L’Analisi e la Gestione del Rischio come Componenti
essenziali nella Certificazione di un
Information Security Management System
(BS7799BS7799)
Stefano TRAVERSALecce, 21 Maggio 2004
Agenda
Il processo della sicurezza
La gestione dei rischi in BS7799
La nuova sensibilità dei rischi
Scenario• Basilea2, TU196/2003, SLA
Lo standard BS7799: vantaggi
Riflessioni su BS7799
Scenario internazionale
La Sicurezza come Processo
IInformationnformation S Securityecurity MManagementanagement S Systemystem
““Security is a process, not a Security is a process, not a statestate””
(B. Schneier)(B. Schneier)
Security is a process not a State
La sola applicazione di tecnologie è poco efficace, specie per realtà complesse di medio-grandi dimensioni
I progetti di sicurezza (dai requisiti alla soluzione) hanno fornito risposte adeguate alle esigenze puntuali, ma da soli non bastano
Occorrono feedback che alimentino un processo di evoluzione continua delle soluzioni adottate per ottenere la massima efficacia
Gestire il rischio
Processi stabili e ripetibili nel tempo significa anche avere la possibilità di
gestire meglio i rischi
Il controllo interno
In un’ottica di governance, essere dotati di processi stabili e ripetibili nel tempo, significa governare meglio la struttura, per salvaguardare gli stakeholders
Il valore dell’informazione
L’informazione viene supportata da strumenti informatici,
… ma la sua efficacia, in un’impresa, dipende dalla ripetibilità dei suoi processi
Rischio: una nuova realtà
La costante vigilanza sul presente e
sulle potenziali fonti di rischio: componente
vitale del “core value”
delle organizzazioni
Concetti base: L’Analisi dei Rischi
I rischi• business risks
organizational risks
technological risks
Operational risks
Il RISK ASSESSMENT consente di stabilire priorità d’azione per mitigare il rischio complessivo
Il RISK MANAGEMENT consente di pianificare la gestione dei rischi residui e il controllo nel tempo del livello di rischio
Risk Assessment & Management
Managing Risk
No Defined Risk Risk Defined Risk Estimated
Ris
k analy
sis
Ris
k ass
ess
ment
Ris
k m
anegem
ent
Value of the lost
Probability
Not acceptable Risk
Concetti Base: L’Analisi dei Rischi
I risultati dell’analisi vanno inseriti nel flusso delle attività aziendali
• la soluzione non è mai un “qualcosa” a sé stante (Analisi Statica)
L’Analisi è sistemica ed applicata ai processi di business
Processi Stabili e Ripetibili
Concetti Base: L’Analisi dei Rischi
L’obiettivo di un’analisi dei rischi è la valutazione del rischio complessivo, non la sua eliminazione
L’analisi fornisce gli input alla gestione, e causa ripercussioni sull’intera organizzazione e sui processi gestionali
Scenario
Stakeholders:• Azionisti• Partners• Fornitori• Dipendenti• Comunità/Banche/Cliente finale
Scenario: La Nuova Sensibilità ai Rischi
Basilea 2
il black out
gli attacchi di virus e worms
“globali”
SLA orientati alla Continuità del
Servizio
TU 196/2003
regolamento CAI
Scenario: Il Rischio Operativo secondo Basel II
Definizione: “il rischio di perdite derivanti
da processi, comportamenti del
personale o sistemi interni inadeguati o
non andati a buon fine, oppure derivanti
da eventi esterni”
Scenario: Il Rischio Operativo secondo Basel II
Il Nuovo Accordo prevede che le banche possano avvalersi di approcci avanzati di misurazione (“Advanced Measurement Approaches”, AMA),
Lo standard BS7799 appare come un ottimo candidato per l’implementazione
dell’approccio alla gestione avanzata del rischio operativo secondo Basilea 2
I principi descritti nella sezione dedicata agli AMA sono infatti in sintonia con quelli alla base dello standard BS.
Scenario: Il Rischio Operativo secondo Basel II
Nella sezione dedicata agli AMA, inoltre, si fa riferimento all’allegato 7 del Nuovo Accordo di Basilea intitolato “Classificazione dettagliata delle tipologie di eventi di perdita”.
L’allegato descrive sinteticamente quali siano le minacce che devono essere prese in considerazione quando si ha a che fare con il rischio operativo.
Scenario – Quadro Legislativo
Esempio T.U. 196/2003 – Misure Minime
Definizione (art. 4, c. 3, lett. a):il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai Rischi previsti dall’art. 31
Art. 31: rischi di distruzione o perdita anche accidentale dei dati, rischi di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta
I titolari del trattamento sono tenuti ad adottare le misure minime, individuate dal Codice, secondo le modalità previste dal Disciplinare Tecnico (allegato B), per assicurare un livello minimo di protezione dei dati personali.
Scenario – Quadro Legislativo
Esempio T.U. 196/2003 – DPS Documento Programmatico sulla Sicurezza
Redatto entro il 31 marzo di ogni anno
Deve contenere:• l’elenco dei trattamenti di dati personali• la distribuzione dei compiti e delle
responsabilità nell’ambito delle strutture preposte al trattamento
• l’analisi dei rischi che incombono sui dati• le misure da adottare per garantire l’integrità e
la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
• la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento
Scenario – SLA
I Service Level Agreement nei “Servizi Avanzati”
su settori nei quali la perdita di continuità del Servizio crea danni aziendali e di
immagine porta a
penali CONSISTENTI
L’organizzazione innanzitutto
Un modello di risk management, senza supporto organizzativo riconosciuto da tutte le componenti coinvolte non può funzionare!
Il valore della semplicità
Un modello di risk management deve essere il più possibile semplice e fare uso di tools semplici,
perché deve essere:
Comprensibile e applicabile per i pertinenti livelli e ruoli dell’organizzazione;
Verificabile e manutenibile al mutare delle condizioni di Business ed in funzione della
conoscenza acquisita.
L’anello più debole
Collegamento INTERNET
Politiche di
PASSWORD
Desktop non
protettiAmici
in azienda
ManutenzioneesternaMancata conoscenza
Di come agire In caso di incidente
Porte di Comunicazione
Non settate
MancanzaDel
controllo
E’ fondamentale ricordare che in qualsiasi modello, la forza dello stesso è pari all’anello più debole, indipendentemente dagli sforzi che vengono fatti
E’ fondamentale ricordare che in qualsiasi modello, la forza dello stesso è pari all’anello più debole, indipendentemente dagli sforzi che vengono fatti
Sicurezza delle informazioni
Garantire la sicurezza delle informazioni, allora, vuol dire:
assicurare la business continuity Minimizzare i danni al business Supportare la creazione del valore
Principi … Assicurare:a) Riservatezza b) Integrità c) Disponibilità
Requisiti… Base:1) Requisiti Legali 2) Contrattuali 3) Policies obiettivi e requisiti Interni
BS7799-2: Principi e Requisiti
BS7799 L’ISMS come Strumento
Un ISMS è uno Strumento per evidenziare “giustificandone” il motivo (evidenza oggettiva):
1. Una Esigenza di Miglioramento2. L’introduzione di una nuova tecnologia 3. Un Processo Organizzativo
= Vantaggio Competitivo = Fidelizzazione Immagine di Solidità= Posizionamento
Riflessioni sull’adozione di BS7799
Possibili esigenze BS7799
Interni : Dati sensibili informazioni riservate
Esterni Clienti: La Disaster Recovery è un output del processo di Business Continuity compresa nel ISMS definita da BS7799
BS7799 come Standard di RiferimentoFattore comune di riferimento :
nelle PA/Sanità Disaster Recovery Progetti Innovazione
Industry Configuration Management Ottimizzazione
Servizi Avanzati Business On demand Business Continuity Digitale Terrestre
Vantaggi/Benefici
ISO9001 - Forte integrazione Vantaggio competitivo
• Maggiore credibilità nella proposizione del Business
• Visibilità nel mercato
Già adesso usato come Requirement generale nelle PA, nel Finance e ICT
Risposta a requisiti di cogenza Crea Sinergie all’interno del Mercato
Captive
Costi
Per la certificazione dipende dalla complessità del contesto e dal Campo di Applicazione
Come investimento e come palestra per coloro i quali dovranno usarlo come strumento
Lo Scenario Internazionale
In Giappone ma in generale nell’area asiatica la crescita è stata molto rapida
Le necessità di distinguersi dalle produzioni classiche e le volontà di apportare Valore Aggiunto a offerte sempre più competitive e confrontabili
Lo standard BS7799 - Certificazioni
Certificazioni fino al 2003 Certificati 31/03/2004
Nuovi paesi ad oggi
Australia 1 Australia 7 Argentina 1Austria 1 Austria 3 Belgium 1China 2 China 5 Brazil
3
Egypt 1 Egypt 1 Denmark 2Finland 2 Finland
10 Hungary 6
Germany 4 Germany
22 Iceland 3
Greece 2 Greece 2 Macau 1Hong Kong 2 Hong
Kong 17 Malaysia 1
India 6 India 24 Mexico
3
Ireland 2 Ireland 7 Poland
1
Italy 1 Italy 12 Qatar 1Japan 4 Japan 276 Saudi
Arabia1
Korea 3 Korea 22 Slovenia 1Netherlands 1 Netherlan
ds1 South
Africa1
Norway 4 Norway 9 Switzerland
3
Singapore 5 Singapore 10Spain 1 Spain 1Sweden 3 Sweden 4Taiwan 3 Taiwan
10
UAE 1 UAE 2UK 53 UK 125USA 2 USA 9Totale 104 Totale 608fonte: http://www.xisec.com/
Lo standard BS7799 - Certificazioni
Europe N. Asia N. Africa N. Americhe N. AustraliaN.
UK 137 Japan 351 Egypt 1 USA 10 Australia7
Germany 23 India 30 Qatar 1 Brazil 3
Italy 12 Korea 24 Saudi Arabia 1 Mexico 3Finland 10 Hong Kong 17 South Africa 1 Argentina 1
Norway 9 Taiwan 14 UAE 2
Greece 2 Singapore 10Switzerland 3 China 5
Denmark 2 Malaysia 1Iceland 3 Macau 1Sweden 4Austria 3Ireland 7Hungary 6Belgium 1Netherlands 1Poland 1Slovenia 1Spain 1
TotaleTotale 226 453 6 17 7 709
Qualche dato in dettaglio
Crescita dal 2002 al 2004:
Mondo: Da 104 a 608 al 31/03/2004, da 608 a 709 ad OGGI e…….siamo
all’inizioItalia: Da 1 a 12, 30 a fine annoJapan: Da 4 a 351 !!!India: Da 4 a 30 Germania: Da 4 a 22 UK: Da 53 a 137USA: “solo” 10 ma … Federal Reserve Bank of New
YorkJapan: gli ICT es. Sony,Mitsubishi, etcUK: P.A. Royal Mail, the Royal Bank of Scotland,
Criminal Justice, Germany es. Siemens,T-system, Vodafone
ISO9001 e BS7799: Analogie
Best Practices (come strumento per comunicare)
System Management
Forte Commitment dai Vertici (la tecnologia non più come satellite
aziendale)
ISO9001 e BS7799: Differenze
ISO9001 BS7799
“Nasce nel Metalmeccanico” “Servizi Avanzati”
Organizazzione + Project management Organizazzione + Risk management
Partita da 0 Parte da ISO9001
Nessun riferimento Legal TU 196/2003
Balilea 2
Riferimenti Banca Italia su ISO17799 (regolamento CAI) Regione Lombardia
Obiettivi di DNV
LA SALVAGUARDIA
DELLA VITA,
DELLA PROPRIETÀ,
E DELL’AMBIENTE
L’esperienza DNV nel mondo
16% quota di mercato mondiale