Natale Prampolini

CobiT®5 e la sicurezza nei dispositivi mobili

A cura di Natale Prampolini

Proboviro AIEA

LA ISO27001:2013, A ISO20000, LA ISO22301,

CISA, CISM, CobiT®5,

ITIL v.3, CMMI Dev. 1.2

Pag. 1 2013 – Milano

Natale Prampolini

Pag. 2

Siete liberi di… riprodurre, comunicare, condividere, modificare quest’opera (anche per fini commerciali) …ma alle seguenti condizioni… attribuzione agli autori …condivisione secondo lo stesso modo.

Le informazioni riportate in questa presentazione, ivi incluse, ma non limitate a, immagini, testo, video, foto e animazioni, ove non indicato diversamente, sono di proprietà degli autori. Le informazioni contenute in questa presentazione sono ritenute essere accurate alla data della pubblicazione. Esse sono fornite per scopi meramente didattici e non per essere utilizzate direttamente in progetti di qualsiasi tipo e servizi di consulenza. Le informazioni contenute in questa presentazione sono soggette a cambiamento senza preavviso. Gli autori non si assumono alcuna responsabilità per il contenuto di questa presentazione

2013 – Milano

Natale Prampolini

Breve ricerca di contesto

3

Quante società hanno già adottato Smartphone e Tablet per realizzare attività operative?

Quante società hanno…

…verificato gli obblighi normativi correlati?

…definito delle policy di gestione di tali dispositivi?

…adottato misure di sicurezza specifiche?

…e in particolare per trattamenti di dati personali?

2013 – Milano

Natale Prampolini

Breve ricerca di contesto

4

Fonte: Ponemon Institute, 2011 e SC Magazine 2011

20.000.ooo Di smartphone stimati in Italia

+52% Rispetto al 2010

77% Di utenti che li usano in ambito aziendale [Fonte IPSOS Media ICT 2011]

2013 – Milano

Natale Prampolini

Ragioni, obiettivi e ambito

5

Ragioni Esplosione dell’utilizzo dei dispositivi in ambito aziendale

Trend in atto molto particolari (BYOD, ibridizzazione, vari player)

Studi e ricerche maggiormente focalizzati ad aspetti di security

Normativa attuale pensata principalmente per contesti tecnologici precedenti

Obiettivi Analizzare in maniera strutturata la tematica della conformità per

l’utilizzo di tali dispositivi

Fornire spunti di varia natura da prendere in considerazione

Ambito Utilizzo dei dispositivi mobili evoluti (Smartphone e tablet) in ambito

aziendale per realizzare trattamenti di dati personali

Titolarità punto focale

2013 – Milano

Natale Prampolini

Contesto generale

6

Smartphone Cellulari dotati di elevata potenza, connettività, funzioni, applicazioni,

multimedialità;

Dimensioni e costi contenuti;

Schermo fino a 4’’ – 10 cm.

Tablet Dispositivi analoghi dimensioni maggiori;

8’’ / 20 cm.

Un phablet: il nuovo ibrido!

2013 – Milano

Natale Prampolini

Contesto generale

7 2013 – Milano

Natale Prampolini

Contesto generale

8

Forte dinamicità dei player

BYOD, Bring Your Own Device

Non gestisco il parco dispositivi;

I dipendenti sono più efficienti/efficaci

Più difficile governare la sicurezza sui dispositivi (policy stringenti, configurazioni sicure sicurezza nei servizi

NFC, Near Field Communication

Fonte: Ponemon Institute, 2011 e SC Magazine 2011

Plu

s

Min

us

2013 – Milano

Natale Prampolini

I rischi in ambito mobile

9

Identificazione e classificazione

dei trattamenti e dei dati

Analisi dei rischi

Trattamento dei rischi

Identificazione trattamenti, dati e dispositivi Identificazione elementi centralizzati

Classificazione per criticità e conformità normativa

Utilizzo promiscuo dei dispositivi BYOD

Ridurre Accettare

Quanto è possibile conoscere? Trasferire

Possibile ? A chi compete?

Evitare

Attività fondamentale nella corretta protezione dei dati trattati per l’identificazione delle misure

BYOD

2013 – Milano

Natale Prampolini

I rischi in ambito mobile

10

Rischi per comportamenti degli utilizzatori - Acquisizione di dati di localizzazione senza opportuna informativa agli utenti

- Profili utenti senza consenso

Rischi correlati agli strumenti - Virus informatici

- Hacking e Sniffing

- Malfunzionamento

- Danneggiamento dispositivi

Rischi per contesto fisico-ambientale - Furto o smarrimento

- Indisponibilità delle infrastrutture centralizzate

Rischi di conformità - Acquisizione dati di localizzazione senza opportuna informativa agli utenti

- Profilazione utente senza consenso

Aree di rischio per il mobile

Speciale considerazione per i rischi correlati ai contesti degli outsourcer !

2013 – Milano

Natale Prampolini 2013 – Milano

The Evolution of COBIT 5

11

Governance of Enterprise IT

COBIT 5

IT Governance

COBIT4.0/4.1

Management

COBIT3

Control

COBIT2

Audit

COBIT1

2005/7 2000 1998

Evo

lutio

n

1996 2012

Val IT 2.0 (2008)

Risk IT (2009)

BMIS (2010)

Natale Prampolini 2013 – Milano 12

COBIT 5 Mapping Summary

Natale Prampolini 2013 – Milano 13

COBIT 5 Principles

Natale Prampolini 2013 – Milano 14

Meeting Stakeholder Needs

Natale Prampolini 2013 – Milano 15

Process Reference Model

Natale Prampolini 2013 – Milano 16

Securing Mobile Devices Using CobiT5 for Information Security

Natale Prampolini 2013 – Milano 17

1. Mobile Device Impact on Business and Society

Natale Prampolini 2013 – Milano 18

2. Threats, Vulnerabilities and Associated Risk (1/6)

Natale Prampolini 2013 – Milano 19

2. Threats, Vulnerabilities and Associated Risk (2/6)

Natale Prampolini 2013 – Milano 20

2. Threats, Vulnerabilities and Associated Risk (3/6)

Natale Prampolini 2013 – Milano 21

2. Threats, Vulnerabilities and Associated Risk (4/6)

Natale Prampolini 2013 – Milano 22

2. Threats, Vulnerabilities and Associated Risk (5/6)

Natale Prampolini 2013 – Milano 23

2. Threats, Vulnerabilities and Associated Risk (6/6)

Natale Prampolini 2013 – Milano 24

3. Security Governance

Natale Prampolini 2013 – Milano 25

4. Security Management for Mobile Devices

Natale Prampolini 2013 – Milano 26

5. Hardening Mobile Devices

• Permanent Storage (Hard Disk, SSD)

• Removable Storage and Devices (Unspecified)

• Connectivity

• Remote Functionality (Lockdown, GPS)

Natale Prampolini 2013 – Milano 27

6. Mobile Device Security Assurance

Natale Prampolini 2013 – Milano 28

6. Mobile Device Security Assurance

Natale Prampolini 2013 – Milano 29

6. Mobile Device Security Assurance

Natale Prampolini 2013 – Milano 30

7. Guiding Principles for Mobile Device Security

Principle 1: Know the business value and risk of mobile device use. Principle 2: Clearly state the business case for mobile device use. Principle 3: Establish systemic security for mobile devices. Principle 4: Establish security governance over mobile devices. Principle 5: Manage mobile device security using enablers. Principle 6: Place security technology in context. Principle 7: Know the assurance universe and objectives. Principle 8: Provide reasonable assurance over mobile device security.

Natale Prampolini 2013 – Milano 31

Conclusioni

• Il mondo dei dispositivi mobili è in continua evoluzione

• I prossimi dispositivi di successo non li conosciamo ancora:

• occhiali, • da polso, • a voce.

• Serve un modello di riferimento per il Governo e la

Gestione

• Il Cobit5 è un modello pronto, e personalizzabile, sulle esigenze specifiche delle aziende e dei dispositivi

Natale Prampolini Pag. 32

Grazie per l’attenzione

ing. Natale Prampolini

Mobile: 335 1089211

Email: prampolini@ordine.ingegneri.vi.it

PEC: natale.prampolini@ingpec.it

Skype: prampolini

Linkedin: Natale Prampolini

Facebook: Natale Prampolini

Twitter: @Prampola

What’s App

2013 – Milano