Sicuramente www.clusit.it
L’applicazione degli standard della sicurezza delle
informazioni nella piccola e media impresa
Claudio Telmon – Clusit [email protected]
Sicuramente www.clusit.it
Associazione “no profit” con sede presso
l’ Università degli Studi di Milano,
Dipartimento di Informatica e Comunicazione
Sicuramente www.clusit.it
Claudio Telmon
Membro del Comitato Tecnico e del Consiglio Direttivo di Clusit
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
Cos’è la sicurezza delle informazioni?
È il mantenimento della riservatezza, integrità e disponibilità delle informazioni
Perché?
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
Contromisure
Impatto Probabilità
Minacce
Dipende…
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
Cos’è il rischio e perché ci interessa
Rischio: effetto dell’incertezza sugli obiettivi (ISO/IEC 27000:2014)
Rischio Operativo: il rischio di perdite derivanti da processi interni, persone o sistemi inadeguati o dal loro fallimento, o da eventi esterni. Includono i rischi legali ma non quelli reputazionali (European Banking Authority)
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
In cosa ci aiuta la prospettiva del rischio
Il rischio è un concetto connaturato all’Impresa
ci aiuta a condividere i concetti con il resto dell’azienda
ci aiuta ad allineare gli obiettivi con l’azienda
ci aiuta a capire e spiegare dove, quanto e perché investire in sicurezza
Per ragionare sul rischio, è necessario parlare con i «business owner»: sono loro che sanno:
quali sono gli impatti sui processi e quindi sull’azienda
quali sono le informazioni e i servizi di valore
qual è l’appetibilità delle informazioni, ad esempio, per i concorrenti
«La sicurezza assoluta non esiste»
Quindi?
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
Standard e riferimenti
Famiglia di standard ISO/IEC 27xxx (27000, 27001, 27002…)
«The information security management system preserves the confidentiality, integrity and availability of information by applying a risk management process and gives confidence to interested parties that risks are adequately managed»
27005: affronta specificamente l’ «Information security risk management»
27002: fornisce i «controlli» con cui mitigare il rischio
Famiglia di standard NIST SP 800-xxx (e adesso, anche SP 1800-xxx sulla Cybersecurity)
Nati per i sistemi informativi federali, sono un buon riferimento anche per altre organizzazioni, anche non US
Riferimento principale : NIST SP 800-53 (rev. 4)
Vari documenti sul rischio, fra cui SP 800-30 «Guide for Conducting Risk Assessments»
Possono essere scaricati gratuitamente
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
I fattori di rischio (NIST SP 800-30)
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
Processo di gestione del rischio (ISO 27005)
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
Approccio alla gestione del rischio
Perché facciamo una analisi?
Per conformità normativa
Spesso ci viene indicato come svolgere l’analisi (perimetro, minacce, a volte questionari…)
Per requisiti contrattuali
I requisiti sono indicati nel contratto, a volte in riferimento ad uno standard (es. ISO/IEC 27001), a specifiche clausole contrattuali, o a policy della controparte
Tipico dei contratti con grossi clienti che operano in un contesto regolamentato
Per esigenze interne
Indirizzare la scelta di controlli utili ed efficaci per la riduzione del rischio ad un livello accettabile per l’azienda
Ci facciamo guidare dalle esigenze aziendali
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
Cosa ci serve definire
Perimetro dell’analisi
Datacenter
PdL / strumenti mobili
Rete commerciale
Partner, fornitori
…
Approccio quantitativo, qualitativo, semi-quantitativo..
Criteri di valutazione dell’impatto
Sui processi di business
Sugli asset e sui sistemi IT a supporto
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
Metodologia: analisi dell’impatto
Amministrazione
Processo 2… Marketing Processo1 Processo 1 … Processi
business
Sistemi/ applicazioni a
supporto
Sistemi/ applicazioni a
supporto
Sistemi/ applicazioni a
supporto
Sistemi/ applicazioni a
supporto
Sistemi/ applicazioni a
supporto
Sistemi a
supporto
Strumento: questionario erogato ai business owner di processi con
una dipendenza critica dal sistema informativo
Obiettivi:
• individuare i servizi e quindi le applicazioni critiche
• definire il profilo di impatto per quelle applicazioni (e i componenti
infrastrutturali)
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
Ris
erv
ate
zza
Inte
gri
tà
Dis
ponib
ilità
• Furto di informazioni (dell’azienda, dei
clienti, proprietà intellettuale, segreti
industriali…)
• Furto di dispositivi
• Diffusione di informazioni su social media
• …
• …
• Modifiche non autorizzate ai dati dei
clienti
• Modifiche non autorizzati ai dati aziendali
• Malware, …
• Sabotaggio (HW)
• Attacchi (D)DOS
• Disastri (incendi, allagamenti, …)
• Malware (es. Ransomware)…
Conseguenze reputazionali
Conseguenze legali /
contrattuali
Perdita dell’ operatività
Impatti di business /
strategici
Perdite economiche
Scenari di rischio: valutazione di impatto
Altri fattori umani/sociali
Rischi strategici
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
Profilo di rischio
Per ogni processo/asset/sistema otteniamo un profilo di impatto sulla base ad es. del massimo impatto per scenario:
Se non lo abbiamo ancora fatto, dobbiamo individuare con chiarezza i componenti del sistema informativo a supporto dei processi
Processo 1:
Processo 2:
…
Processo n:
Alto Medio Medio
Riservatezza Integrità Disponibilità
Alto Alto Basso
Basso Basso Basso
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
La componente probabilistica
I fattori di rischio (specifici, generali)
Minacce e fonti (agenti) di minaccia
Vulnerabilità e condizioni favorevoli
Probabilità (appetibilità, condizioni generali)
Rischio reale e rischio percepito
Attenzione al rischio percepito
del consulente
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
La disponibilità di informazioni
Informazioni sul contesto globale/nazionale
Informazioni sul settore merceologico
Informazioni storiche sull’azienda
Informazioni sull’evoluzione delle minacce (early warning)
Usare i dati storici per stimare il rischio è come guidare guardando nello specchietto retrovisore
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
Basso Medio Alto
Alta
Media
Bassa
Molto Bassa Basso
Basso
Basso
Medio Basso
Medio
Medio
Basso
Medio
Molto Alto Alto
Alto
Valutazione del rischio: la heatmap P
rob
abil
ità
Impatto
Criteri di accettazione del rischio (esempio):
molto alto: trasferire/evitare
alto: trattare obbligatoriamente
medio: valutare caso per caso
basso: accettare
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
Altri concetti sul rischio
Rischio inerente: rischio in assenza di controlli
Rischio residuo: rischio rimanente dopo aver applicato i controlli previsti
Quando stimiamo la probabilità e l’impatto, teniamo conto dei controlli già in essere, perché ci interessa (di solito) capire
dove intervenire per ridurre ulteriormente il rischio (migliorare/aggiungere controlli)
Avversione/propensione al rischio: preferenza/avversione per un ammontare certo rispetto a una quantità aleatoria
si concretizza generalmente in un limite superiore al rischio potenziale legato ai sistemi informativi
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
Trattamento del rischio
Quali controlli?
Framework come la ISO 27xxx e NIST 800-xxx forniscono ognuna un insieme coerente e (abbastanza) completo di controlli
Ognuno dei controlli si deve concretizzare nel contesto specifico dell’azienda
Sono fondamentali gli aspetti organizzativi e di gestione, compresa la definizione di policy e procedure
È essenziale il commitment della Direzione
le policy non devono essere emesse dalla gestione IT
Quanto sono efficaci i controlli?
Livello di maturità / implementazione
Definizione di KPI per misurare l’efficacia (es. riduzione delle infezioni da virus, tempo speso nella gestione di incidenti…)
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
Trattamento del rischio
Logiche di baseline
Non ci serve un’analisi del rischio per sapere che serve una protezione verso Internet: ci serve un’analisi per capire se basta una protezione di base
Stesso principio per antivirus, autenticazione, ecc. ecc.
Quanto sono efficaci i controlli?
Livello di maturità / implementazione
Definizione di KPI per misurare l’efficacia (es. riduzione delle infezioni da virus, tempo speso nella gestione di incidenti…)
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
Esempio di libreria dei controlli: ISO/IEC 27002:2013
Politiche per la sicurezza delle informazioni
Organizzazione della sicurezza delle informazioni
Sicurezza delle risorse umane
Gestione degli asset
Controllo degli accessi
Crittografia
Sicurezza fisica e ambientale
Sicurezza delle attività operative
Sicurezza delle comunicazioni
Acquisizione, sviluppo e manutenzione dei sistemi
Relazioni con i fornitori
Gestione degli incidenti relativi alla sicurezza delle informazioni
Aspetti relativi alla sicurezza delle informazioni nella gestione della continuità operativa
Conformità
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit
Riferimenti
Serie 27xxx:
http://www.iso.org/iso/home/standards/management-standards/iso27001.htm
NIST SP 800-xxx:
http://csrc.nist.gov/publications/PubsSPs.html
ENISA - Inventory of Risk Management / Risk Assessment Methods:
https://www.enisa.europa.eu/activities/risk-management/current-risk/risk-management-inventory/rm-ra-methods
Clusit - Rapporto Clusit:
https://clusit.it/rapportoclusit/
Sicurezza delle informazioni in sanità: scenari e minacce – Claudio Telmon - Clusit