Alessandro Da ReStefano FerrariLogicalSecurity S.r.l.
IT Security Compliance.
Approccio strutturato per l’applicazione
delle best practice ISO17799
2 IT Security Compliance – Sessione AIEA – Novembre 2007
3 IT Security Compliance – Sessione AIEA – Novembre 2007
4 IT Security Compliance – Sessione AIEA – Novembre 2007
5 IT Security Compliance – Sessione AIEA – Novembre 2007
6 IT Security Compliance – Sessione AIEA – Novembre 2007
7 IT Security Compliance – Sessione AIEA – Novembre 2007
Le aziende del gruppo Sonepar Italia
Sonepar SIS
Centro acquisti per tutte le aziende del gruppo
Gestione patrimonio immobiliare e EDP
30 Dipendenti
8 persone nell’EDP
SAP (650 utenti)
Notes (1200 utenti)
Citrix
FM IBM per ambienti Windows e SAP
16 cpu
26 TB
8 AS/400 in progressiva dismissione
8 IT Security Compliance – Sessione AIEA – Novembre 2007
Problemi / Opportunità
Necessità di strutturare i processi e tecnologie per mitigare e controllare il rischio di impresa
Audit di conformità dalla casa madre verso approccio ISO 17799
Adeguamento agli standard contrattuali IBM sulla Security
Definire strategie e linee guida operative senza subire le “imposizioni burocratiche” di un
adeguamento normativo
Ottenere un vantaggio competitivo in termini di organizzazione aziendale e recupero di
efficienza
Acquisti
Sistema Gestionale
Sistema di Reporting
Ambienti applicativi aziendali
Sistemi Documentali
Sistemi collaborativi
Pro
cessi A
zien
dali
Payroll
Amministrazione
Bilanci
Registri
Etc..
Do
cum
en
ti carta
cei
AMBIENTE ESTERNOAMBIENTE INTERAZIENDALE AZIENDAESTERNO – RISCHIO - INTERNO INTERNO – RISCHIO - ESTERNO
9 IT Security Compliance – Sessione AIEA – Novembre 2007
Il progetto
Nell’ambito dei processi di Internal Audit a livello di Gruppo, vengono effettuati dei controlli
per verificare l’allineamento dal punto di vista della Sicurezza Logica e Fisica dei Sistemi
Informativi presenti nelle diverse country, rispetto a principi stringenti e vincolanti / best
practices di riferimento.
A livello Italia, i Sistemi Informativi di Sonepar hanno attivato una iniziativa progettuale volta
ad allineare la propria infrastruttura di Servizio, la propria organizzazione, i propri standard e
procedure in ambito IT ed i sistemi di controllo, al fine di poter sostenere in modo adeguato
una eventuale attività di audit di conformità. La sfida è di ottenere vantaggi di performances
nell’applicazione di “Best Practice”
Strategic Direction and Strategic Direction and
Roadmap DevelopmentRoadmap Development
Strategic Direction and Strategic Direction and
Roadmap DevelopmentRoadmap Development
Strategic Direction and Strategic Direction and
Roadmap DevelopmentRoadmap DevelopmentATTUAZIONE delle iniziative necessarie per la compliance
AsAs -- Is Is
AssessmentAssessment
AsAs -- Is Is
AssessmentAssessment
AsAs -- Is Is
AssessmentAssessmentREVISIONE degli attuali criteri per
la gestione della sicurezza
10 IT Security Compliance – Sessione AIEA – Novembre 2007
Gli obiettivi da perseguire
Allineamento con i vincoli / obiettivi di Gruppo : Il
modello organizzativo, i processi operativi e le
infrastrutture/servizi a supporto, in linea con le best practice
di riferimento (Group Security Policy);
Flessibilità ed affidabilità : Il modello operativo e le
infrastrutture/servizi a supporto devono progressivamente
garantire una gestione flessibile e con tempi di reazione
ottimizzati, delle diverse esigenze che dovessero presentarsi
a livello aziendale;
La sicurezza come “asset aziendale” : Le implicazioni
legate ai concetti di IT Security Compliance, devono
diventare progressivamente un “asset” aziendale,
permeando tutta l’organizzazione e responsabilizzando a
diversi livelli le funzioni aziendali (in particolare la Direzione
Generale e l’HR);
IT SECURITYCOMPLIANCE
PROJECT
SONEPAR ITSECURITY
POLICY
ISO17799“Tailored”
BEST PRACTICES
11 IT Security Compliance – Sessione AIEA – Novembre 2007
La ISO17799
ISO/IEC 17799 (ex BS 7799-1:1999) rappresenta un “best Practice” che definisce i requisiti per
sistemi di gestione della sicurezza delle informazioni. Contribuisce a identificare, gestire e ridurre
al minimo la gamma di pericoli a cui sono regolarmente soggette le informazioni. L'allegato della
ISO/IEC 27001 (ex BS 7799-2:2002), norma certificativa, identifica 11 aree oggetto di controllo
ed applicazione di specifiche Best Practices :
Politica di sicurezza
Organizzazione del patrimonio informativo e delle risorse
Classificazione e controllo del patrimonio informatico
Sicurezza del personale
Sicurezza fisica e ambientale
Gestione delle comunicazioni e delle operazioni
Controllo dell'accesso
Sviluppo e mantenimento del sistema
Gestione degli “information Security indident”
Gestione della continuità aziendale
Conformità
COMPLIANCE
BUSINESS CONTINUITY MANAGEMENT
INFORMATION SECURITY INCIDENT MANAGEMENT
INFORMATION SYSTEMS ACQUISITION DEVELOPMENT AND MAINTENANCE
ACCESS CONTROL
COMMUNICATIONS & OPERATIONS MANAGEMENT
PHYSICAL & ENVIROMENTAL SECURITY
HUMAN RESOURCES SECURITY
ASSET MANAGEMENT
ORGANISING INFORMATION SECURITY
SECURITY POLICY
11
10
9
8
7
6
5
4
3
2
1
12 IT Security Compliance – Sessione AIEA – Novembre 2007
BS verso ISO e Ambito di intervento
Best Practice
Norme Certificative
• L’approccio esclusivamente tecnologico (controllo accessi, protezione da virus/dos,..) penalizza l'intero sistema di sicurezza tralasciando l’anello più debole
• Global Security Management: Fisica, Logica, Operativa, Legislativa, focalizzandosi sugli aspetti gestionali.
DRIV
ER
2002
BS7799:1
20051995 1999
ISO 17799
BS7799:2
BS7799:1Rev 1
BS7799:2Rev 1
ISO 27001
SCOPE
SCOPE
L’ambito di progetto in breve – il riferimento normativo
13 IT Security Compliance – Sessione AIEA – Novembre 2007
InformationSecurity
Why InformationSecurity?
3 Main Security Requirements
Consideration of Security Risk
Selecting Controls
IS Starting Point
Critical SuccessFactor
Security PolicyReflect B. Obj
Legislative
compliancecompetitive
Security Failure
confidentiality
assessingrisks
Risk Reduction
contractualrequirements
Not Applicable
availabilityintegrity
Company Culture
IntellectualProperties
Realisticlikelihood
profitability
supportoperations
Segregation ofDuty
CommittmentManagement
SafeguardingRecords
Management Action
Commercialimage
Procedure
Priority ImplementingControl
Selecting ByCost
LostRepudiation
Best Practice Policy Document Responsability
Privacy
Education & Training
ReportingIncidents
BusinessContinuity
UnderstandingSecurity Req.
UnderstandingRisk Management
Marketing ofSecurity
Distribution ofGuidance
Training andEducation KPI Deploing Your
Own Guidelines
ISO 17799 in breve e l’ambito di intervento del progetto
14 IT Security Compliance – Sessione AIEA – Novembre 2007
Cosa percepiamo da ISO 27001 – modello PDCA
Establish security policies, objectives, targets, process and procedures relevant to controlling risk improving informationsecurity to deliver results in accordance with organisation’s overallpolicies and objectives (Establish ISMS Context)
Pla
n
Design and Implement and Operate the Policy (Process and Procedures)D
o
Measure and assess process performance against policies, objectivesand pratical experience and report the result to decision maker (monitor & review)C
heck
Take corrective and preventative actions to futher improve the process performance (Improve)A
ct
Cosa recepiamo da BS 7799-2
15 IT Security Compliance – Sessione AIEA – Novembre 2007
L’ Approccio : I prerequisiti
L’applicazione delle Best Practices suggerite dall’ISO, puo’ portare ad una migliore gestione delle
attività, rispetto ad una situazione non strutturata. Per il successo di una operazione di
introduzione di specifici standard, sono necessarie alcune condizioni :
Il perimetro del progetto e gli obiettivi devono essere
“vestiti” sulla realtà del Cliente. Quanto verrà definito dovrà
essere “gestibile” dal Cliente, in termini operativi, organizzativi
ed economici;
Forte spinta del management e coinvolgimento delle funzioni
aziendali di riferimento (es. direzione generale e Risorse
umane);
Diffusione dell’iniziativa e dei suoi risultati a tutta l’azienda;
Riconoscimento da parte della funzione IT della validità
del modello;
Coinvolgimento e motivazione del personale IT, mediante
un progressivo affiancamento durante le attività di progetto, in
modo tale da trasmettere approcci corretti e metodi per la
gestione della sicurezza e dei controlli;
Identificazione di uno o piu’ “Focal Point” in grado di
coordinare le diverse attività di progetto (es.la produzione della
documentazione e le attività presso la sede del cliente);
TAILORED APPROACH
FORTE SPINTA DEL MANAGEMENT
DIFFUSIONE DELL’INIZIATIVA
APPROVAZIONE DEL MODELLO
COINVOLGIMENTO E MOTIVAZIONE DEL
PERSONALE IT
IDENTIFICAZIONE DEI KEY USERS DI
RIFERIMENTO
16 IT Security Compliance – Sessione AIEA – Novembre 2007
“Pensare ed attuare”, un sistema per la gestione della IT Security compliance legato alle Best
Practices espresse dalla ISO17799, significa operativamente attivare tutta una serie di fasi
progettuali che permeano l’ambito IT (ma non solo) a 360° :
1. Identificazione del perimetro di riferimento e dei vincoli associati
2. Acquisizione delle informazioni
3. Revisione di tutti gli ambiti identificati
4. Master Plan delle iniziative – Identificazione delle contromisure
5. Adeguamento della situazione rilevata e costruzione del sistema di controlli
preventivi
6. Controllo e monitoraggio periodico
Master Plan delle iniziative
Acquisizione delle informazioni
Identificazione del perimento di
riferimento
Revisione di tutti gli ambiti
identificatiAdeguamento
della situazione
L’ Approccio : le fasi di progetto
Controllo e monitoraggio
continuo
17 IT Security Compliance – Sessione AIEA – Novembre 2007
L’ Approccio : il timing
FASE 1
SET.2007 OTT.2007 NOV. 2007
FASE 2
Kick Off
REVISIONE ATTUALI CRITERI
di SICUREZZA
PROJECT MANAGEMENTPROJECT MANAGEMENT
DIC.2007 GEN. 2008
REALIZZAZIONE / ADEGUAMENTO DEL
SISTEMA per LA GESTIONE DELLA
SICUREZZA
18 IT Security Compliance – Sessione AIEA – Novembre 2007
L’ Approccio : il team di progetto
Comitato di progetto
Direzione del Cliente
Project Management
Project Manager Sonepar
Project Manager Logical
Responsabile Logical Security
Risorse Progetto - Ciente
Prima Linea IT -
Key Users per le diverse aree
Responsabili di Direzione
Risorse Progetto - Logical
Specialista Senior - Manager
Specialista - Consultants
Risorse di progetto – Gruppi di lavoro • Esegue le attività di Progetto nel rispetto dei piani di
lavoro definiti
• Assicura la corretta formalizzazione delle attività svolte
• Elabora proposte
• Riporta le attività svolte, segnalando eventi che possano avere impatti sullo svolgimento delle attivitàprogettuali
Comitato di Progetto• Sponsorship del progetto
• Definisce le linee guida del progetto
• Approva il piano di lavoro, l’approccio progettuale e le prioritàd’avanzamento
• Prende decisioni in merito alle proposte elaborate dal Gruppo di Lavoro
• Approva i deliverables finali di ogni fase
Project Management Team• Esegue le attività di Progetto nel rispetto dei piani di
lavoro definiti
• Pianifica le attività progettuali
• Identifica ed assicura risorse al Progetto
• Gestisce l’avanzamento del progetto nel rispetto del piano approvato, anticipando eventuali eventi che potrebbero compromettere il normale svolgimento delle attività
• Relaziona al Comitato di Progetto secondo le modalità e le tempistiche concordate in fase di avvio del progetto
Cliente – SONEPAR ITALIA
LOGICAL SECURITY
19 IT Security Compliance – Sessione AIEA – Novembre 2007
L’ Approccio : gli strumenti, checklist
Grazie!.
Il presente documento contiene informazioni confidenziali di Logical Security S.r.l., incluse le sue modalità di erogare servizi e le strategie di pricing dei servizi stessi. Logical Security fornisce queste informazioni al Cliente prevedendo che venga mantenutal'opportuna riservatezza su questo documento. Questo documento viene quindi consegnato con l'espressa intesa che saràmantenuto il corretto livello di riservatezza sui relativi contenuti. Il documento non sarà fotocopiato o riprodotto, in tutto o in parte, né i contenuti divulgati a terzi senza il consenso scritto di Logical Security S.r.l..
Per ulteriori informazioni:
www.logicalsecurity.it