Applicable
Privacy e Outsourcing: ruoli e responsabilità
Cliente = Titolare
…Eligendo&vigilando
…Eligendo&vigilando
ØValuta
ØValuta esperienza,capacità
esperienza,capacità ed
ed affidabilità
affidabilità ee
livello
livello di
di sicurezza
sicurezza Outsourcee
Outsourcee (individuazione
(individuazione
parametri)
parametri)
ØFornisce
ØFornisce compiti
compiti ee istruzioni
istruzioni scritte
scritte
ØVerifica
ØVerifica che
che l’Outsourcee
l’Outsourcee rispetti
rispetti le
le disposizioni
disposizioni
vigenti
vigenti (ivi
(ivi compreso
compreso ilil profilo
profilo della
della sicurezza),
sicurezza), ii
compiti
compiti ee le
le istruzioni
istruzioni impartite
impartite
Fornisce
Fornisce garanzia
garanzia del
del pieno
pieno
rispetto
rispetto delle
delle vigenti
vigenti disposizioni
disposizioni
in
in materia
materia di
di trattamento,
trattamento, ivi
ivi
compreso
compreso ilil profilo
profilo relativo
relativo alla
alla
sicurezza
sicurezza
Outsourcee = Responsabile
Esercizio della responsabilità “in
eligendo”
• Attenta definizione dei requisiti del servizio
• Confronto tra più offerte, benchmarking dei fornitori nel garantire
supporto e assistenza, valutazione stabilità finanziaria,
valutazione dei clienti del fornitore
• Definire contrattualmente le metriche di misurazione dei livelli di
servizio e dei livelli di sicurezza
• Stipulare accordi a breve termine, rinegoziabili
• Definire nel contratto come è assegnata la proprietà dei dati
• Accordi di riservatezza
• Requisiti di conformità con la legislazione vigente
• Diritto di Audit
8
Outsourcing: la gestione del rapporto
Cliente = Titolare
Outsourcee = Responsabile
Contratto di Outsourcing
Nel
Nel contratto:
contratto:
ØDefinizione
ØDefinizione livello
livello di
di qualità
qualità Outsourcing
Outsourcing (vengono
(vengono specificati
specificati ii parametri
parametri
per
per valutare
valutare la
la bontà
bontà delle
delle prestazioni
prestazioni dell’outsourcee)
dell’outsourcee)
ØDettaglio
ØDettaglio dei
dei compiti
compiti ee delle
delle istruzioni
istruzioni per
per l’outsourcee
l’outsourcee
ØDefinizione
ØDefinizione modalità
modalità di
di controllo
controllo (reportistica
(reportistica da
da produrre,
produrre, Service
Service Level
Level
Agreement)
Agreement) ee verifica
verifica periodica
periodica (verifiche
(verifiche ispettive
ispettive in
in sede)
sede)
ØObblighi
ØObblighi dell’outsourcee
dell’outsourcee devono
devono essere
essere esplicitati
esplicitati
19.7 – Trattamenti affidati all’esterno
Dichiarazione del soggetto esterno
• Di essere consapevole che i dati che tratterà nell’espletamento
dell’incarico ricevuto sono dati personali e come tali sono soggetti
all’applicazione del Codice per la protezione dei dati personali
• Di ottemperare agli obblighi previsti dal Codice per la protezione dei
dati personali
• Di adottare le istruzioni specifiche eventualmente ricevute per il
trattamento dei dati personali o di integrarle nelle procedure già in
essere
• Di impegnarsi a relazionare annualmente sulle misure di sicurezza
adottate e di allertare immediatamente il proprio committente in caso di
situazioni anomale o di emergenze
• Di riconoscere il diritto del committente a verificare periodicamente
l’applicazione delle norme di sicurezza adottate
10
19.7 – Trattamenti affidati all’esterno
Tab. 7.1
Attività
esternazlizza
ta
11
Descrizione
sintetica
Dati
personali,
sensibili o
giudiziari
interessati
Soggetto
esterno
Descrizione
dei criteri e
degli impegni
assunti per
garantire
l’adozione
delle misure
Date delle
verifiche
Esercizio della responsabilità “in
vigilando”
• Attribuire le responsabilità per la gestione tecnica dei
contratti in ambito aziendale
• Esercitare i controlli concordati sui Livelli di Servizio e
sulle Misure di Sicurezza
• Prevedere il referente aziendale e le relative
procedure per la gestione delle emergenze/incidenti
• Esercitare il diritto di Audit presso la struttura del
fornitore
• Rinegoziare gli accordi a fronte di nuove esigenze
12
Outsourcing e BS 7799-2:2002 App.A
Cap.
Cap. A.4.2
A.4.2 La
La Sicurezza
Sicurezza negli
negli accessi
accessi di
di Terze
Terze Parti
Parti
A.4.2.1
A.4.2.1 Identificazione
Identificazione dei
dei rischi
rischi connessi
connessi con
con accessi
accessi delle
delle T.P.
T.P.
IlIl rischio
rischio connesso
connesso con
con l’accesso
l’accesso delle
delle T.P
T.P deve
deve essere
essere valutato
valutato ee
devono
devono essere
essere prese
prese opportune
opportune contromisure.
contromisure.
A.4.2.2
A.4.2.2 Requisiti
Requisiti di
di sicurezza
sicurezza nei
nei contratti
contratti con
con T.P.
T.P.
Accordi
Accordi relativi
relativi all’accesso
all’accesso di
di T.P.
T.P. all’IS
all’IS devono
devono essere
essere
formalizzati
formalizzati in
in contratti
contratti contenenti
contenenti opportuni
opportuni requisiti
requisiti di
di sicurezza
sicurezza
Cap.
Cap. A.4.3
A.4.3 Outsourcing
Outsourcing
A.4.3.1
A.4.3.1 Requisiti
Requisiti di
di sicurezza
sicurezza nei
nei contratti
contratti di
di outsourcing.
outsourcing.
II requisiti
requisiti di
di sicurezza
sicurezza di
di un’organizzazione
un’organizzazione che
che demandi
demandi ad
ad altri
altri la
la
gestione
gestione ed
ed ilil controllo
controllo di
di tutto
tutto oo parte
parte del
del suo
suo sistema
sistema informativo,
informativo,
rete
rete e/o
e/o installazioni
installazioni desk-top,
desk-top, devono
devono essere
essere indirizzati
indirizzati in
in un
un contratto
contratto
concordato
concordato tra
tra le
le parti.
parti.
13
Aspetti legati all’outsourcing : BS 7799 p.1
Cap.
Cap. 44 Organizzazione
Organizzazione della
della Sicurezza
Sicurezza
4.2.2
4.2.2 Requisiti
Requisiti di
di sicurezza
sicurezza nei
nei contratti
contratti con
con terze
terze parti
parti che
che includano
includano
l’accesso
l’accesso al
al sistema
sistema informatico
informatico
aspetti
aspetti che
che dovrebbero
dovrebbero essere
essere presenti,
presenti, in
in particolare:
particolare:
••
••
Politica
Politica generale
generale di
di sicurezza
sicurezza
Protezione
Protezione degli
degli “asset”
“asset”
••
••
Descrizione
Descrizione di
di ciascun
ciascun servizio
servizio richiesto
richiesto
IlIl ivello
ivello target
target di
di servizio
servizio ee livelli
livelli non
non accettabili
accettabili
••
••
Trasferimenti
Trasferimenti di
di staff
staff qualora
qualora richiesti
richiesti
Responsabilità
Responsabilità relative
relative dei
dei due
due contraenti
contraenti
••
••
Responsabilità
Responsabilità indotte
indotte dall’applicazione
dall’applicazione delle
delle leggi
leggi
Proprietà
Proprietà intellettuale
intellettuale
••
••
Accordi
Accordi sul
sul controllo
controllo degli
degli accessi
accessi
Definizione
Definizione di
di criteri
criteri verificabili
verificabili di
di performance
performance
14
Aspetti legati all’outsourcing : BS 7799 p.1
Cap.
Cap. 44 Organizzazione
Organizzazione della
della Sicurezza
Sicurezza
4.2.2
4.2.2 Requisiti
Requisiti di
di sicurezza
sicurezza nei
nei contratti
contratti con
con T.P.(continua)
T.P.(continua)
••
••
Diritti
Diritti di
di verifica
verifica ee di
di revoca
revoca di
di attività
attività degli
degli utenti
utenti
Diritti
Diritti di
di verifica
verifica di
di requisiti
requisiti contrattuali
contrattuali oo di
di affidamento
affidamento aa terze
terze parti
parti
••
••
Definizione
Definizione di
di un
un processo
processo di
di escalation
escalation per
per la
la risoluzione
risoluzione di
di problemi
problemi
Definizione
Definizione di
di responsabilità
responsabilità relative
relative ad
ad HW
HW ee SW
SW
••
••
Definizione
Definizione della
della struttura
struttura di
di riporto
riporto
Definizione
Definizione del
del processo
processo di
di gestione
gestione dei
dei cambiamenti
cambiamenti
••
••
Eventuali
Eventuali requisiti
requisiti di
di protezione
protezione fisica
fisica
Training
Training per
per gli
gli utenti
utenti ee l’amministratore
l’amministratore di
di sistema
sistema per
per la
la sicurezza
sicurezza
••
••
Modalità
Modalità di
di assicurare
assicurare protezione
protezione da
da “malicious
“malicious software”
software”
Modalità
Modalità per
per riportare,
riportare, notificare
notificare ee investigare
investigare incidenti
incidenti
••
Gestione
Gestione dei
dei subfornitori
subfornitori
15
Aspetti legati all’outsourcing : BS 7799 p.1
4.3
4.3 Outsourcing:
Outsourcing:
Nel
Nel caso
caso in
in cui
cui la
la responsabilità
responsabilità dell’IS
dell’IS venga
venga affidata
affidata aa terzi,
terzi, oltre
oltre ai
ai punti
punti citati
citati al
al
par.
par. 4.2.2,
4.2.2, dovrebbero
dovrebbero essere
essere considerati
considerati nel
nel contratto:
contratto:
•• Come
Come ii requisiti
requisiti di
di legge
legge vengano
vengano rispettati
rispettati
•• Quali
Quali accordi
accordi per
per assicurarsi
assicurarsi che
che tutte
tutte le
le parti
parti coinvolte
coinvolte
(collaboratori,subcontractors)
(collaboratori,subcontractors) siano
siano aa conoscenza
conoscenza delle
delle proprie
proprie responsabilità
responsabilità
•• Come
Come mantenere
mantenere ee testare
testare la
la confidenzialità
confidenzialità ee l’integrità
l’integrità dei
dei dati
dati aziendali
aziendali
••
Quali
Quali misure
misure fisiche
fisiche ee logiche
logiche verranno
verranno adottate
adottate per
per restringere
restringere l’accesso
l’accesso agli
agli
operatori
operatori autorizzati
autorizzati
••
Come
Come sarà
sarà assicurata
assicurata la
la continuità
continuità delle
delle operazioni
operazioni in
in caso
caso di
di disastri
disastri
••
Quale
Quale livello
livello di
di protezione
protezione fisica
fisica assicurare
assicurare all’HW
all’HW oggetto
oggetto del
del servizio
servizio
••
IlIl diritto
diritto di
di verificare
verificare ilil rispetto
rispetto dei
dei requisiti
requisiti contrattuali
contrattuali
16
Agenda
• Privacy e Sicurezza nei contratti di outsourcing
– La Privacy nei contratti di Outsourcing: i ruoli e le
responsabilità
– BS 7799: Sicurezza e Outsourcing
• Casistiche prevalenti di fornitura in outsourcing
– Oggetto della fornitura
– Tipologia Dati/Trattamenti
– Misure Minime di Sicurezza da prevedere
– I controlli attuabili
17
Archiviazione documentale esterna:
servizi, dati e trattamenti
• Servizio di presa in carico
• Servizio di conservazione e custodia
• Servizio di recapito per consultazione
• Servizio di consultazione locale
• Servizio di distruzione
• Dati personali, sensibili, giudiziari
• Trattamenti senza l’ausilio di strumenti elettronici
18
Archiviazione documentale esterna: quali
misure di sicurezza richiedere
• Sicurezza ambientale (acqua, fuoco, antintrusione,
vigilanza, trasporto)
• Controllo Accessi Fisico (lista incaricati interni ed
esterni, controllo dell’accesso ai locali, agli archivi,
tracciamento attività di consultazione, duplicazione,
spedizione, distruzione)
• Procedure organizzative per la verifica e
l’aggiornamento dell’ambito degli incaricati
• Formazione e sensibilizzazione degli Incaricati
• Segnalazione delle emergenze
19
Archiviazione documentale esterna: quali
controlli prevedere
• Report annuale contenente:
– Elenco documentazione custodita e sua dislocazione
presso il fornitore
– Elenco Incaricati interni ed esterni
– Elenco richieste di presa in carico, custodia,
consultazione con recapito o presso il fornitore,
distruzione
– Misure di Sicurezza in essere ed eventuali
aggiornamenti
– Erogazione formazione e sensibilizzazione agli
incaricati
– Segnalazioni di anomalie/emergenze
20
Archiviazione documentale esterna: quali
controlli prevedere
• Verifica annuale :
– Verifica ispettiva dei locali e dei mezzi di trasporto del fornitore per
la sicurezza ambientale
– Verifica a campione della dislocazione dei documenti negli archivi e
nei locali ad accesso controllato
– Elenco Incaricati interni ed esterni: verifica dell’aggiornamento
– Elenco richieste di presa in carico, custodia, consultazione con
recapito o presso il fornitore, distruzione: verifica del registro
– Misure di Sicurezza in essere ed eventuali aggiornamenti: verifica
delle Politiche di Sicurezza e delle relative Procedure
– Erogazione del Piano di formazione e sensibilizzazione: verifica del
calendario e delle erogazioni effettuate
– Segnalazioni di anomalie/emergenze: verifica della procedura e del
registro
21
Esternalizzazione del servizio di paghe e
stipendi: un esempio
Dati
Dati
Aziendali
Aziendali
Consultazione
Statistiche
Tabulati
Tabulati
cedolini
cedolini
Cliente
22
Fornitore
Esternalizzazione del servizio di paghe e
stipendi: servizi, dati e trattamenti
• Messa a disposizione dell’ambiente elaborativo presso il
fornitore (HW,SW,Rete,stampanti)
• Messa a disposizione di sw per interrogazioni presso il cliente
• Acquisizione e caricamento dati mensili da supporto magnetico
inviato dal cliente
• Produzione reportistica mensile e annuale
• Produzione delle buste paga, imbustamento e invio al cliente
• Dati Personali, Sensibili e Giudiziari
• Trattamento con strumenti elettronici
23
Esternalizzazione del servizio di paghe e
stipendi:quali misure di sicurezza richiedere (1/2)
Allegato
B
Misure di Sicurezza
Principali prescrizioni
Sicurezza ambientale CED e Controllo
Fisico Accessi
Acqua,fuoco, antintrusione, vigilanza, locali ad accesso
riservato
1-11
Sistema di Autenticazione Informatica
Credenziali di Autenticazione, Istruzioni per gli Incaricati
12-14
Sistema di Autorizzazione
Profili di autorizzazione, Verifica annuale sussistenza
15-18
Altre Misure di Sicurezza
Lista degli Incaricati,Antivirus aggiornato ogni 6 mesi,
Verifica e correzione delle vulnerabilità almeno semestrale,
Salvataggio dati minimo settimanale
19 (.1-.8)
Documento Programmatico sulla
Sicurezza (DPS)
Analisi dei Rischi,Piano di Formazione per gli incaricati
20-24
Ulteriori misure per dati sensibili o
giudiziari
Protezioni da accesso abusivo (Firewall, IDS), Gestione
supporti rimovibili,
Continuità operativa
25,26
24
Misure di Tutela e Garanzia
Attestato di conformità dell’installatore
Segnalazione di anomalie e/o
emergenze
Condivisione di classificazione degli eventi e di escalation
Procedure
Esternalizzazione del servizio di paghe e
stipendi:quali misure di sicurezza richiedere (2/2)
Allegato
B
Misure di Sicurezza
Principali prescrizioni
27
Istruzioni agli incaricati
Istruzioni scritte per custodia e controllo
Individuazione dell’ambito del trattamento da aggiornare
periodicamente almeno una volta all’anno
Lista degli Incaricati e dei relativi profili di autorizzazione
28
Istruzioni per dati sensibili o
giudiziari
Controllo e custodia fino alla restituzione
29
Controllo accessi agli archivi di dati
sensibili o giudiziari
Accesso ai soli autorizzati
Accesso controllato
Identificazione e registrazione accessi dopo l’orario di chiusura
Autorizzazione preventiva per l’accesso agli archivi non presidiati
25
Esternalizzazione del servizio di paghe e stipendi:
quali controlli prevedere
• Report semestrale contenente:
– Gestione delle credenziali di autenticazione:generazione,
aggiornamenti, disattivazioni
– Elenco Incaricati abilitati/disabilitati e relativi profili
– Elenco strumenti contro il rischio di intrusione e malware e relativi
aggiornamenti (Firewall, IDS, Antivirus)
– Elenco attività di vulnerability assessment e correttivi implementati
(patch management)
– Salvataggi dei dati effettuati
– Erogazione del Piano di Formazione agli Incaricati
– Elenco strumenti contro accessi abusivi e relativi
aggiornamenti(Firewall,IDS, Antivirus)
– Attività di custodia,uso, riuso e distruzione dei supporti di
memorizzazione rimovibili
– Segnalazioni di anomalie/emergenze (tentativi di accesso non
autorizzato, continuità operativa,..)
26
Esternalizzazione del servizio di paghe e stipendi:
quali controlli prevedere
• Verifica annuale :
– Verifica ispettiva dei locali del fornitore per la sicurezza ambientale
ed il controllo degli accessi
– Verifica delle Politiche e delle Procedure di Gestione e Controllo
delle Misure di Sicurezza: credenziali di autenticazione, sistema di
autorizzazione, protezione da SW malevolo, protezione dalle
intrusioni, supporti di memorizzazione rimovibili, back-up, continuità
operativa, attestati di conformità degli installatori
– Elenco Incaricati interni ed esterni: verifica dell’aggiornamento
– Documento Programmatico sulla Sicurezza del Fornitore ???
– Erogazione del Piano di formazione e sensibilizzazione
– Segnalazioni di anomalie/emergenze: verifica della procedura e del
registro di gestione delle anomalie
27
Conclusioni
• Il Titolare è tenuto ad agire in base al principio
della responsabilità “in eligendo” e “in
vigilando”
• La rinegoziazione delle misure di sicurezza e
dei controlli applicabili va definita insieme al
fornitore
• La responsabilità “in eligendo” e “in vigilando”
comporterà nuovi costi e nuovi impatti
organizzativi sia per il cliente che per il fornitore
28