il controllo e la sicurezza dei sistemi informativi degli organismi pagatori g.p.trovesi, cia
TRANSCRIPT
Il controllo e la sicurezzadei sistemi informativi
degli Organismi Pagatori
G.P.Trovesi, CIA
L’IT si è trasformato da strumento di efficienza a parte integrante dei processi. Questa integrazione
ha originato una forte domanda di controllo e sicurezza.
Controllo e Sicurezza delle Informazioni
ITparte integrante
del business
IT economicità
ITefficienza processi
IT
PROCESSI
IT
PROCESSI
IT
PROCESSI
Il filo conduttore per la comprensione dell’IT è il SISTEMA DEI CONTROLLI INTERNI,
dal quale traggono origine le regole di funzionamento,di sicurezza e di monitoraggio.
IL CONTROLLO INTERNO E’ UN PROCESSOCHE SI PREFIGGE DI FORNIRE UNA RAGIONEVOLE GARANZIA
CHE GLI OBIETTIVI RIENTRANTI FRA LE SEGUENTI CATEGORIESIANO RAGGIUNTI:
• efficacia ed efficienza delle attività operative,• attendibilità delle informazioni • conformità alle leggi ed ai regolamenti• protezione del patrimonio
Il SISTEMA DEI CONTROLLI INTERNI prende avvio dagli obiettivi assegnati e intende
favorirne il raggiungimento
Assicurare coerenzatra gli obiettivi informaticie quelli dell’Organismo
Mettere a disposizione le risorse informatiche
Assicurare la continuita’del servizio
MISSIONE dell’ IT
Assicurare la sicurezza delle informazioni
obiettivi comuni obiettivi specifici
Obiettivi tipici del singolo OPriguardanti i servizi informaticiattesi in termini di procedure, livelli di servizio, propagazione dell’informatica, ecc.
Il SISTEMA DEI CONTROLLI INTERNI opera altresì per mitigare i RISCHI
CO
NTR
OLLO
PR
OTEZ
ION
E
AU
DIT
AB
ILIT
Y
RISCHI
SISTEMI DI GESTIONE
NORMATIVA – REGOLE TECNICHE
OBIETTIVI ISTITUZIONALI
Il disegno strategico fa riferimento ad alcuni requisiti
PROTEZIONE CONTROLLO
VERIFICA
PREVENZIONE
INDIVIDUAZIONERICOSTRUZIONE
PREVENZIONERISCONTRO CORREZIONE
NORMATIVA ORGANIZZAZIONE
TECNICISMI
OP dispone solo di principi
La PROTEZIONE è indirizzata a preservare il patrimonio da qualsiasi danno che possa
avere riflessi negativi sulle operazioni
Protezione riferita alle persone
Protezione riferita ai beni
Protezione delle installazioni e degli impianti tecnologici
Protezione riferita ai dati
Sicurezza logica sistemi informatici
AMBITO DI APPLICAZIONE
Continuità delle operazioni in caso di incidente o di disastro
Il CONTROLLO è rivolto ad assicurare il governo degli ambienti IT e ad evidenziare situazioni anomale . controllo sugli impianti tecnologici (mirante ad
ottenere il mantenimento dei servizi indispensabili);
. controllo sugli ambienti informatici (mirante ad ottenere il dominio delle risorse informatiche);
. controllo sui sistemi informatici ai diversi livelli (operativi, applicativi, individuali), dipendenti sia dalla tecnologia sia da scelte manageriali, la cui strutturazione influisce il modo di elaborare/archiviare/ trasferire le informazioni e fare del reporting; . procedure di controllo operativo presenti nei processi elaborativi (commisurate alla tipologia delle operazioni aziendali interessate).
ad esempio
La VERIFICA riguarda gli strumenti per accertare l’adeguatezza e la funzionalità
dei provvedimenti, l’integrità degli ambienti e degli strumenti
La linea manageriale deve mettersi nella condizione di conoscere l'efficacia delle
misure adottate e di procedere ad eventuali fasature.
La “verifica" deve permettere la ricostruibilità delle operazioni/eventi e dei
dati, e di rendersi conto se i processi informatici, nel loro insieme, operano
secondo le aspettative Traccia di audit Documentazione tecnica/applicativa
Riconciliazioni/quadrature automatiche Rapportistica
L’intensità del controllo serve per mitigare i RISCHI dell’IT
ORGANIZZAZIONE AMBIENTE (locali) MEZZI INFORMATICI DATI
Scenario informatico in continua evoluzione:
coordinamento centrale
autonomie funzionali
regole/politiche di Sicurezza
Profilo operativo dei collaboratori
Propagazione dei mezzi informatici
Aree con informazioni critiche
Libera circolazione delle
informazioni
Accessi agli ambienti
Efficacia degli strumenti e supporto da organizzazione
Complessità del controllo accessi
Visibilità delle criticità e delle soluzioni
Collegamenti con l'esterno
Propagazione delle misure di Sicurezza dal centro verso la periferia
Classificazione dati / informazioni
Importanza degli archivi di dati
Ampia diffusione e disponibilità
Forte concentrazione di informazioni vitali
RISCHICORREZIONI FINANZIARIE
DIFFICOLTA’ A RAGGIUNGERE GLI OBIETTIVI
ALTERAZIONE/DIVULGAZIONE/SOTTRAZIONEDEL PATRIMONIO
PERDITE ECONOMICO/FINANZIARIE
BLOCCO ATTIVITA'
INFORMAZIONI FRAUDOLENTE
BASSA QUALITA' DEL SERVIZIO
fattori di rischio
Il sistema dei controlli interni propone sei obiettivi di controllo specifici
Riservatezza : Proteggere le informazioni importanti da diffusioni non autorizzate or intercettazioni intelligibili
Integrità: Protezione della correttezza e completezza delle informazioni e del software
Disponibilità: Assicurare che le informazioni ed i servizi vitali siano disponibili quando richiesti dall’utente
Governo delle Informazioni e dei mezziutilizzati per il loro trattamento
Disponibilità
Controllabilità Assicurare alla linea manageriale il governo delle informazioni, dei processi e degli ambienti operativi
Verificabilità Assicurare che le informazioni e i processi informatici che le trattano siano verificabili
C ontrollabilità V erificabilità
IntegritàRiservatezza
Governo Assicurare che le operazioni informatiche siano conformi alle direttive
Uno dei fattori primari da puntualizzare è
l’ACCOUNTABILITY
Chi è responsabile della sicurezza ?
• Io
• il mio Dirigente
• il Direttore OP
• la Direzione Sistemi Informativi
• il Serv. Controllo Interno
•Non lo so ………..
•Altri organismi
ad esempio:
Le principali figure operative sono rappresentate dal PROPRIETARI
figurativi che assumono il compito di mitigare i rischi
Proprietario di dati e logiche applicativ
e
E’ la Funzione utente che acquisisce, origina, o dispone dei dati. Il loro trattamento è coerente con il valore per le attività OP e con i requisiti imposti dalla tipologia di operazioni. Il Proprietario definisce il livello di classificazione (valore) dei dati e richiede modalità e misure di protezione adeguate. Stabilisce le regole di utilizzo e chi/ come usa la risorsa.Il Proprietario dei dati e delle logiche applicative è responsabile per il risultato finale della procedura informatica.
Proprietario delle risorse
È la Funzione specialistica che dispone delle risorse informatiche hardware e software e che assicura la custodia dei dati e l’integrità dei processi elaborativi, secondo le indicazioni emesse dal Proprietario dei dati.Sceglie ed attiva i meccanismi più adeguati al valore della risorsa. Rispetta i livelli di servizio concordati.
La separazione dei compiti richiede la parcellizzazione delle attività ed una attenta
precisazione delle mansioni
ambito
UTENTE
ambito
AMBIENTEINFORMATICO
Vincoli: separazione tra ...
Origine delle informazioni Aggiornamento dei dati
Approvazione dei dati Autorizzazione delle transazioni
Immissione dei dati
Cancellazione
Sistemisti sw base e sottosistemi
Sviluppo/modifica programmi applicativi
Collaudo e validazione nuovi programmi
Produzione/operatori
Gestione librerie
Gestione rete
QUALI CONTROLLI SONO NECESSARI ?
MECCANISMI CHE ASSICURANO LA CORRETTEZZA, LA COMPLETEZZA, L’INTEGRITA’ DEI DATI E DEI SISTEMI E DELLE INFRASTRUTTURE
SICUREZZA DELLE
INFORMAZIONI
comprende laSicurezza informatica
STRUTTURA OPERATIVA
DELL’IT
comprende le risorsele operazioni e lo sviluppo
PROCEDURE INFORMATICHE
comprende le procedure su host, lan, rete, pc
PREVENIRE CORREGGEREPREVENIRE
INTERCETTARE
IL SISTEMA DI SICUREZZA SI ARTICOLA IN DIVERSI
PROGRAMMI SPECIALISTICI C
om
po
nen
ti d
el S
iste
ma
di
Sic
ure
zza
Normativa di sicurezza
SICUREZZA DELLE
INFORMAZIONI
comprende laSicurezza informatica
Sicurezza del personale
Sicurezza fisica
Protezione delle informazioni
Protezione IT
Piani di emergenza
Gestione incidenti
SICUREZZA DELLE INFORMAZIONI
SICUREZZA INFORMATICA
QUADROLEGISLATIVO
Standard di
sicurezza
Processi di
sicurezza
Programmi di
revisione
Obiettivi:• approntare un ambiente sicuro per l’azienda e per i suoi dipendenti• impedire la perdita di beni fisici (risorse informatiche)• prevenire interruzioni dell’attività dovute al danneggiamento di risorse
Classificazione degli spazi
Identificazione e controllo accessi
Accesso agli uffici controllato tramite badge
Aree ristrette, fisicamente separate, ad accesso controllato
Regole e responsabilit
à
ripartite su tutta la
struttura
Misure di protezione
esterno
spazio pubblico
uffici
Sala macchine
Un settore della Sicurezza è rappresentato dalla SICUREZZA FISICA
Nell’IT la Sicurezza Fisica intende proteggere le risorse informatiche in modo differenziato
secondo il peso dei rischi
Il livello di controllo è basato sull’importanza del servizio che il sistema eroga e sul valore economico del
sistema/apparecchiatura.
Caratteristiche dell’area
Sistema/ componente
Alta protezione
Tutti i sistemi che forniscono servizi “vitali” e/o quelli con alto valore economico (mainframe, unità disco, canali, unità accessorie, unità nastro, console, governo linea, etc.)
Bassa protezione
Tutti i sistemi che non forniscono servizi “vitali” e/o con valore economico minore (LSX, PC adibiti a Server, Router, Permutatori di rete, etc.)
la SICUREZZA LOGICA è costituita da meccanismi organizzativi e tecnici che consentono di:• individuare gli utenti dei dati e delle risorse info.,• concedere, o negare, l'accesso a dati e risorse,• tenere le tracce di attività espletate dai sistemi e dagli utenti.
• identificazione ed autenticazione degli utenti
• controllo degli accessi
• riservatezza
• integrità dei dati e delle informazioni, dei sistemi,
e delle operazioni
• gestione tecnica del sistema di sicurezza
• gestione amministrativa della sicurezza
• log e reportistica
• vigilanza (auditing)
com
pone
nti
e i dati.. ? Siete consapevoli delle conseguenze derivanti da una potenziale perdita di integrità dei dati che vengono trattati? INTEGRITA’ DEI DATI E DEI PROCESSI ELABORATIVI
• Ogni risorsa deve contenere il dato “integro”, quindi corretto, e nessuno può alterarlo se non chi è esplicitamente autorizzato. • Evitare gravi danni all’integrità di tutto il sistema, dati compresi, dovuti alla sua modifica non corretta. • Consentire l’utilizzo dei dati classificati critici e personali (legge Privacy) solo da parte di persone e programmi che ne abbiano necessità.• Consentire solo agli utenti autorizzati la modifica del il Sistema Operativo e l’alterazione delle funzioni relative alla Sicurezza, secondo modalità certificate e verificabili.
•processo di autorizzazione all’accesso•disegno di profili mirati•regole di gestione risorse tecniche•utilizzo di strumenti di crittografia
La SICUREZZA LOGICA basa la sua forza anche sugli strumenti di
verifica
Log e reportistica
devono essere conservati i record che registrano gli accessi o i tentativi di accesso al sistema e/o ad alcune risorse protette e deve essere ottenuta la reportistica necessaria al controllo e alla rilevazione di eventuali incidenti.Alcuni esempi di tracce:
• tentativi di logon non consentiti• tentativi di accesso non consentito alle risorse utente• tentativi di accesso ai dati classificati “critici”• tentativi di accesso alle risorse di sistema, secondo la loro protezione• attività svolte da utenze privilegiate.
Audit sicurezzasono necessari controlli e verifiche periodiche (manuali o automatiche) per garantire la corretta attivazione dell’architettura di Sicurezza, e l’aderenza agli standard e ai processi stabiliti.
Anche le stazioni di lavoro hanno bisogno di attenzione ….
Attivare lo screen saver quando ci si allontana dal posto di lavoro.
Protezione attraverso password.
Verifica periodica antivirus
(compresi i dischetti).
Fate uso di software non di dotazione…
o di copie pirata?
La SICUREZZA DELLA RETE COMPRENDE i collegamenti in
Internet che devono essere assoggettati a specifiche misure
Elevata rischiosità
• Soluzioni o provvedimenti di tipo
- sw (firewall)
- hw (proxy server)
• Disponibilità del collegamento solo
dietro specifica autorizzazione
• Regole comportamentali: • riconoscimento delle persone• siti cui si accede
Gli strumenti di posta elettronica ed e-mail devono essere utilizzati in
modo conforme alle direttive aziendali
• gli strumenti di posta elettronica devono
essere integrati con quelli di e-mail in Internet
• il firewall deve essere configurato in modo da
aprire logicamente ogni allegato di posta, al
fine di eliminare componenti potenzialmente
pericolosi (virus, macro, Trojan...)
• l’utilizzo della posta elettronica deve essere
conforme alle regole di etica aziendale
(evitare messaggi offensivi, lesivi della dignità
delle persone, ecc.)
La Sicurezza richiede apposite procedure di gestione per limitare la
vulnerabilità
1. danni finanziari, al patrimonio o all’integrità 2. danni ai dipendenti 3. perdita di beni o di informazioni4. incapacità di continuare le attività operative5. impossibilita' di rispettare obblighi di legge o obblighi assunti nei confronti di terze parti.
•azioni violente/ostili, minacce al personale, estorsioni, •frodi e malversazioni di natura informatica, furti di informazioni, •alterazione dolosa di dati e/o informazioni, sabotaggio, che determini interruzioni delle attività;•perdita, o potenziale perdita, di informazioni, a carattere involontario;•utilizzo non corretto delle risorse;•appropriazioni indebite che causino la perdita di immagine o perdite economico/finanziarie.
AZIONI DOLOSE
COMPITI
PROCEDURE DI GESTIONE
26
INCIDENTI
CAMBIAMENTIDELLE RISORSE
STRUTTURA OPERATIVA
DELL’IT
comprende le risorsele operazioni e lo sviluppo
Gestione sistemi elaborativi
Livelli di servizio Gestione degli inconvenienti Gestione dei cambiamenti Back-up e ripartenze Ripresa attività in caso di disastro Gestione delle elaborazioni Dimensionamento delle risorse
La gestione dell’IT deve avvenire nel rispetto di regole
di controllo interno specifiche
Sviluppo / manutenzione applicazioni
Formulazione requisitiSviluppi interniAcquisto di pacchetti softwareModifiche ai programmi applicativiCollaudoEsercizio
I meccanismi di controllo interno devono essere presenti anche
nelle PROCEDURE INFORMATICHE
• controllo: elaborazioni corrette, complete e tempestive riguardanti tutte le transazioni
• verifica: trasparenza e visibilità dei dati e del processo elaborativo
PROCEDURE INFORMATICHE
comprende le procedure su host, lan, rete, pc
PRINCIPI DI CONTROLLO
I PRINCIPI DEL CONTROLLONELLE APPLICAZIONI INFORMATICHE
SEPARAZIONE DELLE RESPONSABILITA’
ACCOUNTABILITY
COPERTURA DEI PUNTI DI RISCHIO
LOGICA CHIUSA: CONSIDERARE TUTTE LE EVENTUALITA’
UTILIZZO DEL CONTROLLO PER LOCALIZZARE I PROBLEMIE PER PROMUOVERE AZIONI CORRETTIVE
DOCUMENTAZIONE
SEMPLICITA’, EVITARE ECCESSI DI CONTROLLO
ATTIVITA’ 2
ATTIVITA’ 1
ATTIVITA’ 3 ATTIVITA’ 4
ATTIVITA’ 5 ATTIVITA’ 6
il processo aziendale
OBIETTIVO
controllo preventivo
controllo a posterioricontrollo rivelatore
controllo correttivo
DAL PUNTO DI VISTA TECNICO I CONTROLLI SI RIPARTISCONO IN QUATTRO CATEGORIE
A proposito di auditability…..
Un sistema viene definito verificabile quando:
permette di provare l’efficacia e l’adeguatezza dei controlli
permette di provare l’integrità dei dati e del processo operativo
è dotato di adeguate tracce di audit
IL GOVERNO DEL PATRIMONIO INFORMATICO AVVIENE ATTRAVERSO UN CONTINUO PROCESSO
DI MESSA A PUNTO DEI MECCANISMI DI CONTROLLO E SICUREZZA
MECCANISMI
ORGANIZZAZIONE
AUDITING
RISK ANALYSIS
NORMATIVE
ATTIVAZIONE e AMMINISTRAZIONE
LE LINEE DIRETTRICI CE FORMULANO DEI PRINCIPI CHE FANNO PARTE DEL
SISTEMA DEI CONTROLLI INTERNI
STRATEGIA INFORMATICA
LINEE D’AZIONE, NORME E PROCEDURE
SEPARAZIONE DELLE FUNZIONI
POLITICA DEL PERSONALE
CULTURA SERV. CONTROLLO INTERNO
SICUREZZA FISICA
SICUREZZA LOGICA
SVILUPPO E MAN. SISTEMI
GESTIONE RISORSE
TELECOMUNICAZIONI
MICROELABORATORI
IMPREVISTI
CONTROLLI APPLICATIVI
unica fonte normativa
È fondamentale predisporre il quadro normativo ed
organizzativo coerente con i principi CE
prima di studiare ed attivare le soluzioni di sicurezza e
controllo più idonee
scelte bilanciate NO emotività
corretto rapporto costi / benefici
SFORZO FINANZIARIO E TECNOLOGICO DEVE RIMANERE IN PROPORZIONE ALL’ANALISI DEL
RISCHIO REALE
un importante punto di riferimento è rappresentato dagli standard
internazionali
Generally accepted systems security principles
COMPUTER AT RISK
GOVERNANCE
Gli standard ISO sono universalmente riconosciuti
Governo USA1992
Internal Control System IIA
Cobit
ISO 7498
ISO 15408
Requisiti di sicurezza delle architetture
Requisiti di sicurezza
organizzativa/ normativa e outsourcing
Requisiti di sicurezza per prodotti e sistemi
Requisiti diControlloinformatico
SAC Standard System Auditability & Control
Regole di sicurezza, controllo e verifica delle applicazioni
ISO 17799
LE FASI REALIZZATIVE SARANNO OPPORTUNAMENTE PIANIFICATE
REGOLE DI BASE FORMAZIONE E SENSIBILIZZAZIONE
Sicurezza procedure applicative
AMBIENTE INFORMATIVOProtetto, controllatoe verificabile
CollegamentiEsterni
Normativa
. Regolamento . Standard . Legislazione
StazioniLavoro
.Regole minime
Copyright
Antivirus .Punto diffusione . Metodologie propagazione .Metodologie controllo
Organismi
Delegati
.Rivisitazione convenzione .Quadro normativo
.Realizzazione misure
.Sistema gestione .CompitiPresidi
Organiz.
.Protezione ambienti
.Realizzazione misure . Progettazione misure . Classificazione informazioni
-Sic.Org.tiva - Sic. Fisica -Sic.Rete-Sic.Logica
Back-UpDisaster Recovery
Diffusione regole
Informativa a dipendenti
.Piano Audit Autovalutazione
Internet
Posta elettronica
2.5 Una funzione di controllo interna dovrebbe disporre di competenze e
autorità sufficienti (o essere in grado di ricorrere a consulenze esterne) per effettuare tutti i controlli inf…….
COMPETENZE
SPECIALISTICADI BASE
QUANDO NEL CONTINUO OGNI 3 O 4 ANNI
AUDIT SULLE INFRASTRUTTURE
TECNOLOGICHE
SERV. CONTROLLO INTERNO
MERCATOCHI
AZIONE DIAUDIT
AUDIT SULLEPROCEDURE
ATTIVITA’