A COBIT 5 OverviewA COBIT 5 Overview - Information Technology
CobiT 5 e la sicurezza nei dispositivi mobili · Natale Prampolini CobiT ®5 e la sicurezza nei...
Transcript of CobiT 5 e la sicurezza nei dispositivi mobili · Natale Prampolini CobiT ®5 e la sicurezza nei...
Natale Prampolini
CobiT®5 e la sicurezza nei dispositivi mobili
A cura di Natale Prampolini
Proboviro AIEA
LA ISO27001:2013, A ISO20000, LA ISO22301,
CISA, CISM, CobiT®5,
ITIL v.3, CMMI Dev. 1.2
Pag. 1 2013 – Milano
Natale Prampolini
Pag. 2
Siete liberi di… riprodurre, comunicare, condividere, modificare quest’opera (anche per fini commerciali) …ma alle seguenti condizioni… attribuzione agli autori …condivisione secondo lo stesso modo.
Le informazioni riportate in questa presentazione, ivi incluse, ma non limitate a, immagini, testo, video, foto e animazioni, ove non indicato diversamente, sono di proprietà degli autori. Le informazioni contenute in questa presentazione sono ritenute essere accurate alla data della pubblicazione. Esse sono fornite per scopi meramente didattici e non per essere utilizzate direttamente in progetti di qualsiasi tipo e servizi di consulenza. Le informazioni contenute in questa presentazione sono soggette a cambiamento senza preavviso. Gli autori non si assumono alcuna responsabilità per il contenuto di questa presentazione
2013 – Milano
Natale Prampolini
Breve ricerca di contesto
3
Quante società hanno già adottato Smartphone e Tablet per realizzare attività operative?
Quante società hanno…
…verificato gli obblighi normativi correlati?
…definito delle policy di gestione di tali dispositivi?
…adottato misure di sicurezza specifiche?
…e in particolare per trattamenti di dati personali?
2013 – Milano
Natale Prampolini
Breve ricerca di contesto
4
Fonte: Ponemon Institute, 2011 e SC Magazine 2011
20.000.ooo Di smartphone stimati in Italia
+52% Rispetto al 2010
77% Di utenti che li usano in ambito aziendale [Fonte IPSOS Media ICT 2011]
2013 – Milano
Natale Prampolini
Ragioni, obiettivi e ambito
5
Ragioni Esplosione dell’utilizzo dei dispositivi in ambito aziendale
Trend in atto molto particolari (BYOD, ibridizzazione, vari player)
Studi e ricerche maggiormente focalizzati ad aspetti di security
Normativa attuale pensata principalmente per contesti tecnologici precedenti
Obiettivi Analizzare in maniera strutturata la tematica della conformità per
l’utilizzo di tali dispositivi
Fornire spunti di varia natura da prendere in considerazione
Ambito Utilizzo dei dispositivi mobili evoluti (Smartphone e tablet) in ambito
aziendale per realizzare trattamenti di dati personali
Titolarità punto focale
2013 – Milano
Natale Prampolini
Contesto generale
6
Smartphone Cellulari dotati di elevata potenza, connettività, funzioni, applicazioni,
multimedialità;
Dimensioni e costi contenuti;
Schermo fino a 4’’ – 10 cm.
Tablet Dispositivi analoghi dimensioni maggiori;
8’’ / 20 cm.
Un phablet: il nuovo ibrido!
2013 – Milano
Natale Prampolini
Contesto generale
7 2013 – Milano
Natale Prampolini
Contesto generale
8
Forte dinamicità dei player
BYOD, Bring Your Own Device
Non gestisco il parco dispositivi;
I dipendenti sono più efficienti/efficaci
Più difficile governare la sicurezza sui dispositivi (policy stringenti, configurazioni sicure sicurezza nei servizi
NFC, Near Field Communication
Fonte: Ponemon Institute, 2011 e SC Magazine 2011
Plu
s
Min
us
2013 – Milano
Natale Prampolini
I rischi in ambito mobile
9
Identificazione e classificazione
dei trattamenti e dei dati
Analisi dei rischi
Trattamento dei rischi
Identificazione trattamenti, dati e dispositivi Identificazione elementi centralizzati
Classificazione per criticità e conformità normativa
Utilizzo promiscuo dei dispositivi BYOD
Ridurre Accettare
Quanto è possibile conoscere? Trasferire
Possibile ? A chi compete?
Evitare
Attività fondamentale nella corretta protezione dei dati trattati per l’identificazione delle misure
BYOD
2013 – Milano
Natale Prampolini
I rischi in ambito mobile
10
Rischi per comportamenti degli utilizzatori - Acquisizione di dati di localizzazione senza opportuna informativa agli utenti
- Profili utenti senza consenso
Rischi correlati agli strumenti - Virus informatici
- Hacking e Sniffing
- Malfunzionamento
- Danneggiamento dispositivi
Rischi per contesto fisico-ambientale - Furto o smarrimento
- Indisponibilità delle infrastrutture centralizzate
Rischi di conformità - Acquisizione dati di localizzazione senza opportuna informativa agli utenti
- Profilazione utente senza consenso
Aree di rischio per il mobile
Speciale considerazione per i rischi correlati ai contesti degli outsourcer !
2013 – Milano
Natale Prampolini 2013 – Milano
The Evolution of COBIT 5
11
Governance of Enterprise IT
COBIT 5
IT Governance
COBIT4.0/4.1
Management
COBIT3
Control
COBIT2
Audit
COBIT1
2005/7 2000 1998
Evo
lutio
n
1996 2012
Val IT 2.0 (2008)
Risk IT (2009)
BMIS (2010)
Natale Prampolini 2013 – Milano 12
COBIT 5 Mapping Summary
Natale Prampolini 2013 – Milano 13
COBIT 5 Principles
Natale Prampolini 2013 – Milano 14
Meeting Stakeholder Needs
Natale Prampolini 2013 – Milano 15
Process Reference Model
Natale Prampolini 2013 – Milano 16
Securing Mobile Devices Using CobiT5 for Information Security
Natale Prampolini 2013 – Milano 17
1. Mobile Device Impact on Business and Society
Natale Prampolini 2013 – Milano 18
2. Threats, Vulnerabilities and Associated Risk (1/6)
Natale Prampolini 2013 – Milano 19
2. Threats, Vulnerabilities and Associated Risk (2/6)
Natale Prampolini 2013 – Milano 20
2. Threats, Vulnerabilities and Associated Risk (3/6)
Natale Prampolini 2013 – Milano 21
2. Threats, Vulnerabilities and Associated Risk (4/6)
Natale Prampolini 2013 – Milano 22
2. Threats, Vulnerabilities and Associated Risk (5/6)
Natale Prampolini 2013 – Milano 23
2. Threats, Vulnerabilities and Associated Risk (6/6)
Natale Prampolini 2013 – Milano 24
3. Security Governance
Natale Prampolini 2013 – Milano 25
4. Security Management for Mobile Devices
Natale Prampolini 2013 – Milano 26
5. Hardening Mobile Devices
• Permanent Storage (Hard Disk, SSD)
• Removable Storage and Devices (Unspecified)
• Connectivity
• Remote Functionality (Lockdown, GPS)
Natale Prampolini 2013 – Milano 27
6. Mobile Device Security Assurance
Natale Prampolini 2013 – Milano 28
6. Mobile Device Security Assurance
Natale Prampolini 2013 – Milano 29
6. Mobile Device Security Assurance
Natale Prampolini 2013 – Milano 30
7. Guiding Principles for Mobile Device Security
Principle 1: Know the business value and risk of mobile device use. Principle 2: Clearly state the business case for mobile device use. Principle 3: Establish systemic security for mobile devices. Principle 4: Establish security governance over mobile devices. Principle 5: Manage mobile device security using enablers. Principle 6: Place security technology in context. Principle 7: Know the assurance universe and objectives. Principle 8: Provide reasonable assurance over mobile device security.
Natale Prampolini 2013 – Milano 31
Conclusioni
• Il mondo dei dispositivi mobili è in continua evoluzione
• I prossimi dispositivi di successo non li conosciamo ancora:
• occhiali, • da polso, • a voce.
• Serve un modello di riferimento per il Governo e la
Gestione
• Il Cobit5 è un modello pronto, e personalizzabile, sulle esigenze specifiche delle aziende e dei dispositivi
Natale Prampolini Pag. 32
Grazie per l’attenzione
ing. Natale Prampolini
Mobile: 335 1089211
Email: [email protected]
PEC: [email protected]
Skype: prampolini
Linkedin: Natale Prampolini
Facebook: Natale Prampolini
Twitter: @Prampola
What’s App
2013 – Milano