Salvaguardare il patrimonio delle informazioni
La sicurezza delle informazioni, la continuità operativa e le certificazion...
Salvaguardare il patrimonio delle
informazioni
Un Mondo Pericoloso e Fragile
Rischi – Sicurezza – Continuità
Salvaguardare il patrimonio delle
informazioni
Le informazioni aziendali sono al sicuro?
E disponibili?
Salvaguardare il patrimonio delle
informazioni
Il rischio e le sue componenti
Tutte le Componenti vanno considerate
Gli ev...
Salvaguardare il patrimonio delle
informazioni
Obiettivi di un Sistema per
la sicurezza delle informazioni
Un sistema di g...
Salvaguardare il patrimonio delle
informazioni
Il nostro
approccio
per il SGSI
Definire la Politica per la
sicurezza con l...
Salvaguardare il patrimonio delle
informazioni
POLITICA
È la DIREZIONE che definisce la visione del
SGSI (sistema di Gesti...
Salvaguardare il patrimonio delle
informazioni
AMBITO e PERIMETRO
Devono essere protette TUTTE le informazioni?
O soltanto...
Salvaguardare il patrimonio delle
informazioni
VALUTAZIONE E GESTIONE DEI RISCHI
• Ambito, Beni (fisici, logici, informazi...
Salvaguardare il patrimonio delle
informazioni
VALUTAZIONE DEL RISCHIO
Quante VARIABILI concorrono a quantificare il RISCH...
Salvaguardare il patrimonio delle
informazioni
VALUTAZIONE DEL RISCHIO – Continuità operativa
•Strategia
•Valutazione dei ...
Salvaguardare il patrimonio delle
informazioni
VALUTAZIONE DEL RISCHIO – l’analisi di processi e servizi
12 | 7 agosto 201...
Salvaguardare il patrimonio delle
informazioni
GESTIONE DEL RISCHIO
OUTSOURCERProtezione organizzativa
Protezione logica
P...
Salvaguardare il patrimonio delle
informazioni
I CONTROLLI PER SORVEGLIARE E MIGLIORARE
Sono stati messi a punto più di 10...
Salvaguardare il patrimonio delle
informazioni
MIGLIORAMENTO CONTINUO
Establish ISMS
Implement and
Operate the
ISMS
Monito...
Salvaguardare il patrimonio delle
informazioni
RISCHIO E CONTINUITÀ A CONFRONTO
Gestione del rischio Gestione della Contin...
Salvaguardare il patrimonio delle
informazioni
VALUTAZIONE PRELIMINARE DEL RISCHIO
Prima di iniziare un progetto approfond...
Salvaguardare il patrimonio delle
informazioni
DISCLAIMER COPYRIGHT PLAY s.a.s.
Le informazioni contenute in questo docume...
Upcoming SlideShare
Loading in …5
×

Sicurezza informazioni e dati + business continuity

583 views

Published on

Un Mondo Pericoloso e Fragile: Rischi e Sicurezza.
Come salvaguardare il patrimonio delle informazioni? Come affrontare i temi della sicurezza delle informazioni e dei dati, della continuità operativa e le relative certificazioni ISO 27001 e ISO 22301 in maniera concreta senza pagare un capitale? L’Italia è uno dei paesi più sotto pressione: attacchi interni e attacchi esterni minacciano imprese e istituzioni. Le frodi nelle organizzazioni accelereranno in connessione con la crisi economica (le frodi in azienda sono cresciute in UK del 50% nel 2008 - fonte KPMG).
Investire Soldi per la Sicurezza e per la Business Continuity non è sempre una risposta corretta. Una risposta SEMPRE corretta è invece investire in un'analisi dei propri punti di debolezza e porre rimedio in maniera semplice ed efficace.

Published in: Business
  • Be the first to comment

Sicurezza informazioni e dati + business continuity

  1. 1. Salvaguardare il patrimonio delle informazioni La sicurezza delle informazioni, la continuità operativa e le certificazioni mercoledì 7 agosto 2013
  2. 2. Salvaguardare il patrimonio delle informazioni Un Mondo Pericoloso e Fragile Rischi – Sicurezza – Continuità
  3. 3. Salvaguardare il patrimonio delle informazioni Le informazioni aziendali sono al sicuro? E disponibili?
  4. 4. Salvaguardare il patrimonio delle informazioni Il rischio e le sue componenti Tutte le Componenti vanno considerate Gli eventi Assicurabili o non Esogeni o endogeni Il tempo Il futuro prossimo Il futuro remoto La dimensione L’entità del possibile danno La probabilità La probabilità che si verifichi un evento danoso
  5. 5. Salvaguardare il patrimonio delle informazioni Obiettivi di un Sistema per la sicurezza delle informazioni Un sistema di gestione della sicurezza deve garantire: • Riservatezza • Integrità • Disponibilità delle informazioni e dei dati aziendali IN CHE MODO?
  6. 6. Salvaguardare il patrimonio delle informazioni Il nostro approccio per il SGSI Definire la Politica per la sicurezza con la Direzione Definire ambito, campo di applicazione, perimetro Valutare i Rischi (RA) Gestire il rischio (SOA) Scegliere i controlli per la sorveglianza IMPLEMENTAZIONE Nuove necessità, esigenze e trattamenti informatici Nuovi standard Nuove minacce e vulnerabilità
  7. 7. Salvaguardare il patrimonio delle informazioni POLITICA È la DIREZIONE che definisce la visione del SGSI (sistema di Gestione della Sicurezza delle Informazioni):  Quali DATI devono essere protetti?  Quali SERVIZI devono essere garantiti?  Stabilisce gli OBIETTIVI  Mette a disposizione RISORSE umane e tecnologiche (le soluzioni in sicurezza debbono avere un ROI di un anno o meno) TENDENZE • “Le frodi nelle organizzazioni accelereranno in relazione alla crisi economica.“ (KPMG, 17 Ottobre 2008) • Le frodi in azienda sono cresciute in UK del 50% nel 2008 • Nel momento in cui si ridurranno I posti di lavoro e vi saranno diminuzioni nei salari e nei premi di produzione, i rischi interni alle organizzazioni si moltiplicheranno. Quando vi è incertezza, le organizzazioni diventano più vulnerabili.” (Management Concepts, 27 ottobre 2009) i
  8. 8. Salvaguardare il patrimonio delle informazioni AMBITO e PERIMETRO Devono essere protette TUTTE le informazioni? O soltanto quelle CRITICHE? Definire gli ASSET (Transazioni on line, dati remoti, trasmissione dati VPN, web, mail, carta, dati elettronici, dati stampati, informazioni trasmesse o immagazzinate, archivi, ecc) Su Centrale Allarme Pannelli di Rete Connessione Elettr Ufficio Responsabile CED Armadio Documentazione Ufficio AssistenzaUfficio Sviluppo Ufficio Direttore O O MTX M O
  9. 9. Salvaguardare il patrimonio delle informazioni VALUTAZIONE E GESTIONE DEI RISCHI • Ambito, Beni (fisici, logici, informazioni); • Minacce, vulnerabilità; • STRUMENTI: C/L Allegato A, Matrice di V/R; Identificazione dei Rischi • Valore; • Minaccia; • Vulnerabilità; • Danno; • Probabilità; Stima dei Rischi •Interventi per la riduzione dei rischi; •Accettazione del Rischio residuo; •Dichiarazione di accettabilità della Direzione. Trattamento dei Rischi
  10. 10. Salvaguardare il patrimonio delle informazioni VALUTAZIONE DEL RISCHIO Quante VARIABILI concorrono a quantificare il RISCHIO di perdita o furto di dati e/o continuità? Valore | Minacce | Vulnerabilità | Probabilità | Appetibilità | Tempo di Ripristino | Danno | altro… Alcune di queste? Tutte? Altre ancora? Impostare un algoritmo per calcolare il rischio per ciascun bene o servizio
  11. 11. Salvaguardare il patrimonio delle informazioni VALUTAZIONE DEL RISCHIO – Continuità operativa •Strategia •Valutazione dei Rischi, Business Impact Analysis Capire il business, individuare i servizi • Strategia BCM, per processo, per area, per servizio • Recupero delle risorse Strategia BCM •Gestione della crisi, relazioni pubbliche e Media •Piani di continuità, Risposta agli incidenti Sviluppo e implementazione della risposta •Valutazione, progettazione •Misurazione dei risultati •Monitoraggio Sviluppo della cultura BCM •Provare i piani BCM, Audit, Controlli •Manutenzione •Conformità ISO 22301 Esercitare, mantenere e verificare
  12. 12. Salvaguardare il patrimonio delle informazioni VALUTAZIONE DEL RISCHIO – l’analisi di processi e servizi 12 | 7 agosto 2013 | Company Confidential ANALISI PER PROCESSI  I PROCESSI e i SERVIZI vengono analizzati per individuare i RISCHI potenziali per la SICUREZZA e la CONTINUITÀ  Analizzare i processi consente anche di valutare le prestazioni dei processi stessi e garantire determinate prestazioni ai clienti (SLA) o internamente (KPI)  Ciò che si può misurare si può migliorare
  13. 13. Salvaguardare il patrimonio delle informazioni GESTIONE DEL RISCHIO OUTSOURCERProtezione organizzativa Protezione logica Protezione fisica Audit, controlli, sorveglianza Il rischio non può essere annullato: valutare il RISCHIO RESIDUO OUTSOURCING Misure di sicurezza Livelli di servizio garantiti Audit, controlli, sorveglianza
  14. 14. Salvaguardare il patrimonio delle informazioni I CONTROLLI PER SORVEGLIARE E MIGLIORARE Sono stati messi a punto più di 100 CONTROLLI da implementare per sorvegliare e migliorare la sicurezza delle informazioni e dei dati:  Politica per la sicurezza  Organizzazione per la sicurezza delle informazioni  Gestione dei beni  Sicurezza del personale  Sicurezza fisica e ambientale  Gestione delle comunicazione e delle operazioni  Controllo accessi  Acquisizione, sviluppo e manutenzione dei sistemi  Gestione degli incidenti  Gestione della continuità aziendale  Conformità I controlli di sicurezza possono : • Proteggere contro le minacce (DETERRENTI) • Ridurre le vulnerabilità (PREVENTIVI) • Limitare gli impatti di un incidente (CORRETTIVI) • Proteggere in qualsiasi altro modo contro i rischi (INVESTIGATIVI) i
  15. 15. Salvaguardare il patrimonio delle informazioni MIGLIORAMENTO CONTINUO Establish ISMS Implement and Operate the ISMS Monitor and Review the ISMS Maintain and Improve the ISMS Interested Parties Information security requirements and expectations Interested Parties Managed Information Security in modo compatibile con gli altri sistemi certificabili (ISO 9001, 14001, ecc) I sistemi per la Sicurezza e la continuità operativa sono anche certificabili secondo norme ISO: ISO IEC 27001 per SGSI e ISO 22301 per Business Continuity
  16. 16. Salvaguardare il patrimonio delle informazioni RISCHIO E CONTINUITÀ A CONFRONTO Gestione del rischio Gestione della Continuità Operativa Metodo chiave Valutazione del Rischio Analisi impatto sull'organizzazione Parametri chiave Impatto e probabilità Impatto e durata Tipo di evento Tutti i tipi di eventi (normalmente segmentato) Eventi che inducono significative interruzioni dell'attività Dimensione dell'evento Tutte le dimensioni (costi) dell'evento (normalmente segmentato) Per la pianificazione strategica: solo eventi che minacciano la sopravvivenza aziendale Scopo Interesse focalizzato principalmente sui rischi rispetto agli obiettivi aziendali Principalmente al di fuori delle competenze primarie dell'azienda Intensità Tutte, da graduali a improvvise Eventi improvvisi o immediati (nonostante la risposta possa essere anche adeguata qualora un evento irrilevante dovesse assumere una portata grave)
  17. 17. Salvaguardare il patrimonio delle informazioni VALUTAZIONE PRELIMINARE DEL RISCHIO Prima di iniziare un progetto approfondito: il nostro approccio permettere di conoscere velocemente il rischio per le informazioni secondo il protocollo PLAY SEC: si 17% no 83% AMMINISTRAZIONE DEI BENI si 11% no 89% SICUREZZA DELLE RISORSE UMANE 0 55%45% SICUREZZA FISICA DELL'AMBIENTE si 65% no 35% GESTIONE DELLE OPERAZIONI E DELLE COMUNICAZIONI si 12% no 88% ORGANIZZAZIONE PER LA SICUREZZA si 100% no 0% POLITICHE PER LA SICUREZZA
  18. 18. Salvaguardare il patrimonio delle informazioni DISCLAIMER COPYRIGHT PLAY s.a.s. Le informazioni contenute in questo documento sono di proprietà di PLAY S.a.S. Questo documento è redatto a scopo puramente informativo e non costituisce elemento contrattuale; contiene strategie, sviluppi e caratteristiche delle soluzioni proposte da PLAY s.a.s. PLAY ® 2011 TUTTI I DIRITTI RISERVATI 18 | 7 agosto 2013 | Company Confidential Strategia  Mappa strategica  Analisi Finanziaria e Controllo di Gestione  Analisi ed Abbattimento costi  Valutazioni di investimenti alternativi  Formazione per i dirigenti  Formazione per i venditori  Analisi di Business all’estero  Responsabilità Sociale d’impresa  Comunicazione e rendicontazione  Risk Analysis Efficienza  Riprogettazione dei Processi BPR  Miglioramento delle prestazioni  Lean Production  Lean Office  Lean & Digitize®  Agile Development  Soluzioni IT, scelta Sistemi Informativi e ERP  Soluzioni specializzate nella qualità del software e ICT  Soluzioni per l’energia  Auditing Conformità  Sistemi di Gestione per la Qualità ISO 9001 ISO/TS 16949  ISO 14001 e EMAS - Ambiente  OHSAS 18001 Sicurezza del Lavoro  SA 8000 Etica del Lavoro, CSR  D.Lgs 231 Responsabilità Amministrativa d’impresa  ISO 27001 Sicurezza dei Dati  ISO 20000 e ITIL Qualità ICT  ISO 22301 Business Continuity  ISO 50001 per l’utilizzo razionale dell’energia  ISO 3834 Trasformazione dell’acciaio www.playconsulting.it play@playconsulting.it linkedin.com/company/play-sas twitter.com/listenthinkplay

×