Cos'è un Audit? Come svolgere tale attività secondo la norma UNI 19011:2011 e come eseguire gli audit su Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma internazionale UNI CEI ISO/IEC 27001:2013. La ISO27001 definisce i requisiti per progettare, implementare, mantenere e migliorare un SGSI, ovvero per perseguire la Riservatezza, l’Integrità e la Disponibilità delle informazioni aziendali.
2. 2
Sylvio Verrecchia – IT Security Engineer
https://www.linkedin.com/in/sylvioverrecchia/
sylvio.verrecchia@peritoinformatico.it
3. 3
Atto mediante il quale una terza parte indipendente
dichiara che, con ragionevole attendibilità,
un determinato prodotto, processo o servizio
è conforme ad una specifica norma
o ad altro documento normativo
Certificazione
4. 4
fornisce le linee guida sugli audit di sistemi di gestione
(Rappresenta lo strumento di lavoro per gli auditor)
ISO 19011:2012
5. 5
Processo sistematico, indipendente e documentato
per ottenere evidenze dell’audit e valutarle con obiettività,
al fine di stabilire in quale misura i criteri dell’audit sono stati soddisfatti.
Evidenze dell’audit: registrazioni, dichiarazioni di fatti o altre informazioni,
che sono pertinenti ai criteri dell’audit e verificabili.
Criteri dell’audit: insieme di politiche, procedure o requisiti.
Cosa è un Audit?
6. 6
• Valutare il grado di conformità del sistema ai requisiti di riferimento.
• Valutare l'efficacia del sistema e la capacità di conseguire gli obiettivi stabiliti.
• Valutare se i criteri dell’audit sono stati soddisfatti.
Lo scopo dell’Audit
7. 7
Tipologie di Audit
AUDIT
AUDIT INTERNO AUDIT ESTERNO
RUOLO 1° PARTE 2° PARTE 3° PARTE
Committente
Organizzazione Cliente Ente Certificatore
(che richiede l'audit)
Valutando
se stessa Fornitore Azienda
(chi verificare)
Valutatore
Personale qualificato per eseguire l'audit
Effettuato
8. 8
Programma di Audit terza parte
Stage 1 1° Anno 2° Anno scadenzaStage 2
Riesame
documentazione
Attività in campo Certificazione Sorveglianza Sorveglianza Rinnovo
9. 9
Struttura ISO 19011:2012
1 SCOPO E CAMPO DI APPLICAZIONE
(SG Qualità ISO9001, SG Servizi IT ISO20000, SGSI ISO27001 , SG Continuità Operativa ISO 22301)
2 RIFERIMENTI NORMATIVI
3 TERMINI E DEFINIZIONI
4 PRINCIPI DELL’ATTIVITÀ DI AUDIT
5 GESTIONE D UN PROGRAMMA DI AUDIT
(obiettivi del programma e coordinamento attività di audit)
6 SVOLGIMENTO DI UN AUDIT
(pianificazione e conduzione di un audit sui SG) > APP. B
7 COMPETENZA E VALUTAZONE DEGLI AUDITOR
(guida per la valutazione della competenza) > APP. A
APP A - GUIDA ED ESEMPI ILLUSTRATIVI DI CONOSCENZE E ABILITÀ DEGLI AUDITOR PER
SPECIFICHE DISCIPLINE
APP B - GUIDA AGGIUNTIVA DESTINATA AGLI AUDITOR PER PIANIFICARE E CONDURRE AUDIT
10. 10
Svolgimento di un audit
6.1 Generalità
6.2 Avvio dell’audit (presa contatto, fattibilità audit)
6.3 Preparazione delle attività di audit (riesame documenti, preparazione piano
audit, assegnazione compiti, preparazione documenti di lavoro)
6.4 Conduzione delle attività di audit (riunione apertura, assegnazione ruoli e
responsabilità ai componenti del gruppo, raccolte e verifiche delle informazioni,
produzione risultanze, preparazione conclusioni, riunione chiusura)
6.5 Preparazione e distribuzione del rapporto di audit
6.6 Chiusura dell’audit (tutte le attività del piano di audit sono state attuate
ed il rapporto approvato e distribuito)
6.7 Conduzione di azioni conseguenti all’audit
(eventuali consigli per mettersi a norma
oppure azioni correttive e di miglioramento del SGSI)
11. 11
Raccolta di informazioni
Le fonti di informazioni possono variare con il campo dell’audit:
• Interviste con impiegati o altre persone;
• Osservazioni delle attività;
• Riesame dei documenti (politica, procedure, obiettivi, …);
• Registrazioni vari (resoconti riunioni, rapporto di audit,
ispezioni, risultati di misurazioni, …);
• Riassunti di dati, analisi ed indicatori di prestazioni;
• Solo le informazioni verificabili possono costituire
evidenze dell’audit ed essere registrate.
Fonti d’informazioni
Raccolta a campione
Evidenze
Valutazione rispetto ai criteri
Risultanze
Riesame
Conclusione
12. 12
• Sottoporre a verifiche la documentazione del SG del cliente;
• Riesaminare lo stato e comprensione del Cliente riguardo i requisiti
(processi, obiettivi e funzionamento del Sistema di Gestione);
• Raccogliere informazioni riguardanti il campo di applicazione del SG, i processi, le sedi,
gli aspetti legali;
• Riesaminare l’assegnazione delle risorse e concordare con il Cliente i dettagli della fase 2;
• Valutare se gli audit interni siano stati pianificati ed eseguiti e che il livello di attuazione
del SG fornisca l’evidenza che il Cliente è pronto per la fase 2.
Il riesame è svolto, prima dello svolgimento dell’audit, per verificare che la documentazione
sia adeguata agli obiettivi ed al campo dell’audit.
Le risultanze devono essere documentate e comunicate al Cliente.
Eventuale inadeguatezza potrebbe essere classificata, nella fase 2,
come una “NON CONFORMITA’”.
Il Responsabile del Gruppo di Audit potrebbe decidere
se continuare o sospendere l’audit fino a che le perplessità
sulla documentazione siano state risolte.
Stage 1
13. 13
Valutare l’attuazione e l’efficacia del Sistema di Gestione del Cliente.
Nel Sistema di Gestione per la Sicurezza delle Informazioni, si andrà a focalizzarsi:
• Informazioni ed evidenze circa la conformità dei requisiti;
• Valutazione dei rischi riferiti alla sicurezza delle informazioni;
• Selezione di Controlli e degli Obiettivi di Controllo basati sui processi di valutazione e
trattamento del rischio;
• Riesame delle prestazioni del SGSI e delle misure delle stesse;
• Verifiche interne dell’SGSI e riesame della direzione;
• Responsabilità (Risk Owner) e competenza del personale;
• La corrispondenza fra i Controlli applicabili ed applicati,
la Dichiarazione di Applicabilità (SOA), i risultati del processo
di valutazione e trattamento del rischio, la Politica e gli Obiettivi dell’SGSI.
Stage 2
14. 14
“L’informazione è una risorsa che, al pari di altri beni
che costituiscono il patrimonio di un’azienda,
rappresenta un valore per l’organizzazione e
necessita pertanto di essere adeguatamente protetto”
ISO/IEC 27002:2005
ISO 27001:2013
15. 15
• La ISO27001 definisce i requisiti per progettare, implementare, mantenere e migliorare un Sistema di Gestione
per la Sicurezza delle Informazioni (SGSI), ovvero per perseguire la Riservatezza, l’Integrità e la Disponibilità delle
informazioni aziendali;
• Sono norme emesse dalla ISO (International Organisation for Standardization);
• Specificano un modello di sistema di gestione valido per tutte le organizzazioni, indipendentemente dal tipo e
dimensione delle stesse e dei prodotti/servizi forniti. Va quindi adattato alla specifica realtà;
• Approccio ciclico (PDCA), rivolto al miglioramento continuo;
• Possono essere utilizzate per uso interno, per scopi contrattuali e di certificazione;
• Dicono cosa fare, non come farlo. Ambito definibile a piacimento. Struttura ad alto livello.
• Forniscono i requisiti minimi per attuare un Sistema di Gestione per la Sicurezza delle Informazioni.
ISO 27001:2013
ISO/IEC 27001:2013 (Sistemi di gestione per la sicurezza delle informazioni - Requisiti )
ISO/IEC 27002:2013 (Raccolta di prassi sui controlli per la sicurezza delle informazioni )
ISO/IEC 27005:2011 (Information Security Risk Management)
19. 19
Ciclo di Deming - PDCA
Il modello PDCA (Plan, Do, Check, Act) è una metodologia tale da garantire il miglioramento continuo dei processi:
PLAN = la pianificazione, dire ciò che si fa;
DO = la realizzazione, fare ciò che si è detto;
CHECK = il controllo e la misurazione,
registrare ciò che si è fatto;
ACT = l’applicazione delle migliorie individuate,
verificare e mettere a sistema.
Questo ciclo prescrive una fase di consolidamento per ogni miglioramento affinché l'organizzazione possa assimilare
le nuove procedure.
21. 21
ISO 27001:2013 - Documenti
Richiesta la comprensione del contesto interno ed esterno dell’organizzazione,
nonché l’identificazione degli stakeholder e delle loro aspettative .
• Campo di applicazione
Assicurare le risorse necessarie; Integrare SGSI nell’Organizzazione; Supportare il personale interno;
Definire gli obiettivi ; Definizione della politica di sicurezza delle informazioni; La politica deve essere comunicata
e resa disponibile; Promuovere il miglioramento continuo; Definire ruoli e responsabilità.
• Politica di sicurezza (Information Security Policy)
22. 22
ISO 27001:2013 - Documenti
Risk assessment non più esplicitamente legato ad asset, minacce e vulnerabilità.
– Si chiede di identificare i rischi relativi alla sicurezza delle informazioni e
associati alla perdita di riservatezza, integrità e disponibilità;
– Identificazione, analisi, valutazione e trattamento del rischio sono nel
planning perché contribuiscono alla pianificazione del sistema di gestione
per la sicurezza delle informazioni;
– Il metodo deve sempre garantire la coerenza, validità e comparabilità dei risultati;
– Approvazione del rischio accettabile;
Si chiede di identificare i “risk owner”.
Rimangono l’Annex A e lo SoA (inclusione ed esclusione dei controlli).
Più dettagli su come stabilire gli obiettivi del sistema di gestione
(in accordo con la sec. policy, misurabili, basati sul rischio, comunicati e aggiornati).
• Metodologia Valutazione del rischio (Risk assessment process)
• Piano trattamento del rischio (Risk treatment process)
• Stato di applicabilità (SOA)
• Obiettivi di sicurezza (Security objectives)
23. 23
ISO 27001:2013 - Documenti
Riguarda le risorse, le risorse umane, la comunicazione e le informazioni documentate.
- Maggiore rilievo alla preparazione ed alla consapevolezza del personale
(education, training, expertise)
- Più dettagli su come devono essere affrontate le comunicazioni
- Rimangono le modalità di gestione dei documenti
(available, suitable, updated, protected, external documents)
• Competenze del personale coinvolto (Evidence of competence)
Si richiama il punto 6 per la pianificazione, implementazione e controllo dei processi
necessari al raggiungimento degli obiettivi di sicurezza (6.1 e 6.2)
• Risultati valutazione del rischio (Risk assessment results)
• Risultati trattamento del rischio (Result of information security risk treatment )
24. 24
ISO 27001:2013 - Documenti
Tratta il:
– monitoraggio, misurazioni, analisi e valutazione delle perforrmances
– audit interni
– riesame di Direzione
• Attività di monitoraggio e misurazione (Evidence of monitoring and measurements)
• Attività audit interni (Evidence of audit programme and results)
• Riesame della direzione (Evidence of results of management reviews)
Riguarda: non conformità, azioni correttive e miglioramento continuo
• Gestione delle Non Conformità (Nature and actions resulting from NC)
• Gestione delle Azioni Correttive (Results of corrective actions)
26. 26
ISO 27001:2013 - Annex A
La ISO 27001 definisce ed elenca una serie di 114 controlli da attuare per limitare il rischio,
divisi in famiglie:
• La politica e l'organizzazione per la sicurezza delle informazioni
• La sicurezza delle risorse umane
• La gestione dei beni
• Il controllo degli accessi fisici e logici
• La crittografia
• La sicurezza fisica e ambientale
• La sicurezza delle attività operative e delle comunicazioni
• Sicurezza dei sistemi informativi
• Relazioni con i fornitori
• La gestione del monitoraggio e trattamento degli incidenti
• La gestione della Business Continuity e il rispetto normativo
27. 27
Analisi del rischio ISO 27001:2013
Il vero "motore" della ISO/IEC 27001 è il processo di gestione del rischio relativo alla
sicurezza delle informazioni.
Uno dei modi più diretti per effettuare un "trattamento del rischio" è quello di ridurlo
ad un livello accettabile adottando dei controlli di sicurezza, dei quali la 27002 può
essere considerata come un esteso catalogo.
28. 28
Fornisce linee guida generali per la per la gestione del
rischio in una organizzazione, con particolare attenzione a
quelle che hanno realizzato un SGSI conforme ai requisiti
della 27001. Definisce gli step da seguire per una corretta
gestione del rischio inerente la sicurezza delle informazioni.
ISO 27005:2011
-Identificazione del Rischio
- individuazione degli assets da proteggere;
- minacce;
- vulnerabilità;
- impatti in termini di perdita di Riservatezza,
Integrità e Disponibilità delle informazioni.
- Valutazione del Rischio
- danni;
- probabilità;
- stima del livello dei rischi.
- Trattamento del Rischio
- accettare il rischio;
- ridurre il rischio utilizzando contromisure;
- trasferire il rischio;
- evitare il rischio.