SlideShare ist ein Scribd-Unternehmen logo

Security summit2015 evoluzione della sicurezza inail- v06

Pietro Monti
Pietro Monti

L’evoluzione della sicurezza delle informazioni: da supporto alle operazioni IT a componente dei processi di business La RoadMap della Sicurezza ICT in INAIL

Technologie
1 von 15
Downloaden Sie, um offline zu lesen
Roma Security Summit, 11 Giugno 2015 Pietro Monti Responsabile dell’Ufficio Audit IT della DOCD INAIL
DCOD Il Modello di Sicurezza INAIL nasce storicamente con un approccio service oriented per soddisfare le esigenze fondamentali in termini di protezione dei dati, dell’infrastruttura e dei servizi applicativi e on demand le esigenze specifiche dei singoli processi IT. Fino allo scorso anno all’interno della DCOD era presente un unico ufficio che accentrava la gestione di tutte le tematiche inerenti la sicurezza (organizzative, tecnologiche, di verifica, di erogazione dei servizi di sicurezza, di studio e implementazione di nuove soluzioni). 2 Un nuovo modello di Gestione della Sicurezza
DCOD Il nuovo modello, di derivazione ITIL, tende a una definizione di processi IT «intrinsecamente sicuri», caratterizzati dall’integrazione degli aspetti di sicurezza nelle varie attività in cui sono articolati. 3 Il nuovo Modello Un aspetto fondamentale per il raggiungimento degli obiettivi è il coinvolgimento e la responsabilizzazione in termini di sicurezza di tutti gli uffici. DATI APPLICAZIONI SISTEMI INFRASTRUTTURA
DCOD Lo scorso anno la riorganizzazione di DCOD ha aggiunto un importante tassello in ottica di conformità alla ISO 27001. In particolare è stato istituito un Comitato per i Rischi e Sicurezza e sono stati definiti e ratificati i Ruoli e le Responsabilità di sicurezza, separando i compiti di chi pianifica, chi implementa e chi verifica, in linea con il ciclo virtuoso di miglioramento continuo che costituisce le fondamenta dello standard. 4 Lo scorso anno…..la riorganizzazzione
DCOD 5 Organigramma delle funzioni di sicurezza Responsabile della Sicurezza Uff I Uff II Uff X Security Governance AUDIT SOC CERT Continuità Operativa Comitato Rischi e Sicurezza …
DCOD 6 Schema di Riferimento Governo Sicurezza Continuità Operativa Sistema di Autent. e Autoriz. Test di sicurezza SOC Security Operations Tecnologie e Servizi di Base Log Management Comitato Rischi e Sicurezza Responsabile della Sicurezza DATI APPLICAZIONI SISTEMI INFRASTRUTTURA AuditCERT Mascheramento Dati, Cifratura, Tracciatura Applicativa, Reverse Proxy,…
DCOD La definizione dei piani e delle azioni di governance si basa su un processo di elaborazione dei feedback provenienti da tutti gli attori della DCOD in relazione allo scenario tecnologico e normativo di riferimento. 7 Esigenze • Analisi dei Rischi di Sicurezza • Verifiche di conformità • Audit • Evoluzioni normative • Nuove Tecnologie • ecc. • Incidenti di sicurezza • Vulnerability Assessment • ecc. • Log e Report Tecnici • Log e Report Tecnici • Log e Report Tecnici Individuazione delle aree di maggiore scopertura del sistema di gestione della sicurezza informatica
DCOD Sulla base delle esigenze individuate si definiscono le strategie e gli indirizzi, propagandoli sull’operatività attraverso Politiche, Linee Guida o proposte progettuali. Le strutture operative disegnano e implementano le soluzioni necessarie al raggiungimento della conformità 8 Obiettivi & Implementazione DATI APPLICAZIONI SISTEMI INFRASTRUTTURA Strategie ed indirizzi di sicurezza (es: Policy, Linee Guida, Programmi di Audit, …) Disegno ed Implementazione (es: progetti, specifiche, product selection, implementazione HW / SW, …)
DCOD L’efficacia e la conformità del Sistema di Gestione della Sicurezza Informatica è puntualmente soggetta a verifica. I risultati confluiranno nuovamente nella fase di rilevazione delle esigenze, alimentando il ciclo virtuoso di miglioramento continuo. 9 Controllo DATI APPLICAZIONI SISTEMI INFRASTRUTTURA Meccanismi di retroazione (es: audit, report di VA/PT, Piani di Trattamento, SAL, KPI, …)
DCOD 10 Controllo e misurazioni  Il modello implementa una separazioni dei ruoli;  La compliance è non solo richiesta ed implementata ma anche verificata;  Per verificare l’efficacia delle soluzioni implementate si definiscono già a livello di progetto gli elementi di misurazione necessari.  La pianificazione dettagliata delle attività di rientro è da considerarsi essa stessa una contromisura;  La maggior parte delle azioni di rientro identificate nel primo periodo non richiede particolari investimenti economici.
DCOD 11 Security assessment  La DCOD ha intrapreso un'attività di verifica (assessment di terza parte) finalizzata a valutare, nell’ambito della propria Organizzazione, il livello di maturità e di implementazione del Sistema di Gestione della Sicurezza delle Informazioni con particolare riguardo allo stato di attuazione ed all’efficacia dei controlli di sicurezza (secondo norma ISO/IEC 27001:2013) • Tale attività di assessment ha lo scopo di: ◦ stabilire il livello attuale di efficacia delle misure di sicurezza logiche ed organizzative ◦ individuare gli eventuali ambiti di miglioramento ◦ suggerire gli opportuni piani di rientro laddove le condizioni lo richiedano
DCOD 12 L’importanza della Comunicazione L’esigenza di awareness (consapevolezza) è emersa in fase di audit – La nostra risposta è stata un’intensificazione delle azioni di comunicazione e condivisione in tema di sicurezza: pannelli, newsletter, canale web tematico nella intranet, gruppo Facebook interno ….
DCOD 13 Considerazioni In questo modello la sicurezza è davvero frutto di un approccio sistemico. Tutto e tutti contribuiscono: organizzazione, consapevolezza, qualità delle persone, delle forniture e dei prodotti, robustezza delle soluzioni, tecnologia, semplificazione architetturale. La criticità sta nella capacità di «essere e sentirsi pronti», nella Cyber Resilience, nella convergenza dei diversi elementi: compliance, cyber security, risk management, intelligence, crisis management, information sharing. La cura e l’attenzione della sicurezza non sono solo un obbligo di legge per una Istituzione Pubblica ma rappresentano un dovere morale nei confronti di aziende e infortunati (interessati dei dati). Nessuna evoluzione è pensabile senza la loro fiducia.
DCOD 14 Considerazioni Lo sforzo che la DCOD si propone di fare è quello di far diventare tutti «gestori del rischio», che significa: ◦ conoscere e capire il contesto nel quale si opera; ◦ conoscere e capire le ripercussioni delle proprie azioni; ◦ saper operare «in sicurezza» anche in assenza di una norma di riferimento o di una politica specifica; ◦ contribuire ad alimentare il ciclo virtuoso di miglioramento continuo: esigenze /obiettivi – implementazione – controllo/misurazione, specializzando sempre più l’assessment delle esigenze così da individuare le scoperture meno evidenti e mantenere il passo della sicurezza allineato a quello delle evoluzioni tecnologiche.
DCOD Fine p.monti@inail.it 15 "La sicurezza non è un prodotto, è un processo. Inoltre non è solo un problema di tecnologia, bensì di persone e gestione” Bruce Schneier

Empfohlen

L'organizzazione digitale in cammino verso il futuro
L'organizzazione digitale in cammino verso il futuroL'organizzazione digitale in cammino verso il futuro
L'organizzazione digitale in cammino verso il futuroAICQ Comitato Qualità del Software e Servizi ICT
 
SIEM visione complessiva
SIEM visione complessivaSIEM visione complessiva
SIEM visione complessivaSergio Leoni
 
Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e reteLuca Moroni ✔✔
 
IT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementIT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementDFLABS SRL
 
Go2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo BarghiniGo2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo BarghiniAFB Net
 
Go2Tec - Sicurezza e protezione dei dati aziendali - Riccardo Barghini
Go2Tec - Sicurezza e protezione dei dati aziendali - Riccardo BarghiniGo2Tec - Sicurezza e protezione dei dati aziendali - Riccardo Barghini
Go2Tec - Sicurezza e protezione dei dati aziendali - Riccardo BarghiniAFB Net
 
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudScegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudLuca Moroni ✔✔
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDIALOGHI
 

Empfohlen

L'organizzazione digitale in cammino verso il futuro
L'organizzazione digitale in cammino verso il futuroL'organizzazione digitale in cammino verso il futuro
L'organizzazione digitale in cammino verso il futuroAICQ Comitato Qualità del Software e Servizi ICT
 
SIEM visione complessiva
SIEM visione complessivaSIEM visione complessiva
SIEM visione complessivaSergio Leoni
 
Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e reteLuca Moroni ✔✔
 
IT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementIT GRC, Soluzioni Risk Management
IT GRC, Soluzioni Risk ManagementDFLABS SRL
 
Go2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo BarghiniGo2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo BarghiniAFB Net
 
Go2Tec - Sicurezza e protezione dei dati aziendali - Riccardo Barghini
Go2Tec - Sicurezza e protezione dei dati aziendali - Riccardo BarghiniGo2Tec - Sicurezza e protezione dei dati aziendali - Riccardo Barghini
Go2Tec - Sicurezza e protezione dei dati aziendali - Riccardo BarghiniAFB Net
 
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudScegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudLuca Moroni ✔✔
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDIALOGHI
 
The AvantGarde Group @ BCI Italian Forum Meeting
The AvantGarde Group @ BCI Italian Forum MeetingThe AvantGarde Group @ BCI Italian Forum Meeting
The AvantGarde Group @ BCI Italian Forum MeetingPANTA RAY
 
DabSI @ BCI Italian Forum Meeting
DabSI @ BCI Italian Forum MeetingDabSI @ BCI Italian Forum Meeting
DabSI @ BCI Italian Forum MeetingPANTA RAY
 
Progettazione ed installazione impianti di sicurezza - iso 9001
Progettazione ed installazione impianti di sicurezza - iso 9001Progettazione ed installazione impianti di sicurezza - iso 9001
Progettazione ed installazione impianti di sicurezza - iso 9001Gis srl
 
Caso 3
Caso 3Caso 3
Caso 3Luca Moroni ✔✔
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict securityLuca Moroni ✔✔
 
Effect Based Security
Effect Based SecurityEffect Based Security
Effect Based SecurityECappelli
 
Italgo Information Security Governance
Italgo Information Security GovernanceItalgo Information Security Governance
Italgo Information Security GovernanceGianandrea Daverio
 
IT Governance
IT GovernanceIT Governance
IT GovernanceCristiano Di Paolo
 
Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityVilma Pozzi
 
Sicurezza delle Informazioni
Sicurezza delle InformazioniSicurezza delle Informazioni
Sicurezza delle Informazioniluca menini
 
Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations CenterSylvio Verrecchia - IT Security Engineer
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic srl
 
Premio Forum PA - IPZS - BC/DR e CypSec
Premio Forum PA - IPZS - BC/DR e CypSecPremio Forum PA - IPZS - BC/DR e CypSec
Premio Forum PA - IPZS - BC/DR e CypSecMaurizio Quattrociocchi
 
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)ciii_inginf
 
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...BL4CKSWAN Srl
 
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019BL4CKSWAN Srl
 
Grumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptx
Grumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptxGrumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptx
Grumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptxUNI - Ente Italiano di Normazione
 
La Nuova Security
La Nuova SecurityLa Nuova Security
La Nuova SecurityFrancesco Tusino
 
Last Pw Siem 2
Last Pw Siem 2Last Pw Siem 2
Last Pw Siem 2Pierluigi Sartori
 
Cybersecurity 4.0
Cybersecurity 4.0Cybersecurity 4.0
Cybersecurity 4.0Giuseppe Ieva
 
Gestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIGestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIStefano Bendandi
 
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber SecurityEnrico Memmo
 

Weitere ähnliche Inhalte

Was ist angesagt?

The AvantGarde Group @ BCI Italian Forum Meeting
The AvantGarde Group @ BCI Italian Forum MeetingThe AvantGarde Group @ BCI Italian Forum Meeting
The AvantGarde Group @ BCI Italian Forum MeetingPANTA RAY
 
DabSI @ BCI Italian Forum Meeting
DabSI @ BCI Italian Forum MeetingDabSI @ BCI Italian Forum Meeting
DabSI @ BCI Italian Forum MeetingPANTA RAY
 
Progettazione ed installazione impianti di sicurezza - iso 9001
Progettazione ed installazione impianti di sicurezza - iso 9001Progettazione ed installazione impianti di sicurezza - iso 9001
Progettazione ed installazione impianti di sicurezza - iso 9001Gis srl
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict securityLuca Moroni ✔✔
 
Effect Based Security
Effect Based SecurityEffect Based Security
Effect Based SecurityECappelli
 
Italgo Information Security Governance
Italgo Information Security GovernanceItalgo Information Security Governance
Italgo Information Security GovernanceGianandrea Daverio
 
Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityVilma Pozzi
 
Sicurezza delle Informazioni
Sicurezza delle InformazioniSicurezza delle Informazioni
Sicurezza delle Informazioniluca menini
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic srl
 
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)ciii_inginf
 
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...BL4CKSWAN Srl
 
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019BL4CKSWAN Srl
 

Was ist angesagt? (16)

The AvantGarde Group @ BCI Italian Forum Meeting
The AvantGarde Group @ BCI Italian Forum MeetingThe AvantGarde Group @ BCI Italian Forum Meeting
The AvantGarde Group @ BCI Italian Forum Meeting
 
DabSI @ BCI Italian Forum Meeting
DabSI @ BCI Italian Forum MeetingDabSI @ BCI Italian Forum Meeting
DabSI @ BCI Italian Forum Meeting
 
Progettazione ed installazione impianti di sicurezza - iso 9001
Progettazione ed installazione impianti di sicurezza - iso 9001Progettazione ed installazione impianti di sicurezza - iso 9001
Progettazione ed installazione impianti di sicurezza - iso 9001
 
Caso 3
Caso 3Caso 3
Caso 3
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict security
 
Effect Based Security
Effect Based SecurityEffect Based Security
Effect Based Security
 
Italgo Information Security Governance
Italgo Information Security GovernanceItalgo Information Security Governance
Italgo Information Security Governance
 
IT Governance
IT GovernanceIT Governance
IT Governance
 
Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber Security
 
Sicurezza delle Informazioni
Sicurezza delle InformazioniSicurezza delle Informazioni
Sicurezza delle Informazioni
 
Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations Center
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship Presentation
 
Premio Forum PA - IPZS - BC/DR e CypSec
Premio Forum PA - IPZS - BC/DR e CypSecPremio Forum PA - IPZS - BC/DR e CypSec
Premio Forum PA - IPZS - BC/DR e CypSec
 
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)
La Sicurezza nei Sistemi di Supervisione e Controllo degli Impianti (SCADA)
 
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
 
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
 

Ähnlich wie Security summit2015 evoluzione della sicurezza inail- v06

Gestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIGestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIStefano Bendandi
 
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber SecurityEnrico Memmo
 
Managed Security Services vs In house management
Managed Security Services vs In house managementManaged Security Services vs In house management
Managed Security Services vs In house managementPierluigi Sartori
 
iDialoghi - Social Media Security Management
iDialoghi - Social Media Security Management iDialoghi - Social Media Security Management
iDialoghi - Social Media Security Management iDIALOGHI
 
Italia cybersecury framework
Italia cybersecury frameworkItalia cybersecury framework
Italia cybersecury frameworkmariodalco
 
Webinar sicurezza nei social network
Webinar sicurezza nei social networkWebinar sicurezza nei social network
Webinar sicurezza nei social networkMatteo Barberi
 
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...walk2talk srl
 
TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115Elena Vaciago
 
Imhotep presentazione v.1.1
Imhotep presentazione v.1.1Imhotep presentazione v.1.1
Imhotep presentazione v.1.1Alfredo Visconti
 
Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...
Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...
Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...TheBCI
 
La consulenza, fattore che abilita la trasformazione digitale della Pubblica ...
La consulenza, fattore che abilita la trasformazione digitale della Pubblica ...La consulenza, fattore che abilita la trasformazione digitale della Pubblica ...
La consulenza, fattore che abilita la trasformazione digitale della Pubblica ...Redazione InnovaPuglia
 
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Simone Onofri
 
Sicurezza, verifica e ottimizzazione dei sistemi e dei processi
Sicurezza, verifica e ottimizzazione dei sistemi e dei processiSicurezza, verifica e ottimizzazione dei sistemi e dei processi
Sicurezza, verifica e ottimizzazione dei sistemi e dei processiToscana Open Research
 

Ähnlich wie Security summit2015 evoluzione della sicurezza inail- v06 (20)

Grumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptx
Grumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptxGrumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptx
Grumelli UNI.AIAS.EPC_31gennaio2024 - Dussmann v3.pptx
 
La Nuova Security
La Nuova SecurityLa Nuova Security
La Nuova Security
 
Last Pw Siem 2
Last Pw Siem 2Last Pw Siem 2
Last Pw Siem 2
 
Cybersecurity 4.0
Cybersecurity 4.0Cybersecurity 4.0
Cybersecurity 4.0
 
Gestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIGestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMI
 
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber Security
 
Managed Security Services vs In house management
Managed Security Services vs In house managementManaged Security Services vs In house management
Managed Security Services vs In house management
 
iDialoghi - Social Media Security Management
iDialoghi - Social Media Security Management iDialoghi - Social Media Security Management
iDialoghi - Social Media Security Management
 
NEW_MEDIA_130715
NEW_MEDIA_130715NEW_MEDIA_130715
NEW_MEDIA_130715
 
Italia cybersecury framework
Italia cybersecury frameworkItalia cybersecury framework
Italia cybersecury framework
 
Webinar sicurezza nei social network
Webinar sicurezza nei social networkWebinar sicurezza nei social network
Webinar sicurezza nei social network
 
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
 
TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115TIGPaper_Compliance e Cybersecurity -210115
TIGPaper_Compliance e Cybersecurity -210115
 
Imhotep presentazione v.1.1
Imhotep presentazione v.1.1Imhotep presentazione v.1.1
Imhotep presentazione v.1.1
 
Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...
Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...
Bci italy conf 17 3 roberto baldoni - cyber resilience un fattore critico d...
 
La consulenza, fattore che abilita la trasformazione digitale della Pubblica ...
La consulenza, fattore che abilita la trasformazione digitale della Pubblica ...La consulenza, fattore che abilita la trasformazione digitale della Pubblica ...
La consulenza, fattore che abilita la trasformazione digitale della Pubblica ...
 
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
 
Futuro qualita v1
Futuro qualita v1Futuro qualita v1
Futuro qualita v1
 
Presentazione Marras.pptx
Presentazione Marras.pptxPresentazione Marras.pptx
Presentazione Marras.pptx
 
Sicurezza, verifica e ottimizzazione dei sistemi e dei processi
Sicurezza, verifica e ottimizzazione dei sistemi e dei processiSicurezza, verifica e ottimizzazione dei sistemi e dei processi
Sicurezza, verifica e ottimizzazione dei sistemi e dei processi
 

Security summit2015 evoluzione della sicurezza inail- v06

  • 1. Roma Security Summit, 11 Giugno 2015 Pietro Monti Responsabile dell’Ufficio Audit IT della DOCD INAIL
  • 2. DCOD Il Modello di Sicurezza INAIL nasce storicamente con un approccio service oriented per soddisfare le esigenze fondamentali in termini di protezione dei dati, dell’infrastruttura e dei servizi applicativi e on demand le esigenze specifiche dei singoli processi IT. Fino allo scorso anno all’interno della DCOD era presente un unico ufficio che accentrava la gestione di tutte le tematiche inerenti la sicurezza (organizzative, tecnologiche, di verifica, di erogazione dei servizi di sicurezza, di studio e implementazione di nuove soluzioni). 2 Un nuovo modello di Gestione della Sicurezza
  • 3. DCOD Il nuovo modello, di derivazione ITIL, tende a una definizione di processi IT «intrinsecamente sicuri», caratterizzati dall’integrazione degli aspetti di sicurezza nelle varie attività in cui sono articolati. 3 Il nuovo Modello Un aspetto fondamentale per il raggiungimento degli obiettivi è il coinvolgimento e la responsabilizzazione in termini di sicurezza di tutti gli uffici. DATI APPLICAZIONI SISTEMI INFRASTRUTTURA
  • 4. DCOD Lo scorso anno la riorganizzazione di DCOD ha aggiunto un importante tassello in ottica di conformità alla ISO 27001. In particolare è stato istituito un Comitato per i Rischi e Sicurezza e sono stati definiti e ratificati i Ruoli e le Responsabilità di sicurezza, separando i compiti di chi pianifica, chi implementa e chi verifica, in linea con il ciclo virtuoso di miglioramento continuo che costituisce le fondamenta dello standard. 4 Lo scorso anno…..la riorganizzazzione
  • 5. DCOD 5 Organigramma delle funzioni di sicurezza Responsabile della Sicurezza Uff I Uff II Uff X Security Governance AUDIT SOC CERT Continuità Operativa Comitato Rischi e Sicurezza …
  • 6. DCOD 6 Schema di Riferimento Governo Sicurezza Continuità Operativa Sistema di Autent. e Autoriz. Test di sicurezza SOC Security Operations Tecnologie e Servizi di Base Log Management Comitato Rischi e Sicurezza Responsabile della Sicurezza DATI APPLICAZIONI SISTEMI INFRASTRUTTURA AuditCERT Mascheramento Dati, Cifratura, Tracciatura Applicativa, Reverse Proxy,…
  • 7. DCOD La definizione dei piani e delle azioni di governance si basa su un processo di elaborazione dei feedback provenienti da tutti gli attori della DCOD in relazione allo scenario tecnologico e normativo di riferimento. 7 Esigenze • Analisi dei Rischi di Sicurezza • Verifiche di conformità • Audit • Evoluzioni normative • Nuove Tecnologie • ecc. • Incidenti di sicurezza • Vulnerability Assessment • ecc. • Log e Report Tecnici • Log e Report Tecnici • Log e Report Tecnici Individuazione delle aree di maggiore scopertura del sistema di gestione della sicurezza informatica
  • 8. DCOD Sulla base delle esigenze individuate si definiscono le strategie e gli indirizzi, propagandoli sull’operatività attraverso Politiche, Linee Guida o proposte progettuali. Le strutture operative disegnano e implementano le soluzioni necessarie al raggiungimento della conformità 8 Obiettivi & Implementazione DATI APPLICAZIONI SISTEMI INFRASTRUTTURA Strategie ed indirizzi di sicurezza (es: Policy, Linee Guida, Programmi di Audit, …) Disegno ed Implementazione (es: progetti, specifiche, product selection, implementazione HW / SW, …)
  • 9. DCOD L’efficacia e la conformità del Sistema di Gestione della Sicurezza Informatica è puntualmente soggetta a verifica. I risultati confluiranno nuovamente nella fase di rilevazione delle esigenze, alimentando il ciclo virtuoso di miglioramento continuo. 9 Controllo DATI APPLICAZIONI SISTEMI INFRASTRUTTURA Meccanismi di retroazione (es: audit, report di VA/PT, Piani di Trattamento, SAL, KPI, …)
  • 10. DCOD 10 Controllo e misurazioni  Il modello implementa una separazioni dei ruoli;  La compliance è non solo richiesta ed implementata ma anche verificata;  Per verificare l’efficacia delle soluzioni implementate si definiscono già a livello di progetto gli elementi di misurazione necessari.  La pianificazione dettagliata delle attività di rientro è da considerarsi essa stessa una contromisura;  La maggior parte delle azioni di rientro identificate nel primo periodo non richiede particolari investimenti economici.
  • 11. DCOD 11 Security assessment  La DCOD ha intrapreso un'attività di verifica (assessment di terza parte) finalizzata a valutare, nell’ambito della propria Organizzazione, il livello di maturità e di implementazione del Sistema di Gestione della Sicurezza delle Informazioni con particolare riguardo allo stato di attuazione ed all’efficacia dei controlli di sicurezza (secondo norma ISO/IEC 27001:2013) • Tale attività di assessment ha lo scopo di: ◦ stabilire il livello attuale di efficacia delle misure di sicurezza logiche ed organizzative ◦ individuare gli eventuali ambiti di miglioramento ◦ suggerire gli opportuni piani di rientro laddove le condizioni lo richiedano
  • 12. DCOD 12 L’importanza della Comunicazione L’esigenza di awareness (consapevolezza) è emersa in fase di audit – La nostra risposta è stata un’intensificazione delle azioni di comunicazione e condivisione in tema di sicurezza: pannelli, newsletter, canale web tematico nella intranet, gruppo Facebook interno ….
  • 13. DCOD 13 Considerazioni In questo modello la sicurezza è davvero frutto di un approccio sistemico. Tutto e tutti contribuiscono: organizzazione, consapevolezza, qualità delle persone, delle forniture e dei prodotti, robustezza delle soluzioni, tecnologia, semplificazione architetturale. La criticità sta nella capacità di «essere e sentirsi pronti», nella Cyber Resilience, nella convergenza dei diversi elementi: compliance, cyber security, risk management, intelligence, crisis management, information sharing. La cura e l’attenzione della sicurezza non sono solo un obbligo di legge per una Istituzione Pubblica ma rappresentano un dovere morale nei confronti di aziende e infortunati (interessati dei dati). Nessuna evoluzione è pensabile senza la loro fiducia.
  • 14. DCOD 14 Considerazioni Lo sforzo che la DCOD si propone di fare è quello di far diventare tutti «gestori del rischio», che significa: ◦ conoscere e capire il contesto nel quale si opera; ◦ conoscere e capire le ripercussioni delle proprie azioni; ◦ saper operare «in sicurezza» anche in assenza di una norma di riferimento o di una politica specifica; ◦ contribuire ad alimentare il ciclo virtuoso di miglioramento continuo: esigenze /obiettivi – implementazione – controllo/misurazione, specializzando sempre più l’assessment delle esigenze così da individuare le scoperture meno evidenti e mantenere il passo della sicurezza allineato a quello delle evoluzioni tecnologiche.
  • 15. DCOD Fine p.monti@inail.it 15 "La sicurezza non è un prodotto, è un processo. Inoltre non è solo un problema di tecnologia, bensì di persone e gestione” Bruce Schneier