Milano, 4/12/2001 Slide n. 1 RISCHIO OPERATIVO E SISTEMA DI GESTIONE DELLA SICUREZZA: IL VALORE DELLA CERTIFICAZIONE Luigi PAVANI Marketing Manager RINA.

Slides:



Advertisements
Presentazioni simili
© 2010 Colt Telecom Group Limited. All rights reserved. Cloud Computing Lapproccio Colt Dionigi Faccedna.
Advertisements

© 2003 IBM Corporation Copyright Uno sguardo al presente futuro: il business on-demand Dario Colosimo Director of Sales Operations IBM Emea Region South.
Vincenzo Campanale PM Security & Management System Center, DSI e la Roadmap.
Luigi PAVANI ICT Services Department Manager RINA SpA
OWASP-Day e progetti OWASP-Italy
Chiara Carlucci - Isfol 15 giugno 2007 CDS Isfols specialised documentation centre.
Directive 96/62/EC - Ambient Air Quality List of air pollutants in the context of air quality assessment and management.
MP/RU 1 Dicembre 2011 ALLEGATO TECNICO Evoluzioni organizzative: organico a tendere - ricollocazioni - Orari TSC.
FONDAMENTI DI INFORMATICA III WfMC-1. FONDAMENTI DI INFORMATICA III WfMC-2 WFMC Cose WfMC Workflow Management Coalition (WfMC), Brussels, è unorganizzazione.
ETEN – Re-Public – RePublic website 1\5 eTEN Progetto Re-Public – RePublic website Workshop finale Dott. Marco Sentinelli – Galgano International Roma,
Forum PA – Privacy e Sicurezza 1 Privacy e Sicurezza dalla compliance alla data loss prevention Antonio Forzieri – CISSP, CISA, CISM TSO Practice Manager,
I modelli reticolari Rappresentano graficamente le procedure attraverso nodi e linee; 2. Ogni linea rappresenta unattività; 3. Su ogni linea è riportato.
RISK MANAGEMENT Breve overview sullo stato dellarte in Italia.
Presentazione Finale Team 2 1. Decomposizione in sottosistemi 2.
Sistema informativo IrisWIN
Livehelp Messenger 18 giugno CHE COSA E LIVEHELP? Livehelp è un servizio finalizzato alle problematiche di help-desk che consente di costruire e.
SICUREZZA INFORMATICA Gabriele Torresan Roma, 17 maggio 2012.
Antonio Torraca
VIRGILIO “Facesti come quei che va di notte,
Programma di sviluppo rurale PSR ai sensi del regolamento (CE) n. 1698/2005 Asti 19 marzo 2008.
Comunicazioni Relative al seminario di informazione INVALSI su La valutazione e lo sviluppo della scuola Roma, 28 Novembre 2012 Relatore: Prof. S. Nicastro.
GE.CO. Gestione per competenze. Introduzione a GE.CO. Orienta nella scelta di nuovi modelli organizzativi. Elabora modelli concettuali ed operativi. Introduce.
7 cose da sapere su Volume Activation con Windows 7 © 2009 Microsoft Corporation. Tutti i diritti riservati. Come professionista IT, devi sapere che l'attivazione.
Telemarketing & Market Research Advanced on Line Business Oriented Research Solutions ALBORS.
1 circolare n° 8 circolare n° 8 6 marzo La direttiva Ministeriale del 27 dicembre 2012 estende a tutti gli studenti in difficoltà il diritto a.
Dicembre 2010 I nuovi modelli di business dellindustria dei contenuti.
Pagina 1 Copyright © Scoa – The School of Coaching – all rights reserved SCOA in collaborazione con AIDP - CRORA BOCCONI - FIC presenta I RISULTATI DELLA.
PROF: LUIGI SCALA Progetto lavoro Area4 multimedialità a.s
COMUNE DI MEDOLAGO Regolamento edilizio 2013 Consiglio Comunale del 4 marzo 2013.
ReteComuni La rete dei comuni per condividere strategie e strumenti sui temi: entrate locali, gestione territoriale, tecnologie e sicurezza Marzo 2012.
Sito internet: indirizzo sdcnet.it
Struttura Aziendale Arianna Montervino 4° A T.G.A A.S 2009/2010 Stage.
1 Web Design Internet Agency. 2 Web Design Internet Agency Qual è il valore aggiunto che può portare allimpresa ? Perché è fondamentale oggi avere un.
Lapproccio aziendale per la Sicurezza delle Informazioni gli ambiti di intervento e le proposte operative una soluzione integrata, scalabile, orientata.
# Tre di Picche Marketing Ruolo del marketing
L’azienda prima dell’intervento:
I.S.F.I I nternational S chool F ashion & I ndustry CAMPUS S. PELLEGRINO - Misano (RN) Italy.
Mappa concettuale di sintesi
17 aprile 2007 AUTOMOTIVE NETWORK TEAM Una Rete per le Reti.
1 Target Cross Intelligence Le decisioni d'impresa, spesso, non sono né giuste né sbagliate. Le decisioni d'impresa, spesso, non sono né giuste né sbagliate.
Tableau de bord Cruscotto di direzione
Servizi per Consind E.A. s.r.l. P.IVA: IT REA-MI: /7122/20 CCIAA:
DSS Identità oggetto Contenuto Modalità di uso Nome oggetto: numero
Il modello ECM –CPD lombardo nel sistema sanitario regionale
Firenze – Festival della Creatività 2009 Comm.it s.r.l. – Ing. Davide Rogai, Ph.D. – Software >> eyelander tracking semplice con il tuo cellulare.
Il controllo della tecnologia come strumento abilitante per i servizi innovativi.
Riva del Garda Fierecongressi Richiesta di parere per impianto destinzione automatico a pioggia. Si tratta dellampliamento di un impianto esistente, inferiore.
Consorzio Comuni Acquedotto Monferrato
AUTOMOTIVE NETWORK TEAM LObbligo della Redditività Tutto Fuori.
Perché insegnare statistica a scuola Utilità della Statistica 1.è a fondamento della crescita democratica di un nazione moderna 2.è essenziale per monitorare.
PROGETTO FRANCHISING XX ELEMENTI DI BASE PER REDIGERE IL "DOSSIER PRELIMINARE" Mega.
ESSERE DEALER DEALER NEL 2005 NEL La Formazione come strumento di crescita si investe sul fare e si dedica poco tempo agli scenari (ci pare di risparmiare.
Francesco Cirillo Gianluca Fiore Reparti: Reparto Elettronica Consolle Reparto audio e video Impianto stereo Computer: informatica Video games Telefonini.
Gruppo 4: Gelmi Martina, Morelato Francesca, Parisi Elisa La mia scuola ha un sito Web: modelli per la qualità dei siti (Ingegneria del Web)
Il trattamento dei dati e le misure minime di sicurezza nelle aziende Le linee guida del Garante per l'utilizzo sul lavoro della posta elettronica e di.
System for Card DOCUMENTO PROGRAMMATICO SULLA SICUREZZA Presentazione del Servizio ASP di System for Card.
METODOLOGIA DEL LAVORO SOCIALE E SANITARIO
Introduzione 1 Il Decreto Legislativo 626/94 prescrive le misure finalizzate alla tutela della salute e alla sicurezza dei lavoratori negli ambienti di.
1 Staff Partnership e Relazioni Internazionali Lamezia Terme 30 novembre 2006.
Strumenti di contrasto e prevenzione della corruzione per le PMI alla luce delle nuove normative Camera di Commercio di Bergamo 16 ottobre 2013 Strumenti.
ICF e Politiche del Lavoro
Convegno internazionale Laccordo europeo relativo allo stress lavoro-correlato tra le parti sociali: lo sviluppo e limplementazione in Italia Dott.ssa.
Giancarlo Colferai - CEPAS
1 Roma, 18 febbraio 2004 Progetto disabili Telelavoro: La tecnologia come strumento per linserimento dei disabili nel mondo del lavoro.
Scheda Ente Ente Privato Ente Pubblico. 2ROL - Richieste On Line.
Copyright © 2009 Aton S.p.A. All Rights Reserved.
Corso di Web Services A A Domenico Rosaci Patterns di E-Business D. RosaciPatterns per l'e-Business.
soluzioni professionali
© 2013 KNC All right reserved Kangaroo Net Company Group 1.
© 2014 IBM Corporation Il mercato del Cloud Computing in Italia Bianca Serioli 8 luglio 2014.
Transcript della presentazione:

Milano, 4/12/2001 Slide n. 1 RISCHIO OPERATIVO E SISTEMA DI GESTIONE DELLA SICUREZZA: IL VALORE DELLA CERTIFICAZIONE Luigi PAVANI Marketing Manager RINA SpA

Milano, 4/12/2001 Slide n. 2 Le Organizzazioni aumenteranno il livello di decentramento delle sedi fisiche e la soglia di difesa degli asset aziendali Diminuzione di viaggi per spostamento e aumento di utilizzo di mezzi di comunicazione via telefono, rete, web e video Maggiore attenzione e richiesta a livello individuale di sicurezza vs privacy e disponibilità ad accettare inconvenienti a fronte di più sicurezza Governo/Istituzioni Pubbliche ed aziende lavoreranno di più insieme sui temi della sicurezza per salvaguardare le infrastrutture critiche a livello paese Tendenze Fonte: IDC

Milano, 4/12/2001 Slide n. 3 Priorità per la sicurezza informatica Sicurezza Fisica e Infosecurity separate Centro di costo opzionale Downtime Restrict Access Servers & PCs, Reti Business Unit Driven Internal Focus Integrazione tra infosecurity e Sicurezza Fisica Budget Obbligatorio Uptime Open Access Servers, PCs, PDA Reti e Mobile Corporate Mandate External Emphasis OLD NEW Fonte: IDC

Milano, 4/12/2001 Slide n. 4 Security Business Trends ….da una opzione che costa per lazienda ad una variabile critica per le attività interne ed esterne per la salvaguardia degli asset aziendali ….da diverse tecnologie frammentate ad una soluzione integrata (e gestionale) … da un intervento una tantum ad un progetto continuo e quotidiano di intelligence La sicurezza si trasforma…. Fonte: IDC

Milano, 4/12/2001 Slide n. 5 European Internet Security Aggregated Forecast W. European Market for Internet Security by Submarkets, ($M) HW (Firewall Appl., Biometrics, Tokens) SW (Firewalls, Antivirus, Encryption, and 3As) Security Services Fonte: IDC

Milano, 4/12/2001 Slide n. 6 Il contesto competitivo e la Certificazione Pressioni interne Ritorno degli investimenti Riduzione dei costi Responsabilità finanziarie Massimo profitto Qualità del prodotto Tutela del Know-how Minacce interne SOLUZIONI GESTIONALI - ISO9000 Qualità- EMAS - ISO14001 Ambiente- ISO e BS OHSAS Sicurezza- Qweb (certificazione dei siti) - SA8000 Etica- Analisi dei rischi e assessment Pressioni esterne Minacce in rete tam-tam di internet Responsabilità segreti industriali Direttive europee (31/2000) Consenso sociale e legislazione Obblighi legali Sicurezza dei dati Enti Autorizzatori (Basilea 2) COMPANY MANAGEMENT

Milano, 4/12/2001 Slide n. 7 OBBLIGHI LEGALI (privacy) 675/96 –art. 15: «i dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta» –DPR 318/99 –misure minime di sicurezza

Milano, 4/12/2001 Slide n. 8 OBBLIGHI LEGALI (privacy) Responsabilità civile: –Art. 18: richiamo alla disciplina in materia di attività pericolose sancita dall'art Codice Civile (-> ribaltamento onere della prova) –Art. 29: estesa ai "danni morali Responsabilità penale –In caso di violazione delle misure del DPR 318/99 –Può abbattersi su chiunque possa essere considerato tenuto a garantire la loro osservanza: in primis perciò, oltre che sulle persone che si occupano del trattamento o della gestione del sistema informativo e degli archivi, su coloro che amministrano e dirigono la società.

Milano, 4/12/2001 Slide n. 9 ONERI LEGALI Protezione del sistema informatico o telematico –art. 615-ter: «chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni» !Sentenza per introduzione abusiva sul sito telematico del G.R.1 21/4/2000

Milano, 4/12/2001 Slide n. 10 ONERI LEGALI Protezione –L'art. 616 punisce «chiunque prende cognizione del contenuto di una corrispondenza chiusa, a lui non diretta», ove «per "corrispondenza" si intende quella epistolare, telegrafica, telefonica, informatica o telematica ovvero effettuata con ogni altra forma di comunicazione a distanza» !Il livello di segretezza attribuito dagli esperti in sicurezza agli scambi di non cifrata è quello della corrispondenza "aperta"

Milano, 4/12/2001 Slide n. 11 ONERI LEGALI Teoria della downstream liability –Tema scottante in discussione su cause civili per fenomeni di hacking –In genere unorganizzazione colpita non potrà essere risarcita da un hacker (un criminale che spenderà tutti suoi soldi per un legale) –Lorganizzazione colpita potrà rivalersi a valle nei confronti dellorganizzazione che ha lasciato lhacker entrare nei suoi sistemi, consentendogli lattacco. –Lorganizzazione chiamata in causa dovrà dimostrare di non essere stata negligente, di avere misure di sicurezza aggiornate ed adeguate.

Milano, 4/12/2001 Slide n. 12 INTERNET SECURITY Febbraio 2000: DDos compiuto da "MafiaBoy (15 anni) Sebbene le patch per il virus Code Red fossero disponibili 1 mese prima dellattivazione, nelle prime 9 ore il virus ha contagiato server Virus NIMDA

Milano, 4/12/2001 Slide n Industry survey La percezione del mercato Fonte: – TruSecure & Predictive Systems Dati: –MINACCE (% aziende con risposta affermativa) DA INSIDER DA OUTSIDER –LE RISPOSTE DELLE AZIENDE (media delle valutazioni su scala 0-5) –GLI OSTACOLI ALLA SICUREZZA (media delle valutazioni su scala 0-5)

Milano, 4/12/2001 Slide n. 14 MINACCE DA INSIDER 9%frode 22%furto elettronico, sabotaggio o intenzionale distruzione/diffusione di dati/informazioni proprietari 47%installazione/uso di hw/periferiche non autorizzate 49%furto fisico, sabotaggio o distruzione intenzionale di computer equipment 56%abuso di computer control access 60%uso di risorse aziendali per profitto personale (scommesse, spam, gestione di personal e-commerce site, investimenti online) 60%uso di risorse aziendali per comunicazioni /attività illegali o llecite (porn surfing, harassment) 78%installazione/uso di sw non autorizzato

Milano, 4/12/2001 Slide n. 15 MINACCE DA OUTSIDER 21%attacchi dovuti a password non sicure 23%attacchi dovuti a protocol weakeness 28%exploits dovuti a scripting/mobile code (acitveX, Java, javaScript, VBS) 32%buffer overflow attacks 39%Denial of Service (Dos) 48%attacchi su bug di web server 89%viruses/trojan/worms

Milano, 4/12/2001 Slide n. 16 LE RISPOSTE DELLE AZIENDE 2.72altro 3.66prevenzione di abuso di accesso da parte di impegati/insiders 3.79gestione centralizzata/correlazione di security policy/contromisure/alert data 3.89mettere in sicurezza gli accessi remoti per impiegati/telecommuters/utenti remoti 3.99sicurezza di messaggi/ 4.01sicurezza e disponibilità per siti web e/o operazioni di e-commerce 4.31rafforzamento del perimetro di rete per prevenire intrusioni dallesterno

Milano, 4/12/2001 Slide n. 17 GLI OSTACOLI 3.00technical challenges/complessità dei prodotti 3.04responsabilità poco chiare 3.07mancanza di policy di sicurezza interna 3.08mancanza di personale competente di sicurezza 3.17mancanza di supporto della direzione 3.55mancanza di training per gli utenti/consapevolezza per gli end-user 3.55budget

Milano, 4/12/2001 Slide n. 18 LE BAD PRACTICES "La sicurezza si misura nel suo anello più debole" utilizzo di post-it per ricordarsi le password aggirare le misure di sicurezza (es. Disattivazione antivirus) lasciare i sistemi/documenti unattended aprire attachment utilizzo di password banali discorsi riservati in aree/locali pubblici applicazione poco rigorosa delle policy sottovalutazione dello staff (insider attacks) lentezza nellupdate dei sistemi (patch)

Milano, 4/12/2001 Slide n. 19 Elementi della sicurezza Gli elementi che interagiscono nella sicurezza di una organizzazione sono: il management gli addetti ai sistemi (interni/esterni) gli utenti (interni/esterni) le informazioni le apparecchiature Hardware/Software le minacce in continuo divenire levoluzione tecnologica

Milano, 4/12/2001 Slide n. 20 LA RISPOSTA GESTIONALE Una risposta di tipo solamente tecnologico (controllo accessi, protezione da virus/dos,..) penalizza l'intero sistema di sicurezza (tralascia lanello più debole) La risposta gestionale (BS7799, ISO/IEC 17799) parte da una visione globale della sicurezza –Enterprise Security Management –componenti fisica, logica, operativa, legislativa.., focalizzandosi sugli aspetti gestionali.

Milano, 4/12/2001 Slide n. 21 La logica delle ISO 9000 ha generato standard normativi e gestionali affini: Qualità UNI EN ISO 9001 UNI EN ISO 9002 UNI EN ISO ISO:2000 AVSQ94 QS 9000 EN 729 Sicurezza dei dati ISO BS 7799 Ambiente Regolamento EMAS CEE 1836/93 ISO Sistemi di Gestione Ambientale ISO Ciclo di vita del prodotto (LCA) Il contesto normativo volontario

Milano, 4/12/2001 Slide n. 22 I principi I principi di base di un SGSI sono: information security policy (volontà e supporto della direzione) allocazione delle responsabilità educazione, sesnibilizzazione e training report degli incidenti business continuity management controlli necessari per assicurare che gli obiettivi posti sulla sicurezza siano raggiunti

Milano, 4/12/2001 Slide n. 23 Efficienza ed efficacia Risk Analysis : identificazione delle risorse da proteggere, dello scenario di minacce e vulnerabilità (interne all'impresa o esterne), calcolo del rischio, della probabilità del suo concretizzarsi, e dellimpatto sul business. Risk Management : definizione strategica del livello di rischio accettabile e conseguenti decisioni operative sulla gestione del rischio (riduzione, trasferimento, accettazione). Ogni fase di questo processo richiede responsabilità definite e criteri di conduzione sistematici per assicurarne il controllo periodico, la ripetitività e la tracciabilità nel tempo.

Milano, 4/12/2001 Slide n. 24 SGSI: I benefici mantenersi aggiornati su minacce e vulnerabilità, gestirle in modo sistematico trattare incidenti e perdite in ottica di prevenzione e di miglioramento continuo del sistema sapere quando policy e procedure non sono implementate in tempo utile per prevenire danni implementare politiche e procedure di primaria importanza, in accordo con le "best practice e un buon risk management

Milano, 4/12/2001 Slide n. 25 La Certificazione Occupando tale ruolo strategico, risulta evidente il beneficio di impostare un progetto di gestione della sicurezza con riferimento ad uno standard riconosciuto dal mercato. La certificazione BS7799 da parte del RINA rafforza la competitività e l'immagine dellazienda.

Milano, 4/12/2001 Slide n. 26 Offerta del RINA assessment iniziale : valutare il livello di security di un sistema esistente. Parte dal presupposto che il valutatore non conosca per niente la situazione del valutato. piano di adeguamento : ha lo scopo di portare il sistema del cliente a un livello di security predeterminato. assessment finale : ha lo scopo di far subire al cliente un esame di certificazione simulato, con due obiettivi. Se il cliente non è ancora certificato, consentirgli di evidenziare gli errori e porvi rimedio prima dellesame di certificazione vero e proprio; se il cliente è già certificato, consentirgli un check up di valutazione della situazione. piano di mantenimento : riguarda gli interventi periodici di verifica della situazione aziendale rispetto agli standard adottati e leventuale scostamento rispetto al valore prefissato audit per la sicurezza, a fronte di check list congiuntamente definite, per valutare il livello di applicazione della sicurezza test di intrusione, simulazione di attacchi esterni certificazione : ha lo scopo di certificare il cliente per la norma (o le norme) per cui desidera essere certificato. formazione, per fornire le competenze al personale Gli step progettuali

Milano, 4/12/2001 Slide n. 27 Assessment Iniziale individuazione dellambito gestionale per la sicurezza esistente: stato dellorganizzazione definizione delle responsabilità livello di sicurezza delle sedi aziendali modalità di gestione delle operazioni e delle comunicazioni censimento degli asset aziendali individuazione di criteri per la valutazione della strategicità degli asset aziendali criteri di valutazione del rischio ed ipotesi di rischi prioritari legati agli asset strategici individuazione dei requisiti di sicurezza valutazione del livello di soddisfacimento dei requisiti di sicurezza (gap analysis) ipotesi di modalità gestionali dei rischi selezione di possibili obiettivi dei controlli ed individuazione di criteri per la selezione e limplementazione dei controlli

Milano, 4/12/2001 Slide n. 28 Audit per la sicurezza –permettono di verificare con la migliore attendibilità lapplicazione dei provvedimenti presi, ad esempio, per la conformità a: standard riconosciuti de facto o internazionali disposizioni interne derivanti dagli obblighi di legge performance o gestione di un servizio in outsourcing, avanzamento delle commesse, conformità a contratti

Milano, 4/12/2001 Slide n. 29 Formazione La sicurezza non si costruisce certo solo acquistando box e tools, strumenti che invece devono essere amministrati e soprattutto utilizzati correttamente Lelemento umano è quindi centrale per la sicurezza delle informazioni Per questo eroghiamo la formazione adatta ai vari livelli di competenza e responsabilità: per il management per gli utenti per il personale tecnico

Milano, 4/12/2001 Slide n. 30 La certificazione BS7799 La certificazione del proprio sistema di sicurezza delle informazioni costituisce: – un forte asset competitivo in termini di autorevolezza (valutazione di una terza parte indipendente) – il naturale ed autorevole coronamento di un percorso di crescita organizzativa e tecnologica -> viene percepita e compresa dal mercato come uno strumento utile al business

Milano, 4/12/2001 Slide n. 31 I benefici diretti valorizzazione degli investimenti rafforzamento dellimmagine aziendale segnale forte verso un mercato sempre più sensibile alla problematica sicurezza fattore di vitalità per il sistema di gestione stesso, assicurandone –efficienza/efficacia –rispondenza ai requisiti legali e contrattuali –finalizzazione degli investimenti

Milano, 4/12/2001 Slide n. 32 I benefici indiretti influenza positiva sul prestigio aziendale, sull'immagine, sui parametri di goodwill esterna fino ad una possibile incidenza sulla valutazione patrimoniale dell'azienda o delle quote azionarie valenza dello strumento nella gestione delle informazioni, in termini di risk management tramite la definizione di ruoli, responsabilità e modalità operative che mettono in sicurezza l'azienda anche rispetto ai parametri di legge (a salvaguardia del management) riduzione dei costi di gestione della sicurezza e vantaggi competitivi legati al miglioramento dell'efficienza dei processi ladozione di un sistema di misurazione completo e bilanciato per valutare le performance nella sicurezza e suggerire aggiunte, miglioramenti miglioramento delle ROI sugli investimenti informatici dovuto ad una focalizzazione mirata di tali investimenti alla luce dell'analisi e della valutazione dei rischi

Milano, 4/12/2001 Slide n. 33 CONCLUSIONI La ricerca scientifica e tecnologica hanno messo a punto una serie di strumenti e metodologie che, se correttamente adottati, consentono di ridurre al minimo le minacce alla sicurezza delle informazioni Tecnologie, sistemi, infrastrutture, applicativi devono essere gestiti, aggiornati, mantenuti adeguati per far fronte a minacce accidentali o intenzionali che evolvono nel tempo, provenienti dallinterno o dallesterno dellazienda. La norma BS7799 propone gli step operativi per un buon risk management, con il vantaggio della standardizzazione.