Il controllo e la sicurezza dei sistemi informativi degli Organismi Pagatori G.P.Trovesi, CIA L’IT si è trasformato da strumento di efficienza a parte integrante dei processi. Questa integrazione ha originato una forte domanda di controllo e sicurezza. IT economicità PROCESSI IT efficienza processi IT parte integrante del business PROCESSI PROCESSI IT IT IT Controllo e Sicurezza delle Informazioni Il filo conduttore per la comprensione dell’IT è il SISTEMA DEI CONTROLLI INTERNI, dal quale traggono origine le regole di funzionamento, di sicurezza e di monitoraggio. IL CONTROLLO INTERNO E’ UN PROCESSO CHE SI PREFIGGE DI FORNIRE UNA RAGIONEVOLE GARANZIA CHE GLI OBIETTIVI RIENTRANTI FRA LE SEGUENTI CATEGORIE SIANO RAGGIUNTI: • efficacia ed efficienza delle attività operative, • attendibilità delle informazioni • conformità alle leggi ed ai regolamenti • protezione del patrimonio Il SISTEMA DEI CONTROLLI INTERNI prende avvio dagli obiettivi assegnati e intende favorirne il raggiungimento MISSIONE dell’ IT obiettivi comuni Assicurare coerenza tra gli obiettivi informatici e quelli dell’Organismo Mettere a disposizione le risorse informatiche Assicurare la continuita’ del servizio Assicurare la sicurezza delle informazioni obiettivi specifici Obiettivi tipici del singolo OP riguardanti i servizi informatici attesi in termini di procedure, livelli di servizio, propagazione dell’informatica, ecc. Il SISTEMA DEI CONTROLLI INTERNI opera altresì per mitigare i RISCHI AUDITABILITY CONTROLLO PROTEZIONE RISCHI SISTEMI DI GESTIONE NORMATIVA – REGOLE TECNICHE OBIETTIVI ISTITUZIONALI Il disegno strategico fa riferimento ad alcuni requisiti NORMATIVA ORGANIZZAZIONE OP dispone solo di principi TECNICISMI PROTEZIONE PREVENZIONE VERIFICA INDIVIDUAZIONE RICOSTRUZIONE CONTROLLO PREVENZIONE RISCONTRO CORREZIONE La PROTEZIONE è indirizzata a preservare il patrimonio da qualsiasi danno che possa avere riflessi negativi sulle operazioni AMBITO DI APPLICAZIONE Protezione riferita alle persone Protezione riferita ai dati Protezione riferita ai beni Sicurezza logica sistemi informatici Protezione delle installazioni e degli impianti tecnologici Continuità delle operazioni in caso di incidente o di disastro Il CONTROLLO è rivolto ad assicurare il governo degli ambienti IT e ad evidenziare situazioni anomale ad esempio . controllo sugli impianti tecnologici (mirante ad ottenere il mantenimento dei servizi indispensabili); . controllo sugli ambienti informatici (mirante ad ottenere il dominio delle risorse informatiche); . controllo sui sistemi informatici ai diversi livelli (operativi, applicativi, individuali), dipendenti sia dalla tecnologia sia da scelte manageriali, la cui strutturazione influisce il modo di elaborare/archiviare/ trasferire le informazioni e fare del reporting; . procedure di controllo operativo presenti nei processi elaborativi (commisurate alla tipologia delle operazioni aziendali interessate). La VERIFICA riguarda gli strumenti per accertare l’adeguatezza e la funzionalità dei provvedimenti, l’integrità degli ambienti e degli strumenti La linea manageriale deve mettersi nella condizione di conoscere l'efficacia delle misure adottate e di procedere ad eventuali fasature. La “verifica" deve permettere la ricostruibilità delle operazioni/eventi e dei dati, e di rendersi conto se i processi informatici, nel loro insieme, operano secondo le aspettative Traccia di audit Documentazione tecnica/applicativa Riconciliazioni/quadrature automatiche Rapportistica L’intensità del controllo serve per mitigare i RISCHI dell’IT fattori di rischio ORGANIZZAZIONE Scenario informatico in continua evoluzione: coordinamento centrale autonomie funzionali regole/politiche di Sicurezza Profilo operativo dei collaboratori Propagazione dei mezzi informatici AMBIENTE (locali) Aree con informazioni critiche Libera circolazione delle informazioni Accessi agli ambienti CORREZIONI FINANZIARIE MEZZI INFORMATICI DATI Efficacia degli strumenti e supporto da organizzazione Complessità del controllo accessi Visibilità delle criticità e delle soluzioni Collegamenti con l'esterno Classificazione dati / informazioni Propagazione delle misure di Sicurezza dal centro verso la periferia RISCHI DIFFICOLTA’ A RAGGIUNGERE GLI OBIETTIVI Importanza degli archivi di dati Ampia diffusione e disponibilità Forte concentrazione di informazioni vitali BLOCCO ATTIVITA' BASSA QUALITA' DEL SERVIZIO INFORMAZIONI FRAUDOLENTE ALTERAZIONE/DIVULGAZIONE/SOTTRAZIONE DEL PATRIMONIO PERDITE ECONOMICO/FINANZIARIE Il sistema dei controlli interni propone sei obiettivi di controllo specifici Governo delle Informazioni e dei mezzi utilizzati per il loro trattamento Disponibilità Riservatezza Controllabilità Integrità Verificabilità Riservatezza : Proteggere le informazioni importanti da diffusioni non autorizzate or intercettazioni intelligibili Integrità: Protezione della correttezza e completezza delle informazioni e del software : Disponibilità Assicurare che le informazioni ed i servizi vitali siano disponibili quando richiesti dall’utente Controllabilità Assicurare alla linea manageriale il governo delle informazioni, dei processi e degli ambienti operativi Verificabilità Assicurare che le informazioni e i processi informatici che le trattano siano verificabili Governo Assicurare che le operazioni informatiche siano conformi alle direttive Uno dei fattori primari da puntualizzare è l’ACCOUNTABILITY ad esempio: Chi è responsabile della sicurezza ? • Io • il mio Dirigente • il Direttore OP • la Direzione Sistemi Informativi • il Serv. Controllo Interno •Altri organismi •Non lo so ……….. Le principali figure operative sono rappresentate dal PROPRIETARI figurativi che assumono il compito di mitigare i rischi Proprietario di dati e logiche applicative E’ la Funzione utente che acquisisce, origina, o dispone dei dati. Il loro trattamento è coerente con il valore per le attività OP e con i requisiti imposti dalla tipologia di operazioni. Il Proprietario definisce il livello di classificazione (valore) dei dati e richiede modalità e misure di protezione adeguate. Stabilisce le regole di utilizzo e chi/ come usa la risorsa. Il Proprietario dei dati e delle logiche applicative è responsabile per il risultato finale della procedura informatica. Proprietario delle risorse È la Funzione specialistica che dispone delle risorse informatiche hardware e software e che assicura la custodia dei dati e l’integrità dei processi elaborativi, secondo le indicazioni emesse dal Proprietario dei dati. Sceglie ed attiva i meccanismi più adeguati al valore della risorsa. Rispetta i livelli di servizio concordati. La separazione dei compiti richiede la parcellizzazione delle attività ed una attenta precisazione delle mansioni Vincoli: separazione tra ... ambito Origine delle informazioni UTENTE Aggiornamento dei dati Immissione dei dati Approvazione dei dati Cancellazione Autorizzazione delle transazioni Sistemisti sw base e sottosistemi ambito AMBIENTE INFORMATICO Gestione librerie Sviluppo/modifica programmi applicativi Collaudo e validazione nuovi programmi Produzione/operatori Gestione rete QUALI CONTROLLI SONO NECESSARI ? MECCANISMI CHE ASSICURANO LA CORRETTEZZA, LA COMPLETEZZA, L’INTEGRITA’ DEI DATI E DEI SISTEMI E DELLE INFRASTRUTTURE SICUREZZA DELLE INFORMAZIONI comprende la Sicurezza informatica PREVENIRE STRUTTURA OPERATIVA DELL’IT comprende le risorse le operazioni e lo sviluppo CORREGGERE PROCEDURE INFORMATICHE comprende le procedure su host, lan, rete, pc PREVENIRE INTERCETTARE SICUREZZA DELLE INFORMAZIONI IL SISTEMA DI SICUREZZA SI ARTICOLA IN DIVERSI PROGRAMMI SPECIALISTICI comprende la Sicurezza informatica Componenti del Sistema di Sicurezza Normativa di sicurezza Sicurezza del personale Standard di sicurezza Sicurezza fisica Protezione delle informazioni Processi di sicurezza SICUREZZA DELLE INFORMAZIONI Protezione IT SICUREZZA INFORMATICA Programmi di revisione Piani di emergenza QUADRO LEGISLATIVO Gestione incidenti Un settore della Sicurezza è rappresentato dalla SICUREZZA FISICA Obiettivi: • approntare un ambiente sicuro per l’azienda e per i suoi dipendenti • impedire la perdita di beni fisici (risorse informatiche) • prevenire interruzioni dell’attività dovute al danneggiamento di risorse Regole e responsabilità ripartite su tutta la struttura Misure di protezione Classificazione degli spazi Identificazione e controllo accessi Accesso agli uffici controllato tramite badge Aree ristrette, fisicamente separate, ad accesso controllato esterno spazio pubblico uffici Sala macchine Nell’IT la Sicurezza Fisica intende proteggere le risorse informatiche in modo differenziato secondo il peso dei rischi Il livello di controllo è basato sull’importanza del servizio che il sistema eroga e sul valore economico del sistema/apparecchiatura. Caratteristiche dell’area Alta protezione Bassa protezione Sistema/componente Tutti i sistemi che forniscono servizi “vitali” e/o quelli con alto valore economico (mainframe, unità disco, canali, unità accessorie, unità nastro, console, governo linea, etc.) Tutti i sistemi che non forniscono servizi “vitali” e/o con valore economico minore (LSX, PC adibiti a Server, Router, Permutatori di rete, etc.) la SICUREZZA LOGICA è costituita da meccanismi organizzativi e tecnici che consentono di: • individuare gli utenti dei dati e delle risorse info., • concedere, o negare, l'accesso a dati e risorse, • tenere le tracce di attività espletate dai sistemi e dagli utenti. • identificazione ed autenticazione degli utenti • controllo degli accessi • riservatezza • integrità dei dati e delle informazioni, dei sistemi, e delle operazioni • gestione tecnica del sistema di sicurezza • gestione amministrativa della sicurezza • log e reportistica • vigilanza (auditing) e i dati.. ? Siete consapevoli delle conseguenze derivanti da una potenziale perdita di integrità dei dati che vengono trattati? INTEGRITA’ DEI DATI E DEI PROCESSI ELABORATIVI • Ogni risorsa deve contenere il dato “integro”, quindi corretto, e nessuno può alterarlo se non chi è esplicitamente autorizzato. • Evitare gravi danni all’integrità di tutto il sistema, dati compresi, dovuti alla sua modifica non corretta. • Consentire l’utilizzo dei dati classificati critici e personali (legge Privacy) solo da parte di persone e programmi che ne abbiano necessità. • Consentire solo agli utenti autorizzati la modifica del il Sistema Operativo e l’alterazione delle funzioni relative alla Sicurezza, secondo modalità certificate e verificabili. •processo di autorizzazione all’accesso •disegno di profili mirati •regole di gestione risorse tecniche •utilizzo di strumenti di crittografia La SICUREZZA LOGICA basa la sua forza anche sugli strumenti di verifica Log e reportistica devono essere conservati i record che registrano gli accessi o i tentativi di accesso al sistema e/o ad alcune risorse protette e deve essere ottenuta la reportistica necessaria al controllo e alla rilevazione di eventuali incidenti. Alcuni esempi di tracce: • tentativi di logon non consentiti • tentativi di accesso non consentito alle risorse utente • tentativi di accesso ai dati classificati “critici” • tentativi di accesso alle risorse di sistema, secondo la loro protezione • attività svolte da utenze privilegiate. Audit sicurezza sono necessari controlli e verifiche periodiche (manuali o automatiche) per garantire la corretta attivazione dell’architettura di Sicurezza, e l’aderenza agli standard e ai processi stabiliti. Anche le stazioni di lavoro hanno bisogno di attenzione …. Attivare lo screen saver quando ci si allontana dal posto di lavoro. Protezione attraverso password. Verifica periodica antivirus (compresi i dischetti). Fate uso di software non di dotazione… o di copie pirata? La SICUREZZA DELLA RETE COMPRENDE i collegamenti in Internet che devono essere assoggettati a specifiche misure Elevata rischiosità • Soluzioni o provvedimenti di tipo - sw (firewall) - hw (proxy server) • Disponibilità del collegamento solo dietro specifica autorizzazione • Regole comportamentali: • riconoscimento delle persone • siti cui si accede Gli strumenti di posta elettronica ed e-mail devono essere utilizzati in modo conforme alle direttive aziendali • gli strumenti di posta elettronica devono essere integrati con quelli di e-mail in Internet • il firewall deve essere configurato in modo da aprire logicamente ogni allegato di posta, al fine di eliminare componenti potenzialmente pericolosi (virus, macro, Trojan...) • l’utilizzo della posta elettronica deve essere conforme alle regole di etica aziendale (evitare messaggi offensivi, lesivi della dignità delle persone, ecc.) La Sicurezza richiede apposite procedure di gestione per limitare la vulnerabilità COMPITI INCIDENTI 1. 2. 3. 4. 5. danni finanziari, al patrimonio o all’integrità danni ai dipendenti perdita di beni o di informazioni incapacità di continuare le attività operative impossibilita' di rispettare obblighi di legge o obblighi assunti nei confronti di terze parti. PROCEDURE DI GESTIONE CAMBIAMENTI DELLE RISORSE AZIONI DOLOSE •azioni violente/ostili, minacce al personale, estorsioni, •frodi e malversazioni di natura informatica, furti di informazioni, •alterazione dolosa di dati e/o informazioni, sabotaggio, che determini interruzioni delle attività; •perdita, o potenziale perdita, di informazioni, a carattere involontario; •utilizzo non corretto delle risorse; •appropriazioni indebite che causino la perdita di immagine o perdite economico/finanziarie. 26 STRUTTURA OPERATIVA DELL’IT comprende le risorse le operazioni e lo sviluppo La gestione dell’IT deve avvenire nel rispetto di regole di controllo interno specifiche Sviluppo / manutenzione applicazioni Formulazione requisiti Sviluppi interni Acquisto di pacchetti software Modifiche ai programmi applicativi Collaudo Esercizio Gestione sistemi elaborativi Livelli di servizio Gestione degli inconvenienti Gestione dei cambiamenti Back-up e ripartenze Ripresa attività in caso di disastro Gestione delle elaborazioni Dimensionamento delle risorse PROCEDURE INFORMATICHE comprende le procedure su host, lan, rete, pc I meccanismi di controllo interno devono essere presenti anche nelle PROCEDURE INFORMATICHE • controllo: elaborazioni corrette, complete e tempestive riguardanti tutte le transazioni • verifica: trasparenza e visibilità dei dati e del processo elaborativo PRINCIPI DI CONTROLLO I PRINCIPI DEL CONTROLLO NELLE APPLICAZIONI INFORMATICHE SEPARAZIONE DELLE RESPONSABILITA’ ACCOUNTABILITY COPERTURA DEI PUNTI DI RISCHIO LOGICA CHIUSA: CONSIDERARE TUTTE LE EVENTUALITA’ UTILIZZO DEL CONTROLLO PER LOCALIZZARE I PROBLEMI E PER PROMUOVERE AZIONI CORRETTIVE DOCUMENTAZIONE SEMPLICITA’, EVITARE ECCESSI DI CONTROLLO DAL PUNTO DI VISTA TECNICO I CONTROLLI SI RIPARTISCONO IN QUATTRO CATEGORIE il processo aziendale controllo preventivo controllo correttivo ATTIVITA’ 2 OBIETTIVO ATTIVITA’ 1 ATTIVITA’ 5 ATTIVITA’ 3 controllo rivelatore ATTIVITA’ 4 controllo a posteriori ATTIVITA’ 6 A proposito di auditability….. Un sistema viene definito verificabile quando: permette di provare l’efficacia e l’adeguatezza dei controlli permette di provare l’integrità dei dati e del processo operativo è dotato di adeguate tracce di audit IL GOVERNO DEL PATRIMONIO INFORMATICO AVVIENE ATTRAVERSO UN CONTINUO PROCESSO DI MESSA A PUNTO DEI MECCANISMI DI CONTROLLO E SICUREZZA NORMATIVE RISK ANALYSIS MECCANISMI ORGANIZZAZIONE AUDITING ATTIVAZIONE e AMMINISTRAZIONE LE LINEE DIRETTRICI CE FORMULANO DEI PRINCIPI CHE FANNO PARTE DEL SISTEMA DEI CONTROLLI INTERNI unica fonte normativa SICUREZZA FISICA SICUREZZA LOGICA STRATEGIA INFORMATICA SVILUPPO E MAN. SISTEMI LINEE D’AZIONE, NORME E PROCEDURE GESTIONE RISORSE SEPARAZIONE DELLE FUNZIONI TELECOMUNICAZIONI POLITICA DEL PERSONALE MICROELABORATORI CULTURA SERV. CONTROLLO INTERNO IMPREVISTI CONTROLLI APPLICATIVI È fondamentale predisporre il quadro normativo ed organizzativo coerente con i principi CE prima di studiare ed attivare le soluzioni di sicurezza e controllo più idonee scelte bilanciate NO emotività corretto rapporto costi / benefici SFORZO FINANZIARIO E TECNOLOGICO DEVE RIMANERE IN PROPORZIONE ALL’ANALISI DEL RISCHIO REALE un importante punto di riferimento è rappresentato dagli standard internazionali Governo USA 1992 COMPUTER AT RISK Internal Control System Gli standard ISO sono universalmente riconosciuti SAC Standard System Auditability & IIA Cobit Control Regole di sicurezza, controllo e verifica delle applicazioni ISO 7498 ISO 17799 Requisiti di Controllo informatico ISO 15408 Requisiti di sicurezza per prodotti e sistemi Requisiti di sicurezza delle architetture Requisiti di sicurezza organizzativa/ normativa e outsourcing GOVERNANCE Generally accepted systems security principles LE FASI REALIZZATIVE SARANNO OPPORTUNAMENTE PIANIFICATE Copyright Antivirus Stazioni Lavoro Normativa Internet . Regolamento . Standard . Legislazione Posta elettronica Organismi Delegati REGOLE DI BASE Presidi .Sistema gestione .Compiti Organiz. Diffusione regole Informativa a dipendenti .Rivisitazione convenzione .Quadro normativo .Realizzazione misure .Piano Audit Autovalutazione Collegamenti Esterni .Punto diffusione . Metodologie propagazione .Metodologie controllo .Regole minime FORMAZIONE E SENSIBILIZZAZIONE .Protezione ambienti -Sic.Org.tiva - Sic. Fisica -Sic.Rete -Sic.Logica Sicurezza procedure applicative .Realizzazione misure . Progettazione misure . Classificazione informazioni Back-Up Disaster Recovery AMBIENTE INFORMATIVO Protetto, controllato e verificabile 2.5 Una funzione di controllo interna dovrebbe disporre di competenze e autorità sufficienti (o essere in grado di ricorrere a consulenze esterne) per effettuare tutti i controlli inf……. AZIONE DI AUDIT ATTIVITA’ AUDIT SULLE INFRASTRUTTURE TECNOLOGICHE AUDIT SULLE PROCEDURE DI BASE SPECIALISTICA COMPETENZE CHI QUANDO SERV. CONTROLLO INTERNO NEL CONTINUO MERCATO OGNI 3 O 4 ANNI