presentazione di powerpointwebtv.confindustria.vicenza.it/importedfiles/telmon-vicenza... ·...
TRANSCRIPT
![Page 1: Presentazione di PowerPointwebtv.confindustria.vicenza.it/importedfiles/Telmon-Vicenza... · Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit](https://reader030.vdocuments.site/reader030/viewer/2022020318/5c11f12e09d3f25a2c8cc0d8/html5/thumbnails/1.jpg)
Sicuramente www.clusit.it
L’applicazione degli standard della sicurezza delle
informazioni nella piccola e media impresa
Claudio Telmon – Clusit [email protected]
![Page 2: Presentazione di PowerPointwebtv.confindustria.vicenza.it/importedfiles/Telmon-Vicenza... · Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit](https://reader030.vdocuments.site/reader030/viewer/2022020318/5c11f12e09d3f25a2c8cc0d8/html5/thumbnails/2.jpg)
Sicuramente www.clusit.it
Associazione “no profit” con sede presso
l’ Università degli Studi di Milano,
Dipartimento di Informatica e Comunicazione
![Page 3: Presentazione di PowerPointwebtv.confindustria.vicenza.it/importedfiles/Telmon-Vicenza... · Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit](https://reader030.vdocuments.site/reader030/viewer/2022020318/5c11f12e09d3f25a2c8cc0d8/html5/thumbnails/3.jpg)
Sicuramente www.clusit.it
Claudio Telmon
Membro del Comitato Tecnico e del Consiglio Direttivo di Clusit
![Page 4: Presentazione di PowerPointwebtv.confindustria.vicenza.it/importedfiles/Telmon-Vicenza... · Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit](https://reader030.vdocuments.site/reader030/viewer/2022020318/5c11f12e09d3f25a2c8cc0d8/html5/thumbnails/4.jpg)
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
Cos’è la sicurezza delle informazioni?
È il mantenimento della riservatezza, integrità e disponibilità delle informazioni
Perché?
![Page 5: Presentazione di PowerPointwebtv.confindustria.vicenza.it/importedfiles/Telmon-Vicenza... · Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit](https://reader030.vdocuments.site/reader030/viewer/2022020318/5c11f12e09d3f25a2c8cc0d8/html5/thumbnails/5.jpg)
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
Contromisure
Impatto Probabilità
Minacce
Dipende…
![Page 6: Presentazione di PowerPointwebtv.confindustria.vicenza.it/importedfiles/Telmon-Vicenza... · Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit](https://reader030.vdocuments.site/reader030/viewer/2022020318/5c11f12e09d3f25a2c8cc0d8/html5/thumbnails/6.jpg)
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
Cos’è il rischio e perché ci interessa
Rischio: effetto dell’incertezza sugli obiettivi (ISO/IEC 27000:2014)
Rischio Operativo: il rischio di perdite derivanti da processi interni, persone o sistemi inadeguati o dal loro fallimento, o da eventi esterni. Includono i rischi legali ma non quelli reputazionali (European Banking Authority)
![Page 7: Presentazione di PowerPointwebtv.confindustria.vicenza.it/importedfiles/Telmon-Vicenza... · Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit](https://reader030.vdocuments.site/reader030/viewer/2022020318/5c11f12e09d3f25a2c8cc0d8/html5/thumbnails/7.jpg)
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
In cosa ci aiuta la prospettiva del rischio
Il rischio è un concetto connaturato all’Impresa
ci aiuta a condividere i concetti con il resto dell’azienda
ci aiuta ad allineare gli obiettivi con l’azienda
ci aiuta a capire e spiegare dove, quanto e perché investire in sicurezza
Per ragionare sul rischio, è necessario parlare con i «business owner»: sono loro che sanno:
quali sono gli impatti sui processi e quindi sull’azienda
quali sono le informazioni e i servizi di valore
qual è l’appetibilità delle informazioni, ad esempio, per i concorrenti
«La sicurezza assoluta non esiste»
Quindi?
![Page 8: Presentazione di PowerPointwebtv.confindustria.vicenza.it/importedfiles/Telmon-Vicenza... · Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit](https://reader030.vdocuments.site/reader030/viewer/2022020318/5c11f12e09d3f25a2c8cc0d8/html5/thumbnails/8.jpg)
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
Standard e riferimenti
Famiglia di standard ISO/IEC 27xxx (27000, 27001, 27002…)
«The information security management system preserves the confidentiality, integrity and availability of information by applying a risk management process and gives confidence to interested parties that risks are adequately managed»
27005: affronta specificamente l’ «Information security risk management»
27002: fornisce i «controlli» con cui mitigare il rischio
Famiglia di standard NIST SP 800-xxx (e adesso, anche SP 1800-xxx sulla Cybersecurity)
Nati per i sistemi informativi federali, sono un buon riferimento anche per altre organizzazioni, anche non US
Riferimento principale : NIST SP 800-53 (rev. 4)
Vari documenti sul rischio, fra cui SP 800-30 «Guide for Conducting Risk Assessments»
Possono essere scaricati gratuitamente
![Page 9: Presentazione di PowerPointwebtv.confindustria.vicenza.it/importedfiles/Telmon-Vicenza... · Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit](https://reader030.vdocuments.site/reader030/viewer/2022020318/5c11f12e09d3f25a2c8cc0d8/html5/thumbnails/9.jpg)
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
I fattori di rischio (NIST SP 800-30)
![Page 10: Presentazione di PowerPointwebtv.confindustria.vicenza.it/importedfiles/Telmon-Vicenza... · Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit](https://reader030.vdocuments.site/reader030/viewer/2022020318/5c11f12e09d3f25a2c8cc0d8/html5/thumbnails/10.jpg)
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
Processo di gestione del rischio (ISO 27005)
![Page 11: Presentazione di PowerPointwebtv.confindustria.vicenza.it/importedfiles/Telmon-Vicenza... · Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit](https://reader030.vdocuments.site/reader030/viewer/2022020318/5c11f12e09d3f25a2c8cc0d8/html5/thumbnails/11.jpg)
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
Approccio alla gestione del rischio
Perché facciamo una analisi?
Per conformità normativa
Spesso ci viene indicato come svolgere l’analisi (perimetro, minacce, a volte questionari…)
Per requisiti contrattuali
I requisiti sono indicati nel contratto, a volte in riferimento ad uno standard (es. ISO/IEC 27001), a specifiche clausole contrattuali, o a policy della controparte
Tipico dei contratti con grossi clienti che operano in un contesto regolamentato
Per esigenze interne
Indirizzare la scelta di controlli utili ed efficaci per la riduzione del rischio ad un livello accettabile per l’azienda
Ci facciamo guidare dalle esigenze aziendali
![Page 12: Presentazione di PowerPointwebtv.confindustria.vicenza.it/importedfiles/Telmon-Vicenza... · Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit](https://reader030.vdocuments.site/reader030/viewer/2022020318/5c11f12e09d3f25a2c8cc0d8/html5/thumbnails/12.jpg)
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
Cosa ci serve definire
Perimetro dell’analisi
Datacenter
PdL / strumenti mobili
Rete commerciale
Partner, fornitori
…
Approccio quantitativo, qualitativo, semi-quantitativo..
Criteri di valutazione dell’impatto
Sui processi di business
Sugli asset e sui sistemi IT a supporto
![Page 13: Presentazione di PowerPointwebtv.confindustria.vicenza.it/importedfiles/Telmon-Vicenza... · Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit](https://reader030.vdocuments.site/reader030/viewer/2022020318/5c11f12e09d3f25a2c8cc0d8/html5/thumbnails/13.jpg)
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
Metodologia: analisi dell’impatto
Amministrazione
Processo 2… Marketing Processo1 Processo 1 … Processi
business
Sistemi/ applicazioni a
supporto
Sistemi/ applicazioni a
supporto
Sistemi/ applicazioni a
supporto
Sistemi/ applicazioni a
supporto
Sistemi/ applicazioni a
supporto
Sistemi a
supporto
Strumento: questionario erogato ai business owner di processi con
una dipendenza critica dal sistema informativo
Obiettivi:
• individuare i servizi e quindi le applicazioni critiche
• definire il profilo di impatto per quelle applicazioni (e i componenti
infrastrutturali)
![Page 14: Presentazione di PowerPointwebtv.confindustria.vicenza.it/importedfiles/Telmon-Vicenza... · Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit](https://reader030.vdocuments.site/reader030/viewer/2022020318/5c11f12e09d3f25a2c8cc0d8/html5/thumbnails/14.jpg)
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
Ris
erv
ate
zza
Inte
gri
tà
Dis
ponib
ilità
• Furto di informazioni (dell’azienda, dei
clienti, proprietà intellettuale, segreti
industriali…)
• Furto di dispositivi
• Diffusione di informazioni su social media
• …
• …
• Modifiche non autorizzate ai dati dei
clienti
• Modifiche non autorizzati ai dati aziendali
• Malware, …
• Sabotaggio (HW)
• Attacchi (D)DOS
• Disastri (incendi, allagamenti, …)
• Malware (es. Ransomware)…
Conseguenze reputazionali
Conseguenze legali /
contrattuali
Perdita dell’ operatività
Impatti di business /
strategici
Perdite economiche
Scenari di rischio: valutazione di impatto
Altri fattori umani/sociali
Rischi strategici
![Page 15: Presentazione di PowerPointwebtv.confindustria.vicenza.it/importedfiles/Telmon-Vicenza... · Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit](https://reader030.vdocuments.site/reader030/viewer/2022020318/5c11f12e09d3f25a2c8cc0d8/html5/thumbnails/15.jpg)
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
Profilo di rischio
Per ogni processo/asset/sistema otteniamo un profilo di impatto sulla base ad es. del massimo impatto per scenario:
Se non lo abbiamo ancora fatto, dobbiamo individuare con chiarezza i componenti del sistema informativo a supporto dei processi
Processo 1:
Processo 2:
…
Processo n:
Alto Medio Medio
Riservatezza Integrità Disponibilità
Alto Alto Basso
Basso Basso Basso
![Page 16: Presentazione di PowerPointwebtv.confindustria.vicenza.it/importedfiles/Telmon-Vicenza... · Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit](https://reader030.vdocuments.site/reader030/viewer/2022020318/5c11f12e09d3f25a2c8cc0d8/html5/thumbnails/16.jpg)
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
La componente probabilistica
I fattori di rischio (specifici, generali)
Minacce e fonti (agenti) di minaccia
Vulnerabilità e condizioni favorevoli
Probabilità (appetibilità, condizioni generali)
Rischio reale e rischio percepito
Attenzione al rischio percepito
del consulente
![Page 17: Presentazione di PowerPointwebtv.confindustria.vicenza.it/importedfiles/Telmon-Vicenza... · Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit](https://reader030.vdocuments.site/reader030/viewer/2022020318/5c11f12e09d3f25a2c8cc0d8/html5/thumbnails/17.jpg)
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
La disponibilità di informazioni
Informazioni sul contesto globale/nazionale
Informazioni sul settore merceologico
Informazioni storiche sull’azienda
Informazioni sull’evoluzione delle minacce (early warning)
Usare i dati storici per stimare il rischio è come guidare guardando nello specchietto retrovisore
![Page 18: Presentazione di PowerPointwebtv.confindustria.vicenza.it/importedfiles/Telmon-Vicenza... · Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit](https://reader030.vdocuments.site/reader030/viewer/2022020318/5c11f12e09d3f25a2c8cc0d8/html5/thumbnails/18.jpg)
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
Basso Medio Alto
Alta
Media
Bassa
Molto Bassa Basso
Basso
Basso
Medio Basso
Medio
Medio
Basso
Medio
Molto Alto Alto
Alto
Valutazione del rischio: la heatmap P
rob
abil
ità
Impatto
Criteri di accettazione del rischio (esempio):
molto alto: trasferire/evitare
alto: trattare obbligatoriamente
medio: valutare caso per caso
basso: accettare
![Page 19: Presentazione di PowerPointwebtv.confindustria.vicenza.it/importedfiles/Telmon-Vicenza... · Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit](https://reader030.vdocuments.site/reader030/viewer/2022020318/5c11f12e09d3f25a2c8cc0d8/html5/thumbnails/19.jpg)
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
Altri concetti sul rischio
Rischio inerente: rischio in assenza di controlli
Rischio residuo: rischio rimanente dopo aver applicato i controlli previsti
Quando stimiamo la probabilità e l’impatto, teniamo conto dei controlli già in essere, perché ci interessa (di solito) capire
dove intervenire per ridurre ulteriormente il rischio (migliorare/aggiungere controlli)
Avversione/propensione al rischio: preferenza/avversione per un ammontare certo rispetto a una quantità aleatoria
si concretizza generalmente in un limite superiore al rischio potenziale legato ai sistemi informativi
![Page 20: Presentazione di PowerPointwebtv.confindustria.vicenza.it/importedfiles/Telmon-Vicenza... · Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit](https://reader030.vdocuments.site/reader030/viewer/2022020318/5c11f12e09d3f25a2c8cc0d8/html5/thumbnails/20.jpg)
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
Trattamento del rischio
Quali controlli?
Framework come la ISO 27xxx e NIST 800-xxx forniscono ognuna un insieme coerente e (abbastanza) completo di controlli
Ognuno dei controlli si deve concretizzare nel contesto specifico dell’azienda
Sono fondamentali gli aspetti organizzativi e di gestione, compresa la definizione di policy e procedure
È essenziale il commitment della Direzione
le policy non devono essere emesse dalla gestione IT
Quanto sono efficaci i controlli?
Livello di maturità / implementazione
Definizione di KPI per misurare l’efficacia (es. riduzione delle infezioni da virus, tempo speso nella gestione di incidenti…)
![Page 21: Presentazione di PowerPointwebtv.confindustria.vicenza.it/importedfiles/Telmon-Vicenza... · Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit](https://reader030.vdocuments.site/reader030/viewer/2022020318/5c11f12e09d3f25a2c8cc0d8/html5/thumbnails/21.jpg)
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
Trattamento del rischio
Logiche di baseline
Non ci serve un’analisi del rischio per sapere che serve una protezione verso Internet: ci serve un’analisi per capire se basta una protezione di base
Stesso principio per antivirus, autenticazione, ecc. ecc.
Quanto sono efficaci i controlli?
Livello di maturità / implementazione
Definizione di KPI per misurare l’efficacia (es. riduzione delle infezioni da virus, tempo speso nella gestione di incidenti…)
![Page 22: Presentazione di PowerPointwebtv.confindustria.vicenza.it/importedfiles/Telmon-Vicenza... · Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit](https://reader030.vdocuments.site/reader030/viewer/2022020318/5c11f12e09d3f25a2c8cc0d8/html5/thumbnails/22.jpg)
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
Esempio di libreria dei controlli: ISO/IEC 27002:2013
Politiche per la sicurezza delle informazioni
Organizzazione della sicurezza delle informazioni
Sicurezza delle risorse umane
Gestione degli asset
Controllo degli accessi
Crittografia
Sicurezza fisica e ambientale
Sicurezza delle attività operative
Sicurezza delle comunicazioni
Acquisizione, sviluppo e manutenzione dei sistemi
Relazioni con i fornitori
Gestione degli incidenti relativi alla sicurezza delle informazioni
Aspetti relativi alla sicurezza delle informazioni nella gestione della continuità operativa
Conformità
![Page 23: Presentazione di PowerPointwebtv.confindustria.vicenza.it/importedfiles/Telmon-Vicenza... · Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit](https://reader030.vdocuments.site/reader030/viewer/2022020318/5c11f12e09d3f25a2c8cc0d8/html5/thumbnails/23.jpg)
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
Riferimenti
Serie 27xxx:
http://www.iso.org/iso/home/standards/management-standards/iso27001.htm
NIST SP 800-xxx:
http://csrc.nist.gov/publications/PubsSPs.html
ENISA - Inventory of Risk Management / Risk Assessment Methods:
https://www.enisa.europa.eu/activities/risk-management/current-risk/risk-management-inventory/rm-ra-methods
Clusit - Rapporto Clusit:
https://clusit.it/rapportoclusit/
![Page 24: Presentazione di PowerPointwebtv.confindustria.vicenza.it/importedfiles/Telmon-Vicenza... · Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit](https://reader030.vdocuments.site/reader030/viewer/2022020318/5c11f12e09d3f25a2c8cc0d8/html5/thumbnails/24.jpg)
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit