Modello economico del Cloud, Knowledge Intensive Business Services
Sicurezza delle Informazioni, Best practice per l’ambiente di lavoro remoto nel Cloud
1. Sicurezza delle informazioni
Best practice per l’ambiente di lavoro remoto.
All’epoca del Cloud.
Ing. Francesca Merighi
Ordine degli ingegneri della provincia di Bologna
1
Il Cloud (1)
Erogazione di risorse informatiche disponibili on demand
attraverso Internet
! HaaS (Hardware as a Service): elaborazione remota dei
dati e restituzione dei risultati
! DaaS (Data as Service) : dati accessibili come fossero
residenti su un disco locale
! SaaS (Software as Service) : utilizzo di programmi
installati su un server remoto
! PaaS (Platform as a Service) : piattaforma software
costituita da servizi, programmi, librerie, ecc.
! IaaS (Infrastructure as a Service) : risorse hardware o
virtuali in remoto
2
2. Il Cloud (2)
Gli attori dei processi
Fornitore di servizi
Cliente amministratore
Cliente finale
3
Il Cloud (3)
Rischi per la sicurezza delle informazioni
! Accesso a dati personali e sensibili
! Spionaggio industriale
! Compromissione dell’integrità dei dati
Responsabili della sicurezza del cloud sono tutti gli attori dei processi
Sicurezza: cloud VS server locale
Accesso remoto
Accesso fisico
4
3. Standard ISO/IEC 27001(1)
Standard con l’obiettivo di proteggere le informazioni dalle
minacce, al fine di garantirne
! Integrità
! Riservatezza
! Disponibilità
Stabilisce dei controlli (alcuni facoltativi) a cui
l’organizzazione deve attenersi.
Si può richiedere una Certificazione ISO 27001.
La certificazione è VOLONTARIA.
La conformità alla ISO 27001 non solleva dal rispetto della
legge sulla Privacy.
SLA del fornitore dei servizi Cloud
5
Standard ISO/IEC 27001(2)
Temi trattati in questa sede
! Sicurezza fisica dell’ambiente di lavoro
! Classificazione e trattamento delle
informazioni
! Sicurezza degli accessi
! Gestione delle postazioni di lavoro
! Segnalazione e trattamento degli
incidenti di sicurezza
6
4. Ruoli, responsabilità, procedure
1. Stabilire ruoli
! Responsabile della sicurezza
! Amministratore di sistema
! Utente dei servizi
2. Esplicitare le responsabilità per
ogni ruolo
3. Attribuire formalmente i ruoli alle
persone
4. Scrivere procedure operative
7
Responsabile della sicurezza
è incaricato
! della definizione e della realizzazione
della politica di sicurezza aziendale
! di informare la direzione generale sui
rischi in materia di sicurezza informatica
! di raccogliere le segnalazioni e gestire
gli incidenti di sicurezza
8
5. Sicurezza fisica dell’ambiente di lavoro
! Controllo degli accessi fisici
! Regole comportamentali
! Protezione dei locali
CloudServer locale
9
Classificazione e trattamento delle
informazioni
Classificazione (esempio)
! di dominio pubblico
! ad uso interno
! riservato
Modalità di trattamento (esempio)
Trattamento Misure di sicurezza Di dominio
pubblico
Ad uso interno Riservato
Accesso di
“terze parti”
Nessuna restrizione x
Autorizzato previa firma di
impegno alla riservatezza
x
Vietato, salvo autorizzazione
formale della classificazione del
x x
10
6. Sicurezza degli accessi
! Identificazione degli utenti
! Aministrazione degli account e dei privilegi
! Revisione periodica di account e privilegi
! Gestione delle password
! Robustezza
! Scadenza
! Procedure di login sicuro
Server localeCloud
Dati sensibili > legge sulla privacy > 3 mesi
11
Utilizzo sicuro della postazione di lavoro
! Limitazione nell’uso e nell’installazione dei
programmi
! Utilizzo coscienzioso della posta elettronica
(phishing, apertura allegati sospetti, ecc.)
! Utilizzo di antivirus
! Utilizzo corretto e sicuro della rete internet (siti
vietati, memorizzazione delle password nel
browser, ecc)
! Accesso non autorizzato alla postazione di lavoro
(blocco dello schermo, ecc.)
CloudServer locale
12
7. Utilizzo sicuro della postazione di lavoro
! Limitazione nell’uso e nell’installazione dei
programmi
! Utilizzo coscienzioso della posta elettronica
(phishing, apertura allegati sospetti, ecc.)
! Utilizzo di antivirus
! Utilizzo corretto e sicuro della rete internet (siti
vietati, memorizzazione delle password nel
browser, ecc)
! Accesso non autorizzato alla postazione di lavoro
(blocco dello schermo, ecc.)
CloudServer locale
13
Segnalazione e trattamento degli incidenti
di sicurezza
! Segnalazione dell’incidente al responsabile
della sicurezza
! Registrazione formale dell’incidente
! Trattamento dell’incidente (ripristino e
applicazione contromisure)
! Analisi delle cause e responsabilità
dell’incidente
! Eventuale revisione delle politiche d sicurezza.
14