Un Mondo Pericoloso e Fragile: Rischi e Sicurezza.
Come salvaguardare il patrimonio delle informazioni? Come affrontare i temi della sicurezza delle informazioni e dei dati, della continuità operativa e le relative certificazioni ISO 27001 e ISO 22301 in maniera concreta senza pagare un capitale? L’Italia è uno dei paesi più sotto pressione: attacchi interni e attacchi esterni minacciano imprese e istituzioni. Le frodi nelle organizzazioni accelereranno in connessione con la crisi economica (le frodi in azienda sono cresciute in UK del 50% nel 2008 - fonte KPMG).
Investire Soldi per la Sicurezza e per la Business Continuity non è sempre una risposta corretta. Una risposta SEMPRE corretta è invece investire in un'analisi dei propri punti di debolezza e porre rimedio in maniera semplice ed efficace.
4. Salvaguardare il patrimonio delle
informazioni
Il rischio e le sue componenti
Tutte le Componenti vanno considerate
Gli eventi
Assicurabili o non
Esogeni o endogeni
Il tempo
Il futuro prossimo
Il futuro remoto
La dimensione
L’entità del possibile
danno
La probabilità
La probabilità che si
verifichi un evento
danoso
5. Salvaguardare il patrimonio delle
informazioni
Obiettivi di un Sistema per
la sicurezza delle informazioni
Un sistema di gestione della sicurezza deve garantire:
• Riservatezza
• Integrità
• Disponibilità
delle informazioni e dei dati aziendali
IN CHE MODO?
6. Salvaguardare il patrimonio delle
informazioni
Il nostro
approccio
per il SGSI
Definire la Politica per la
sicurezza con la Direzione
Definire ambito, campo di
applicazione, perimetro
Valutare i Rischi (RA)
Gestire il rischio (SOA)
Scegliere i controlli per la
sorveglianza
IMPLEMENTAZIONE
Nuove necessità,
esigenze e
trattamenti
informatici
Nuovi
standard
Nuove
minacce e
vulnerabilità
7. Salvaguardare il patrimonio delle
informazioni
POLITICA
È la DIREZIONE che definisce la visione del
SGSI (sistema di Gestione della Sicurezza
delle Informazioni):
Quali DATI devono essere protetti?
Quali SERVIZI devono essere garantiti?
Stabilisce gli OBIETTIVI
Mette a disposizione RISORSE umane e
tecnologiche (le soluzioni in sicurezza
debbono avere un ROI di un anno o
meno)
TENDENZE
• “Le frodi nelle organizzazioni
accelereranno in relazione alla
crisi economica.“
(KPMG, 17 Ottobre 2008)
• Le frodi in azienda sono
cresciute in UK del 50% nel 2008
• Nel momento in cui si ridurranno
I posti di lavoro e vi saranno
diminuzioni nei salari e nei premi
di produzione, i rischi interni alle
organizzazioni si
moltiplicheranno. Quando vi è
incertezza, le organizzazioni
diventano più vulnerabili.”
(Management Concepts, 27
ottobre 2009)
i
8. Salvaguardare il patrimonio delle
informazioni
AMBITO e PERIMETRO
Devono essere protette TUTTE le informazioni?
O soltanto quelle CRITICHE?
Definire gli ASSET
(Transazioni on line, dati remoti, trasmissione dati VPN, web, mail, carta, dati
elettronici, dati stampati, informazioni trasmesse o immagazzinate, archivi, ecc)
Su
Centrale
Allarme
Pannelli di Rete
Connessione Elettr
Ufficio Responsabile CED
Armadio Documentazione
Ufficio AssistenzaUfficio Sviluppo Ufficio Direttore
O
O
MTX
M
O
9. Salvaguardare il patrimonio delle
informazioni
VALUTAZIONE E GESTIONE DEI RISCHI
• Ambito, Beni (fisici, logici, informazioni);
• Minacce, vulnerabilità;
• STRUMENTI: C/L Allegato A, Matrice di V/R;
Identificazione dei
Rischi
• Valore;
• Minaccia;
• Vulnerabilità;
• Danno;
• Probabilità;
Stima dei Rischi
•Interventi per la riduzione dei rischi;
•Accettazione del Rischio residuo;
•Dichiarazione di accettabilità della Direzione.
Trattamento dei
Rischi
10. Salvaguardare il patrimonio delle
informazioni
VALUTAZIONE DEL RISCHIO
Quante VARIABILI concorrono a quantificare il RISCHIO di
perdita o furto di dati e/o continuità?
Valore | Minacce | Vulnerabilità | Probabilità | Appetibilità | Tempo di
Ripristino | Danno | altro…
Alcune di queste? Tutte? Altre ancora?
Impostare un algoritmo per calcolare il rischio
per ciascun bene o servizio
11. Salvaguardare il patrimonio delle
informazioni
VALUTAZIONE DEL RISCHIO – Continuità operativa
•Strategia
•Valutazione dei Rischi, Business Impact Analysis
Capire il business,
individuare i servizi
• Strategia BCM, per processo, per area, per
servizio
• Recupero delle risorse
Strategia BCM
•Gestione della crisi, relazioni pubbliche e Media
•Piani di continuità, Risposta agli incidenti
Sviluppo e
implementazione
della risposta
•Valutazione, progettazione
•Misurazione dei risultati
•Monitoraggio
Sviluppo della
cultura BCM
•Provare i piani BCM, Audit, Controlli
•Manutenzione
•Conformità ISO 22301
Esercitare,
mantenere e
verificare
12. Salvaguardare il patrimonio delle
informazioni
VALUTAZIONE DEL RISCHIO – l’analisi di processi e servizi
12 | 7 agosto 2013 | Company Confidential
ANALISI PER PROCESSI
I PROCESSI e i SERVIZI vengono
analizzati per individuare i RISCHI
potenziali per la SICUREZZA e la
CONTINUITÀ
Analizzare i processi consente
anche di valutare le prestazioni dei
processi stessi e garantire
determinate prestazioni ai clienti
(SLA) o internamente (KPI)
Ciò che si può misurare
si può migliorare
13. Salvaguardare il patrimonio delle
informazioni
GESTIONE DEL RISCHIO
OUTSOURCERProtezione organizzativa
Protezione logica
Protezione fisica
Audit, controlli, sorveglianza
Il rischio non può essere annullato:
valutare il RISCHIO RESIDUO
OUTSOURCING
Misure di sicurezza
Livelli di servizio garantiti
Audit, controlli, sorveglianza
14. Salvaguardare il patrimonio delle
informazioni
I CONTROLLI PER SORVEGLIARE E MIGLIORARE
Sono stati messi a punto più di 100 CONTROLLI da implementare per
sorvegliare e migliorare la sicurezza delle informazioni e dei dati:
Politica per la sicurezza
Organizzazione per la sicurezza delle informazioni
Gestione dei beni
Sicurezza del personale
Sicurezza fisica e ambientale
Gestione delle comunicazione e delle operazioni
Controllo accessi
Acquisizione, sviluppo e manutenzione dei sistemi
Gestione degli incidenti
Gestione della continuità aziendale
Conformità
I controlli di sicurezza
possono :
• Proteggere contro le
minacce (DETERRENTI)
• Ridurre le vulnerabilità
(PREVENTIVI)
• Limitare gli impatti di
un incidente
(CORRETTIVI)
• Proteggere in qualsiasi
altro modo contro i
rischi (INVESTIGATIVI)
i
15. Salvaguardare il patrimonio delle
informazioni
MIGLIORAMENTO CONTINUO
Establish ISMS
Implement and
Operate the
ISMS
Monitor and
Review the
ISMS
Maintain and
Improve the
ISMS
Interested
Parties
Information
security
requirements
and
expectations
Interested
Parties
Managed
Information
Security
in modo compatibile con gli altri sistemi certificabili (ISO 9001, 14001, ecc)
I sistemi per la Sicurezza e la continuità operativa sono anche certificabili
secondo norme ISO: ISO IEC 27001 per SGSI e ISO 22301 per Business Continuity
16. Salvaguardare il patrimonio delle
informazioni
RISCHIO E CONTINUITÀ A CONFRONTO
Gestione del rischio Gestione della Continuità Operativa
Metodo chiave Valutazione del Rischio Analisi impatto sull'organizzazione
Parametri chiave Impatto e probabilità Impatto e durata
Tipo di evento
Tutti i tipi di eventi
(normalmente segmentato)
Eventi che inducono significative
interruzioni dell'attività
Dimensione
dell'evento
Tutte le dimensioni (costi)
dell'evento (normalmente
segmentato)
Per la pianificazione strategica: solo eventi
che minacciano la sopravvivenza aziendale
Scopo
Interesse focalizzato
principalmente sui rischi
rispetto agli obiettivi aziendali
Principalmente al di fuori delle competenze
primarie dell'azienda
Intensità Tutte, da graduali a improvvise
Eventi improvvisi o immediati (nonostante
la risposta possa essere anche adeguata
qualora un evento irrilevante dovesse
assumere una portata grave)
17. Salvaguardare il patrimonio delle
informazioni
VALUTAZIONE PRELIMINARE DEL RISCHIO
Prima di iniziare un progetto approfondito:
il nostro approccio permettere di conoscere velocemente il
rischio per le informazioni secondo il protocollo PLAY SEC:
si
17%
no
83%
AMMINISTRAZIONE DEI BENI
si
11%
no
89%
SICUREZZA DELLE RISORSE UMANE
0
55%45%
SICUREZZA FISICA DELL'AMBIENTE
si
65%
no
35%
GESTIONE DELLE OPERAZIONI E DELLE
COMUNICAZIONI
si
12%
no
88%
ORGANIZZAZIONE PER LA SICUREZZA
si
100%
no
0%
POLITICHE PER LA SICUREZZA
18. Salvaguardare il patrimonio delle
informazioni
DISCLAIMER COPYRIGHT PLAY s.a.s.
Le informazioni contenute in questo documento sono di proprietà di PLAY S.a.S.
Questo documento è redatto a scopo puramente informativo e non costituisce elemento
contrattuale; contiene strategie, sviluppi e caratteristiche delle soluzioni proposte da PLAY s.a.s.
PLAY ® 2011 TUTTI I DIRITTI RISERVATI
18 | 7 agosto 2013 | Company Confidential
Strategia
Mappa strategica
Analisi Finanziaria e Controllo di
Gestione
Analisi ed Abbattimento costi
Valutazioni di investimenti
alternativi
Formazione per i dirigenti
Formazione per i venditori
Analisi di Business all’estero
Responsabilità Sociale d’impresa
Comunicazione e rendicontazione
Risk Analysis
Efficienza
Riprogettazione dei Processi BPR
Miglioramento delle prestazioni
Lean Production
Lean Office
Lean & Digitize®
Agile Development
Soluzioni IT, scelta Sistemi
Informativi e ERP
Soluzioni specializzate nella qualità
del software e ICT
Soluzioni per l’energia
Auditing
Conformità
Sistemi di Gestione per la Qualità
ISO 9001 ISO/TS 16949
ISO 14001 e EMAS - Ambiente
OHSAS 18001 Sicurezza del Lavoro
SA 8000 Etica del Lavoro, CSR
D.Lgs 231 Responsabilità
Amministrativa d’impresa
ISO 27001 Sicurezza dei Dati
ISO 20000 e ITIL Qualità ICT
ISO 22301 Business Continuity
ISO 50001 per l’utilizzo razionale
dell’energia
ISO 3834 Trasformazione dell’acciaio
www.playconsulting.it
play@playconsulting.it
linkedin.com/company/play-sas
twitter.com/listenthinkplay