L’evoluzione della sicurezza delle informazioni: da supporto alle operazioni IT a componente dei processi di business
La RoadMap della Sicurezza ICT in INAIL
Sicurezza, verifica e ottimizzazione dei sistemi e dei processi
Security summit2015 evoluzione della sicurezza inail- v06
1. Roma Security Summit, 11 Giugno 2015
Pietro Monti
Responsabile dell’Ufficio Audit IT della DOCD INAIL
2. DCOD
Il Modello di Sicurezza INAIL nasce storicamente con un approccio
service oriented per soddisfare le esigenze fondamentali in termini di
protezione dei dati, dell’infrastruttura e dei servizi applicativi e on
demand le esigenze specifiche dei singoli processi IT.
Fino allo scorso anno all’interno della DCOD era presente un unico
ufficio che accentrava la gestione di tutte le tematiche inerenti la
sicurezza (organizzative, tecnologiche, di verifica, di erogazione dei
servizi di sicurezza, di studio e implementazione di nuove soluzioni).
2
Un nuovo modello di Gestione della Sicurezza
3. DCOD
Il nuovo modello, di derivazione ITIL, tende a una definizione di
processi IT «intrinsecamente sicuri», caratterizzati dall’integrazione
degli aspetti di sicurezza nelle varie attività in cui sono articolati.
3
Il nuovo Modello
Un aspetto fondamentale per il raggiungimento degli
obiettivi è il coinvolgimento e la responsabilizzazione in
termini di sicurezza di tutti gli uffici.
DATI APPLICAZIONI SISTEMI INFRASTRUTTURA
4. DCOD
Lo scorso anno la riorganizzazione di DCOD ha aggiunto un
importante tassello in ottica di conformità alla ISO 27001. In
particolare è stato istituito un Comitato per i Rischi e
Sicurezza e sono stati definiti e ratificati i Ruoli e le
Responsabilità di sicurezza, separando i compiti di chi
pianifica, chi implementa e chi verifica, in linea con il ciclo
virtuoso di miglioramento continuo che costituisce le
fondamenta dello standard.
4
Lo scorso anno…..la riorganizzazzione
5. DCOD
5
Organigramma delle funzioni di sicurezza
Responsabile
della
Sicurezza
Uff I Uff II Uff X
Security
Governance
AUDIT
SOC
CERT
Continuità
Operativa
Comitato
Rischi e
Sicurezza
…
6. DCOD
6
Schema di Riferimento
Governo Sicurezza
Continuità
Operativa
Sistema di
Autent. e
Autoriz.
Test di
sicurezza
SOC
Security Operations
Tecnologie e Servizi di Base
Log
Management
Comitato
Rischi e
Sicurezza
Responsabile
della
Sicurezza
DATI APPLICAZIONI SISTEMI INFRASTRUTTURA
AuditCERT
Mascheramento
Dati, Cifratura,
Tracciatura
Applicativa,
Reverse Proxy,…
7. DCOD
La definizione dei piani e delle azioni di governance si basa su un
processo di elaborazione dei feedback provenienti da tutti gli attori
della DCOD in relazione allo scenario tecnologico e normativo di
riferimento.
7
Esigenze
• Analisi dei Rischi di Sicurezza
• Verifiche di conformità
• Audit
• Evoluzioni normative
• Nuove Tecnologie
• ecc.
• Incidenti di
sicurezza
• Vulnerability
Assessment
• ecc.
• Log e Report Tecnici
• Log e Report Tecnici • Log e Report Tecnici
Individuazione delle aree di maggiore
scopertura del sistema di gestione della
sicurezza informatica
8. DCOD
Sulla base delle esigenze individuate si definiscono le strategie e gli indirizzi, propagandoli
sull’operatività attraverso Politiche, Linee Guida o proposte progettuali.
Le strutture operative disegnano e implementano le soluzioni necessarie al raggiungimento
della conformità
8
Obiettivi & Implementazione
DATI APPLICAZIONI SISTEMI INFRASTRUTTURA
Strategie ed indirizzi di sicurezza
(es: Policy, Linee Guida, Programmi di Audit, …)
Disegno ed
Implementazione
(es: progetti, specifiche, product selection,
implementazione HW / SW, …)
9. DCOD
L’efficacia e la conformità del Sistema di Gestione della Sicurezza
Informatica è puntualmente soggetta a verifica.
I risultati confluiranno nuovamente nella fase di rilevazione delle esigenze,
alimentando il ciclo virtuoso di miglioramento continuo.
9
Controllo
DATI APPLICAZIONI SISTEMI INFRASTRUTTURA
Meccanismi di retroazione
(es: audit, report di VA/PT, Piani di Trattamento,
SAL, KPI, …)
10. DCOD
10
Controllo e misurazioni
Il modello implementa una separazioni dei ruoli;
La compliance è non solo richiesta ed implementata ma anche
verificata;
Per verificare l’efficacia delle soluzioni implementate si definiscono
già a livello di progetto gli elementi di misurazione necessari.
La pianificazione dettagliata delle attività di rientro è da
considerarsi essa stessa una contromisura;
La maggior parte delle azioni di rientro identificate nel primo
periodo non richiede particolari investimenti economici.
11. DCOD
11
Security assessment
La DCOD ha intrapreso un'attività di verifica (assessment di terza
parte) finalizzata a valutare, nell’ambito della propria
Organizzazione, il livello di maturità e di implementazione del
Sistema di Gestione della Sicurezza delle Informazioni con
particolare riguardo allo stato di attuazione ed all’efficacia dei
controlli di sicurezza (secondo norma ISO/IEC 27001:2013)
• Tale attività di assessment ha lo scopo di:
◦ stabilire il livello attuale di efficacia delle misure di sicurezza
logiche ed organizzative
◦ individuare gli eventuali ambiti di miglioramento
◦ suggerire gli opportuni piani di rientro laddove le condizioni lo
richiedano
12. DCOD
12
L’importanza della Comunicazione
L’esigenza di awareness
(consapevolezza) è emersa in
fase di audit – La nostra
risposta è stata
un’intensificazione delle azioni
di comunicazione e
condivisione in tema di
sicurezza: pannelli, newsletter,
canale web tematico nella
intranet, gruppo Facebook
interno ….
13. DCOD
13
Considerazioni
In questo modello la sicurezza è davvero frutto di un approccio
sistemico. Tutto e tutti contribuiscono: organizzazione,
consapevolezza, qualità delle persone, delle forniture e dei prodotti,
robustezza delle soluzioni, tecnologia, semplificazione architetturale.
La criticità sta nella capacità di «essere e sentirsi pronti», nella
Cyber Resilience, nella convergenza dei diversi elementi:
compliance, cyber security, risk management, intelligence, crisis
management, information sharing.
La cura e l’attenzione della sicurezza non sono solo un obbligo di legge
per una Istituzione Pubblica ma rappresentano un dovere morale nei
confronti di aziende e infortunati (interessati dei dati). Nessuna
evoluzione è pensabile senza la loro fiducia.
14. DCOD
14
Considerazioni
Lo sforzo che la DCOD si propone di fare è quello di far diventare tutti
«gestori del rischio», che significa:
◦ conoscere e capire il contesto nel quale si opera;
◦ conoscere e capire le ripercussioni delle proprie azioni;
◦ saper operare «in sicurezza» anche in assenza di una norma di
riferimento o di una politica specifica;
◦ contribuire ad alimentare il ciclo virtuoso di miglioramento
continuo: esigenze /obiettivi – implementazione –
controllo/misurazione, specializzando sempre più l’assessment
delle esigenze così da individuare le scoperture meno evidenti e
mantenere il passo della sicurezza allineato a quello delle
evoluzioni tecnologiche.