La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

This presentation, including any supporting materials, is owned by Gartner, Inc. and/or its affiliates and is for the sole use of the intended Gartner.

Presentazioni simili


Presentazione sul tema: "This presentation, including any supporting materials, is owned by Gartner, Inc. and/or its affiliates and is for the sole use of the intended Gartner."— Transcript della presentazione:

1 This presentation, including any supporting materials, is owned by Gartner, Inc. and/or its affiliates and is for the sole use of the intended Gartner audience or other authorized recipients. This presentation may contain information that is confidential, proprietary or otherwise legally protected, and it may not be further copied, distributed or publicly displayed without the express written permission of Gartner, Inc. or its affiliates. © 2009 Gartner, Inc. and/or its affiliates. All rights reserved. Security and The Economy Come gestire il rischio in tempo di crisi Mauro Orlando Gartner Consulting

2 1 © 2009 Gartner, Inc. All Rights Reserved. Come si evolve la spesa per la sicurezza? No a tagli drastici anche in presenza di budget tagliati Security Spend as a Percent of IT Spend Distribution of Security Spend Source: Gartner IT Key Metrics Data Excluding Disaster Recovery La spesa di sicurezza rimane pressoché in linea con gli anni passati Cambia la distribuzione della spesa per natura: meno HW e personale più SW e consulenza La spesa di sicurezza rimane pressoché in linea con gli anni passati Cambia la distribuzione della spesa per natura: meno HW e personale più SW e consulenza

3 2 © 2009 Gartner, Inc. All Rights Reserved. La sicurezza è un lusso? Il mantenimento di un livello adeguato è una necessità  Nei momenti di difficoltà dovuti a budget tagliati o ritardo nella loro approvazione possono essere messe in campo alcune azioni tattiche:  Mantenimento della protezione di base. E’ necessario individuare cosa non è deferibile o riducibile: es. manutenzione dei firewall, sicurezza , gestione delle vulnerabilità, aggiornamento prodotti anti-malware.  Scendere a compromessi (assennati). E’ necessario posporre alcune iniziative o rinunciare a componenti accessorie.  Richiedere decisioni esplicite. E’ necessario spiegare bene le condizioni di rischio legate alle diverse opzioni e richiedere una specifica accettazione del nuovo profilo di rischio derivante dalle scelte di riduzione della spesa.  Soddisfare gli adempimenti contrattuali, legali ed etici. E’ necessario mantenere i livelli di sicurezza richiesti o annunciare esplicitamente l’impossibilità di farlo. Aggiornare il profilo di rischio ad ogni decisione che tagli iniziative di sicurezza Comunicare in modo trasparente la situazione a tutti gli stakeholder Chiedere decisioni esplicite su tutte le questioni che influenzano il livello di rischio

4 3 © 2009 Gartner, Inc. All Rights Reserved. Quali sono le sfide chiave per il 2009? Crisi o no, la sicurezza è chiamata a fare la sua parte  Ridurre i costi operativi  Usare piattaforme di sicurezza  Usare diverse opzioni di sourcing  Supportare i cambiamenti business  “Consumerization”  Collaborazione sicura  Anticipare le minacce  Indirizzare l’imprevedibilità delle nuove minacce  Rafforzare i meccanismi di autenticazione  Migliorare la “data security”  Assicurare la compliance Source: Gartner Research

5 4 © 2009 Gartner, Inc. All Rights Reserved. Ridurre i costi operativi ridistribuendo le responsabilità Strategia per ‘operazionalizzare’ il lavoro di routine IT Operations Non predilige il cambiamento Sfrutta le economie di scala per task ben definiti e ripetitivi Punta sull’efficienza (doing things right) IT Security Deve reagire e rispondere velocemente Usa risorse costose per affrontare nuove minacce Punta sull’efficacia (doing the right things) Minacce matureNuove minacce Source: Gartner Research

6 5 © 2009 Gartner, Inc. All Rights Reserved. Indirizzare l’imprevedibilità delle nuove minacce Adottare approcci selettivi per ottimizzare lo sforzo speso  Blacklist  lista basta su firma per bloccare oggetti conosciuti come non sicuri  Whitelist  permettere solo ciò che è posseduto e supportato  Uberwhitelist  permettere tutto ciò che è conosciuto come sicuro  Gestire le "graylist"  Real time categorization  Application control Bad Gray Good Source: Gartner Research

7 6 © 2009 Gartner, Inc. All Rights Reserved. Gestire i meccanismi di autenticazione efficientemente Bilanciare costi, complessità e benefici Certificates + Biometric- Enabled Smart Tokens Digital Signatures Complexity and Cost Authentication Strength Password s Graphical Passwords OTP (TAN) via phone Cached Certificates Biometrics PIN-Protected OTP Tokens Biometrics + Passwords Certificates + PIN-Protected Smart Tokens Transaction Numbers Inert Tokens Source: Gartner Research

8 7 © 2009 Gartner, Inc. All Rights Reserved. Proteggere i dati con un mix di interventi bilanciato Sfruttare i meccanismi lungo l’intera catena informativa Data Security Stack Host Application Network Access Controls Content Monitoring and Filtering Activity Monitoring and Enforce- ment Logical Controls Encryption PolicyAudit DATA ABC … XYZ Source: Gartner Research

9 8 © 2009 Gartner, Inc. All Rights Reserved. "Do What You Say" Monitorare il livello di compliance ed i cambiamenti nel tempo La maggior parte delle normative indirizzano processi, governo e reporting, non tecnologia "Say What You Know" Produrre i report richiesti "Know What You Do" You Do" Comprendere e documentare processi e politiche Assicurare la compliance senza sprechi Adottare un approccio integrato riconoscendo gli obiettivi ricorrenti Source: Gartner Research

10 9 © 2009 Gartner, Inc. All Rights Reserved. Quale livello di maturità hanno raggiunto i programmi di sicurezza? La Ricerca Gartner mostra che il percorso è lungo ma indispensabile Source: Gartner Research Il raggiungimento di un elevato livello di maturità del programma di sicurezza costituisce un percorso lungo ed impegnativo; inoltre non può essere condotto senza far maturare tutti i processi di sicurezza Risulta particolarmente impegnativo il passaggio da livelli di maturità medio bassi a medio-alti ma i vantaggi ottenibili sono importanti: diminuzione dei rischi riduzione della spesa Risulta particolarmente impegnativo il passaggio da livelli di maturità medio bassi a medio-alti ma i vantaggi ottenibili sono importanti: diminuzione dei rischi riduzione della spesa

11 10 © 2009 Gartner, Inc. All Rights Reserved. Perché i programmi di sicurezza falliscono? Il buonsenso lascia lo spazio a paura ed approssimazione Interventi parziali Interventi scoordinati Interventi intempestivi /? Source: Gartner

12 11 © 2009 Gartner, Inc. All Rights Reserved. Come essere sicuri di non dimenticare niente? Gartner propone un approccio olistico Strategy Governance Investment & Payback Policies & Standards Awareness & Culture Audit Monitoring & Investigation Architecture Technology deployment INFO Source: Gartner

13 12 © 2009 Gartner, Inc. All Rights Reserved. GRAZIE DA LUNEDI’ Misurate il rischio associato ad ogni euro tagliato dal budget di sicurezza Valutate tutte le azioni in un contesto di programma complessivo Adottate un modello per fare evolvere il programma e controllare il mantenimento degli obiettivi irrinunciabili


Scaricare ppt "This presentation, including any supporting materials, is owned by Gartner, Inc. and/or its affiliates and is for the sole use of the intended Gartner."

Presentazioni simili


Annunci Google