Your SlideShare is downloading. ×
0
Attilio Rampazzo - Luca Moroni
Sicurezza informatica e PMI
dalla continuità operativa alla
protezione delle infrastrutture...
ISACA Venice Chapter è una associazione non profit costituita in Venezia nel
novembre 2011 da un gruppo di professionisti ...
The ISACA International Chapter Support
Committee recognizes the vital role that
Chapters play in attracting new members. ...
Attilio Rampazzo CISA, CRISC, C|CISO CMC
E’ tra i fondatori di ISACA Venice Chapter dove ricopre il ruolo di CISA
Coordina...
Luca Moroni CISA, ITIL
Coordinatore di gruppi di Approfondimento per ISACA VENICE Chapter e
quest'anno del gruppo di appro...
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Attilio Rampazzo
Ma a cosa devono essere pronte le aziende?
… a salvaguardare il proprio
Sicurezza informatica e PMI dalla continuità opera...
Black out Incendio Fenomeni
atmosferici
Innondazioni Esondazioni
… quali sono le minacce al Business
Terremoti Criminalità...
Il rapporto dei servizi segreti
italiani, per la prima volta, ci
avverte che i pericoli informatici
sono indicati in testa...
Per salvaguardare il Business vanno protetti gli asset
Infrastruttura
Persone
Informazioni
Sicurezza informatica e PMI dal...
Gli interrogativi
Posto che qualcosa devo fare per tutelarmi ed effettuare una corretta
salvaguardia della mia azienda
Lo ...
Ecco una risposta …
Gli standard o framework non
pretendono di essere il rimedio
a tutti mali della gestione
aziendale, ma...
COBIT 5
ISO/IEC 27001:2013
ISO 22301:2012
• Framework applicabili a realtà di ogni
dimensione
• Conosciuti dal mondo IT da...
… dubitare di una indubbia sensazione di protezione …
Sicurezza informatica e PMI dalla continuità operativa alla protezio...
Un’azienda non nasce per fare Gestione della
Sicurezza delle Informazioni e/o della Continuità
Operatività, ma per fare PR...
L’anno scorso abbiamo fatto questa domanda:
Ha mai svolto delle analisi di sicurezza nel perimetro interno?
Dove l’analisi...
Ma se fosse una Azienda/Ente che un impatto sulla vita
sociale?
Sicurezza informatica e PMI dalla continuità operativa all...
Cosa si intende per Infrastruttura Critica
Una infrastruttura viene considerata critica a livello
europeo se la sua compro...
Quali sono i settori critici per l’Italia
• Produzione, trasmissione, distribuzione, dispacciamento dell'energia elettrica...
Cyber minaccia per le Infrastrutture Critiche dell’Italia
9/3/2014: La "relazione sulla politica dell’Informazione per la ...
Le aziende appartenenti ai settori Critici nel Nord Est
Sicurezza informatica e PMI dalla continuità operativa alla protez...
DOMANDA: Ha mai avuto problemi legati alla sicurezza informatica?
0%
15%
30%
45%
60%
Si
No
® Gruppo di Lavoro 2013 Isaca V...
DOMANDA: Esiste una previsione di spesa dedicata specificatamente alla sicurezza
informatica?
0.00%
15.00%
30.00%
45.00%
6...
DOMANDA: Se rientra fra le infrastrutture critiche e' consapevole che una violazione di sicurezza
informatica di un elemen...
Lo scenario verso la fabbrica
• Norme: di origine UE centrate attorno alla Infrastrutture Critiche
e il loro controllo sem...
I Sistemi di Fabbrica – L’evoluzione della sicurezza
Sicurezza informatica e PMI dalla continuità operativa alla protezion...
I Sistemi di Fabbrica – L’evoluzione della sicurezza
Sicurezza informatica e PMI dalla continuità operativa alla protezion...
Le 10 minacce più insidiose nei sistemi IT di fabbrica
• Uso non autorizzato degli accessi remoti per la manutenzione (VNC...
Ufficio IT e Controllo di Fabbrica – Colloquio difficile
Sicurezza informatica e PMI dalla continuità operativa alla prote...
ROI per un attaccante
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produtti...
Ma se stiamo parlando di questo...
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrut...
E’ richiesta maggiore responsabilità
la Comunità Europea invita le industrie a riflettere sui modi per
responsabilizzare a...
Il nostro contributo: uno strumento di autovalutazione
Abbiamo creato 5 check list, una per ognuna delle cinque aree di
pr...
Il nostro contributo: uno strumento di autovalutazione
Prima check list: Misure preventive
Le misure preventive riguardano...
Il nostro contributo: uno strumento di autovalutazione
Seconda check list: Revisione della gestione della crisi
La revisio...
Il nostro contributo: uno strumento di autovalutazione
Terza check list: Gestione della crisi vera e propria
La gestione d...
Il nostro contributo: uno strumento di autovalutazione
Quarta check list: Follow-up (successivo alla crisi)
Il follow-up p...
Il nostro contributo: uno strumento di autovalutazione
Quinta check list: Esercitazioni
Le esercitazioni sono i test di ri...
Conclusioni
Giustamente l’Europa e l’Italia devono imporre una gestione
normata del problema e devono supportare le aziend...
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Luca Moroni - CIS...
Sicurezza informatica e PMI dalla continuità operativa alla protezione delle
infrastrutture produttive – Luca Moroni - CIS...
Upcoming SlideShare
Loading in...5
×

Smau Padova 16 Aprile 2014

391

Published on

ICS Scenario in North East of Italy

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
391
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
7
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Transcript of "Smau Padova 16 Aprile 2014"

  1. 1. Attilio Rampazzo - Luca Moroni Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive
  2. 2. ISACA Venice Chapter è una associazione non profit costituita in Venezia nel novembre 2011 da un gruppo di professionisti del Triveneto che operano nel settore della Gestione e del Controllo dei Sistemi Informativi. Riunisce coloro che nell’Italia del Nord Est svolgono attività di Governance, Auditing e Controllo dei Sistemi Informativi promuovendo le competenze e le certificazioni professionali sviluppate da ISACA©: CISA©, CISM©, CGEIT©, CRISC©, COBIT5© Foundation (www.isaca.org/chapters5/venice). ISACA (Information Systems Audit & Control Association) è una associazione internazionale, indipendente e senza scopo di lucro. Con oltre 100.000 associati a 200 Capitoli in più di 160 Paesi, ISACA è leader mondiale nello sviluppo delle competenze certificate, nella promozione di community professionali e nella formazione nei settori dell’assurance e sicurezza del governo dell’impresa, della gestione dell’IT, dei rischi e della compliance in ambito IT (www.isaca.org). Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Attilio Rampazzo
  3. 3. The ISACA International Chapter Support Committee recognizes the vital role that Chapters play in attracting new members. On behalf of the Chapter Support Committee, I am pleased to extend our congratulations to the VENICE Chapter for an outstanding year in 2013. Your chapter has attained the highest percentage growth of all ISACA Medium Chapters with an increase in membership of 44% in 2013. You should be very proud of the hard work your chapter has put forth in order to earn this distinction. Please accept our congratulations on a job very well done by your chapter board and your active members who have no doubt contributed significantly to this achievement Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Attilio Rampazzo
  4. 4. Attilio Rampazzo CISA, CRISC, C|CISO CMC E’ tra i fondatori di ISACA Venice Chapter dove ricopre il ruolo di CISA Coordinator e Research Director. Consulente di Sistemi Informativi in AlmavivA Spa come Valutatore di Sistemi di Sicurezza delle Informazioni e di Sistemi di Gestione dei Servizi IT per CSQA E’ VicePresidente di AICA Nord Est e di AICQ Triveneta E’ membro UNINFO del gruppo di lavoro “Sicurezza delle Informazioni” che collabora con ISO (International Organization for Standardization) per le norme della famiglia ISO/IEC 27000. Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Attilio Rampazzo
  5. 5. Luca Moroni CISA, ITIL Coordinatore di gruppi di Approfondimento per ISACA VENICE Chapter e quest'anno del gruppo di approfondimento “Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est”. Laureato in Informatica a Milano, Certificato CISA e ITIL V3 + Certificazioni di settore Membro di ISACA Da 15 anni appassionato di Sicurezza Informatica a livello professionale. Si occupa di selezionare per i clienti le aziende fornitrici di tecnologie informatiche in base alle loro competenze specifiche. Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Attilio Rampazzo
  6. 6. Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Attilio Rampazzo
  7. 7. Ma a cosa devono essere pronte le aziende? … a salvaguardare il proprio Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Attilio Rampazzo
  8. 8. Black out Incendio Fenomeni atmosferici Innondazioni Esondazioni … quali sono le minacce al Business Terremoti Criminalità informatica Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Attilio Rampazzo
  9. 9. Il rapporto dei servizi segreti italiani, per la prima volta, ci avverte che i pericoli informatici sono indicati in testa alle minacce … Dal rapporto Clusit 2014 viene evidenziato che in Italia aumentano hacktivism e spionaggio Minacce sottovalutate dalle aziende italiane Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Attilio Rampazzo
  10. 10. Per salvaguardare il Business vanno protetti gli asset Infrastruttura Persone Informazioni Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Attilio Rampazzo
  11. 11. Gli interrogativi Posto che qualcosa devo fare per tutelarmi ed effettuare una corretta salvaguardia della mia azienda Lo devo fare e devo avere un piano! cosa faccio? come lo faccio? come posso avere una guida esaustiva da applicare? esiste un metodo che fornisce buoni livelli di trattamento sicuro e i risultati attesi? come faccio a fornire all’esterno evidenza incontroversibile della mia diligenza? Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Attilio Rampazzo
  12. 12. Ecco una risposta … Gli standard o framework non pretendono di essere il rimedio a tutti mali della gestione aziendale, ma costituiscono il punto di partenza per impostare un Sistema Organizzativo che comprenda gli aspetti importanti di una gestione idonea dell’azienda Sono quindi un modello organizzativo, più che degli standard tecnici non “come” fare, ma “cosa” fare ISO/IEC 27001:2013 Information technology -- Security techniques -- Information security management systems – Requirements ISO 22301:2012 Societal security -- Business continuity management systems --- Requirements Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Attilio Rampazzo
  13. 13. COBIT 5 ISO/IEC 27001:2013 ISO 22301:2012 • Framework applicabili a realtà di ogni dimensione • Conosciuti dal mondo IT da molti anni • Dicono cosa fare, non come farlo • Rivolti al continuo miglioramento • Sono ormai un riferimento universale Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Attilio Rampazzo
  14. 14. … dubitare di una indubbia sensazione di protezione … Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Attilio Rampazzo
  15. 15. Un’azienda non nasce per fare Gestione della Sicurezza delle Informazioni e/o della Continuità Operatività, ma per fare PROFITTO … La Gestione organizzata dell’azienda consente di salvaguardare l’azienda dai rischi … Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Attilio Rampazzo
  16. 16. L’anno scorso abbiamo fatto questa domanda: Ha mai svolto delle analisi di sicurezza nel perimetro interno? Dove l’analisi è composta da una serie di processi che simulano le azioni normalmente svolte da un dipendente e consulente nella rete interna. 0.00% 12.50% 25.00% 37.50% 50.00% Si No No esigenza Il 57% non ha mai svolto una analisi interna o non ne sente l’esigenza Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni
  17. 17. Ma se fosse una Azienda/Ente che un impatto sulla vita sociale? Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni
  18. 18. Cosa si intende per Infrastruttura Critica Una infrastruttura viene considerata critica a livello europeo se la sua compromissione avrebbe un serio impatto sulla vita sociale dei cittadini, cioè per esempio sulla salute, la sicurezza fisica e logica o il benessere economico dei cittadini, o sull’effettivo funzionamento dello Stato; oppure potrebbe portare gravi conseguenze sociali o altre drammatiche conseguenze per la comunità Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni
  19. 19. Quali sono i settori critici per l’Italia • Produzione, trasmissione, distribuzione, dispacciamento dell'energia elettrica e di tutte le forme di energia, quali ad esempio il gas naturale • Telecomunicazioni e telematica; • Risorse idriche e gestione delle acque reflue; • Agricoltura, produzione delle derrate alimentari e loro distribuzione; • Sanità, ospedali e reti di servizi e interconnessione • Trasporti aereo, navale, ferroviario, stradale e la distribuzione dei carburanti e dei prodotti di prima necessitali • Banche e servizi finanziari; • Sicurezza, protezione e difesa civile (forze dell'ordine, forze armate, ordine pubblico); • Le reti a supporto del Governo, centrale e territoriale e per la gestione e delle Emergenze. • TUTTE LE AZIENDE IN CUI LA COMPROMISSIONE DEI SISTEMI IMPATTA SULLA VITA Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni
  20. 20. Cyber minaccia per le Infrastrutture Critiche dell’Italia 9/3/2014: La "relazione sulla politica dell’Informazione per la Sicurezza - 2013”, presentata in Parlamento dalla Presidenza del Consiglio per la prima volta pone al primo posto la Minaccia Cyber. Sebbene le Infrastrutture Critiche debbano rimanere un obiettivo importante del piano di protezione nazionale, l’Italia vanta una delle più alte percentuali in Europa di PIL prodotto da aziende medie, piccole e micro-aziende, le quali detengono un patrimonio in termini di know-how. Questo know-how è a rischio, come descrive la relazione. Per due motivi: 1) Vi è in grande numero di attori interessati ad appropriarsi di know-how attraverso l’uso di strumenti Cyber 2) Le piccole e medie imprese sono di gran lunga meno protette delle grandi aziende, di conseguenza la sottrazione di know-how avviene in modo più semplice e invisibile. Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni http://www.agendadigitale.eu/infrastrutture/722_cybercrime-danneggia-il-sistema-italia-per-20-40-mld-annui.htm
  21. 21. Le aziende appartenenti ai settori Critici nel Nord Est Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni ® Gruppo di Lavoro 2013 Isaca Venezia Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est Indagine svolta su 55 aziende 13% 4%2% 40% 10% 11% 16% 1%3% Produzione, trasmissione, distribuzione, dispacciamento dell'energia elettrica e di tutte le forme di energia, quali ad esempio il gas naturale Telecomunicazioni e telematica Risorse idriche e gestione delle acque reflue Agricoltura, produzione delle derrate alimentari e loro distribuzione Sanità, ospedali e reti di servizi e interconnessione Trasporti aereo, navale, ferroviario, stradale e la distribuzione dei carburanti e dei prodotti di prima necessità Banche e servizi finanziari Sicurezza, protezione e difesa civile (forze dell'ordine, forze armate, ordine pubblico); Le reti a supporto del Governo, centrale e territoriale e per la gestione e delle Emergenze
  22. 22. DOMANDA: Ha mai avuto problemi legati alla sicurezza informatica? 0% 15% 30% 45% 60% Si No ® Gruppo di Lavoro 2013 Isaca Venezia Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est Indagine svolta su 55 aziende Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni
  23. 23. DOMANDA: Esiste una previsione di spesa dedicata specificatamente alla sicurezza informatica? 0.00% 15.00% 30.00% 45.00% 60.00% Si No ® Gruppo di Lavoro 2013 Isaca Venezia Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est Indagine svolta su 55 aziende Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni
  24. 24. DOMANDA: Se rientra fra le infrastrutture critiche e' consapevole che una violazione di sicurezza informatica di un elemento della sua infrastruttura potrebbe avere un effetto anche al di fuori della sua azienda? 0% 23% 45% 68% 90% Si No ® Gruppo di Lavoro 2013 Isaca Venezia Sicurezza Cibernetica Nazionale, la consapevolezza delle Aziende nei Settori Critici del Nord Est Indagine svolta su 55 aziende Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni
  25. 25. Lo scenario verso la fabbrica • Norme: di origine UE centrate attorno alla Infrastrutture Critiche e il loro controllo sempre più informatizzato • L’Italia aggiunge anche la PMI • Diffusione attacchi cibernetici a infrastrutture e impianti • Principi applicabili a tutti, non solo alle IC designate: • Approccio basato sulla gestione del rischio ed ad una sua valutazione per capire il contesto in cui si trova l’azienda • Se gli impianti usano tecnologie ICT sono soggetti agli stessi rischi degli uffici e della sala server (vedi Stuxnet) Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni
  26. 26. I Sistemi di Fabbrica – L’evoluzione della sicurezza Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni IERI OGGI ARCHITETTURA Collegamenti fisici dedicati Reti aperte su base IP ADSL, USB, WIFI TECNOLOGIA Sistemi proprietari con protocolli specifici Sistemi standard con protocolli standard INCIDENTI Scarsi In crescita rapida …..aziende medie, piccole e micro-aziende, le quali detengono un patrimonio in termini di know-how…..
  27. 27. I Sistemi di Fabbrica – L’evoluzione della sicurezza Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni IERI OGGI ARCHITETTURA Collegamenti fisici dedicati Reti aperte su base IP ADSL, USB, WIFI TECNOLOGIA Sistemi proprietari con protocolli specifici Sistemi standard con protocolli standard INCIDENTI Scarsi In crescita rapida DATI USA: http://www.scadahacker.com/
  28. 28. Le 10 minacce più insidiose nei sistemi IT di fabbrica • Uso non autorizzato degli accessi remoti per la manutenzione (VNC) • Attacchi Online attraverso la rete degli uffici • Attacchi a dispositivi IT standard presenti nella rete di fabbrica • Attacchi DDOS • Errori umani e sabotaggi • Introduzione di Virus/Trojan con memorie rimovibili (USB, Fotocamere, Cell ecc…) • Lettura e scrittura di comandi manipolabili perché non criptati (VPN) • Accessi non autenticati alle risorse del sistema di fabbrica (e Configurazioni di Default) • Violazioni agli apparati di rete • Problemi tecnici e casualità (backup delle configurazioni) Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni Sorgente: BSI analysis about cyber security 2012
  29. 29. Ufficio IT e Controllo di Fabbrica – Colloquio difficile Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni Devo prepararmi ad aggiornare! Che problema c’è? Funziona e non si tocca PER ME CONTA DI PIU’ LA PROTEZIONE DELLA COMUNICAZIONE PER ME CONTA DI PIU’ LA DISPONIBILITA’ Gianni Stefano
  30. 30. ROI per un attaccante Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni Dove creo più danni e magari posso ricattare una azienda PER ME CONTA DI PIU’ LA PROTEZIONE DELLA COMUNICAZIONE PER ME CONTA DI PIU’ LA DISPONIBILITA’
  31. 31. Ma se stiamo parlando di questo... Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni
  32. 32. E’ richiesta maggiore responsabilità la Comunità Europea invita le industrie a riflettere sui modi per responsabilizzare amministratori delegati e le commissioni sulla sicurezza informatica. Questa indicazione del livello di sicurezza informatica diventerà un valore per l’azienda come indicatore di affidabilità in particolare per le aziende considerate critiche. Concetti come “IT Security by Design” prevedono di incorporare la sicurezza informatica in tutte le fasi e aspetti, dalla progettazione delle strutture, alla costruzione fino alla messa in produzione. Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni
  33. 33. Il nostro contributo: uno strumento di autovalutazione Abbiamo creato 5 check list, una per ognuna delle cinque aree di processi in cui viene scomposta la gestione della continuità operativa per una Infrastruttura Critica. 1. Misure preventive 2. Revisione della gestione della crisi 3. Gestione della crisi vera e propria 4. Follow-up (successivo alla crisi) 5. Esercitazioni Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni
  34. 34. Il nostro contributo: uno strumento di autovalutazione Prima check list: Misure preventive Le misure preventive riguardano i processi relativi alla prevenzione degli eventi disastrosi. Esempio Area “misure preventive”, sez. “Information Technology”: 1.7.3.2 I dati critici sono memorizzati in posti diversi? (Si verifica la disponibilità di backup dislocati in molteplici luoghi) Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni
  35. 35. Il nostro contributo: uno strumento di autovalutazione Seconda check list: Revisione della gestione della crisi La revisione della gestione della crisi riguarda la preparazione dell’ambiente aziendale in modo che ci sia una efficace risposta alle situazioni disastrose. Esempio Area “Revisione della gestione della crisi”, sez. “Informazioni richieste ed archivi” 2.1.5.3 Gli archivi necessari sono tutti a portata di mano? (Si verifica la disponibilità degli archivi necessari per la gestione della crisi) Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni
  36. 36. Il nostro contributo: uno strumento di autovalutazione Terza check list: Gestione della crisi vera e propria La gestione della crisi vera e propria comprende i processi necessari a contenere le conseguenze di un evento disastroso quando quest’ultimo accade. Esempio Area “Gestione della crisi vera e propria”, sez. “Trattamento di dati critici ed archivi” 3.2.9.1 I supporti e gli archivi critici sono sempre tenuti in contenitori a prova di incendio e allagamento? (si verifica l’efficacia delle misure di protezione di archivi e supporti durante un evento disastroso) Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni
  37. 37. Il nostro contributo: uno strumento di autovalutazione Quarta check list: Follow-up (successivo alla crisi) Il follow-up permette di ricavare gli elementi di miglioramento del sistema di gestione dalla diretta esperienza nella gestione di un evento disastroso. Esempio Area “Follow-up”: 4.9 È stato fatto l'inventario degli edifici danneggiati, strutture e attrezzature? (solo quando la crisi sia avvenuta davvero, si opera un controllo sulle attrezzature danneggiate. Il follow up serve per migliorare il sistema dall’esperienza diretta di una crisi.) Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni
  38. 38. Il nostro contributo: uno strumento di autovalutazione Quinta check list: Esercitazioni Le esercitazioni sono i test di risposta agli eventi disastrosi. Esempio Area “Esercitazioni”, sez. ” Generalità”: 5.1.3 I canali di comunicazione interna ed esterna sono testati? (Le esercitazioni sono necessarie per tenere tutta la struttura preparata ad affrontare la possibile crisi. I canali di comunicazione sono una delle infrastrutture necessarie per una buona gestione degli eventi disastrosi) Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni
  39. 39. Conclusioni Giustamente l’Europa e l’Italia devono imporre una gestione normata del problema e devono supportare le aziende nei costi di gestione. Standard riconosciuti, come la norma ISO 27001 o COBIT, vengono scarsamente adottati dalle aziende italiane proprio perché non percepiti come valore. Alcuni settori critici come quello bancario stanno già adottando normative standard di sicurezza cybernetica. La nostra Check List può fornire delle indicazioni ad un auditor ma non può esulare una azienda critica dall’affrontare una analisi più specifica del contesto di sicurezza cybernetica in cui si trova. La fabbrica è l’anello più debole della sicurezza informatica Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni
  40. 40. Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni - CISA Domande
  41. 41. Sicurezza informatica e PMI dalla continuità operativa alla protezione delle infrastrutture produttive – Luca Moroni - CISA Grazie! l.moroni@viavirtuosa.it attilio@rampazzo.it
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×