Speaker Fabio Guasconi
Presidente del SC27 italiano e membro del direttivo di UNINFO
Capo delegazione italiana per il JTC1/SC27 ISO/IEC
ISECOM Vice Direttore delle Comunicazioni
Membro di CLUSIT, ITSMF, ANSSAIF, ISACA Roma
CISA, CISM, LA27001, ITILv3, ISFS, PCI-QSA
Team Manager, Senior Security Advisor @ Mediaservice.net
Le nuove prescrizioni del Garante, è sicurezza delle informazioni?
Sicurezza delle informazioni
Conservazione della riservatezza, dell'integrità e della disponibilità delle informazioni; inoltre, possono essere coinvolte altre proprietà quali l'autenticità, la responsabilità, il non ripudio e l'affidabilità.
Le nuove prescrizioni sono solo parte della sicurezza delle informazioni
Le nuove prescrizioni del Garante, è sicurezza delle informazioni?
Situazione ideale 1: Need to know
i dati sono visibili solo a chi ha una necessità lavorativa per accederli e solo nel momento in cui deve accederli
2: Tracciabilità
le operazioni effettuate sui dati devono essere tracciabili senza dubbio alla persona che le ha effettuate e al momento in cui sono state effettuate
3: Monitoraggio
accessi anomali devono essere segnalati immediatamente in modo da attuare le misure di contenimento per limitare eventuali incidenti
Le nuove prescrizioni del Garante, è sicurezza delle informazioni?
Situazione attuale 1: Need to know
Gli operatori di filiale / sede centrale hanno molti più dati a disposizone del necessario "per non legare l’operatività"
2: Tracciabilità
Sono tracciate solo le operazioni dispositive, a volte anche quelle di modifica di dati anagrafici
3: Monitoraggio
Pochissimo monitoraggio sulle attività degli incaricati, eventualmente utilizzato solo in caso di incidente
Le nuove prescrizioni del Garante, è sicurezza delle informazioni?
Come soddisfare il Garante Misure necessarie Designazione dell'outsourcer quale responsabile del trattamento Tracciamento delle operazioni
Conservazione dei log di tracciamento delle operazioni Implementazione di alert Audit interno di controllo– Rapporti periodici
Soluzioni Accordi contrattuali con gli outsourcer
Configurazione del logging opportuno sui DB / sulle applicazioni (registriamo tutto?) Impostazione locale / centrale del retention time per 24 mesi Definizione di cosa deve generare un alert e del suo uso Regolamentazione dell’attività da effettuarsi
Le nuove prescrizioni del Garante, è sicurezza delle informazioni?
Come soddisfare il Garante Misure opportune Informativa all'interessato
Informazioni all'interessato
Comunicazioni al Garante
Soluzioni Aggiornamento delle informative Estrazione dai report di audit (servizio a pagamento?) Notifica al Garante in caso di incidente fraudolento, quando si coinvolgono le autorità
Le nuove prescrizioni del Garante, è sicurezza delle informazioni?
Come soddisfare il Garante Bisogna aggiungere "per ora"? Ci sono 30 (25!) mesi di tempo … per iniziare a lavorare e portare a termine un progetto complesso … per chiarificare i requisiti sulla base delle domande che arriveranno … per cambiare idea sui requisiti, sui tempi etc.
L’esperienza passata non è una buona testimone ma prevenire è sempre meglio che curare.
Le nuove prescrizioni del Garante, è sicurezza delle informazioni?
Punti di poca chiarezza?
"Devono essere adottate idonee soluzioni informatiche per il controllo dei trattamenti condotti sui singoli elementi di informazione presenti sui diversi database."
Sui singoli campi? Una query complessa può generare molti log, eventualmente si possono aggregare?
"Negli strumenti di business intelligence devono confluire i log relativi a tutti gli applicativi utilizzati per gli accessi."
A parte la correttezza della dicitura, se non sono già adottati strumenti di questo tipo?
Le nuove prescrizioni del Garante, è sicurezza delle informazioni?
Norme internazionali ISO/IEC 27002 Accessi riusciti e tentati Tutte le operazioni privilegiate Alert o errori di sistema Cambiamenti tentati o riusciti delle impostazioni di sicurezza PCI-DSS Accessi riusciti e tentati Tutte le operazioni privilegiate Reinizializzazione dei log Creazione e rimozione di oggetti a livello di sistema
Le nuove prescrizioni del Garante, è sicurezza delle informazioni?
Tipico sistema bancario Filiale / Call center Area territoriale Sede centrale
Terminale 3270 Procedure Mainframe
Database
Le nuove prescrizioni del Garante, è sicurezza delle informazioni?
Sistema centralizzato o locale? La scelta dipende dalla realtà tecnologica ma può essere in entrambi casi accettabile sotto la lente delle nuove prescrizioni Sistema Centralizzato + Serve per fare correlazioni complesse + Permette di gestire più efficacemente una grande mole di dati - Se non si è già implementato è un costo significativo Sistema Locale (DB) + Costi più contenuti - E’ meno efficace per individuare incidenti
Le nuove prescrizioni del Garante, è sicurezza delle informazioni?
Domande "calde"
Bisogna riscrivere tutto il software che tratta i dati personali? Non necessariamente, dipende dall’architettura IT Le richieste via posta elettronica vanno considerate? E le informazioni mantenute in forma non strutturata come sono gestite? Possibile inclusione, necessario verificare se ci sono processi che le usano o se sono attività occasionali La consultazione di stampe e report elettronici è considerata? Le stampe non ricadono in ambito, i report elettronici devono essere considerati secondo la loro specificità, potrebbero essere esclusi in quanto non consistono o derivano dall’uso interattivo di sistemi Chi può utilizzare i log? L’area di compliance, gli auditor … non normato! Le nuove prescrizioni del Garante, è sicurezza delle informazioni?
Sommario degli interventi sul campo 1. Profilo "low cost" Solo i DB Niente «business intelligence» Alert interni
VS 2. Profilo "high performance" DB, applicazioni, dati non strutturati «Business intelligence» Alert interni ed esterni
Le nuove prescrizioni del Garante, è sicurezza delle informazioni?
Way forward
1. Analisi di processi e strumenti
2. Razionalizzazione
VS
3. Implementazione delle soluzioni
2012 Le nuove prescrizioni del Garante, è sicurezza delle informazioni?
2013
Side effects
Capacità di storage per i log facilmente moltiplicate in modo consistente (da considerare eventuali backup) Maggior effort per la gestione del quotidiano Focalizzazione dell’attenzione sull’aspetto dei log (meno attenzione sul resto delle tematiche legate alla sicurezza) Adozione di sistemi di correlazione di eventi Opportunità per rivedere processi e applicazioni legacy Orientamento alla notifica degli incidenti
Le nuove prescrizioni del Garante, è sicurezza delle informazioni?
Si può fare di più? Riutilizzando (con attenzione al nuovo carico!) Sistema di centralizzazione dei log per gli AdS Sottosistemi di logging del DBMS Sistema di correlazione degli eventi Struttura per la gestione degli incidenti Procedure di audit dei log Andando oltre i requisiti per raggiungere migliori livelli di sicurezza Per avere meno incidenti da notificare? (guadagno d’immagine) O ne riparliamo un’altra volta …
Le nuove prescrizioni del Garante, è sicurezza delle informazioni?
Cosa ha "dimenticato" il Garante Alcuni dettagli …
I time server e la sincronizzazione dei log (mancanza recidiva)
Protezione dei log: l’integrità magari è stata trascurata volontariamente ma riservatezza (chi può accedere) e disponibilità (come garantirla e.g. backup)?
Reazione agli incidenti individuati, al di là della loro comunicazione
Una data retention policy?
Le nuove prescrizioni del Garante, è sicurezza delle informazioni?
Sicurezza delle informazioni: 27001 Logging
Risk Assessment
Policy &
Contromisure
Requisiti
Annex A
Plan
Do
Act
Check
Miglioramento
Efficacia
Audit
Le nuove prescrizioni del Garante, è sicurezza delle informazioni?
Question time
Le nuove prescrizioni del Garante, è sicurezza delle informazioni?
Riferimenti
www.garanteprivacy.it (doc web 1813953) NIST SP800-92 Guide to computer security log management PCI-DSS 2.0 Payment Card Industry Data Security Standard ISO/IEC 27002:2005 – Code of practice for information security management
[email protected]
Le nuove prescrizioni del Garante, è sicurezza delle informazioni?