Linee guida per la sicurezza informatica in azienda - Malabo Srl
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Proteggere le informazioni e le comunicazioni aziendali
Jesi, 14 luglio 2010
Linee guida
per la sicurezza informatica in azienda
… in tempi di crisi
Marco R.A. Bozzetti
Osservatorio Attacchi Informatici
Past President ClubTI Milano e Fida Inform
GeaLab Srl (www.gea.it), Malabo Srl (www.malaboadvisoring.it)Indice
• Come approcciare il problema sicurezza ICT …. in tempi di crisi
• La rilevazione della situazione
• L’analisi del rischio
• Le policy
• L'attuazione e la gestione della sicurezza ICT
• Aspetti Organizzativi
2Come approcciare
il problema
Sicurezza ICT
3Sicurezza informatica … è solo un problema tecnico?
La pervasività dell’ICT ed il suo ruolo di tecnologia abilitante per ogni processo ed
attività all’interno di qualsiasi organizzazione rende la sicurezza dell’ICT un
elemento chiave per garantire la continuità operativa dell’Aziende o dell’Ente
stesso: un elemento così determinante che non può essere relegato a solo
problema tecnico, ma che dovrebbe essere considerato dallo stesso imprenditore
e dai responsabili di più alto livello della struttura
Æ La Business continuity è un problema di business
Æ compliance alle varie normative
Æ Le informazioni e le risorse ICT che li trattano sono un asset aziendale
4Le due facce del problema
Il problema della sicurezza dei sistemi informativi è percepito ed affrontato sia dalla
Direzione Aziendale che dal Responsabile dei Sistemi informativi, ma con logiche ed
obiettivi diversi
DIREZIONE AZIENDALE SISTEMI INFORMATIVI
Bilanciamento sicurezza con
disponibilità tecniche ed
economiche
Obiettivo ICT sicuro per il business
Competenze sicurezza
Percezione costi elevati
• Scarse
Percezione costi poco trasparenti
• Solo di terzi
Totale delega a CIO-CISO
Insufficienti relazioni con
Verifiche tramite terzi
l’Alta Direzione
Difficoltà valutazione costi
non sicurezza
5La sicurezza globale ICT
Sicurezza fisica
Sicurezza
Globale Sicurezza logica
ICT
Aspetti organizzativi:
• Procedure e normative
• Ruoli & responsabilità
Fonte: dal volume “Sicurezza Digitale” di Marco Bozzetti
6Sicurezza e budget ICT
• La sicurezza ICT rappresenta un costo “continuo” nel budget ICT, che da anni è
sempre stato ridotto e che difficilmente potrà essere aumentato per la sicurezza
ICT in momenti economicamente-finanziariamente critici
• Al vertice aziendale occorre presentare proposte di progetti e di spesa in
termini di business, non tecnici
– Il costo della sicurezza deve essere paragonato al costo della “non
sicurezza”, ossia ai potenziali danni diretti ed indiretti Æ Analisi del Rischio
– I costi assicurativi sul rischio residuo diminuiscono al crescere del livello di
sicurezza in atto
– Con una visione a medio lungo termine ma con risultati entro l’anno
– Interventi ben bilanciati e che tengano conto degli aspetti organizzativi
• Una debole e non misurabile sicurezza ICT
• può far incorrere in sanzioni amministrative e/o penali: Legge 196 sulla
privacy, Legge 231 sulla Governance,IAS, …
• preclude al finanziamento dalle Banche: Basilea 2, IAS, …
• non si possono produrre e vendere prodotti e servizi, oltre a non poter
essere quotati in determinate Borse: IAS, SOX, HPPI, ...
7La rilevazione
della situazione
8Il contesto del sistema ICT da considerare
Data Center
Repliche-
Disaster
Recovery
1. Sicurezza
perimetrale e
fisica
2. Sicurezza
infrastrutture
3. Sicurezza
Data Center
logica
4. Protezione dei
dati
Reti 5. Disaster
Recovery
Sede 1
router router Sicurezza “globale”
Firewal Firewal
l P l P
L C L C
A A
N N
Fonte: dal volume “Sicurezza Digitale” di Marco Bozzetti
Sede X
9Rilevazione della situazione “as is”
• Spesso i dati sono parziali e non correlati Æ Assett DBÆ CMDB
– Quale software su quali macchine
– Anno di installazione/acquisizione Æ indice di obsolescenza
– Numero e scadenze licenze
• Sicurezza fisica e perimetrale Æ Data Center e computer room
• Sicurezza logica preventiva
– Quali gli strumenti di sicurezza , da chi e come gestiti
• Sicurezza logica di ripristino
– Quali gli strumenti di sicurezza , da chi e come gestiti
• Sicurezza organizzativa
– Chi fa che cosa e separazione dei compiti
– Contratti coi fornitori
10L’analisi del rischio
11L’approccio logico per l’analisi del rischio
Sistema
Vulnerabilità
Applicazione Analisi
Vulnerabilità
Informazione Valore
Stima
Minacce
Applicazione
Fonte: dal volume “Sicurezza Digitale” di Marco Bozzetti
12Passato, presente e futuro di minacce ICT
in g
eer
Obiettivo e
scopo del
ngin
danno
al E
c i
So ivi Secondi
Infrastruttura a t
globale p lic
a p
il ità 4a generazione
Impatto a
e rab • Minacce
livello regionale l n istantanee
Vu Minuti • Flash threats
• Attacchi worm
Reti multiple
3a generazione massicci
Giorni • Virus e worm
• DoS e DDoS
offensivi sul carico
Singola rete 2a generazione • Attacchi multipli
Settimane utile
• Macro virus (worm + virus +
Trojan) • Attacchi alle
• E-mail infrastrutture
Singolo • Turbo worms
sistema 1a generazione • DoS • Virus per cellulari e
• Packing limitati • Attacchi su più palmari
• Boot virus
sistemi
1980s 1990s 2000 Odierni e futuri
Fonte: dal volume “Sicurezza Digitale” di Marco Bozzetti
13Vulnerabilità applicative: il gigante dai piedi d’argilla
Ma chi e come è in grado di
verificare le vulnerabilità di un
applicativo? Application
• OO e componentware Software/
Application Layer Network
• web services/SOA Applications
Data
Conversion
Presentation Layer
Utilities
Session Layer Network
Operating
A questi livelli esistono Transport Layer
Systems
soluzioni diffuse ed affidabili,
anche proattive. Network Layer
Network
Data Link Layer
Physical Layer
Fonte: dal volume “Sicurezza Digitale” di Marco Bozzetti
14Rischi e danni
• I principali rischi
– Perdita e/o furto di dati essenziali
– Interruzioni del servizio ICT
– Problemi di natura legale per mancato rispetto di normative,
comportamenti dei dipendenti, ecc.
– Frodi e ricatti (Pizzo informatico)
• I principali danni
– Non continuità operativa del business
– Danni economici diretti ed indiretti
– Perdita di clienti e di fornitori
– Perdita di immagine
– Incremento spese legali
15Le policy
16Linee di indirizzo, Policy e Procedure
Linee di indirizzo
Descrivono gli indirizzi a più alto livello, con una vista strategica e pluriennale nell’ambito
dell’evoluzione sia dell’Azienda/Ente che dei sistemi informativi
Policy di Sicurezza
Indica un insieme di regole e norme che specificano o regolamentano le modalità con cui
un sistema o un'organizzazione fornisce servizi di sicurezza per proteggere risorse critiche
o riservate.
Finalità: far prendere coscienza all’Ente/Azienda dei propri asset e del loro valore,
prescrivendo un livello di sicurezza applicabile, misurabile e verificabile.
Procedura di Sicurezza
Cosa
Indica lo scopo di un’attività, ciò che deve essere fatto e chi lo deve fare, quando e/o come
deve essere fatto, quali strumenti e attrezzature devono essere utilizzati e come dovranno
essere controllati e registrati.
Finalità: documentare con accuratezza le istruzioni e le prassi operative vigenti all’interno
dell’Ente/Azienda.
Come
17L'attuazione e la gestione delle
misure di sicurezza
18Ambienti e strumenti da considerare
Ambiente di produzione Prevenzione
Ambiente di sviluppo
Ripristino
Ambiente di manutenzione e gestione
Diretto
Terziarizzato
19Operare su più livelli ….. contemporaneamente
• Tamponare le vulnerabilità : sistematico aggiornamento fix, patch, ecc.
• Potenziare la gestione degli strumenti di identificazione e autenticazione
• Attuazione misure di prevenzione ben bilanciate in un quadro
architetturale e non come insieme di prodotti-tecnologie
• Pianificare, attuare e provare le misure di ripristino (dal back-up al
Disaster Recovery)
• Monitorare e misurare funzionalità e prestazioni dei sistemi
• Registrare e tenere traccia degli attacchi, anche presunti e/o bloccati
• Sensibilizzare e formare tutti gli utenti, iniziando dai vertici
• Verificare periodicamente l’adeguatezza delle misure rispetto ai costi ed ai
rischi
20E per ridurre i costi …
• Focalizzarsi sulle criticità per il business
• Effettuare tutti gli interventi possibili di tipo organizzativo (gestione e
dimensioni pwd, …) che non comportano costi diretti
• Oculato utilizzo e/sostituzione di programmi proprietari con open
source
• Periodica verifica adeguatezza tecnico-economica
• Verifica opportunità e convenienza terziarizzazione (XaaS)
COSTI FISSI vs VARIABILI
• OpEX: Operation Expenditure
• CapEx: Capital Expenditure
21Un esempio di modello ibrido di cloud computing
Integrazione tra risorse in house, in outsourcing, over-the-Cloud
Fornitore ICT 2
Fornitore ICT 1 SaaS … Fornitore ICT X Fornitore ICT Y
SaaS CRM Informatica SaaS Mappe GIS SaaS CAD-CAM
individuale
Fornitori
Fornitori non ICT
non ICT Clienti
Clienti
INTERNET
INTERNET
Portale web 2.0
ESB Fattori critici
Governo
Governo dei
dei processi
processi ICT
ICT
Applicativi
Applicativi
legacy DB DB DB Sicurezza
Sicurezza
Web services 1 DB
Legacy 1 DB Qualità
Qualità del
del servizio
servizio
Wrapping 1 N
Affidabilità
Affidabilità del
del servizio
servizio
Rispetto
Rispetto regolamentare
regolamentare
Competenze
Competenze ee cultura
cultura
Dal volume: “SOA Libro Bianco sull’evoluzione dell’Enterprise Architecture” 22L’effettiva sicurezza ICT dipende da come viene
gestita
• Sia dal punto di vista tecnico
– Può essere terziarizzata
• Sia dal punto di vista organizzativo e del personale
– Deve essere gestita internamente
– Forte commitment dal vertice aziendale
• Fondamentale avere strumenti di misura e controllo, usati
sistematicamente
23Aspetti Organizzativi
24Sicurezza ed Organizzazione
• Chi fa che cosa? Chi è il responsabile?
• Chi custodisce il custode?
• Non tutte le funzioni/i processi relativi alla sicurezza ICT possono
essere all’interno della Direzione Sistemi Informativi: es auditing
interno
• Basilare una corretta sensibilizzazione sulla sicurezza per tutti gli
utenti, oltre a formazione e addestramento sull’uso degli strumenti
• È l’utente finale il miglior EDP auditor di sé stesso
• Le policy definite devono essere controllate Æ strumenti automatici (es
cambio password)
• Struttura organizzativa e procedure sono elementi determinanti per
una effettiva sicurezza ICT globale
25Strutture organizzative CSO-CISO
CIO
CIO
PROTEZIONE
PROTEZIONE UnitàOrganizzativa
Organizzativa
CSO AZIENDALE
AZIENDALE
Unità
SistemiInformativi
Informativi
Sistemi
Protezione
Protezione Protezione
Protezione
deibeni
dei benimateriali
materiali dellepersone
delle persone
eeimmateriali
immateriali eetutela
tutelaambientale
ambientale
Sicurezzainformatica
Sicurezza informatica
(Protezionedei
(Protezione deidati)
dati)
CISO
2610 considerazioni ….. pragmatiche
1. La sicurezza assoluta non esiste
2. Il peggior nemico: la “falsa” sicurezza
3. La sicurezza è un processo continuo, sia per la parte tecnica che per la parte
organizzativa
4. La sicurezza “globale” deve essere calata nello specifico contesto
dell’Azienda/Ente: i suoi processi, i suoi sistemi, la sua organizzazione, la sua
cultura
5. Per la legge, la forma è sostanza: non solo bisogna fare, ma anche documentare
quello che si è fatto
6. Qualunque siano le soluzioni e le modalità di intervento prescelte, è sempre il top
management che deve dare un forte commitment, che deve guidare i fornitori, che
deve dare il buon esempio
7. Prevenire, prevenire, prevenire : ma per far questo occorre misurare
sistematicamente
8. La Legge di Murphy è sempre vera, prima o poi qualche guaio arriva: bisogna
essere preparati al ripristino
9. La velocità e la complessità degli attuali attacchi è tale che i processi di gestione
della sicurezza devono essere automatizzati
10. La sicurezza ICT è come una catena: tanto sicura quanto il suo anello più debole.
Essa deve quindi essere “ben bilanciata” tra le varie misure e strumenti
27Puoi anche leggere
