La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano.

Presentazioni simili


Presentazione sul tema: "LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano."— Transcript della presentazione:

1 LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano TRAVERSA Lecce, 21 Maggio 2004

2 Agenda Il processo della sicurezza La gestione dei rischi in BS7799 La nuova sensibilità dei rischi Scenario Basilea2, TU196/2003, SLA Lo standard BS7799: vantaggi Riflessioni su BS7799 Scenario internazionale

3 La Sicurezza come Processo I nformation S ecurity M anagement S ystem Security is a process, not a stateSecurity is a process, not a state (B. Schneier) (B. Schneier)

4 Security is a process not a State La sola applicazione di tecnologie è poco efficace, specie per realtà complesse di medio- grandi dimensioni I progetti di sicurezza (dai requisiti alla soluzione) hanno fornito risposte adeguate alle esigenze puntuali, ma da soli non bastano Occorrono feedback che alimentino un processo di evoluzione continua delle soluzioni adottate per ottenere la massima efficacia

5 Gestire il rischio Processi stabili e ripetibili nel tempo significa anche avere la possibilità di gestire meglio i rischi

6 Il controllo interno In unottica di governance, essere dotati di processi stabili e ripetibili nel tempo, significa governare meglio la struttura, per salvaguardare gli stakeholders

7 Il valore dellinformazione Linformazione viene supportata da strumenti informatici, … ma la sua efficacia, in unimpresa, dipende dalla ripetibilità dei suoi processi

8 Rischio: una nuova realtà La costante vigilanza sul presente e sulle potenziali fonti di rischio: componente vitale del core value delle organizzazioni

9 Concetti base: LAnalisi dei Rischi I rischi business risks organizational risks technological risks Operational risks Il RISK ASSESSMENT consente di stabilire priorità dazione per mitigare il rischio complessivo Il RISK MANAGEMENT consente di pianificare la gestione dei rischi residui e il controllo nel tempo del livello di rischio

10 Risk Assessment & Management Managing Risk No Defined RiskRisk DefinedRisk Estimated Risk analysis Risk assessment Risk manegement Value of the lost Probability Not acceptable Risk

11 Concetti Base: LAnalisi dei Rischi I risultati dellanalisi vanno inseriti nel flusso delle attività aziendali la soluzione non è mai un qualcosa a sé stante (Analisi Statica) LAnalisi è sistemica ed applicata ai processi di business Processi Stabili e Ripetibili

12 Concetti Base: LAnalisi dei Rischi Lobiettivo di unanalisi dei rischi è la valutazione del rischio complessivo, non la sua eliminazione Lanalisi fornisce gli input alla gestione, e causa ripercussioni sullintera organizzazione e sui processi gestionali

13 Scenario Stakeholders: Azionisti Partners Fornitori Dipendenti Comunità/Banche/Cliente finale

14 Scenario: La Nuova Sensibilità ai Rischi Basilea 2 il black out gli attacchi di virus e worms globali SLA orientati alla Continuità del Servizio TU 196/2003 regolamento CAI

15 Scenario: Il Rischio Operativo secondo Basel II Definizione: il rischio di perdite derivanti da processi, comportamenti del personale o sistemi interni inadeguati o non andati a buon fine, oppure derivanti da eventi esterni

16 Scenario: Il Rischio Operativo secondo Basel II Il Nuovo Accordo prevede che le banche possano avvalersi di approcci avanzati di misurazione (Advanced Measurement Approaches, AMA), Lo standard BS7799 appare come un ottimo candidato per limplementazione dellapproccio alla gestione avanzata del rischio operativo secondo Basilea 2 I principi descritti nella sezione dedicata agli AMA sono infatti in sintonia con quelli alla base dello standard BS.

17 Scenario: Il Rischio Operativo secondo Basel II Nella sezione dedicata agli AMA, inoltre, si fa riferimento allallegato 7 del Nuovo Accordo di Basilea intitolato Classificazione dettagliata delle tipologie di eventi di perdita. Lallegato descrive sinteticamente quali siano le minacce che devono essere prese in considerazione quando si ha a che fare con il rischio operativo.

18 Scenario – Quadro Legislativo Esempio T.U. 196/2003 – Misure Minime Definizione (art. 4, c. 3, lett. a): il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai Rischi previsti dallart. 31 Art. 31: rischi di distruzione o perdita anche accidentale dei dati, rischi di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta I titolari del trattamento sono tenuti ad adottare le misure minime, individuate dal Codice, secondo le modalità previste dal Disciplinare Tecnico (allegato B), per assicurare un livello minimo di protezione dei dati personali.

19 Scenario – Quadro Legislativo Esempio T.U. 196/2003 – DPS Documento Programmatico sulla Sicurezza Redatto entro il 31 marzo di ogni anno Deve contenere: lelenco dei trattamenti di dati personali la distribuzione dei compiti e delle responsabilità nellambito delle strutture preposte al trattamento lanalisi dei rischi che incombono sui dati le misure da adottare per garantire lintegrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento

20 Scenario – SLA I Service Level Agreement nei Servizi Avanzati su settori nei quali la perdita di continuità del Servizio crea danni aziendali e di immagine porta a penali CONSISTENTI

21 Lorganizzazione innanzitutto Un modello di risk management, senza supporto organizzativo riconosciuto da tutte le componenti coinvolte non può funzionare!

22 Il valore della semplicità Un modello di risk management deve essere il più possibile semplice e fare uso di tools semplici, perché deve essere: Comprensibile e applicabile per i pertinenti livelli e ruoli dellorganizzazione; Verificabile e manutenibile al mutare delle condizioni di Business ed in funzione della conoscenza acquisita.

23 Lanello più debole Collegamento INTERNET Politiche di PASSWORD Desktop non protetti Amici in azienda Manutenzione esterna Mancata conoscenza Di come agire In caso di incidente Porte di Comunicazione Non settate Mancanza Del controllo E fondamentale ricordare che in qualsiasi modello, la forza dello stesso è pari allanello più debole, indipendentemente dagli sforzi che vengono fatti

24 Sicurezza delle informazioni Garantire la sicurezza delle informazioni, allora, vuol dire: assicurare la business continuity Minimizzare i danni al business Supportare la creazione del valore

25 Principi … Assicurare: a)Riservatezza b)Integrità c)Disponibilità Requisiti… Base: 1)Requisiti Legali 2)Contrattuali 3)Policies obiettivi e requisiti Interni BS7799-2: Principi e Requisiti

26 BS7799 LISMS come Strumento Un ISMS è uno Strumento per evidenziare giustificandone il motivo (evidenza oggettiva): 1. Una Esigenza di Miglioramento 2. Lintroduzione di una nuova tecnologia 3. Un Processo Organizzativo = Vantaggio Competitivo = Fidelizzazione Immagine di Solidità = Posizionamento

27 Riflessioni sulladozione di BS7799 Possibili esigenze BS7799 Interni : Dati sensibili informazioni riservate Esterni Clienti: La Disaster Recovery è un output del processo di Business Continuity compresa nel ISMS definita da BS7799

28 BS7799 come Standard di Riferimento Fattore comune di riferimento : nelle PA/Sanità Disaster Recovery Progetti Innovazione Industry Configuration Management Ottimizzazione Servizi Avanzati Business On demand Business Continuity Digitale Terrestre

29 Vantaggi/Benefici ISO Forte integrazione Vantaggio competitivo Maggiore credibilità nella proposizione del Business Visibilità nel mercato Già adesso usato come Requirement generale nelle PA, nel Finance e ICT Risposta a requisiti di cogenza Crea Sinergie allinterno del Mercato Captive

30 Costi Per la certificazione dipende dalla complessità del contesto e dal Campo di Applicazione Come investimento e come palestra per coloro i quali dovranno usarlo come strumento

31 Lo Scenario Internazionale In Giappone ma in generale nellarea asiatica la crescita è stata molto rapida Le necessità di distinguersi dalle produzioni classiche e le volontà di apportare Valore Aggiunto a offerte sempre più competitive e confrontabili

32 Lo standard BS Certificazioni Certificazioni fino al 2003Certificati 31/03/2004Nuovi paesi ad oggi Australia1 7Argentina1 Austria1 3Belgium1 China2 5Brazil 3 Egypt1 1Denmark2 Finland2 10Hungary6 Germany4 22Iceland3 Greece2 2Macau1 Hong Kong2 17Malaysia1 India6 24Mexico 3 Ireland2 7Poland 1 Italy1 12Qatar1 Japan4 276Saudi Arabia1 Korea3 22Slovenia1 Netherlands1 1South Africa1 Norway4 9Switzerland3 Singapore5 10 Spain1 1 Sweden3 4 Taiwan3 10 UAE1 2 UK53UK 125 USA2 9 Totale104Totale608 fonte:

33 Lo standard BS Certificazioni EuropeN. Asia N.AfricaN. Americhe N. AustraliaN. UK 137 Japan 351Egypt1 USA 10 Australia7 Germany23 India 30Qatar1 Brazil 3 Italy 12 Korea 24Saudi Arabia 1 Mexico 3 Finland 10 Hong Kong 17South Africa1 Argentina 1 Norway 9 Taiwan 14UAE2 Greece2 Singapore 10 Switzerland3 China 5 Denmark2 Malaysia 1 Iceland3 Macau 1 Sweden4 Austria3 Ireland7 Hungary6 Belgium1 Netherlands1 Poland 1 Slovenia1 Spain1 Totale Totale

34 Qualche dato in dettaglio Crescita dal 2002 al 2004: Mondo:Da 104 a 608 al 31/03/2004, da 608 a 709 ad OGGI e…….siamo allinizio Italia:Da 1 a 12, 30 a fine anno Japan:Da 4 a 351 !!! India:Da 4 a 30 Germania: Da 4 a 22 UK: Da 53 a 137 USA: solo 10 ma … Federal Reserve Bank of New York Japan: gli ICT es. Sony,Mitsubishi, etc UK: P.A. Royal Mail, the Royal Bank of Scotland, Criminal Justice, Germany es. Siemens,T-system, Vodafone

35 ISO9001 e BS7799: Analogie Best Practices (come strumento per comunicare) System Management Forte Commitment dai Vertici (la tecnologia non più come satellite aziendale)

36 ISO9001 e BS7799: Differenze ISO9001BS7799 Nasce nel MetalmeccanicoServizi Avanzati Organizazzione + Project managementOrganizazzione + Risk management Partita da 0Parte da ISO9001 Nessun riferimento LegalTU 196/2003 Balilea 2 Riferimenti Banca Italia su ISO17799 (regolamento CAI) Regione Lombardia

37 Obiettivi di DNV LA SALVAGUARDIA DELLA VITA, DELLA PROPRIETÀ, E DELLAMBIENTE

38 Lesperienza DNV nel mondo 16% quota di mercato mondiale


Scaricare ppt "LAnalisi e la Gestione del Rischio come Componenti essenziali nella Certificazione di un BS7799 I nformation S ecurity M anagement S ystem ( BS7799 ) Stefano."

Presentazioni simili


Annunci Google