Erogazione di risorse informatiche disponibili on demand attraverso Internet. Presentazione sul Cloud a cura dell'Ing. Francesca Merighi

1. Sicurezza delle informazioni
Best practice per l’ambiente di lavoro remoto.
All’epoca del Cloud.
Ing. Francesca Merighi
Ordine degli ingegneri della provincia di Bologna
1
Il Cloud (1)
Erogazione di risorse informatiche disponibili on demand
attraverso Internet
! HaaS (Hardware as a Service): elaborazione remota dei
dati e restituzione dei risultati
! DaaS (Data as Service) : dati accessibili come fossero
residenti su un disco locale
! SaaS (Software as Service) : utilizzo di programmi
installati su un server remoto
! PaaS (Platform as a Service) : piattaforma software
costituita da servizi, programmi, librerie, ecc.
! IaaS (Infrastructure as a Service) : risorse hardware o
virtuali in remoto
2

2. Il Cloud (2)
Gli attori dei processi
Fornitore di servizi
Cliente amministratore
Cliente finale
3
Il Cloud (3)
Rischi per la sicurezza delle informazioni
! Accesso a dati personali e sensibili
! Spionaggio industriale
! Compromissione dell’integrità dei dati
Responsabili della sicurezza del cloud sono tutti gli attori dei processi
Sicurezza: cloud VS server locale
Accesso remoto
Accesso fisico
4

3. Standard ISO/IEC 27001(1)
Standard con l’obiettivo di proteggere le informazioni dalle
minacce, al fine di garantirne
! Integrità
! Riservatezza
! Disponibilità
Stabilisce dei controlli (alcuni facoltativi) a cui
l’organizzazione deve attenersi.
Si può richiedere una Certificazione ISO 27001.
La certificazione è VOLONTARIA.
La conformità alla ISO 27001 non solleva dal rispetto della
legge sulla Privacy.
SLA del fornitore dei servizi Cloud
5
Standard ISO/IEC 27001(2)
Temi trattati in questa sede
! Sicurezza fisica dell’ambiente di lavoro
! Classificazione e trattamento delle
informazioni
! Sicurezza degli accessi
! Gestione delle postazioni di lavoro
! Segnalazione e trattamento degli
incidenti di sicurezza
6

4. Ruoli, responsabilità, procedure
1. Stabilire ruoli
! Responsabile della sicurezza
! Amministratore di sistema
! Utente dei servizi
2. Esplicitare le responsabilità per
ogni ruolo
3. Attribuire formalmente i ruoli alle
persone
4. Scrivere procedure operative
7
Responsabile della sicurezza
è incaricato
! della definizione e della realizzazione
della politica di sicurezza aziendale
! di informare la direzione generale sui
rischi in materia di sicurezza informatica
! di raccogliere le segnalazioni e gestire
gli incidenti di sicurezza
8

5. Sicurezza fisica dell’ambiente di lavoro
! Controllo degli accessi fisici
! Regole comportamentali
! Protezione dei locali
CloudServer locale
9
Classificazione e trattamento delle
informazioni
Classificazione (esempio)
! di dominio pubblico
! ad uso interno
! riservato
Modalità di trattamento (esempio)
Trattamento Misure di sicurezza Di dominio
pubblico
Ad uso interno Riservato
Accesso di
“terze parti”
Nessuna restrizione x
Autorizzato previa firma di
impegno alla riservatezza
x
Vietato, salvo autorizzazione
formale della classificazione del
x x
10

6. Sicurezza degli accessi
! Identificazione degli utenti
! Aministrazione degli account e dei privilegi
! Revisione periodica di account e privilegi
! Gestione delle password
! Robustezza
! Scadenza
! Procedure di login sicuro
Server localeCloud
Dati sensibili > legge sulla privacy > 3 mesi
11
Utilizzo sicuro della postazione di lavoro
! Limitazione nell’uso e nell’installazione dei
programmi
! Utilizzo coscienzioso della posta elettronica
(phishing, apertura allegati sospetti, ecc.)
! Utilizzo di antivirus
! Utilizzo corretto e sicuro della rete internet (siti
vietati, memorizzazione delle password nel
browser, ecc)
! Accesso non autorizzato alla postazione di lavoro
(blocco dello schermo, ecc.)
CloudServer locale
12

7. Utilizzo sicuro della postazione di lavoro
! Limitazione nell’uso e nell’installazione dei
programmi
! Utilizzo coscienzioso della posta elettronica
(phishing, apertura allegati sospetti, ecc.)
! Utilizzo di antivirus
! Utilizzo corretto e sicuro della rete internet (siti
vietati, memorizzazione delle password nel
browser, ecc)
! Accesso non autorizzato alla postazione di lavoro
(blocco dello schermo, ecc.)
CloudServer locale
13
Segnalazione e trattamento degli incidenti
di sicurezza
! Segnalazione dell’incidente al responsabile
della sicurezza
! Registrazione formale dell’incidente
! Trattamento dell’incidente (ripristino e
applicazione contromisure)
! Analisi delle cause e responsabilità
dell’incidente
! Eventuale revisione delle politiche d sicurezza.
14