La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 1 Strategic fit Dott. Stefano Traversa BS 7799 Ebtrust: dalla sicurezza dei.

Presentazioni simili


Presentazione sul tema: "Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 1 Strategic fit Dott. Stefano Traversa BS 7799 Ebtrust: dalla sicurezza dei."— Transcript della presentazione:

1 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 1 Strategic fit Dott. Stefano Traversa BS 7799 Ebtrust: dalla sicurezza dei dati alla affidabilità del business in rete

2 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 2 Agenda Il Testo Unico e le misure di Sicurezza La Risposta DNV al requisito cogente BS7799 Analisi Valutazione e Trattamento del Rischio Business Continuity e Gestione degli Incidenti EBtrust Il Rischio sul Canale Internet Un Modello Modulare Case History Due parole su DNV

3 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 3 TU 196 – Misure di sicurezza Art. 31 (Obblighi di sicurezza) I dati personali oggetto di trattamento sono custoditi e controllati, ……., in modo da ridurre al minimo mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

4 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 4 TU 196 – Misure di sicurezza Art. 32 (Particolari titolari) 1. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico adotta ai sensi dellarticolo 31 idonee misure tecniche e organizzative adeguate al rischio esistente, per salvaguardare la sicurezza dei suoi servizi, lintegrità dei dati relativi ……….. 2. ……. 3. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico informa gli abbonati e, ove possibile, gli utenti, se sussiste un particolare rischio di violazione della sicurezza della rete, indicando, quando il rischio è al di fuori dellambito di applicazione delle misure che il fornitore stesso è tenuto ad adottare ai sensi dei commi 1 e 2, tutti i possibili rimedi e i relativi costi presumibili. ……….

5 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 5 ALLEGATO B – Disciplinare tecnico in materia di misure minime di sicurezza (Artt. da 33 a 36 del codice) Altre misure di sicurezza 16. I dati personali sono protetti contro il rischio di intrusione … Gli aggiornamenti periodici ….vulnerabilità di strumenti elettronici …… Documento programmatico sulla sicurezza 19. Entro il 31 marzo di ogni anno, …….., un documento programmatico sulla sicurezza contenente idonee informazioni riguardo: lelenco dei trattamenti di dati personali; la distribuzione dei compiti e delle responsabilità nellambito delle strutture preposte al trattamento dei dati; lanalisi dei rischi che incombono sui dati; le misure da adottare per garantire lintegrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità; la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23; la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, …….;

6 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 6 La Risposta DNV BS7799 Sistema Di Gestione della Sicurezza delle Informazioni – Gestione del Rischio EBtrust Sistema Di Gestione dellE-Business - Specifico per il canale Internet

7 Assicurare le vostre informazioni BS7799 in un ambiente dove il business diventa sempre più vulnerabile BS7799 e la Sicurezza delle Informazioni

8 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 8 Sicurezza dellinformazione Lo scopo di BS7799: Assicurare riservatezza, integrità e disponibilità dellinformazione al fine di assicurare la continuità del business, prevenire e minimizzare i danni

9 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 9 Lo standard BS Obiettivi BS7799 part 1 Base comune per lo sviluppo, limplementazione e la misurazione dellefficacia delle pratiche di gestione della sicurezza. Chiarezza nelle trattative internazionali. BS7799 part 2 Requisiti per valutare la conformità del Sistema di Gestione della Sicurezza dellInformazione ai fini della certificazione

10 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 10 Attenzione: Controlli e grado di flessibilità appropriati dall INIZIO! 1. Rischi della sicurezza 2. Requisiti legali e contrattuali 3. Principi, obiettivi e requisiti interni BS7799 part 2 - Certificazione - Requisiti

11 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 11 Sicurezza dellinformazione - Struttura Sicurezza dellinformazione Sicurezza organizzativa Sicurezza informatica Sicurezza Electronic Data Processing Sicurezza della comunicazione

12 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 12 a) Riservatezza b) Integrità c) Disponibilità Sicurezza dellinformazione - I Principi

13 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 13 Riservatezza: capacità di non rendere disponibili o divulgare ad individui, entità o processi non autorizzati le informazioni (obbligo legale di riservatezza a tutela delle informazioni di terzi (dati personali)) Sicurezza dellinformazione - definizioni Integrità: impossibilità di alterare o distruggere, da parte di individui, entità e processi non autorizzati, le informazioni Disponibilità: garanzia di accesso ed utilizzo delle informazioni da parte di chi ne è autorizzato nei tempi richiesti Autenticità: garanzia della provenienza di uninformazione Non ripudio: le informazioni devono essere protette da falsa negazione di ricezione, trasmissione, creazione, sottomissione, trasporto, consegna, ricevuta.

14 Analisi, Valutazione e Trattamento del rischio, Business Continuity e gestione degli incidenti

15 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 15 Analisi e Valutazione dei Rischi Identificare: le risorse (asset) e i loro responsabili le minacce a queste risorse le vulnerabilità gli impatti di perdite di Riservatezza Integrità Disponibilità su queste risorse Valutare: il danno aziendale da un problema di sicurezza la probabilità di tali problemi Stimare il livello di rischio Determinare se il rischio è accettabile

16 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 16 Trattamento dei Rischi Identificare e valutare le opzioni di trattamento del rischio: (ridurre, trasferire, accettare) Selezionare: gli obiettivi di controllo per ridurre il rischio. i controlli atti a soddisfare gli obiettivi di controllo (Statement Of Applicability). Ottenere lapprovazione della Direzione: in merito al rischio residuo e allimplementazione dei controlli.

17 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 17 Opzioni di trattamento del rischio Le opzioni sono: ridurre il rischio: applicare appropriati controlli; accettare il rischio, consapevolmente e oggettivamente, se tale rischio soddisfa le politiche e i criteri di accettazione (costi, rischio di impresa); evitare il rischio; trasferire il rischio (assicurazioni, fornitori).

18 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 18 Selezionare gli obiettivi di controllo E importante selezionare, per ciascun rischio che si vuole ridurre, adeguati obiettivi di controllo. Oltre a quanto espresso dalla norma, è possibile suddividere tali obiettivi in due grandi famiglie: prevenzione del successo di un attacco rilevazione di attacchi e tentativi di attacco, con proprietà di prevenzione e mitigazione mitigazione dei danni di un attacco riuscito (il trasferimento è una forma di mitigazione).

19 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 19 Obiettivi di controllo: uno schema Un classico schema per stabilire quale strada principale intraprendere è il seguente: Prevenire Mitigare AccettareMitigare Valore minaccia Valore risorsa/Danni della minaccia

20 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 20 Punto chiave 1: Rischio residuo Laccettabilità del rischio residuo deve derivare dai criteri espressi dalla Direzione in fase di definizione del metodo di analisi del rischio Il rischio residuo deve essere successivamente rivalutato e validato dalla Direzione stessa.

21 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 21 Punto chiave 2: Costo dei controlli Il costo dei controlli deve tenere conto di: 1.costo economico di acquisto o sviluppo, 2.tempo di installazione e configurazione, 3.modalità di mantenimento. E anche opportuno verificare il costo dellacquisizione delle opportune competenze (formazione, assunzione o contratti di fornitura), anche per gestire le verifiche.

22 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 22 Business Continuity Il Business Continuity Management ha lobiettivo di contrastare le interruzioni alle attività aziendali e di proteggere i processi critici dagli effetti di grossi danni o disastri. Deve essere presente un processo di gestione della continuità del business per ridurre i danni di uninterruzione ad un livello accettabile, attraverso controlli preventivi e di mitigazione. N.B: Non bisogna confondere il BCM con il Disaster Recovery Plan.

23 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 23 Come realizzare un Business Continuity Management Le analisi, valutazioni e scelte di trattamento del rischio richieste da un BCM sono le stesse viste in precedenza: unanalisi e valutazione dei rischi lanalisi delle conseguenze di disastri, malfunzionamenti, interruzioni di servizi (Business Impact Analysis), realizzazione di piani (controlli) affinché i processi di business siano riattivati entro il tempo richiesto. I piani devono essere mantenuti, riesaminati e controllati in modo uguale a tutti gli altri processi di gestione.

24 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 24 Gestione degli incidenti Deve essere stabilita una procedura (documentata almeno in quella relativa alle azioni correttive) che abbia come obiettivo la minimizzazione degli incidenti di sicurezza e dei malfunzionamenti, il loro controllo e monitoraggio, nonché lapprendimento dalle esperienze pregresse. Deve essere stabilito un canale di comunicazione per riportare incidenti, eventualmente differenziato tra le tipologie (attacchi, minacce, vulnerabilità o malfunzionamenti) Per affrontare correttamente gli incidenti sarà necessario prevedere di raccogliere prove dellaccaduto il prima possibile. Le procedure devono essere a conoscenza di personale interno, fornitori.

25 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 25 Lo standard BS Vantaggi Facile da capire Non dipendente nelle tecnologie Non ristretto ad un singolo paese dal punto di vista legale Non specifico ad un tipo di business Best practice Non solo IT Guidata dallo sviluppo del mercato

26 Gestite il Vostro Canale Internet EBtrust in un ambiente dove il business su internet diventa sempre più specifico BS7799

27 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 27 EBtrust Lo scopo di EBtrust: Fornire una valutazione, indipendente di terza parte, sulla capacità di mantenere gli impegni verso gli stakeholders

28 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 28 EBtrust Definire il Business Model Rispetto alle esigenze di Business: Etica, Web Marketing, Process & Organization, Security, Infrastructure Effettuate un Risk Assesment sul Canale a) Valutare (minacce, vulnerabilità, impatti) b) Circoscritti a (Condotta Etica, Roi, Ottimizzazione Prestazioni di Processo, Security) Definire i controlli

29 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 29 EBtrust - Vantaggi Specifico per il canale Internet e di riferimento mondiale Consente il confronto, la misura dei gap, lanalisi per la riduzione dei rischi, la definizione di investimenti mirati, corretti ed efficaci Spinge alla correzione di situazioni critiche, toccando le aree più importanti del canale Internet - area strategica, area risorse, area operativa - e fornendo reports e spunti di miglioramento specifici sulle aree Modulare nella scelta dei moduli da applicare rispetto alle esigenze specifiche ed alle criticità dellazienda - Infrastrutture, Security, Processi ed Organizzazione, Web Marketing, Etica - che permetta la focalizzazione dellazienda sullarea di interesse e la definizione di un percorso di sviluppo. Riducendo investimenti e costi eccessivi per la certificazione del canale rispetto alle necessità Chiede che siano definiti obiettivi misurabili e misurati su aspetti operativi - tempi e prestazioni - permettendo lidentificazione di indicatori delle prestazioni chiave Inserisce aspetti di redditività del canale Internet, consentendo lanalisi di efficacia, lanalisi di redditività del canale, rendendo anche possibile il confronto con gli altri, ed eventualmente permettendo anche lanalisi di indici ed indicatori economici (ROS, ROI, BeP, Pay Back)

30 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 30 EBtrust – il modello Etica Web marketing Sicurezza Order Processing Policy & Procedures Policy & Procedures Policy & Procedures Policy & Procedures Organisa- tional Processi Critici Infrastrutture PolicyPrivacy Production & Delivery System Functionality Testing Human Resources Physical System Availability Results Ethical Business Conduct Business Model Logical Interface Design Background Analysis Monitoring & Review Communication Strategy Customer Focus Processi e organizzazione

31 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 31 Processi ed Organizzazione Volumi e QdM Costi unitari Monitoraggio dei processi Monitoraggio Ordine (no web) (Tempi, Volumi, Ricavi, Costi) Numero contratti a budget Numero contratti acquisiti Indice di raggiungimento del budget Numero di modifiche dellofferta iniziale Monitoraggio Qualifica fornitori Conduzione della gara Aggiudicazione (Tempi, Volumi, Costi) Numero fornitori non inseriti Numero totale fornitori % di errore nella gestione fornitori Chiamate allHelp Desk prima della formazione Chiamate allHelp Desk dopo la formazione Ricavi unitari Monitoraggio Customer Service (Tempi, Volumi, Costi, Ricavi) Indagini di CS sugli appaltanti Indagini di CS sui fornitori Chiamate allHelp Desk degli appaltanti Chiamate allHD per supporto tecnico Monitoraggio Organizzazione (Tempi, Volumi, Costi) Indici finanziari Indici economici Indici patrimoniali Cust. Satisfaction/ Retention Case History

32 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 32 Case History Infrastrutture Velocità Carico Monitoraggio Performance Monitoraggio Velocità (Tempi) Tempi di risposta dallINTERNO Tempi di risposta dallESTERNO Analisi dei LOG Monitoraggio Carico (Volumi) Carico del sistema Carico della rete Carico delle applicazioni Efficienza Monitoraggio Efficienza (Costi) Contenuti Servizi a supporto Help desk tempo di elaborazione tempo di trasferimento tempo di risposta elaborazione pagine downloads sessioni e-users links percorsi tipici errori errori server utilizzo banda % cpu % disco stato memoria stato aree swap disk i/o num e stato processi storage traffico rete dati idc traffico rete internet n utenti attivi errori di pagina flusso dati

33 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 33 Case History Infrastruttura in outsourcing - Web Housing

34 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 34 Case History Infrastruttura in outsourcing - Web Housing e rete, garanzie

35 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 35 Case History Infrastruttura in outsourcing - Web Housing, gestione dei cambiamenti

36 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 36 Security ConfidenzialitàDisponibilità Monitoraggio della Sicurezza Monitoraggio sicurezza logica (Tempi, Costi) Fiewall IDS Sistema antivirus Server (S.O. e applicazioni) Vulnerabilità Disponibilità del sistema Disponibilità delle applicazioni Tempi di risposta dallESTERNO Analisi dei LOG Monitoraggio sicurezza fisica (Tempi, Costi) Accessi Vigilanza Locali archivi, server, ecc. (incendi, allagamenti, ….) Integrità Monitoraggio sicurezza organizzativa (Tempi, Costi) Analisi del rischio Responsabilità ed autorità Attività, procedure e piani di contingenza Audit Case History tentativi di accesso numero utenti creati numero amministr. creati modifiche privilegi acc. numero utenti connessi tentativi falliti di acc. tentativi di attacco tentativi di pre-attacco numero vuln. note frequenza verifica vuln. tempo di reazione disponibilita complessiva temperatura alimentazione risposta alla rete continuita dbms

37 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 37 Case History Security in outsourcing - Web Housing

38 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 38 Case History Security in outsourcing - Web Housing

39 DNV Det Norske Veritas Due parole su

40 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 40 Obiettivi LA SALVAGUARDIA DELLA VITA, DELLA PROPRIETÀ, E DELLAMBIENTE

41 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 41 Organizzazione internazionale Europe 3,900 Africa 25 Asia 870 Australia 70 Americas 635

42 Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy DNV in Italia Venezia 15 Bari 13 Bologna 13 Catania 5 Torino 10 Genova 3 Firenze 7 Roma 13 Milano 105 Napoli 3 Total Employees: 187 Total NEX: 281


Scaricare ppt "Unione Industriale Torino – 6 novembre 2003 – Il Testo Unico sulla Privacy 1 Strategic fit Dott. Stefano Traversa BS 7799 Ebtrust: dalla sicurezza dei."

Presentazioni simili


Annunci Google