L’Analisi e la Gestione del
Rischio come Componenti
essenziali nella
Certificazione di un
Information Security Management System
(BS7799)
Stefano TRAVERSA
Lecce, 21 Maggio 2004
Agenda

Il processo della sicurezza

La gestione dei rischi in BS7799

La nuova sensibilità dei rischi

Scenario
• Basilea2, TU196/2003, SLA

Lo standard BS7799: vantaggi

Riflessioni su BS7799

Scenario internazionale
La Sicurezza come Processo
Information Security
Management System
“Security is a process, not a state”
(B. Schneier)
Security is a process not a State

La sola applicazione di tecnologie è poco
efficace, specie per realtà complesse di mediograndi dimensioni

I progetti di sicurezza (dai requisiti alla
soluzione) hanno fornito risposte adeguate alle
esigenze puntuali, ma da soli non bastano

Occorrono feedback che alimentino un processo
di evoluzione continua delle soluzioni adottate
per ottenere la massima efficacia
Gestire il rischio
Processi stabili e ripetibili nel tempo
significa anche avere la possibilità di
gestire meglio i rischi
Il controllo interno
In un’ottica di
governance, essere
dotati di processi
stabili e ripetibili nel
tempo, significa
governare meglio la
struttura, per
salvaguardare gli
stakeholders
Il valore dell’informazione
L’informazione viene
supportata da strumenti
informatici,
… ma la sua efficacia, in
un’impresa, dipende
dalla ripetibilità dei suoi
processi
Rischio: una nuova realtà
La costante
vigilanza sul
presente e sulle
potenziali fonti di
rischio:
componente
vitale del “core
value” delle
organizzazioni
Concetti base: L’Analisi dei Rischi

I rischi
• business risks

organizational risks

technological risks

Operational risks

Il RISK ASSESSMENT consente di stabilire
priorità d’azione per mitigare il rischio
complessivo

Il RISK MANAGEMENT consente di pianificare la
gestione dei rischi residui e il controllo nel tempo
del livello di rischio
Risk analysis
Risk assessment
Risk Assessment & Management
Managing Risk
Risk Defined
Risk manegement
No Defined Risk
Risk Estimated
Probability
Not acceptable
Risk
Value of the lost
Concetti Base: L’Analisi dei Rischi

I risultati dell’analisi vanno inseriti nel
flusso delle attività aziendali
• la soluzione non è mai un “qualcosa” a sé
stante (Analisi Statica)

L’Analisi è sistemica ed applicata ai
processi di business
Processi Stabili e Ripetibili
Concetti Base: L’Analisi dei Rischi

L’obiettivo di un’analisi dei rischi è la
valutazione del rischio complessivo, non
la sua eliminazione

L’analisi fornisce gli input alla gestione, e
causa ripercussioni sull’intera
organizzazione e sui processi gestionali
Scenario

Stakeholders:
• Azionisti
• Partners
• Fornitori
• Dipendenti
• Comunità/Banche/Cliente finale
Scenario: La Nuova Sensibilità ai Rischi






Basilea 2
il black out
gli attacchi di virus e worms “globali”
SLA orientati alla Continuità del Servizio
TU 196/2003
regolamento CAI
Scenario: Il Rischio Operativo secondo Basel II
Definizione: “il rischio di perdite derivanti da
processi, comportamenti del personale o
sistemi interni inadeguati o non andati a buon
fine, oppure derivanti da eventi esterni”
Scenario: Il Rischio Operativo secondo Basel II
 Il Nuovo Accordo prevede che le banche
possano avvalersi di approcci avanzati di
misurazione (“Advanced Measurement
Approaches”, AMA),
 Lo standard BS7799 appare come un ottimo
candidato per l’implementazione
dell’approccio alla gestione avanzata del
rischio operativo secondo Basilea 2
 I principi descritti nella sezione dedicata agli
AMA sono infatti in sintonia con quelli alla
base dello standard BS.
Scenario: Il Rischio Operativo secondo Basel II
Nella sezione dedicata agli AMA, inoltre, si fa
riferimento all’allegato 7 del Nuovo Accordo di
Basilea intitolato “Classificazione dettagliata
delle tipologie di eventi di perdita”.
L’allegato descrive sinteticamente quali siano le
minacce che devono essere prese in
considerazione quando si ha a che fare con il
rischio operativo.
Scenario – Quadro Legislativo
Esempio T.U. 196/2003 – Misure Minime

Definizione (art. 4, c. 3, lett. a):
il complesso delle misure tecniche, informatiche,
organizzative, logistiche e procedurali di sicurezza
che configurano il livello minimo di protezione richiesto in
relazione ai Rischi previsti dall’art. 31

Art. 31: rischi di distruzione o perdita anche accidentale
dei dati, rischi di accesso non autorizzato o di trattamento
non consentito o non conforme alle finalità della raccolta

I titolari del trattamento sono tenuti ad adottare le misure
minime, individuate dal Codice, secondo le modalità
previste dal Disciplinare Tecnico (allegato B), per
assicurare un livello minimo di protezione dei dati
personali.
Scenario – Quadro Legislativo
Esempio T.U. 196/2003 –
DPS Documento Programmatico sulla Sicurezza
Redatto entro il 31 marzo di ogni anno

Deve contenere:
•
•
•
•
•
l’elenco dei trattamenti di dati personali
la distribuzione dei compiti e delle responsabilità
nell’ambito delle strutture preposte al trattamento
l’analisi dei rischi che incombono sui dati
le misure da adottare per garantire l’integrità e la
disponibilità dei dati, nonché la protezione delle aree e
dei locali, rilevanti ai fini della loro custodia e accessibilità;
la descrizione dei criteri e delle modalità per il ripristino
della disponibilità dei dati in seguito a distruzione o
danneggiamento
Scenario – SLA
I Service Level Agreement nei
“Servizi Avanzati”
su settori nei quali la perdita di continuità del
Servizio crea danni aziendali e di immagine
porta a
penali CONSISTENTI
L’organizzazione innanzitutto
Un modello di risk management, senza supporto
organizzativo riconosciuto da tutte le componenti
coinvolte non può funzionare!
Il valore della semplicità
Un modello di risk management deve essere il più possibile
semplice e fare uso di tools semplici, perché deve
essere:

Comprensibile e applicabile per i pertinenti livelli e ruoli
dell’organizzazione;

Verificabile e manutenibile al mutare delle condizioni di
Business ed in funzione della conoscenza acquisita.
L’anello più debole
Collegamento
INTERNET
Mancanza
Del
controllo
Porte di
Comunicazione
Non settate
Politiche
di
PASSWORD
Desktop
non
protetti
E’ fondamentale ricordare che
in qualsiasi modello, la forza
dello stesso è pari all’anello più
debole, indipendentemente
dagli sforzi che vengono fatti
Mancata conoscenza
Di come agire
In caso di incidente
Amici
in
azienda
Manutenzione
esterna
Sicurezza delle informazioni
Garantire la sicurezza delle informazioni,
allora, vuol dire:



assicurare la business continuity
Minimizzare i danni al business
Supportare la creazione del valore
BS7799-2: Principi e Requisiti
Principi … Assicurare:
a) Riservatezza
b) Integrità
c) Disponibilità
Requisiti… Base:
1) Requisiti Legali
2) Contrattuali
3) Policies obiettivi e requisiti Interni
BS7799 L’ISMS come Strumento
Un ISMS è uno Strumento per evidenziare
“giustificandone” il motivo (evidenza oggettiva):
1. Una Esigenza di Miglioramento
2. L’introduzione di una nuova tecnologia
3. Un Processo Organizzativo
= Vantaggio Competitivo
= Fidelizzazione Immagine di Solidità
= Posizionamento
Riflessioni sull’adozione di BS7799
Possibili esigenze BS7799
Interni : Dati sensibili informazioni riservate
Esterni Clienti: La Disaster Recovery è un
output del processo di Business Continuity
compresa nel ISMS definita da BS7799
BS7799 come Standard di Riferimento
Fattore comune di riferimento :

nelle PA/Sanità
Disaster Recovery
Progetti Innovazione

Industry
Configuration Management
Ottimizzazione

Servizi Avanzati
Business On demand
Business Continuity
Digitale Terrestre
Vantaggi/Benefici


ISO9001 - Forte integrazione
Vantaggio competitivo
• Maggiore credibilità nella proposizione del
Business
• Visibilità nel mercato

Già adesso usato come Requirement
generale nelle PA, nel Finance e ICT


Risposta a requisiti di cogenza
Crea Sinergie all’interno del Mercato
Captive
Costi
Per la certificazione dipende dalla complessità
del contesto e dal Campo di Applicazione
Come investimento e come palestra per
coloro i quali dovranno usarlo come
strumento
Lo Scenario Internazionale
In Giappone ma in generale nell’area asiatica
la crescita è stata molto rapida
Le necessità di distinguersi dalle produzioni
classiche e le volontà di apportare Valore
Aggiunto a offerte sempre più competitive e
confrontabili
Lo standard BS7799 - Certificazioni
Certificazioni fino al 2003
Certificati 31/03/2004
Australia
Austria
China
1
1
2
Australia
Austria
China
Egypt
Finland
Germany
Greece
Hong Kong
1
2
4
2
2
India
Ireland
Italy
Japan
Korea
Netherlands
Norway
Singapore
Spain
Sweden
Taiwan
UAE
UK
USA
Totale
fonte: http://www.xisec.com/
Nuovi paesi ad oggi
7
3
5
Argentina
Belgium
Brazil
1
1
3
Egypt
Finland
Germany
Greece
Hong Kong
1
10
22
2
17
Denmark
Hungary
Iceland
Macau
Malaysia
2
6
3
1
1
6
2
India
Ireland
24
7
Mexico
Poland
3
1
1
4
3
1
4
5
1
3
3
Italy
Japan
Korea
Netherlands
Norway
Singapore
Spain
Sweden
Taiwan
12
276
22
1
9
10
1
4
10
Qatar
Saudi Arabia
Slovenia
South Africa
Switzerland
1
1
1
1
3
UAE
UK
USA
2
125
9
1
53
2
104
Totale
608
Lo standard BS7799 - Certificazioni
Europe
N.
Asia
UK
137
Japan
Germany
23
Italy
Finland
12
10
Norway
9
Greece
2
Switzerland 3
Denmark
2
Iceland
3
Sweden
4
Austria
3
Ireland
7
Hungary
6
Belgium
1
Netherlands 1
Poland
Slovenia
1
Spain
1
Totale
226
N. Africa
N.
Americhe
351 Egypt
1
USA
India
30
1
Brazil
3
Korea
Hong Kong
24 Saudi Arabia 1
17 South Africa 1
Mexico
Argentina
3
1
Taiwan
Singapore
China
Malaysia
Macau
14 UAE
10
5
1
1
Qatar
10
2
1
453
6
17
Totale
7
N.
709
Australia
Australia
N.
7
Qualche dato in dettaglio
Crescita dal 2002 al 2004:
Mondo:
Italia:
Japan:
India:
Germania:
UK:
USA:
Japan:
UK:
Da 104 a 608 al 31/03/2004,
da 608 a 709 ad OGGI e…….siamo all’inizio
Da 1
a 12, 30 a fine anno
Da 4
a 351 !!!
Da 4
a 30
Da 4
a 22
Da 53
a 137
“solo” 10 ma … Federal Reserve Bank of New York
gli ICT es. Sony,Mitsubishi, etc
P.A. Royal Mail, the Royal Bank of Scotland,
Criminal Justice, Germany es. Siemens,T-system,
Vodafone
ISO9001 e BS7799: Analogie
Best Practices (come strumento per
comunicare)
System Management
Forte Commitment dai Vertici
(la tecnologia non più come satellite
aziendale)
ISO9001 e BS7799: Differenze
ISO9001
“Nasce nel Metalmeccanico”
BS7799
“Servizi Avanzati”
Organizazzione + Project management Organizazzione + Risk management
Partita da 0
Parte da ISO9001
Nessun riferimento Legal
TU 196/2003
Balilea 2
Riferimenti Banca
Italia su ISO17799
(regolamento CAI)
Regione Lombardia
Obiettivi di DNV
LA SALVAGUARDIA
DELLA VITA,
DELLA PROPRIETÀ,
E DELL’AMBIENTE
L’esperienza DNV nel mondo
16% quota di mercato mondiale