Privacy e Sicurezza nei servizi in outsourcing
Transcript
Privacy e Sicurezza nei servizi in outsourcing
Seminario AIEA Roma, 9 marzo 2005 Privacy e Sicurezza nei servizi in Outsourcing Raffaella D’Alessandro Senior Senior Manager Manager Technology Technology & & Security Security Risk Risk Services Services Lead Auditor BS 7799, CISA Lead Auditor BS 7799, CISA Agenda • Privacy e Sicurezza nei contratti di outsourcing – La Privacy nei contratti di Outsourcing: i ruoli e le responsabilità – BS 7799: Sicurezza e Outsourcing • Casistiche prevalenti di fornitura in outsourcing – Oggetto della fornitura – Tipologia Dati/Trattamenti – Misure Minime di Sicurezza da prevedere – I controlli attuabili 2 Motivazioni del crescente ricorso all’Outsourcing • Le aziende si concentrano sul core business • Rapporto costi/benefici • Flessibilità strutture organizzative aziendali • Flessibilità aggiornamento infrastruttura tecnologica • Specializzazione del fornitore in outsourcing, in particolare per le funzioni di sicurezza 3 Ricorso all’outsourcing di funzioni di sicurezza Indicate which of the following information security functions are outsourced. If you are using this service, please rate its effectiveness in improving information security posture or in reducing data protection risks in your organization. Outsourced Functions 4 Percent Yes Maybe in 2004 No Count Percent of Respondents Average Effectiveness Very Low 1 Effectiveness Very High 2 3 4 5 Vulnerability assessment/penetration testing 37 15 48 14 0 0 14 36 50 Network boundary protection 34 3 63 15 0 0 Data archiving and restoration 23 0 77 12 0 0 42 33 25 Information security risk assessments 19 3 77 10 0 20 20 40 20 Anti-virus and content filtering services 19 0 81 11 0 0 18 45 36 Security monitoring 16 5 79 7 0 0 43 29 29 Anti-SPAM 13 13 75 7 14 0 14 29 43 Incident management 11 0 89 6 Very Low 1 2 Very High 3 4 7 53 40 0 33 17 33 17 'Count' is the number of respondents who checked 'Yes' and also answered the 'effectiveness' question. 2004 2004 E&Y E&Y Global Global Information Information Security Security Survey Survey –– Italy Italy Report Report Sorted by Percent of 'Yes' 5 I rischi connessi al ricorso all’Outsourcing • Il costo eccede le attese del contraente • Perdita di know how interno sui S.I. • Perdita di controllo sui S.I. • Insuccesso aziendale/fallimento del fornitore • Difficoltà nel rinegoziare gli accordi • Carenza nella conformità ai requisiti legislativi (soprattutto per Offshore Outsourcing) 5 Offshore Outsourcing Please indicate whether any of the following operations are in place or whether your organization plans to deploy it in 2004. Do you have significant information technology operations outside of your country? Has your organization outsourced any information technology operations(s) to third-party providers located outside of your country? Does your organization conduct an assessment of the third-party provider's compliance to your organization's information security policy on a regular basis? Does your organization conduct an assessment of the third-party provider's compliance to your country's applicable information security regulatory requirements on a regular basis? 23% 25% 28% 21% Yes 6% 53% 5% 18% 63% 15% 16% Plan to Deploy in 2004 6 2004 2004 E&Y E&Y Global Global Information Information Security Security Survey Survey –– Italy Italy Report Report 49% 50% No 7% 8% 13% Not Applicable Privacy e Outsourcing: ruoli e responsabilità Cliente = Titolare …Eligendo&vigilando …Eligendo&vigilando ØValuta ØValuta esperienza,capacità esperienza,capacità ed ed affidabilità affidabilità ee livello livello di di sicurezza sicurezza Outsourcee Outsourcee (individuazione (individuazione parametri) parametri) ØFornisce ØFornisce compiti compiti ee istruzioni istruzioni scritte scritte ØVerifica ØVerifica che che l’Outsourcee l’Outsourcee rispetti rispetti le le disposizioni disposizioni vigenti vigenti (ivi (ivi compreso compreso ilil profilo profilo della della sicurezza), sicurezza), ii compiti compiti ee le le istruzioni istruzioni impartite impartite Fornisce Fornisce garanzia garanzia del del pieno pieno rispetto rispetto delle delle vigenti vigenti disposizioni disposizioni in in materia materia di di trattamento, trattamento, ivi ivi compreso compreso ilil profilo profilo relativo relativo alla alla sicurezza sicurezza Outsourcee = Responsabile Esercizio della responsabilità “in eligendo” • Attenta definizione dei requisiti del servizio • Confronto tra più offerte, benchmarking dei fornitori nel garantire supporto e assistenza, valutazione stabilità finanziaria, valutazione dei clienti del fornitore • Definire contrattualmente le metriche di misurazione dei livelli di servizio e dei livelli di sicurezza • Stipulare accordi a breve termine, rinegoziabili • Definire nel contratto come è assegnata la proprietà dei dati • Accordi di riservatezza • Requisiti di conformità con la legislazione vigente • Diritto di Audit 8 Outsourcing: la gestione del rapporto Cliente = Titolare Outsourcee = Responsabile Contratto di Outsourcing Nel Nel contratto: contratto: ØDefinizione ØDefinizione livello livello di di qualità qualità Outsourcing Outsourcing (vengono (vengono specificati specificati ii parametri parametri per per valutare valutare la la bontà bontà delle delle prestazioni prestazioni dell’outsourcee) dell’outsourcee) ØDettaglio ØDettaglio dei dei compiti compiti ee delle delle istruzioni istruzioni per per l’outsourcee l’outsourcee ØDefinizione ØDefinizione modalità modalità di di controllo controllo (reportistica (reportistica da da produrre, produrre, Service Service Level Level Agreement) Agreement) ee verifica verifica periodica periodica (verifiche (verifiche ispettive ispettive in in sede) sede) ØObblighi ØObblighi dell’outsourcee dell’outsourcee devono devono essere essere esplicitati esplicitati 19.7 – Trattamenti affidati all’esterno Dichiarazione del soggetto esterno • Di essere consapevole che i dati che tratterà nell’espletamento dell’incarico ricevuto sono dati personali e come tali sono soggetti all’applicazione del Codice per la protezione dei dati personali • Di ottemperare agli obblighi previsti dal Codice per la protezione dei dati personali • Di adottare le istruzioni specifiche eventualmente ricevute per il trattamento dei dati personali o di integrarle nelle procedure già in essere • Di impegnarsi a relazionare annualmente sulle misure di sicurezza adottate e di allertare immediatamente il proprio committente in caso di situazioni anomale o di emergenze • Di riconoscere il diritto del committente a verificare periodicamente l’applicazione delle norme di sicurezza adottate 10 19.7 – Trattamenti affidati all’esterno Tab. 7.1 Attività esternazlizza ta 11 Descrizione sintetica Dati personali, sensibili o giudiziari interessati Soggetto esterno Descrizione dei criteri e degli impegni assunti per garantire l’adozione delle misure Date delle verifiche Esercizio della responsabilità “in vigilando” • Attribuire le responsabilità per la gestione tecnica dei contratti in ambito aziendale • Esercitare i controlli concordati sui Livelli di Servizio e sulle Misure di Sicurezza • Prevedere il referente aziendale e le relative procedure per la gestione delle emergenze/incidenti • Esercitare il diritto di Audit presso la struttura del fornitore • Rinegoziare gli accordi a fronte di nuove esigenze 12 Outsourcing e BS 7799-2:2002 App.A Cap. Cap. A.4.2 A.4.2 La La Sicurezza Sicurezza negli negli accessi accessi di di Terze Terze Parti Parti A.4.2.1 A.4.2.1 Identificazione Identificazione dei dei rischi rischi connessi connessi con con accessi accessi delle delle T.P. T.P. IlIl rischio rischio connesso connesso con con l’accesso l’accesso delle delle T.P T.P deve deve essere essere valutato valutato ee devono devono essere essere prese prese opportune opportune contromisure. contromisure. A.4.2.2 A.4.2.2 Requisiti Requisiti di di sicurezza sicurezza nei nei contratti contratti con con T.P. T.P. Accordi Accordi relativi relativi all’accesso all’accesso di di T.P. T.P. all’IS all’IS devono devono essere essere formalizzati formalizzati in in contratti contratti contenenti contenenti opportuni opportuni requisiti requisiti di di sicurezza sicurezza Cap. Cap. A.4.3 A.4.3 Outsourcing Outsourcing A.4.3.1 A.4.3.1 Requisiti Requisiti di di sicurezza sicurezza nei nei contratti contratti di di outsourcing. outsourcing. II requisiti requisiti di di sicurezza sicurezza di di un’organizzazione un’organizzazione che che demandi demandi ad ad altri altri la la gestione gestione ed ed ilil controllo controllo di di tutto tutto oo parte parte del del suo suo sistema sistema informativo, informativo, rete rete e/o e/o installazioni installazioni desk-top, desk-top, devono devono essere essere indirizzati indirizzati in in un un contratto contratto concordato concordato tra tra le le parti. parti. 13 Aspetti legati all’outsourcing : BS 7799 p.1 Cap. Cap. 44 Organizzazione Organizzazione della della Sicurezza Sicurezza 4.2.2 4.2.2 Requisiti Requisiti di di sicurezza sicurezza nei nei contratti contratti con con terze terze parti parti che che includano includano l’accesso l’accesso al al sistema sistema informatico informatico aspetti aspetti che che dovrebbero dovrebbero essere essere presenti, presenti, in in particolare: particolare: •• •• Politica Politica generale generale di di sicurezza sicurezza Protezione Protezione degli degli “asset” “asset” •• •• Descrizione Descrizione di di ciascun ciascun servizio servizio richiesto richiesto IlIl ivello ivello target target di di servizio servizio ee livelli livelli non non accettabili accettabili •• •• Trasferimenti Trasferimenti di di staff staff qualora qualora richiesti richiesti Responsabilità Responsabilità relative relative dei dei due due contraenti contraenti •• •• Responsabilità Responsabilità indotte indotte dall’applicazione dall’applicazione delle delle leggi leggi Proprietà Proprietà intellettuale intellettuale •• •• Accordi Accordi sul sul controllo controllo degli degli accessi accessi Definizione Definizione di di criteri criteri verificabili verificabili di di performance performance 14 Aspetti legati all’outsourcing : BS 7799 p.1 Cap. Cap. 44 Organizzazione Organizzazione della della Sicurezza Sicurezza 4.2.2 4.2.2 Requisiti Requisiti di di sicurezza sicurezza nei nei contratti contratti con con T.P.(continua) T.P.(continua) •• •• Diritti Diritti di di verifica verifica ee di di revoca revoca di di attività attività degli degli utenti utenti Diritti Diritti di di verifica verifica di di requisiti requisiti contrattuali contrattuali oo di di affidamento affidamento aa terze terze parti parti •• •• Definizione Definizione di di un un processo processo di di escalation escalation per per la la risoluzione risoluzione di di problemi problemi Definizione Definizione di di responsabilità responsabilità relative relative ad ad HW HW ee SW SW •• •• Definizione Definizione della della struttura struttura di di riporto riporto Definizione Definizione del del processo processo di di gestione gestione dei dei cambiamenti cambiamenti •• •• Eventuali Eventuali requisiti requisiti di di protezione protezione fisica fisica Training Training per per gli gli utenti utenti ee l’amministratore l’amministratore di di sistema sistema per per la la sicurezza sicurezza •• •• Modalità Modalità di di assicurare assicurare protezione protezione da da “malicious “malicious software” software” Modalità Modalità per per riportare, riportare, notificare notificare ee investigare investigare incidenti incidenti •• Gestione Gestione dei dei subfornitori subfornitori 15 Aspetti legati all’outsourcing : BS 7799 p.1 4.3 4.3 Outsourcing: Outsourcing: Nel Nel caso caso in in cui cui la la responsabilità responsabilità dell’IS dell’IS venga venga affidata affidata aa terzi, terzi, oltre oltre ai ai punti punti citati citati al al par. par. 4.2.2, 4.2.2, dovrebbero dovrebbero essere essere considerati considerati nel nel contratto: contratto: •• Come Come ii requisiti requisiti di di legge legge vengano vengano rispettati rispettati •• Quali Quali accordi accordi per per assicurarsi assicurarsi che che tutte tutte le le parti parti coinvolte coinvolte (collaboratori,subcontractors) (collaboratori,subcontractors) siano siano aa conoscenza conoscenza delle delle proprie proprie responsabilità responsabilità •• Come Come mantenere mantenere ee testare testare la la confidenzialità confidenzialità ee l’integrità l’integrità dei dei dati dati aziendali aziendali •• Quali Quali misure misure fisiche fisiche ee logiche logiche verranno verranno adottate adottate per per restringere restringere l’accesso l’accesso agli agli operatori operatori autorizzati autorizzati •• Come Come sarà sarà assicurata assicurata la la continuità continuità delle delle operazioni operazioni in in caso caso di di disastri disastri •• Quale Quale livello livello di di protezione protezione fisica fisica assicurare assicurare all’HW all’HW oggetto oggetto del del servizio servizio •• IlIl diritto diritto di di verificare verificare ilil rispetto rispetto dei dei requisiti requisiti contrattuali contrattuali 16 Agenda • Privacy e Sicurezza nei contratti di outsourcing – La Privacy nei contratti di Outsourcing: i ruoli e le responsabilità – BS 7799: Sicurezza e Outsourcing • Casistiche prevalenti di fornitura in outsourcing – Oggetto della fornitura – Tipologia Dati/Trattamenti – Misure Minime di Sicurezza da prevedere – I controlli attuabili 17 Archiviazione documentale esterna: servizi, dati e trattamenti • Servizio di presa in carico • Servizio di conservazione e custodia • Servizio di recapito per consultazione • Servizio di consultazione locale • Servizio di distruzione • Dati personali, sensibili, giudiziari • Trattamenti senza l’ausilio di strumenti elettronici 18 Archiviazione documentale esterna: quali misure di sicurezza richiedere • Sicurezza ambientale (acqua, fuoco, antintrusione, vigilanza, trasporto) • Controllo Accessi Fisico (lista incaricati interni ed esterni, controllo dell’accesso ai locali, agli archivi, tracciamento attività di consultazione, duplicazione, spedizione, distruzione) • Procedure organizzative per la verifica e l’aggiornamento dell’ambito degli incaricati • Formazione e sensibilizzazione degli Incaricati • Segnalazione delle emergenze 19 Archiviazione documentale esterna: quali controlli prevedere • Report annuale contenente: – Elenco documentazione custodita e sua dislocazione presso il fornitore – Elenco Incaricati interni ed esterni – Elenco richieste di presa in carico, custodia, consultazione con recapito o presso il fornitore, distruzione – Misure di Sicurezza in essere ed eventuali aggiornamenti – Erogazione formazione e sensibilizzazione agli incaricati – Segnalazioni di anomalie/emergenze 20 Archiviazione documentale esterna: quali controlli prevedere • Verifica annuale : – Verifica ispettiva dei locali e dei mezzi di trasporto del fornitore per la sicurezza ambientale – Verifica a campione della dislocazione dei documenti negli archivi e nei locali ad accesso controllato – Elenco Incaricati interni ed esterni: verifica dell’aggiornamento – Elenco richieste di presa in carico, custodia, consultazione con recapito o presso il fornitore, distruzione: verifica del registro – Misure di Sicurezza in essere ed eventuali aggiornamenti: verifica delle Politiche di Sicurezza e delle relative Procedure – Erogazione del Piano di formazione e sensibilizzazione: verifica del calendario e delle erogazioni effettuate – Segnalazioni di anomalie/emergenze: verifica della procedura e del registro 21 Esternalizzazione del servizio di paghe e stipendi: un esempio Dati Dati Aziendali Aziendali Consultazione Statistiche Tabulati Tabulati cedolini cedolini Cliente 22 Fornitore Esternalizzazione del servizio di paghe e stipendi: servizi, dati e trattamenti • Messa a disposizione dell’ambiente elaborativo presso il fornitore (HW,SW,Rete,stampanti) • Messa a disposizione di sw per interrogazioni presso il cliente • Acquisizione e caricamento dati mensili da supporto magnetico inviato dal cliente • Produzione reportistica mensile e annuale • Produzione delle buste paga, imbustamento e invio al cliente • Dati Personali, Sensibili e Giudiziari • Trattamento con strumenti elettronici 23 Esternalizzazione del servizio di paghe e stipendi:quali misure di sicurezza richiedere (1/2) Allegato B Misure di Sicurezza Principali prescrizioni Sicurezza ambientale CED e Controllo Fisico Accessi Acqua,fuoco, antintrusione, vigilanza, locali ad accesso riservato 1-11 Sistema di Autenticazione Informatica Credenziali di Autenticazione, Istruzioni per gli Incaricati 12-14 Sistema di Autorizzazione Profili di autorizzazione, Verifica annuale sussistenza 15-18 Altre Misure di Sicurezza Lista degli Incaricati,Antivirus aggiornato ogni 6 mesi, Verifica e correzione delle vulnerabilità almeno semestrale, Salvataggio dati minimo settimanale 19 (.1-.8) Documento Programmatico sulla Sicurezza (DPS) Analisi dei Rischi,Piano di Formazione per gli incaricati 20-24 Ulteriori misure per dati sensibili o giudiziari Protezioni da accesso abusivo (Firewall, IDS), Gestione supporti rimovibili, Continuità operativa 25,26 24 Misure di Tutela e Garanzia Attestato di conformità dell’installatore Segnalazione di anomalie e/o emergenze Condivisione di classificazione degli eventi e di escalation Procedure Esternalizzazione del servizio di paghe e stipendi:quali misure di sicurezza richiedere (2/2) Allegato B Misure di Sicurezza Principali prescrizioni 27 Istruzioni agli incaricati Istruzioni scritte per custodia e controllo Individuazione dell’ambito del trattamento da aggiornare periodicamente almeno una volta all’anno Lista degli Incaricati e dei relativi profili di autorizzazione 28 Istruzioni per dati sensibili o giudiziari Controllo e custodia fino alla restituzione 29 Controllo accessi agli archivi di dati sensibili o giudiziari Accesso ai soli autorizzati Accesso controllato Identificazione e registrazione accessi dopo l’orario di chiusura Autorizzazione preventiva per l’accesso agli archivi non presidiati 25 Esternalizzazione del servizio di paghe e stipendi: quali controlli prevedere • Report semestrale contenente: – Gestione delle credenziali di autenticazione:generazione, aggiornamenti, disattivazioni – Elenco Incaricati abilitati/disabilitati e relativi profili – Elenco strumenti contro il rischio di intrusione e malware e relativi aggiornamenti (Firewall, IDS, Antivirus) – Elenco attività di vulnerability assessment e correttivi implementati (patch management) – Salvataggi dei dati effettuati – Erogazione del Piano di Formazione agli Incaricati – Elenco strumenti contro accessi abusivi e relativi aggiornamenti(Firewall,IDS, Antivirus) – Attività di custodia,uso, riuso e distruzione dei supporti di memorizzazione rimovibili – Segnalazioni di anomalie/emergenze (tentativi di accesso non autorizzato, continuità operativa,..) 26 Esternalizzazione del servizio di paghe e stipendi: quali controlli prevedere • Verifica annuale : – Verifica ispettiva dei locali del fornitore per la sicurezza ambientale ed il controllo degli accessi – Verifica delle Politiche e delle Procedure di Gestione e Controllo delle Misure di Sicurezza: credenziali di autenticazione, sistema di autorizzazione, protezione da SW malevolo, protezione dalle intrusioni, supporti di memorizzazione rimovibili, back-up, continuità operativa, attestati di conformità degli installatori – Elenco Incaricati interni ed esterni: verifica dell’aggiornamento – Documento Programmatico sulla Sicurezza del Fornitore ??? – Erogazione del Piano di formazione e sensibilizzazione – Segnalazioni di anomalie/emergenze: verifica della procedura e del registro di gestione delle anomalie 27 Conclusioni • Il Titolare è tenuto ad agire in base al principio della responsabilità “in eligendo” e “in vigilando” • La rinegoziazione delle misure di sicurezza e dei controlli applicabili va definita insieme al fornitore • La responsabilità “in eligendo” e “in vigilando” comporterà nuovi costi e nuovi impatti organizzativi sia per il cliente che per il fornitore 28