La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati 1 Alessandro Da Re, CRISC.

Presentazioni simili


Presentazione sul tema: "ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati 1 Alessandro Da Re, CRISC."— Transcript della presentazione:

1 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l Tutti i diritti riservati 1 Alessandro Da Re, CRISC Chief Executive Officer RISCHIO INFORMATICO E CONTINUOUS AUDITING: Monitorare in continuo i livelli di sicurezza: quali implicazioni?

2 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l Tutti i diritti riservati Pag.2 Cosa significa Monitorare continuamente i livelli di sicurezza ? Come definire in maniera accettabile la descrizione olistica (1) di Livello o indice di sicurezza? Cosa misuro? Le infrastrutture IT gli apparati di sicurezza? I Processi e le procedure di Security Governance? Il grado di affidabilità del software? Quali le metriche? Qualitative? Quantitative? O altro? Chi certifica che la misurazione effettuata è efficace ? Quesiti 1- Relativamente a ciò che può essere chiamato "olistico", per definizione, la sommatoria funzionale delle parti è sempre maggiore/differente della somma delle prestazioni delle parti prese singolarmente.

3 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l Tutti i diritti riservati Pag.3 Security Index? Ma per favore…

4 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l Tutti i diritti riservati Pag.4 Proviamo ad immaginare… Quanto si può prevenire? Quali indicatori? Premonizioni Cognitive?

5 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l Tutti i diritti riservati Pag.5 Casi reali Oltre ai parametri operativi consentiti …non sempre va come auspico. Il caso Bud Hollands

6 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l Tutti i diritti riservati Pag.6 Consapevolezza e immediatezza di informazioni sui rischi; se mancano sono il primo vero rischio per il business. Quindi, va da se, lesigenza del controllo è evidente perché si sa, prevenire è meglio (che curare). Security Marketing! Rappresentare efficacemente i rischi al management è un driver I Framework di riferimento forniscono i parametri operativi e gli ambiti di controllo (CobIT, ValIT, RiskIT, ISO etc.). Risk Management e Valore del Business: fondamenti per la strategia di BC Da queste sintetiche ma fondamentali considerazioni è nata, nel 2000, lidea di pensare ad un tool che fosse in grado di recepire diversi indicatori dallambiente, di misurare un indice di sicurezza e di relazionarlo a KPI recepite da indicatori di Business (Business Intelligence). GENESI

7 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l Tutti i diritti riservati Pag.7 E il concetto di base nella gestione delle situazioni complesse, e consente di avere il polso della situazione, agire con efficacia ed efficienza, evitare situazioni di panico, prevenire. In sintesi: mantenere il controllo e la consapevolezza in qualsiasi condizione Situational Awareness

8 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l Tutti i diritti riservati Pag.8 Concetto mutuato dalla cultura militare: Individuare le minacce prima di essere alla loro portata; Gestire in maniera proattiva la propria infrastruttura Prevenire gli incidenti e agire in maniera coordinata Avere la visione completa dello scenario Early Warning

9 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l Tutti i diritti riservati Pag.9 Significa: Conoscere lambiente ed il suo valore (scenario) Scegliere uno o più framework di riferimento e confrontarlo il più spesso possibile Sintesi efficace delle informazioni che ritengo strategiche Accorgersi per tempo che qualcosa non va rispetto alle policy Individuarne la causa e decidere sul rimedio nel minor tempo possibile. Definiamo; Monitorare Il termine monitoraggio deriva dal latino monitor – oris, derivato di monere, con il significato di ammonire, avvisare, informare, consigliare. Il termine ha origine in ambiente industriale, per indicare la vigilanza continua di una macchina in funzione, mediante appositi strumenti che ne misurano le grandezze caratteristiche (velocità, consumo, produzione, ecc.). Il significato originario si è ampliato: dalla macchina all'intero processo, a tutta una struttura operativa, includendo in essa anche le risorse umaneprocesso

10 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l Tutti i diritti riservati Pag.10 Una BIA consente di valutare limpatto sul Business che potrebbe avere un Rischio non correttamente gestito. Il Risk Management, evidenzia i rischi a cui sono esposti gli Asset strategici (scope) con lobiettivo di mitigarli. MONITORARE: Determino il grado di rischio, in funzione della criticità e natura dellasset, della probabilità e della tipologia e numero di vulnerabilità del sistema che lo ospita o dei processi che sottende… In breve: Misurare quindi in modo oggettivo (Best Practice) un ambiente soggettivo (scope) Monitorare; paradigmi

11 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l Tutti i diritti riservati Pag.11 Le tecniche di Audit tradizionali, prevedono dei controlli manuali effettuati in istanti diversi, a campione (ISO 19011) Può accadere che nel lasso di tempo che intercorre tra lattività di controllo effettuata nellistante T e la successiva dellistante T1, avvengano dei fatti – ad esempio la rilevazione di una vulnerabilità in un sistema - tali per cui il livello di sicurezza si abbassa, esponendo linfrastruttura a dei reali rischi di attacco. Computer Security Audit, rappresenta quel segmento di processi organizzativi e strumenti tecnologici atti a rilevare lo stato di salute di un sistema informativo. Misurare il livello di sicurezza di una infrastruttura IT è da sempre stata una sfida importante, tanto più complessa quanto più esteso è lambiente danalisi. Monitorare Continuamente?

12 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l Tutti i diritti riservati Pag.12 Continuous auditing has been defined as a methodology or framework that enables auditors (external and internal) to provide written results on the subject matter using one or a series of reports issued simultaneously. The ability to report on events in a real-time or near real-time environment can provide significant benefits to the users of audit reports Continuous Audit (CA) consente, se associato alle opportune attività di applicazione delle contromisure, di ridurre drasticamente il rischio di violazione dei sistemi e mantenere il livello di sicurezza vicino al target di riferimento. ISACA in un articolo apparso nella rivista Information Systems Control Journal, Volume 5, 2002 dichiara: Continuous Auditing: Is It Fantasy or Reality? Monitorare Continuamente!

13 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l Tutti i diritti riservati Pag.13 Rappresenta una sfida complessa in quanto occorre: Mantenere una ricognizione continua delle vulnerabilità sulle situazioni esistenti (Early Warning); Controllare attivamente tutte le nuove situazioni che possano rappresentare un rischio; Realizzare adeguate metriche per ricavare il Livello di Sicurezza complessivo, da rappresentare in modo intuitivo e immediato e in forma sia sintetica che analitica. Continuous Auditing

14 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l Tutti i diritti riservati Pag.14 Non esistono standard (de facto o meno) che suggeriscano la metrica per definire un IT Security Index. Tuttavia; tutto ciò che esiste è misurabile (o no?) Allora: perché è difficile o utopico parlare di IT Security Index? Viene spontaneo il quantum Qualitativo, ancorché Quantitativo Presupposto 1: In presenza di Vulnerabilità, aumenta il rischio di violazione, diminuisce lindice di sicurezza. Presupposto 2: Audit significa evidenziare per tempo vulnerabilità (di varia natura), che possano compromettere i requisiti di sicurezza e, di conseguenza, il business. IT Security Index??? (ma per favore 2!!!)

15 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l Tutti i diritti riservati Pag.15 I rischi IT indotti dalle minacce e dalle vulnerabilità non gestite sono molteplici e di diversa natura. Misurarli tutti significa trovarsi con una plancia di comando traboccante di strumentazione ed indicatori; in caso di emergenza, lattenzione è rivolta solo agli strumenti più importanti e facilmente visibili. Schema di un abitacolo del Mikoyan-Gurevich MIG-23BN un unico indicatore, pur mantenendo il dettaglio dellinformazione, rende efficace lintervento di remediations. Una metrica adeguata pondera i singoli rischi ricavandone un unico indice, per orientare correttamente attenzione ed investimenti sui punti realmente più critici. Misure: Le metriche - esperienza

16 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l Tutti i diritti riservati Pag.16 Security Metrics Contributo % M1Numero totale di vulnerabilità di tipo HIGH25,019,2 M2Numero di vulnerabilità per tipologia diverse di tipo HIGH25,019,2 M3Numero di vulnerabilità di tipo MID17,59,3 M4Numero di vulnerabilità diverse di tipo MID17,59,3 M5Numero di vulnerabilità di tipo LOW7,53,5 M6Numero di vulnerabilità diverse di tipo LOW7,53,5 M7Disponibilità dei singoli servizi018,0 M8Disponibilità di processo A (p.es. Ciclo Attivo)018,0 Totale contributo sul calcolo del Security Index100,0 Analisi Quali – Quantitativa per uniformare il monitoraggio dei Rischi IT, su infrastrutture tecnologiche complesse. In queste metriche di esempio, vengono inseriti nel calcolo dellindice di sicurezza i fattori di rischio relativi alle vulnerabilità dei sistemi, e alla disponibilità di un processo associato ad una Applicazione critica. Il set di metriche può essere esteso in modo significativo, assegnando di volta in volta il peso con il quale ognuna di essa influisce per il calcolo del livello di sicurezza in quello specifico ambiente. Metriche

17 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l Tutti i diritti riservati Pag.17 Il rischio di violazione dei sistemi aumenta considerevolmente nel caso si fosse in presenza di più vulnerabilità di diverso tipo in più host, dando quindi più possibilità di successo nellottenere un accesso non autorizzato ai sistemi. La metriche rendono il calcolo del SL(Security Level) indipendente dallambiente e dalle dimensioni dellorganizza zione Metriche

18 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l Tutti i diritti riservati Pag.18 ISACA Tools: Altre security Metrics?

19 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l Tutti i diritti riservati Pag.19 Lesperienza e le esigenze di mercato, ha portato a ragionare e sviluppare un prodotto dausilio al monitoraggio continuo del Rischio, cercando di realizzare ciò che in letteratura è considerata una sfida. Lazienda, completando un percorso iniziato nel 2002, ha voluto investire risorse per lo sviluppo del prodotto, portandolo a brevetto Italiano: Qhawax: El que observa o vigila con astucia

20 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l Tutti i diritti riservati Pag.20 Qhawax: Larchitettura

21 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l Tutti i diritti riservati Pag.21 Qhawax: Larchitettura di monitoraggio

22 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l Tutti i diritti riservati Pag.22 MODELLO ARCHITETTURALE QHAWAX SICUREZZA INFRASTRUTTURA APPLICAZIONE Asset Inventory Classificazione delle vulnerabilità Security Index per ogni singolo sistema Network Security Index Analisi automatica delle vulnerabilità e trend SI Security Server Metriche di Sicurezza Sonde distribuite Calcolo dellindice globale di sicurezza Valutazione dei dati raccolti per indicatore Raccolta e archiviazione dati di analisi Analisi Ambito tecnologico GSI: Reti, Sistemi, Servizi IT e Organizzazione LIVELLO DI CONTROLLO Cruscotto Real-Time Reports, documentazione e Allarmi Qhawax: Schema Logico modulo VA

23 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l Tutti i diritti riservati Pag.23 La dashboard propone un Security Level complessivo. In questo esempio, il sistema evidenzia laggregazione della metrica vulnerabilità di sistema, con la possibilità di drill-down nel singolo dettaglio. Dashboard

24 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l Tutti i diritti riservati 24 Dashboard

25 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l Tutti i diritti riservati 25 Dashboard

26 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l Tutti i diritti riservati Pag.26 Early Warning RSS Feed SMS Quali sono i giusti sistemi di allerta? Vengono presi correttamente in considerazione? Linfrastruttura organizzativa è in grado di sostenere e garantire un adeguato livello di sicurezza agli utenti? I Sistemi di allerta

27 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l Tutti i diritti riservati Pag.27 La Business Impact Analysis, punto di partenza valutare limpatto che una errata gestione del rischio, può comportare. Individuare i processi core dellimpresa, e valuta limpatto economico / organizzativo del loro ripristino, in caso di emergenza, in funzione del tempo (Recovery Time Objective) e della relativa perdita economica. Lidea di integrare IT Risk con la Business Intelligence consiste, in breve, nellottenere indicatori relativi al valore del processo, e porlo in relazione con i rischi rilevati e valutare: Costi di ripristino; RTO massimo consentito dal business; Scenari di impatto (what if). La sensibilizzazione verso lIT Security, avviene attraverso parametri di conto economico e di immagine (perdita / guadagno) in funzione del Rischio. Business Intelligence

28 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l Tutti i diritti riservati Pag.28 Integrazione

29 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l Tutti i diritti riservati Pag.29 Abbiamo voluto premiare liniziativa e leffort di questi anni, decidendo di brevettare la soluzione. Qhawax è quindi registrato dal 2008 come brevetto n° TO2008A Metodo, Apparecchio e sistema per calcolare in modo completamente automatico il livello di sicurezza di un sistema informatico. Lanalisi di applicabilità, la stesura della documentazione e la presentazione della domanda di brevetto, è stata affidata allo Studio Torta di Torino Da Idea a brevetto

30 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l Tutti i diritti riservati Pag.30 Ci auguriamo che il metodo proposto possa diventare oggetto di studio e di critica proattiva da parte dei colleghi: Lobiettivo è di ampliare i concetti di monitoraggio e valutazione della sicurezza, anche e soprattutto attraverso laggregazione di competenze. La rappresentazione grafica dellindice di sicurezza (Security Marketing) sarà quindi solo il risultato di approfondimenti e considerazioni di professionisti dell IT Security & Audit e della Business Intelligence. Conclusioni

31 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l Tutti i diritti riservati Pag.31 CHI E LOGICAL SECURITY Presente nel mercato della sicurezza logica dal 2002, base su Treviso. Alcune referenze: SAVE Aeroporti di Venezia MAE - Unità di Crisi Gruppo De Longhi Università Cattolica S. Cuore- Roma Crediveneto - BCC Replay Fashion Box Autovie Venete GGP Italy Gruppo Stefanel Gruppo Despar Gruppo Unicomm (Famila) Gruppo Supermercati Alì T-Systems Italia YKK

32 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l Tutti i diritti riservati Pag.32 CHI E LOGICAL SECURITY c Security Operation Center c IT Security Technology Applications Expertise IT Governance & Security Access Control Business Continuity IAM Recovery Backup Antivirus Firewall Dipartimentale Networking ComplianceAudit Business Process Management IT Strategy PKI VPN (IPSEC/SSL) Measuring Management Mainframe Z/OS Business Intelligence Collaborazione Elettronica - EDI LOGICAL SECURITY PORTFOLIO Business Impact Analisys Assessment Cost Reduction Un gruppo di professionisti fortemente orientati alle sviluppo di competenze dei suoi consulenti e del cliente. Cloud

33 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l Tutti i diritti riservati 33 Alessandro Da Re, CRISC Chief Executive Officer RISCHIO INFORMATICO E CONTINUOUS AUDITING: Monitorare in continuo i livelli di sicurezza: quali implicazioni? Grazie per lattenzione !


Scaricare ppt "ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati 1 Alessandro Da Re, CRISC."

Presentazioni simili


Annunci Google