Cosa si può (o si dovrebbe) fare.Approccio metodologico e bestpractice internazionaliFranco Prosperi
Cosa si può fare?
 Cosa si intende per “Sicurezza delle Informazioni”? Quali sono gli obiettivi di un processo per la “Sicurezzadelle Info...
“Conosci il nemico comeconosci te stesso….”“Se non conosci te stesso,né conosci il tuo nemico,sii certo che ogni battaglia...
BASTA LA TECNOLOGIA ????5
CONSIDERAZIONILa portata del rischio derivante dai diversi agenti di minaccia dipende da moltifattori legati al contesto a...
I COSTI DELLA SICUREZZACosto del RischioLivello di SicurezzaCostiCosto complessivoCosto della SicurezzaMisure idoneeIl Cos...
Asset 4Il primo step necessario per implementare un processo di Information Governance è quello di documentare erelazionar...
INFORMATION GOVERNANCE RISK MANAGEMENT9HighImpactLowHighFrequencyBusinessImpactAnalysisRiskassessmentRisktreatmentTraining...
IL COBIT: UN FRAMEWORK PER L’IT GOVERNANCE10
ISO27001HumanResourcesecurityCommunicationsandoperationsmanagementComplianceAccesscontrolPhysicalandenvironmentalSecurityI...
PRIVACY: UN BUON PUNTO DI PARTENZA?Cosa Privacy Tutela e protezione aziendaleClassificazionedelleinformazioniIl Codice def...
PRIVACY: UN BUON PUNTO DI PARTENZA?Cosa Privacy Tutela e protezione aziendaleAnalisi deirischiAll’interno del DocumentoPro...
FINEGrazie per l’attenzione.14
QUAL È QUELLA SBAGLIATA ?15
Upcoming SlideShare
Loading in...5
×

Sicurezza: cosa si può fare approccio e best practice internazionali

150
-1

Published on

Published in: Sports
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
150
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
7
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Sicurezza: cosa si può fare approccio e best practice internazionali

  1. 1. Cosa si può (o si dovrebbe) fare.Approccio metodologico e bestpractice internazionaliFranco Prosperi
  2. 2. Cosa si può fare?
  3. 3.  Cosa si intende per “Sicurezza delle Informazioni”? Quali sono gli obiettivi di un processo per la “Sicurezzadelle Informazioni”?• Proteggere gli asset informativi aziendali da un utilizzo incorretto o fraudolento• Garantire la continuità del Business Aziendale• Garantire il rispetto degli aspetti cogenti (Leggi, Regolamenti, Normative)• Proteggere l’immagine e la reputazione aziendale• Promuovere all’interno dell’organizzazione una cultura della sicurezza e della riservatezzaLA SICUREZZA DELLE INFORMAZIONILa Sicurezza delle Informazioni nell’impresa di oggi è “il raggiungimentodi una condizione dove i rischi ed i controlli sulle informazioni sonobilanciati.”Jim Anderson, Inovant (2002)3
  4. 4. “Conosci il nemico comeconosci te stesso….”“Se non conosci te stesso,né conosci il tuo nemico,sii certo che ogni battagliasarà per te fonte di pericologravissimo.”Sun Tzu - L’arte della guerraLA NECESSITÀ DI CONOSCERE4
  5. 5. BASTA LA TECNOLOGIA ????5
  6. 6. CONSIDERAZIONILa portata del rischio derivante dai diversi agenti di minaccia dipende da moltifattori legati al contesto aziendale quali:1. la dimensione2. il settore di mercato in cui opera3. la visibilità dell’impresa sul mercato4. la localizzazione geografica5. le politiche e i regolamenti aziendali vigenti6. il livello di cultura e consapevolezza sui temidi sicurezza1. il clima aziendale2. gli strumenti tecnologici adottati3. le soluzioni di sicurezza implementate4. i processi di gestione e di controlloPer ridurre il rischio, visto che non è possibile (o molto difficile) intervenire suiprimi 4 punti, è necessario adottare un processo strutturato che consenta diindividuare gli interventi appropriati sui restanti fattori.6
  7. 7. I COSTI DELLA SICUREZZACosto del RischioLivello di SicurezzaCostiCosto complessivoCosto della SicurezzaMisure idoneeIl Costo della sicurezza è formato da i seguenticosti:•selezionare, formare e mantenere personalequalificato;•acquisti tecnologia hardware e software;•aumento della complessità operativa edorganizzativa (politiche e procedure)•incremento dell’overhead e degrado delleperformance del sistemaE’ un valore che si può misurareIl Costo del Rischio è formato da i seguenticosti:•sanzioni amministrative;•sanzioni di tipo penale;•responsabilità civile;•blocco dell’operatività aziendale;•perdita/furto di asset aziendali;•perdita di immagine/competitivitàE’ un valore statistico difficilmentequantificabileLe misure idonee sono quel livellodi sicurezza dove il costocomplessivo è al minimoCosto della sicurezza +Costo del Rischio =Costo Complessivo7
  8. 8. Asset 4Il primo step necessario per implementare un processo di Information Governance è quello di documentare erelazionare fra loro i seguenti elementi: i processi aziendali gli asset informativi aziendali da questi utilizzatiIn questo modo si ottiene una mappa delle dipendenze necessaria per le successive fasi di gestione dei rischi.N.B. Anche fra gli asset possono esistere delle relazioni di dipendenzaUtilizzaProcesso AAsset 1Asset 2Asset 3 UtilizzaProcesso B
  9. 9. INFORMATION GOVERNANCE RISK MANAGEMENT9HighImpactLowHighFrequencyBusinessImpactAnalysisRiskassessmentRisktreatmentTrainingandawarenessAudit&Review
  10. 10. IL COBIT: UN FRAMEWORK PER L’IT GOVERNANCE10
  11. 11. ISO27001HumanResourcesecurityCommunicationsandoperationsmanagementComplianceAccesscontrolPhysicalandenvironmentalSecurityInformationsystemsAcquisition,Developmen,andmaintenanceAssetmanagementIncidentmanagementOrganizationofinformationsecuritySecuritypolicyBusinesscontinuitymanagementINFORMATION SECURITY: GLI 11 ASPETTI DELL’ ISO 2700111
  12. 12. PRIVACY: UN BUON PUNTO DI PARTENZA?Cosa Privacy Tutela e protezione aziendaleClassificazionedelleinformazioniIl Codice definisce come dati personalitutto le informazioni che identificano unsoggetto, e fra queste identifica 2sottocategorie chiamate “dati sensibili” e“dati giudiziari” per i quali il livello diprotezione deve essere più elevato.In ambito aziendale possono essere definiti piùlivelli di classificazione dei dati, a seconda delleesigenze di riservatezza . Un esempio diclassificazione può essere: “public document”,“company confidential” , “high confidential”, “Topsecret”. Con il crescere del livello di classe,aumentano le protezioni da utilizzare e si restringel’ambito delle persone che ne possono venire aconoscenza.Lettere diincaricoL’incaricato del trattamento riceve dalTitolare o dal Responsabile, in quantorappresentatati dell’azienda,l’autorizzazione a compiere i trattamentidi dati personali che sono necessari allosvolgimento del proprio lavoro. Allostesso tempo, si richiama l’incaricato alrispetto delle regole imposte dal Codiceed a quelle definite dall’azienda.Le politiche che indirizzano la protezione dei beniaziendali, le relative procedure operative ed iregolamenti interni si possono considerarel’equivalente della lettera di incarico, in quanto lanatura mandatoria comporta l’accettazione delleresponsabilità derivanti da parte del dipendente ocollaboratore.FormazioneObbligatoria e preventiva per tutti gliincaricati del trattamento.La formazione è necessaria per rendere edottotutto il personale sulle politiche, le procedure e leprassi aziendali. Inoltre è molto importante spiegarebene quali sono i rischi che incombono suitrattamenti dei dati nelle attività specifiche dellepersone.12
  13. 13. PRIVACY: UN BUON PUNTO DI PARTENZA?Cosa Privacy Tutela e protezione aziendaleAnalisi deirischiAll’interno del DocumentoProgrammatico sulla Sicurezza, èrichiesto che sia effettuata una analisidei rischi che incombono sui trattamentidi dati personali.E’ parte fondamentale di tutte le modernemetodologie di Corporate Governance il processodi Risk Management. Tutti gli eventi dannosidevono essere identificati, valutata la possibilità diun loro accadimento e ipotizzati gli impattifinanziari. Questo processo consente di potervalutare correttamente le strategie per lamitigazione dei suddetti rischi.Misure disicurezza.Il legislatore impone a tutti i Titolari ditrattamenti di dati personali, delle misureminime di sicurezza sia per leinformazioni gestite in formatoelettronica (con strumenti informatici)che in formato cartaceo. E’ lasciata poialla discrezione del Titolare, l’eventualeadozione di ulteriori misure di sicurezzanel caso che l’analisi dei rischi evidenzirischi elevati sui trattamenti.Nell’ambito degli asset aziendali, è interesseprimario dell’azienda stessa definire che cosa ecome deve essere protetto. Il livello minimo disicurezza (Baseline security) deve derivare daicomuni standard di gestione degli ambientiinformatici e dal confronto con altre aziende similarie del settore. L’analisi dei rischi consente di definirele misure di sicurezza ulterioriRevisioneobbligatoriaalmenoannualeTutti i documenti, i processi e le misuredi sicurezza predisposti in ottemperanzaalla normativa, devono essere rivisti edaggiornati con frequenza almenoannualeUn processo strutturato di Gestione delleInformazioni, per continuare ad essere efficace,deve essere monitorato e rivisto continuamente,per rispondere ai cambiamenti che possonoavvenire all’interno o all’esterno dell’azienda, sulmercato e nelle tecnologie a disposizione.13
  14. 14. FINEGrazie per l’attenzione.14
  15. 15. QUAL È QUELLA SBAGLIATA ?15
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×