La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Il controllo e la sicurezza dei sistemi informativi degli Organismi Pagatori G.P.Trovesi, CIA.

Presentazioni simili


Presentazione sul tema: "Il controllo e la sicurezza dei sistemi informativi degli Organismi Pagatori G.P.Trovesi, CIA."— Transcript della presentazione:

1 Il controllo e la sicurezza dei sistemi informativi degli Organismi Pagatori G.P.Trovesi, CIA

2 L’IT si è trasformato da strumento di efficienza a parte integrante dei processi. Questa integrazione ha originato una forte domanda di controllo e sicurezza. Controllo e Sicurezza delle Informazioni IT parte integrante del business IT economicità IT efficienza processi IT PROCESSI IT PROCESSI IT PROCESSI

3 Il filo conduttore per la comprensione dell’IT è il SISTEMA DEI CONTROLLI INTERNI, dal quale traggono origine le regole di funzionamento, di sicurezza e di monitoraggio. IL CONTROLLO INTERNO E’ UN PROCESSO CHE SI PREFIGGE DI FORNIRE UNA RAGIONEVOLE GARANZIA CHE GLI OBIETTIVI RIENTRANTI FRA LE SEGUENTI CATEGORIE SIANO RAGGIUNTI: efficacia ed efficienza delle attività operative, attendibilità delle informazioni conformità alle leggi ed ai regolamenti protezione del patrimonio

4 Il SISTEMA DEI CONTROLLI INTERNI prende avvio dagli obiettivi assegnati e intende favorirne il raggiungimento Assicurare coerenza tra gli obiettivi informatici e quelli dell’Organismo Mettere a disposizione le risorse informatiche Assicurare la continuita’ del servizio MISSIONE dell’ IT Assicurare la sicurezza delle informazioni obiettivi comuniobiettivi specifici Obiettivi tipici del singolo OP riguardanti i servizi informatici attesi in termini di procedure, livelli di servizio, propagazione dell’informatica, ecc.

5 Il SISTEMA DEI CONTROLLI INTERNI opera altresì per mitigare i RISCHI CONTROLLO PROTEZIONE AUDITABILITY RISCHI SISTEMI DI GESTIONE NORMATIVA – REGOLE TECNICHE OBIETTIVI ISTITUZIONALI

6 Il disegno strategico fa riferimento ad alcuni requisiti PROTEZIONE CONTROLLO VERIFICA PREVENZIONE INDIVIDUAZIONE RICOSTRUZIONE PREVENZIONE RISCONTRO CORREZIONE NORMATIVAORGANIZZAZIONE TECNICISMI OP dispone solo di principi

7 La PROTEZIONE è indirizzata a preservare il patrimonio da qualsiasi danno che possa avere riflessi negativi sulle operazioni Protezione riferita alle persone Protezione riferita ai beni Protezione delle installazioni e degli impianti tecnologici Protezione riferita ai dati Sicurezza logica sistemi informatici AMBITO DI APPLICAZIONE Continuità delle operazioni in caso di incidente o di disastro

8 Il CONTROLLO è rivolto ad assicurare il governo degli ambienti IT e ad evidenziare situazioni anomale. controllo sugli impianti tecnologici (mirante ad ottenere il mantenimento dei servizi indispensabili);. controllo sugli ambienti informatici (mirante ad ottenere il dominio delle risorse informatiche);. controllo sui sistemi informatici ai diversi livelli (operativi, applicativi, individuali), dipendenti sia dalla tecnologia sia da scelte manageriali, la cui strutturazione influisce il modo di elaborare/archiviare/ trasferire le informazioni e fare del reporting;. procedure di controllo operativo presenti nei processi elaborativi (commisurate alla tipologia delle operazioni aziendali interessate). ad esempio

9 La VERIFICA riguarda gli strumenti per accertare l’adeguatezza e la funzionalità dei provvedimenti, l’integrità degli ambienti e degli strumenti La linea manageriale deve mettersi nella condizione di conoscere l'efficacia delle misure adottate e di procedere ad eventuali fasature. La “verifica" deve permettere la ricostruibilità delle operazioni/eventi e dei dati, e di rendersi conto se i processi informatici, nel loro insieme, operano secondo le aspettative Traccia di audit Documentazione tecnica/applicativa Riconciliazioni/quadrature automatiche Rapportistica

10 L’intensità del controllo serve per mitigare i RISCHI dell’IT ORGANIZZAZIONEAMBIENTE (locali)MEZZI INFORMATICIDATI Scenario informatico in continua evoluzione: coordinamento centrale autonomie funzionali regole/politiche di Sicurezza Profilo operativo dei collaboratori Propagazione dei mezzi informatici Aree con informazioni critiche Libera circolazione delle informazioni Accessi agli ambienti Efficacia degli strumenti e supporto da organizzazione Complessità del controllo accessi Visibilità delle criticità e delle soluzioni Collegamenti con l'esterno Propagazione delle misure di Sicurezza dal centro verso la periferia Classificazione dati / informazioni Importanza degli archivi di dati Ampia diffusione e disponibilità Forte concentrazione di informazioni vitali RISCHI CORREZIONI FINANZIARIE DIFFICOLTA’ A RAGGIUNGERE GLI OBIETTIVI ALTERAZIONE/DIVULGAZIONE/SOTTRAZIONE DEL PATRIMONIO PERDITE ECONOMICO/FINANZIARIE BLOCCO ATTIVITA' INFORMAZIONI FRAUDOLENTE BASSA QUALITA' DEL SERVIZIO fattori di rischio

11 Il sistema dei controlli interni propone sei obiettivi di controllo specifici Riservatezza :Proteggere le informazioni importanti da diffusioni non autorizzate or intercettazioni intelligibili Integrità :Protezione della correttezza e completezza delle informazioni e del software Disponibilità :Assicurare che le informazioni ed i servizi vitali siano disponibili quando richiesti dall’utente Governo delle Informazioni e dei mezzi utilizzati per il loro trattamento Disponibilità Controllabilità Assicurare alla linea manageriale il governo delle informazioni, dei processi e degli ambienti operativi Verificabilità Assicurare che le informazioni e i processi informatici che le trattano siano verificabili Controllabilità Verificabilità IntegritàRiservatezza GovernoAssicurare che le operazioni informatiche siano conformi alle direttive

12 Uno dei fattori primari da puntualizzare è l’ACCOUNTABILITY Chi è responsabile della sicurezza ? Io il mio Dirigente il Direttore OP la Direzione Sistemi Informativi il Serv. Controllo Interno Non lo so ……….. Altri organismi ad esempio:

13 Le principali figure operative sono rappresentate dal PROPRIETARI figurativi che assumono il compito di mitigare i rischi Proprietario di dati e logiche applicative E’ la Funzione utente che acquisisce, origina, o dispone dei dati. Il loro trattamento è coerente con il valore per le attività OP e con i requisiti imposti dalla tipologia di operazioni. Il Proprietario definisce il livello di classificazione (valore) dei dati e richiede modalità e misure di protezione adeguate. Stabilisce le regole di utilizzo e chi/ come usa la risorsa. Il Proprietario dei dati e delle logiche applicative è responsabile per il risultato finale della procedura informatica. Proprietario delle risorse È la Funzione specialistica che dispone delle risorse informatiche hardware e software e che assicura la custodia dei dati e l’integrità dei processi elaborativi, secondo le indicazioni emesse dal Proprietario dei dati. Sceglie ed attiva i meccanismi più adeguati al valore della risorsa. Rispetta i livelli di servizio concordati.

14 La separazione dei compiti richiede la parcellizzazione delle attività ed una attenta precisazione delle mansioni ambito UTENTE ambito AMBIENTE INFORMATICO Vincoli: separazione tra...  Origine delle informazioni  Aggiornamento dei dati  Approvazione dei dati  Autorizzazione delle transazioni  Immissione dei dati  Cancellazione  Sistemisti sw base e sottosistemi  Sviluppo/modifica programmi applicativi  Collaudo e validazione nuovi programmi  Produzione/operatori  Gestione librerie  Gestione rete

15 QUALI CONTROLLI SONO NECESSARI ? MECCANISMI CHE ASSICURANO LA CORRETTEZZA, LA COMPLETEZZA, L’INTEGRITA’ DEI DATI E DEI SISTEMI E DELLE INFRASTRUTTURE SICUREZZA DELLE INFORMAZIONI comprende la Sicurezza informatica STRUTTURA OPERATIVA DELL’IT comprende le risorse le operazioni e lo sviluppo PROCEDURE INFORMATICHE comprende le procedure su host, lan, rete, pc PREVENIRE CORREGGERE PREVENIRE INTERCETTARE

16 IL SISTEMA DI SICUREZZA SI ARTICOLA IN DIVERSI PROGRAMMI SPECIALISTICI Componenti del Sistema di Sicurezza Normativa di sicurezza SICUREZZA DELLE INFORMAZIONI comprende la Sicurezza informatica Sicurezza del personale Sicurezza fisica Protezione delle informazioni Protezione IT Piani di emergenza Gestione incidenti SICUREZZA DELLE INFORMAZIONI SICUREZZA INFORMATICA QUADRO LEGISLATIVO Standard di sicurezza Processi di sicurezza Programmi di revisione

17 Obiettivi: approntare un ambiente sicuro per l’azienda e per i suoi dipendenti impedire la perdita di beni fisici (risorse informatiche) prevenire interruzioni dell’attività dovute al danneggiamento di risorse Classificazione degli spazi Identificazione e controllo accessi Accesso agli uffici controllato tramite badge Aree ristrette, fisicamente separate, ad accesso controllato Regole e responsabilità ripartite su tutta la struttura Misure di protezione esterno spazio pubblico uffici Sala macchine Un settore della Sicurezza è rappresentato dalla SICUREZZA FISICA

18 Nell’IT la Sicurezza Fisica intende proteggere le risorse informatiche in modo differenziato secondo il peso dei rischi Il livello di controllo è basato sull’importanza del servizio che il sistema eroga e sul valore economico del sistema/apparecchiatura.

19 la SICUREZZA LOGICA è costituita da meccanismi organizzativi e tecnici che consentono di: individuare gli utenti dei dati e delle risorse info., concedere, o negare, l'accesso a dati e risorse, tenere le tracce di attività espletate dai sistemi e dagli utenti. identificazione ed autenticazione degli utenti controllo degli accessi riservatezza integrità dei dati e delle informazioni, dei sistemi, e delle operazioni gestione tecnica del sistema di sicurezza gestione amministrativa della sicurezza log e reportistica vigilanza (auditing) componenti

20 e i dati.. ? Siete consapevoli delle conseguenze derivanti da una potenziale perdita di integrità dei dati che vengono trattati? INTEGRITA’ DEI DATI E DEI PROCESSI ELABORATIVI Ogni risorsa deve contenere il dato “integro”, quindi corretto, e nessuno può alterarlo se non chi è esplicitamente autorizzato. Evitare gravi danni all’integrità di tutto il sistema, dati compresi, dovuti alla sua modifica non corretta. Consentire l’utilizzo dei dati classificati critici e personali (legge Privacy) solo da parte di persone e programmi che ne abbiano necessità. Consentire solo agli utenti autorizzati la modifica del il Sistema Operativo e l’alterazione delle funzioni relative alla Sicurezza, secondo modalità certificate e verificabili. processo di autorizzazione all’accesso disegno di profili mirati regole di gestione risorse tecniche utilizzo di strumenti di crittografia

21 La SICUREZZA LOGICA basa la sua forza anche sugli strumenti di verifica Log e reportistica devono essere conservati i record che registrano gli accessi o i tentativi di accesso al sistema e/o ad alcune risorse protette e deve essere ottenuta la reportistica necessaria al controllo e alla rilevazione di eventuali incidenti. Alcuni esempi di tracce: tentativi di logon non consentiti tentativi di accesso non consentito alle risorse utente tentativi di accesso ai dati classificati “critici” tentativi di accesso alle risorse di sistema, secondo la loro protezione attività svolte da utenze privilegiate. Audit sicurezza sono necessari controlli e verifiche periodiche (manuali o automatiche) per garantire la corretta attivazione dell’architettura di Sicurezza, e l’aderenza agli standard e ai processi stabiliti.

22 Anche le stazioni di lavoro hanno bisogno di attenzione …. Attivare lo screen saver quando ci si allontana dal posto di lavoro. Protezione attraverso password. Verifica periodica antivirus (compresi i dischetti). Fate uso di software non di dotazione… o di copie pirata?

23 La SICUREZZA DELLA RETE COMPRENDE i collegamenti in Internet che devono essere assoggettati a specifiche misure Elevata rischiosità Soluzioni o provvedimenti di tipo - sw (firewall) - hw (proxy server) Disponibilità del collegamento solo dietro specifica autorizzazione Regole comportamentali: riconoscimento delle persone siti cui si accede

24 Gli strumenti di posta elettronica ed devono essere utilizzati in modo conforme alle direttive aziendali gli strumenti di posta elettronica devono essere integrati con quelli di in Internet il firewall deve essere configurato in modo da aprire logicamente ogni allegato di posta, al fine di eliminare componenti potenzialmente pericolosi (virus, macro, Trojan...) l’utilizzo della posta elettronica deve essere conforme alle regole di etica aziendale (evitare messaggi offensivi, lesivi della dignità delle persone, ecc.)

25 La Sicurezza richiede apposite procedure di gestione per limitare la vulnerabilità 1.danni finanziari, al patrimonio o all’integrità 2.danni ai dipendenti 3.perdita di beni o di informazioni 4.incapacità di continuare le attività operative 5.impossibilita' di rispettare obblighi di legge o obblighi assunti nei confronti di terze parti. azioni violente/ostili, minacce al personale, estorsioni, frodi e malversazioni di natura informatica, furti di informazioni, alterazione dolosa di dati e/o informazioni, sabotaggio, che determini interruzioni delle attività; perdita, o potenziale perdita, di informazioni, a carattere involontario; utilizzo non corretto delle risorse; appropriazioni indebite che causino la perdita di immagine o perdite economico/finanziarie. AZIONI DOLOSE COMPITI PROCEDURE DI GESTIONE 26 INCIDENTI CAMBIAMENTI DELLE RISORSE

26 STRUTTURA OPERATIVA DELL’IT comprende le risorse le operazioni e lo sviluppo Gestione sistemi elaborativi Livelli di servizio Gestione degli inconvenienti Gestione dei cambiamenti Back-up e ripartenze Ripresa attività in caso di disastro Gestione delle elaborazioni Dimensionamento delle risorse La gestione dell’IT deve avvenire nel rispetto di regole di controllo interno specifiche Sviluppo / manutenzione applicazioni Formulazione requisiti Sviluppi interni Acquisto di pacchetti software Modifiche ai programmi applicativi Collaudo Esercizio

27 I meccanismi di controllo interno devono essere presenti anche nelle PROCEDURE INFORMATICHE controllo: elaborazioni corrette, complete e tempestive riguardanti tutte le transazioni verifica: trasparenza e visibilità dei dati e del processo elaborativo PROCEDURE INFORMATICHE comprende le procedure su host, lan, rete, pc PRINCIPI DI CONTROLLO

28 I PRINCIPI DEL CONTROLLO NELLE APPLICAZIONI INFORMATICHE SEPARAZIONE DELLE RESPONSABILITA’ ACCOUNTABILITY COPERTURA DEI PUNTI DI RISCHIO LOGICA CHIUSA: CONSIDERARE TUTTE LE EVENTUALITA’ UTILIZZO DEL CONTROLLO PER LOCALIZZARE I PROBLEMI E PER PROMUOVERE AZIONI CORRETTIVE DOCUMENTAZIONE SEMPLICITA’, EVITARE ECCESSI DI CONTROLLO

29 ATTIVITA’ 2 ATTIVITA’ 1 ATTIVITA’ 3ATTIVITA’ 4 ATTIVITA’ 5 ATTIVITA’ 6 il processo aziendale OBIETTIVO controllo preventivo controllo a posterioricontrollo rivelatore controllo correttivo DAL PUNTO DI VISTA TECNICO I CONTROLLI SI RIPARTISCONO IN QUATTRO CATEGORIE

30 A proposito di auditability….. Un sistema viene definito verificabile quando: permette di provare l’efficacia e l’adeguatezza dei controlli permette di provare l’integrità dei dati e del processo operativo è dotato di adeguate tracce di audit

31 IL GOVERNO DEL PATRIMONIO INFORMATICO AVVIENE ATTRAVERSO UN CONTINUO PROCESSO DI MESSA A PUNTO DEI MECCANISMI DI CONTROLLO E SICUREZZA MECCANISMI ORGANIZZAZIONE AUDITING RISK ANALYSIS NORMATIVE ATTIVAZIONE e AMMINISTRAZIONE

32 LE LINEE DIRETTRICI CE FORMULANO DEI PRINCIPI CHE FANNO PARTE DEL SISTEMA DEI CONTROLLI INTERNI STRATEGIA INFORMATICA LINEE D’AZIONE, NORME E PROCEDURE SEPARAZIONE DELLE FUNZIONI POLITICA DEL PERSONALE CULTURA SERV. CONTROLLO INTERNO SICUREZZA FISICA SICUREZZA LOGICA SVILUPPO E MAN. SISTEMI GESTIONE RISORSE TELECOMUNICAZIONI MICROELABORATORI IMPREVISTI CONTROLLI APPLICATIVI unica fonte normativa

33 È fondamentale predisporre il quadro normativo ed organizzativo coerente con i principi CE prima di studiare ed attivare le soluzioni di sicurezza e controllo più idonee scelte bilanciate NO emotività corretto rapporto costi / benefici SFORZO FINANZIARIO E TECNOLOGICO DEVE RIMANERE IN PROPORZIONE ALL’ANALISI DEL RISCHIO REALE

34 un importante punto di riferimento è rappresentato dagli standard internazionali Generally accepted systems security principles COMPUTER AT RISK GOVERNANCE Gli standard ISO sono universalmente riconosciuti Governo USA 1992 Internal Control System IIA Cobit ISO 7498 ISO Requisiti di sicurezza delle architetture Requisiti di sicurezza organizzativa/ normativa e outsourcing Requisiti di sicurezza per prodotti e sistemi Requisiti di Controllo informatico SAC Standard SystemAuditability& Control Regole di sicurezza, controllo e verifica delle applicazioni ISO 17799

35 LE FASI REALIZZATIVE SARANNO OPPORTUNAMENTE PIANIFICATE REGOLE DI BASE FORMAZIONE E SENSIBILIZZAZIONE Sicurezza procedure applicative AMBIENTE INFORMATIVO Protetto, controllato e verificabile Collegamenti Esterni Normativa. Regolamento. Standard. Legislazione Stazioni Lavoro.Regole minime Copyright Antivirus.Punto diffusione. Metodologie propagazione.Metodologie controllo Organismi Delegati.Rivisitazione convenzione.Quadro normativo.Realizzazione misure.Sistema gestione.Compiti Presidi Organiz..Protezione ambienti.Realizzazione misure. Progettazione misure. Classificazione informazioni -Sic.Org.tiva - Sic. Fisica -Sic.Rete -Sic.Logica Back-Up Disaster Recovery Diffusione regole Informativa a dipendenti.Piano Audit Autovalutazione Internet Posta elettronica

36 2.5 Una funzione di controllo interna dovrebbe disporre di competenze e autorità sufficienti (o essere in grado di ricorrere a consulenze esterne) per effettuare tutti i controlli inf……. COMPETENZE SPECIALISTICADI BASE QUANDONEL CONTINUO OGNI 3 O 4 ANNI AUDIT SULLE INFRASTRUTTURE TECNOLOGICHE SERV. CONTROLLO INTERNO MERCATO CHI AZIONE DI AUDIT AUDIT SULLE PROCEDURE ATTIVITA’


Scaricare ppt "Il controllo e la sicurezza dei sistemi informativi degli Organismi Pagatori G.P.Trovesi, CIA."

Presentazioni simili


Annunci Google