security summit2015 evoluzione della sicurezza inail- v06
TRANSCRIPT
Roma Security Summit, 11 Giugno 2015
Pietro Monti Responsabile dell’Ufficio Audit IT della DOCD INAIL
DCOD
Il Modello di Sicurezza INAIL nasce storicamente con un approccio
service oriented per soddisfare le esigenze fondamentali in termini di
protezione dei dati, dell’infrastruttura e dei servizi applicativi e on
demand le esigenze specifiche dei singoli processi IT.
Fino allo scorso anno all’interno della DCOD era presente un unico
ufficio che accentrava la gestione di tutte le tematiche inerenti la
sicurezza (organizzative, tecnologiche, di verifica, di erogazione dei
servizi di sicurezza, di studio e implementazione di nuove soluzioni).
2
Un nuovo modello di Gestione della Sicurezza
DCOD
Il nuovo modello, di derivazione ITIL, tende a una definizione di processi IT «intrinsecamente sicuri», caratterizzati dall’integrazione degli aspetti di sicurezza nelle varie attività in cui sono articolati.
3
Il nuovo Modello
Un aspetto fondamentale per il raggiungimento degli obiettivi è il coinvolgimento e la responsabilizzazione in termini di sicurezza di tutti gli uffici.
DATI APPLICAZIONI SISTEMI INFRASTRUTTURA
DCOD
Lo scorso anno la riorganizzazione di DCOD ha aggiunto un
importante tassello in ottica di conformità alla ISO 27001. In
particolare è stato istituito un Comitato per i Rischi e
Sicurezza e sono stati definiti e ratificati i Ruoli e le
Responsabilità di sicurezza, separando i compiti di chi
pianifica, chi implementa e chi verifica, in linea con il ciclo
virtuoso di miglioramento continuo che costituisce le
fondamenta dello standard.
4
Lo scorso anno…..la riorganizzazzione
DCOD
5
Organigramma delle funzioni di sicurezza
Responsabile della
Sicurezza
Uff I Uff II Uff X
Security Governance AUDIT
SOC
CERT Continuità Operativa
Comitato Rischi e
Sicurezza
…
DCOD
6
Schema di Riferimento
Governo Sicurezza
Continuità Operativa
Sistema di Autent. e Autoriz.
Test di sicurezza SOC
Security Operations
Tecnologie e Servizi di Base
Log Management
Comitato Rischi e
Sicurezza
Responsabile della
Sicurezza
DATI APPLICAZIONI SISTEMI INFRASTRUTTURA
Audit CERT
Mascheramento Dati, Cifratura,
Tracciatura Applicativa,
Reverse Proxy,…
DCOD
La definizione dei piani e delle azioni di governance si basa su un processo di elaborazione dei feedback provenienti da tutti gli attori della DCOD in relazione allo scenario tecnologico e normativo di riferimento.
7
Esigenze
• Analisi dei Rischi di Sicurezza • Verifiche di conformità • Audit
• Evoluzioni normative • Nuove Tecnologie • ecc.
• Incidenti di sicurezza
• Vulnerability Assessment
• ecc.
• Log e Report Tecnici • Log e Report Tecnici • Log e Report Tecnici
Individuazione delle aree di maggiore scopertura del sistema di gestione della
sicurezza informatica
DCOD
Sulla base delle esigenze individuate si definiscono le strategie e gli indirizzi, propagandoli sull’operatività attraverso Politiche, Linee Guida o proposte progettuali. Le strutture operative disegnano e implementano le soluzioni necessarie al raggiungimento della conformità
8
Obiettivi & Implementazione
DATI APPLICAZIONI SISTEMI INFRASTRUTTURA
Strategie ed indirizzi di sicurezza (es: Policy, Linee Guida, Programmi di Audit, …)
Disegno ed Implementazione
(es: progetti, specifiche, product selection, implementazione HW / SW, …)
DCOD
L’efficacia e la conformità del Sistema di Gestione della Sicurezza Informatica è puntualmente soggetta a verifica. I risultati confluiranno nuovamente nella fase di rilevazione delle esigenze, alimentando il ciclo virtuoso di miglioramento continuo.
9
Controllo
DATI APPLICAZIONI SISTEMI INFRASTRUTTURA
Meccanismi di retroazione (es: audit, report di VA/PT, Piani di Trattamento,
SAL, KPI, …)
DCOD
10
Controllo e misurazioni
Il modello implementa una separazioni dei ruoli;
La compliance è non solo richiesta ed implementata ma anche
verificata;
Per verificare l’efficacia delle soluzioni implementate si definiscono
già a livello di progetto gli elementi di misurazione necessari.
La pianificazione dettagliata delle attività di rientro è da
considerarsi essa stessa una contromisura;
La maggior parte delle azioni di rientro identificate nel primo
periodo non richiede particolari investimenti economici.
DCOD
11
Security assessment
La DCOD ha intrapreso un'attività di verifica (assessment di terza
parte) finalizzata a valutare, nell’ambito della propria
Organizzazione, il livello di maturità e di implementazione del
Sistema di Gestione della Sicurezza delle Informazioni con
particolare riguardo allo stato di attuazione ed all’efficacia dei
controlli di sicurezza (secondo norma ISO/IEC 27001:2013) • Tale attività di assessment ha lo scopo di: ◦ stabilire il livello attuale di efficacia delle misure di sicurezza
logiche ed organizzative ◦ individuare gli eventuali ambiti di miglioramento ◦ suggerire gli opportuni piani di rientro laddove le condizioni lo
richiedano
DCOD
12
L’importanza della Comunicazione
L’esigenza di awareness
(consapevolezza) è emersa in
fase di audit – La nostra
risposta è stata
un’intensificazione delle azioni
di comunicazione e
condivisione in tema di
sicurezza: pannelli, newsletter,
canale web tematico nella
intranet, gruppo Facebook
interno ….
DCOD
13
Considerazioni
In questo modello la sicurezza è davvero frutto di un approccio
sistemico. Tutto e tutti contribuiscono: organizzazione,
consapevolezza, qualità delle persone, delle forniture e dei prodotti,
robustezza delle soluzioni, tecnologia, semplificazione architetturale.
La criticità sta nella capacità di «essere e sentirsi pronti», nella
Cyber Resilience, nella convergenza dei diversi elementi:
compliance, cyber security, risk management, intelligence, crisis
management, information sharing.
La cura e l’attenzione della sicurezza non sono solo un obbligo di legge
per una Istituzione Pubblica ma rappresentano un dovere morale nei
confronti di aziende e infortunati (interessati dei dati). Nessuna
evoluzione è pensabile senza la loro fiducia.
DCOD
14
Considerazioni
Lo sforzo che la DCOD si propone di fare è quello di far diventare tutti «gestori del rischio», che significa:
◦ conoscere e capire il contesto nel quale si opera;
◦ conoscere e capire le ripercussioni delle proprie azioni;
◦ saper operare «in sicurezza» anche in assenza di una norma di
riferimento o di una politica specifica;
◦ contribuire ad alimentare il ciclo virtuoso di miglioramento continuo: esigenze /obiettivi – implementazione – controllo/misurazione, specializzando sempre più l’assessment delle esigenze così da individuare le scoperture meno evidenti e mantenere il passo della sicurezza allineato a quello delle evoluzioni tecnologiche.
DCOD
Fine
15
"La sicurezza non è un prodotto, è un processo. Inoltre non è solo un problema di tecnologia, bensì di persone e gestione”
Bruce Schneier