La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

"L'implementazione di un modello di sicurezza in ambito bancario: l'esperienza multinazionale di Banca Antonveneta" Dott. Manuele Cavallari, CISA, CISM,

Presentazioni simili


Presentazione sul tema: ""L'implementazione di un modello di sicurezza in ambito bancario: l'esperienza multinazionale di Banca Antonveneta" Dott. Manuele Cavallari, CISA, CISM,"— Transcript della presentazione:

1 "L'implementazione di un modello di sicurezza in ambito bancario: l'esperienza multinazionale di Banca Antonveneta" Dott. Manuele Cavallari, CISA, CISM, LoCSI Responsabile IT Security Office – Consorzio Operativo Gruppo Montepaschi

2 Componenti del modello Elementi costitutivi del modello multinazionale sono: Politiche e procedure molto articolate e puntuali Definizione chiara di ruoli, responsabilità e attività Forte commitment del management Strutture globali e regionali di supporto Coinvolgimento del Security Office nel ciclo di vita di applicazioni ed infrastrutture Approccio Risk Oriented Misurazione periodica dei risultati

3 Politiche e procedure

4 Struttura Organizzativa

5 Modello Operativo (1/3) ServiceTaskBrief description IS policy and standards Policy ReviewRepresent EMEA IS requirements during the development of information security policy Local Policy Governance Co-ordinate the identification of security requirements related to local legislation and regulation IT Policy Dispensation ManagementCo-ordinate the management of IS risks that are non-compliant with policies Security architecture and standards implementation Provide security architecture and standards to aid IT when designing a system IS Program ManagementSecurity Solutions Co-ordination Facilitate the identification and the utilisation of global and regional shared security solutions IS risk management Technology Risk Assessment Process (TRAP) delivery Identification of risks related to IT Applications, infrastructure and processes and management of their remediation Asset Classification (CIA) maintenance Facilitate the understanding of IT system value through classification according to confidentiality, integrity and availability Change control Approval Provide Change Advisory Board representation to help prevent the implementation of significant changes without adequate understanding of the IS risks Audit Issue Management and ResolutionSupervise the management of audit issues that are related to information security

6 Modello operativo (2/3) ServiceTaskBrief description Threat and vulnerability management Internal Vulnerability ManagementPerform specialist scanning of IT Systems to monitor and remediate against technical IT threats and vulnerabilities External Vulnerability ManagementPerform specialist scanning of Internet Systems to monitor and remediate against technical IT threats and vulnerabilities Wireless scanning and remediationPerform specialist scanning to identify unapproved wireless network technology in use in the bank buildings Security Controls MonitoringReview the effectiveness of local security devices, tools and processes. Incident Detection and Management Security Event MonitoringProvide first line response for local events identified by the banks global security monitoring tools Security Incident ManagementCo-ordinate the Local Computer Incident Response Team for reported IS incidents Forensics and fraud investigation supportProvide IS support and expertise during investigation where fraudulent / criminal activity is suspected Identity and access management Access Control Administration (ACA) Governance Review local IT systems access control administration processes and tools Generic high privilege account monitoringCo-ordinate the management of powerful system accounts

7 Modello Operativo (3/3) ServiceTaskBrief description Group Legal, regulatory and compliance Mgmt IT requirements coordination for Data Privacy and Banking secrecy Co-ordinate the identification of local legal and regulatory requirements that impact data privacy and banking secrecy Knowledge, awareness and education Security AwarenessCo-ordination of staff and related 3 rd parties information security training Security Advice and GuidanceProvide Information Security subject matter expert consultancy

8 Strutture globali e regionali di supporto Ricerca e Sviluppo Vulnerability Assessment Penetration Test Risk Assessment Revisione, adeguamento di Politiche e Procedure

9 Commitment del Management La sicurezza delle informazioni come un obiettivo condiviso di tutta lazienda Responsabilità specifiche assegnate ad ognuno degli attori dei diversi processi La responsabilità finale in termini di sicurezza è assegnata al Management e a scendere ai Business Owners La sicurezza non è una questione tecnica, relegata nellambito degli specialisti, la cui responsabilità deve essere condivisa a diversi livelli. ISO analizza i livelli di rischio e le contromisure da porre in essere e i BO decidono se accettare o mitigare i rischi emersi. In caso di rischi particolarmente elevati, una eventuale accettazione deve avere lapprovazione di un comitato speciale del Top Management. Sono definite puntualmente le responsabilità ed i compiti delle diverse strutture aziendali, e i BO sono incentivati a chiedere il supporto di ISO per ridurre al minimo i rischi di cui sono responsabili.

10 Security nel ciclo di vita di applicazioni ed infrastrutture Ogni nuova applicazione e/o infrastruttura viene sottoposta al vaglio di un Risk Assessment Esatta percezione di quali rischi vengono introdotti Eventuali contromisure implementate in una fase iniziale (con costi e impatti minori) Change Board che approva il passaggio in produzione di applicazioni/infrastrutture con un rappresentante di ISO, che può esercitare il diritto di veto, qualora queste non abbiano superato i requisiti minimi o non sia stata controfirmata laccettazione/mitigazione dei rischi rilevati da parte del BO. ISO viene coinvolto sin dalle prime fasi nei diversi progetti per poter fornire consulenza, fare le valutazioni del rischio, proporre mitigazioni e partecipa a pieno titolo in tutte le fasi del ciclo di vita di applicazioni/infrastrutture

11 Approccio Risk Oriented Lapproccio Risk Oriented consiste nel perseguire la sicurezza delle informazioni attraverso un corretto processo di gestione del rischio. È necessario perciò che sia implementato un processo continuativo di analisi del rischio per aumentare o mantenere il livello di sicurezza delle informazioni. Il processo di Risk Assessment consente di applicare, a seconda della criticità dellasset, un set più o meno approfondito di controlli per la valutazione effettiva del rischio. Una volta definiti i livelli di rischio per i diversi asset, si definiscono le contromisure per abbattere i rischi

12 Misurazione periodica dei risultati AmbitoAttività Vulnerabilità interne rilevate interne corrette esterne rilevate esterne corrette applicative rilevate applicative corrette Penetration test svolti Vulnerabilità rilevate da PTest Vulnerabilità corrette Analisi e Gestione del Rischio Risk Assessment conclusi Mitigation effettuate/in corso Mitigation pianificate Incident Management Gestione degli incidenti di sicurezza Controllo Accessi Richieste EEP (pwd privilegiate) Altro Catalogazione asset Partecipazione/supporto negli Audit Local security policies create

13 Il modello di sicurezza del Gruppo Montepaschi Focus nazionale di Montepaschi Elementi del modello in valutazione: Impostare e definire un set di policy di sicurezza sufficientemente articolato; Rivedere e/o definire i processi a supporto della sicurezza in maniera puntuale; Implementare un approccio basato sulla gestione del rischio su ampia scala nellambito del Gruppo Montepaschi.


Scaricare ppt ""L'implementazione di un modello di sicurezza in ambito bancario: l'esperienza multinazionale di Banca Antonveneta" Dott. Manuele Cavallari, CISA, CISM,"

Presentazioni simili


Annunci Google