L’Analisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un Information Security Management System (BS7799) Stefano TRAVERSA Lecce, 21 Maggio 2004 Agenda Il processo della sicurezza La gestione dei rischi in BS7799 La nuova sensibilità dei rischi Scenario • Basilea2, TU196/2003, SLA Lo standard BS7799: vantaggi Riflessioni su BS7799 Scenario internazionale La Sicurezza come Processo Information Security Management System “Security is a process, not a state” (B. Schneier) Security is a process not a State La sola applicazione di tecnologie è poco efficace, specie per realtà complesse di mediograndi dimensioni I progetti di sicurezza (dai requisiti alla soluzione) hanno fornito risposte adeguate alle esigenze puntuali, ma da soli non bastano Occorrono feedback che alimentino un processo di evoluzione continua delle soluzioni adottate per ottenere la massima efficacia Gestire il rischio Processi stabili e ripetibili nel tempo significa anche avere la possibilità di gestire meglio i rischi Il controllo interno In un’ottica di governance, essere dotati di processi stabili e ripetibili nel tempo, significa governare meglio la struttura, per salvaguardare gli stakeholders Il valore dell’informazione L’informazione viene supportata da strumenti informatici, … ma la sua efficacia, in un’impresa, dipende dalla ripetibilità dei suoi processi Rischio: una nuova realtà La costante vigilanza sul presente e sulle potenziali fonti di rischio: componente vitale del “core value” delle organizzazioni Concetti base: L’Analisi dei Rischi I rischi • business risks organizational risks technological risks Operational risks Il RISK ASSESSMENT consente di stabilire priorità d’azione per mitigare il rischio complessivo Il RISK MANAGEMENT consente di pianificare la gestione dei rischi residui e il controllo nel tempo del livello di rischio Risk analysis Risk assessment Risk Assessment & Management Managing Risk Risk Defined Risk manegement No Defined Risk Risk Estimated Probability Not acceptable Risk Value of the lost Concetti Base: L’Analisi dei Rischi I risultati dell’analisi vanno inseriti nel flusso delle attività aziendali • la soluzione non è mai un “qualcosa” a sé stante (Analisi Statica) L’Analisi è sistemica ed applicata ai processi di business Processi Stabili e Ripetibili Concetti Base: L’Analisi dei Rischi L’obiettivo di un’analisi dei rischi è la valutazione del rischio complessivo, non la sua eliminazione L’analisi fornisce gli input alla gestione, e causa ripercussioni sull’intera organizzazione e sui processi gestionali Scenario Stakeholders: • Azionisti • Partners • Fornitori • Dipendenti • Comunità/Banche/Cliente finale Scenario: La Nuova Sensibilità ai Rischi Basilea 2 il black out gli attacchi di virus e worms “globali” SLA orientati alla Continuità del Servizio TU 196/2003 regolamento CAI Scenario: Il Rischio Operativo secondo Basel II Definizione: “il rischio di perdite derivanti da processi, comportamenti del personale o sistemi interni inadeguati o non andati a buon fine, oppure derivanti da eventi esterni” Scenario: Il Rischio Operativo secondo Basel II Il Nuovo Accordo prevede che le banche possano avvalersi di approcci avanzati di misurazione (“Advanced Measurement Approaches”, AMA), Lo standard BS7799 appare come un ottimo candidato per l’implementazione dell’approccio alla gestione avanzata del rischio operativo secondo Basilea 2 I principi descritti nella sezione dedicata agli AMA sono infatti in sintonia con quelli alla base dello standard BS. Scenario: Il Rischio Operativo secondo Basel II Nella sezione dedicata agli AMA, inoltre, si fa riferimento all’allegato 7 del Nuovo Accordo di Basilea intitolato “Classificazione dettagliata delle tipologie di eventi di perdita”. L’allegato descrive sinteticamente quali siano le minacce che devono essere prese in considerazione quando si ha a che fare con il rischio operativo. Scenario – Quadro Legislativo Esempio T.U. 196/2003 – Misure Minime Definizione (art. 4, c. 3, lett. a): il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai Rischi previsti dall’art. 31 Art. 31: rischi di distruzione o perdita anche accidentale dei dati, rischi di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta I titolari del trattamento sono tenuti ad adottare le misure minime, individuate dal Codice, secondo le modalità previste dal Disciplinare Tecnico (allegato B), per assicurare un livello minimo di protezione dei dati personali. Scenario – Quadro Legislativo Esempio T.U. 196/2003 – DPS Documento Programmatico sulla Sicurezza Redatto entro il 31 marzo di ogni anno Deve contenere: • • • • • l’elenco dei trattamenti di dati personali la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento l’analisi dei rischi che incombono sui dati le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento Scenario – SLA I Service Level Agreement nei “Servizi Avanzati” su settori nei quali la perdita di continuità del Servizio crea danni aziendali e di immagine porta a penali CONSISTENTI L’organizzazione innanzitutto Un modello di risk management, senza supporto organizzativo riconosciuto da tutte le componenti coinvolte non può funzionare! Il valore della semplicità Un modello di risk management deve essere il più possibile semplice e fare uso di tools semplici, perché deve essere: Comprensibile e applicabile per i pertinenti livelli e ruoli dell’organizzazione; Verificabile e manutenibile al mutare delle condizioni di Business ed in funzione della conoscenza acquisita. L’anello più debole Collegamento INTERNET Mancanza Del controllo Porte di Comunicazione Non settate Politiche di PASSWORD Desktop non protetti E’ fondamentale ricordare che in qualsiasi modello, la forza dello stesso è pari all’anello più debole, indipendentemente dagli sforzi che vengono fatti Mancata conoscenza Di come agire In caso di incidente Amici in azienda Manutenzione esterna Sicurezza delle informazioni Garantire la sicurezza delle informazioni, allora, vuol dire: assicurare la business continuity Minimizzare i danni al business Supportare la creazione del valore BS7799-2: Principi e Requisiti Principi … Assicurare: a) Riservatezza b) Integrità c) Disponibilità Requisiti… Base: 1) Requisiti Legali 2) Contrattuali 3) Policies obiettivi e requisiti Interni BS7799 L’ISMS come Strumento Un ISMS è uno Strumento per evidenziare “giustificandone” il motivo (evidenza oggettiva): 1. Una Esigenza di Miglioramento 2. L’introduzione di una nuova tecnologia 3. Un Processo Organizzativo = Vantaggio Competitivo = Fidelizzazione Immagine di Solidità = Posizionamento Riflessioni sull’adozione di BS7799 Possibili esigenze BS7799 Interni : Dati sensibili informazioni riservate Esterni Clienti: La Disaster Recovery è un output del processo di Business Continuity compresa nel ISMS definita da BS7799 BS7799 come Standard di Riferimento Fattore comune di riferimento : nelle PA/Sanità Disaster Recovery Progetti Innovazione Industry Configuration Management Ottimizzazione Servizi Avanzati Business On demand Business Continuity Digitale Terrestre Vantaggi/Benefici ISO9001 - Forte integrazione Vantaggio competitivo • Maggiore credibilità nella proposizione del Business • Visibilità nel mercato Già adesso usato come Requirement generale nelle PA, nel Finance e ICT Risposta a requisiti di cogenza Crea Sinergie all’interno del Mercato Captive Costi Per la certificazione dipende dalla complessità del contesto e dal Campo di Applicazione Come investimento e come palestra per coloro i quali dovranno usarlo come strumento Lo Scenario Internazionale In Giappone ma in generale nell’area asiatica la crescita è stata molto rapida Le necessità di distinguersi dalle produzioni classiche e le volontà di apportare Valore Aggiunto a offerte sempre più competitive e confrontabili Lo standard BS7799 - Certificazioni Certificazioni fino al 2003 Certificati 31/03/2004 Australia Austria China 1 1 2 Australia Austria China Egypt Finland Germany Greece Hong Kong 1 2 4 2 2 India Ireland Italy Japan Korea Netherlands Norway Singapore Spain Sweden Taiwan UAE UK USA Totale fonte: http://www.xisec.com/ Nuovi paesi ad oggi 7 3 5 Argentina Belgium Brazil 1 1 3 Egypt Finland Germany Greece Hong Kong 1 10 22 2 17 Denmark Hungary Iceland Macau Malaysia 2 6 3 1 1 6 2 India Ireland 24 7 Mexico Poland 3 1 1 4 3 1 4 5 1 3 3 Italy Japan Korea Netherlands Norway Singapore Spain Sweden Taiwan 12 276 22 1 9 10 1 4 10 Qatar Saudi Arabia Slovenia South Africa Switzerland 1 1 1 1 3 UAE UK USA 2 125 9 1 53 2 104 Totale 608 Lo standard BS7799 - Certificazioni Europe N. Asia UK 137 Japan Germany 23 Italy Finland 12 10 Norway 9 Greece 2 Switzerland 3 Denmark 2 Iceland 3 Sweden 4 Austria 3 Ireland 7 Hungary 6 Belgium 1 Netherlands 1 Poland Slovenia 1 Spain 1 Totale 226 N. Africa N. Americhe 351 Egypt 1 USA India 30 1 Brazil 3 Korea Hong Kong 24 Saudi Arabia 1 17 South Africa 1 Mexico Argentina 3 1 Taiwan Singapore China Malaysia Macau 14 UAE 10 5 1 1 Qatar 10 2 1 453 6 17 Totale 7 N. 709 Australia Australia N. 7 Qualche dato in dettaglio Crescita dal 2002 al 2004: Mondo: Italia: Japan: India: Germania: UK: USA: Japan: UK: Da 104 a 608 al 31/03/2004, da 608 a 709 ad OGGI e…….siamo all’inizio Da 1 a 12, 30 a fine anno Da 4 a 351 !!! Da 4 a 30 Da 4 a 22 Da 53 a 137 “solo” 10 ma … Federal Reserve Bank of New York gli ICT es. Sony,Mitsubishi, etc P.A. Royal Mail, the Royal Bank of Scotland, Criminal Justice, Germany es. Siemens,T-system, Vodafone ISO9001 e BS7799: Analogie Best Practices (come strumento per comunicare) System Management Forte Commitment dai Vertici (la tecnologia non più come satellite aziendale) ISO9001 e BS7799: Differenze ISO9001 “Nasce nel Metalmeccanico” BS7799 “Servizi Avanzati” Organizazzione + Project management Organizazzione + Risk management Partita da 0 Parte da ISO9001 Nessun riferimento Legal TU 196/2003 Balilea 2 Riferimenti Banca Italia su ISO17799 (regolamento CAI) Regione Lombardia Obiettivi di DNV LA SALVAGUARDIA DELLA VITA, DELLA PROPRIETÀ, E DELL’AMBIENTE L’esperienza DNV nel mondo 16% quota di mercato mondiale