La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

RISCHIO INFORMATICO E CONTINUOUS AUDITING:

PubblicatoGiambattista Sanna Modificato 10 anni fa

Presentazioni simili

Presentazione sul tema: "RISCHIO INFORMATICO E CONTINUOUS AUDITING:"— Transcript della presentazione:

1 RISCHIO INFORMATICO E CONTINUOUS AUDITING:
Monitorare in continuo i livelli di sicurezza: quali implicazioni? Alessandro Da Re, CRISC Chief Executive Officer

2 Quesiti Cosa significa “Monitorare continuamente i livelli di sicurezza” ? Come definire in maniera accettabile la descrizione olistica(1) di “Livello o indice di sicurezza”? Cosa misuro? Le infrastrutture IT gli “apparati di sicurezza”? I Processi e le procedure di Security Governance? Il grado di affidabilità del software? Quali le metriche? Qualitative? Quantitative? O altro? Chi certifica che la misurazione effettuata è efficace ? Note una 1- Relativamente a ciò che può essere chiamato "olistico", per definizione, la sommatoria funzionale delle parti è sempre maggiore/differente della somma delle prestazioni delle parti prese singolarmente.

3 Security Index? Ma per favore…

4 Proviamo ad immaginare…
Quanto si può prevenire? Quali indicatori? Premonizioni Cognitive? Note una

5 Casi reali Oltre ai parametri operativi consentiti …non sempre va come auspico. Il caso “Bud Hollands” Note una

6 GENESI Consapevolezza e immediatezza di informazioni sui rischi; se mancano sono il primo vero rischio per il business. Quindi, va da se, l’esigenza del controllo è evidente perché si sa, prevenire è meglio (che curare). Security Marketing! Rappresentare efficacemente i rischi al management è un driver I Framework di riferimento forniscono i “parametri operativi” e gli ambiti di controllo (CobIT, ValIT, RiskIT, ISO etc.). Risk Management e “Valore del Business”: fondamenti per la strategia di BC Da queste sintetiche ma fondamentali considerazioni è nata, nel 2000, l’idea di pensare ad un tool che fosse in grado di recepire diversi indicatori dall’ambiente, di “misurare” un “indice di sicurezza” e di relazionarlo a KPI recepite da “indicatori di Business” (Business Intelligence). Note una

7 Situational Awareness
E’ il concetto di base nella gestione delle situazioni complesse, e consente di avere “il polso” della situazione, agire con efficacia ed efficienza, evitare situazioni di panico, prevenire. In sintesi: mantenere il controllo e la consapevolezza in qualsiasi condizione

8 Early Warning Concetto mutuato dalla cultura militare:
Individuare le minacce prima di essere alla loro portata; Gestire in maniera proattiva la propria infrastruttura Prevenire gli incidenti e agire in maniera coordinata Avere la visione completa dello scenario

9 Definiamo; Monitorare
Significa: Conoscere l’ambiente ed il suo valore (scenario) Scegliere uno o più framework di riferimento e confrontarlo “il più spesso possibile” Sintesi efficace delle informazioni che ritengo strategiche Accorgersi per tempo che “qualcosa non va” rispetto alle policy Individuarne la causa e decidere sul rimedio nel minor tempo possibile. Note una Il termine monitoraggio deriva dal latino monitor – oris, derivato di monere, con il significato di ammonire, avvisare, informare, consigliare. Il termine ha origine in ambiente industriale, per indicare la vigilanza continua di una macchina in funzione, mediante appositi strumenti che ne misurano le grandezze caratteristiche (velocità, consumo, produzione, ecc.). Il significato originario si è ampliato: dalla macchina all'intero processo, a tutta una struttura operativa, includendo in essa anche le risorse umane

10 Monitorare; paradigmi
Una BIA consente di valutare l’impatto sul Business che potrebbe avere un “Rischio” non correttamente gestito. Il Risk Management, evidenzia i rischi a cui sono esposti gli Asset strategici (scope) con l’obiettivo di mitigarli. MONITORARE: Determino il grado di rischio, in funzione della criticità e natura dell’asset, della probabilità e della tipologia e numero di vulnerabilità del sistema che lo ospita o dei processi che sottende… In breve: Misurare quindi in modo oggettivo (Best Practice) un ambiente soggettivo (scope) Note una

11 Monitorare Continuamente?
“Computer Security Audit”, rappresenta quel segmento di processi organizzativi e strumenti tecnologici atti a rilevare lo “stato di salute” di un sistema informativo. Misurare il livello di sicurezza di una infrastruttura IT è da sempre stata una sfida importante, tanto più complessa quanto più esteso è l’ambiente d’analisi. Le tecniche di Audit tradizionali, prevedono dei controlli “manuali” effettuati in istanti diversi, a campione (ISO 19011) Può accadere che nel lasso di tempo che intercorre tra l’attività di controllo effettuata nell’istante T e la successiva dell’istante T1, avvengano dei fatti – ad esempio la rilevazione di una vulnerabilità in un sistema - tali per cui il livello di sicurezza si abbassa, esponendo l’infrastruttura a dei reali rischi di attacco.

12 Continuous Auditing: Is It Fantasy or Reality?
Monitorare Continuamente! “Continuous Audit” (CA) consente, se associato alle opportune attività di applicazione delle contromisure, di ridurre drasticamente il rischio di violazione dei sistemi e mantenere il livello di sicurezza vicino al target di riferimento. ISACA in un articolo apparso nella rivista “Information Systems Control Journal, Volume 5, 2002” dichiara: Continuous Auditing: Is It Fantasy or Reality? Continuous auditing has been defined as a methodology or framework that enables auditors (external and internal) to provide written results on the subject matter using one or a series of reports issued simultaneously. The ability to report on events in a real-time or near real-time environment can provide significant benefits to the users of audit reports

13 Continuous Auditing Rappresenta una sfida complessa in quanto occorre:
Mantenere una ricognizione continua delle vulnerabilità sulle situazioni esistenti (Early Warning); Controllare attivamente tutte le nuove situazioni che possano rappresentare un rischio; Realizzare adeguate metriche per ricavare il Livello di Sicurezza complessivo, da rappresentare in modo intuitivo e immediato e in forma sia sintetica che analitica.

14 IT Security Index??? (ma per favore 2!!!)
Non esistono standard (de facto o meno) che suggeriscano la “metrica” per definire un IT Security Index. Tuttavia; tutto ciò che esiste è misurabile (o no?) Allora: perché è difficile o utopico parlare di IT Security Index? Viene spontaneo il quantum “Qualitativo”, ancorché “Quantitativo” Presupposto 1: In presenza di Vulnerabilità, aumenta il rischio di violazione, diminuisce l’indice di sicurezza. Presupposto 2: Audit significa evidenziare per tempo vulnerabilità (di varia natura), che possano compromettere i requisiti di sicurezza e, di conseguenza, il business. Note una

15 Schema di un abitacolo del Mikoyan-Gurevich MIG-23BN
Misure: Le metriche - esperienza I rischi IT indotti dalle minacce e dalle vulnerabilità non gestite sono molteplici e di diversa natura. Misurarli tutti significa trovarsi con una plancia di comando traboccante di strumentazione ed indicatori; in caso di emergenza, l’attenzione è rivolta solo agli strumenti più importanti e facilmente visibili. un unico indicatore, pur mantenendo il dettaglio dell’informazione, rende efficace l’intervento di remediations. Una metrica adeguata pondera i singoli rischi ricavandone un unico indice, per orientare correttamente attenzione ed investimenti sui punti realmente più critici. Schema di un abitacolo del Mikoyan-Gurevich MIG-23BN

16 Metriche Analisi Quali – Quantitativa per uniformare il monitoraggio dei Rischi IT, su infrastrutture tecnologiche complesse. In queste metriche di esempio, vengono inseriti nel calcolo dell’indice di sicurezza i fattori di rischio relativi alle vulnerabilità dei sistemi, e alla disponibilità di un “processo” associato ad una Applicazione critica. Il ”set” di metriche può essere esteso in modo significativo, assegnando di volta in volta il “peso” con il quale ognuna di essa influisce per il calcolo del livello di sicurezza in quello specifico ambiente. Security Metrics Contributo % M1 Numero totale di vulnerabilità di tipo HIGH 25,0 19,2 M2 Numero di vulnerabilità per tipologia diverse di tipo HIGH M3 Numero di vulnerabilità di tipo MID 17,5 9,3 M4 Numero di vulnerabilità diverse di tipo MID M5 Numero di vulnerabilità di tipo LOW 7,5 3,5 M6 Numero di vulnerabilità diverse di tipo LOW M7 Disponibilità dei singoli servizi 18,0 M8 Disponibilità di processo “A” (p.es. Ciclo Attivo) Totale contributo sul calcolo del Security Index 100,0

17 Metriche Il rischio di violazione dei sistemi aumenta considerevolmente nel caso si fosse in presenza di più vulnerabilità di diverso tipo in più host, dando quindi più possibilità di successo nell’ottenere un accesso non autorizzato ai sistemi. La metriche rendono il calcolo del SL(Security Level) indipendente dall’ambiente e dalle dimensioni dell’organizzazione

18 Altre security Metrics?
ISACA Tools: Note una

19 Qhawax: “El que observa o vigila con astucia”
L’esperienza e le esigenze di mercato, ha portato a ragionare e sviluppare un prodotto d’ausilio al monitoraggio continuo del Rischio, cercando di realizzare ciò che in letteratura è considerata una sfida. L’azienda, completando un percorso iniziato nel 2002, ha voluto investire risorse per lo sviluppo del prodotto, portandolo a brevetto Italiano:

20 Qhawax: L’architettura

21 Qhawax: L’architettura di monitoraggio

22 Qhawax: Schema Logico modulo VA
MODELLO ARCHITETTURALE QHAWAX GSI: Reti, Sistemi, Servizi IT e Organizzazione Cruscotto Real-Time Reports, documentazione e Allarmi LIVELLO DI CONTROLLO Analisi Calcolo dell’indice globale di sicurezza APPLICAZIONE Valutazione dei dati raccolti per indicatore Raccolta e archiviazione dati di analisi Ambito tecnologico Analisi automatica delle vulnerabilità e trend SI Network Security Index SICUREZZA INFRASTRUTTURA Security Index per ogni singolo sistema Classificazione delle vulnerabilità Asset Inventory Sonde distribuite Security Server Metriche di Sicurezza

23 ESEMPIO Dashboard La dashboard propone un Security Level complessivo.
In questo esempio, il sistema evidenzia l’aggregazione della metrica “vulnerabilità di sistema”, con la possibilità di drill-down nel singolo dettaglio. ESEMPIO

24 Dashboard

25 Dashboard

26 I Sistemi di allerta Quali sono i giusti sistemi di allerta?
Vengono presi correttamente in considerazione? L’infrastruttura organizzativa è in grado di sostenere e garantire un adeguato livello di sicurezza agli utenti? Early Warning RSS Feed SMS

27 Business Intelligence
La Business Impact Analysis, punto di partenza valutare l’impatto che una errata gestione del rischio, può comportare. Individuare i processi “core” dell’impresa, e valuta l’impatto economico / organizzativo del loro ripristino, in caso di emergenza, in funzione del tempo (Recovery Time Objective) e della relativa perdita economica. L’idea di integrare IT Risk con la Business Intelligence consiste, in breve, nell’ottenere indicatori relativi al “valore” del processo, e porlo in relazione con i rischi rilevati e valutare: Costi di ripristino; RTO massimo consentito dal business; Scenari di impatto (what if). La sensibilizzazione verso l’IT Security, avviene attraverso parametri di conto economico e di immagine (perdita / guadagno) in funzione del Rischio.

28 Integrazione

29 Da Idea a brevetto Abbiamo voluto premiare l’iniziativa e l’effort di questi anni, decidendo di brevettare la soluzione. Qhawax è quindi registrato dal 2008 come brevetto n° TO2008A “Metodo , Apparecchio e sistema per calcolare in modo completamente automatico il livello di sicurezza di un sistema informatico”. L’analisi di applicabilità, la stesura della documentazione e la presentazione della domanda di brevetto, è stata affidata allo Studio Torta di Torino

30 Conclusioni Ci auguriamo che il metodo proposto possa diventare oggetto di studio e di critica proattiva da parte dei colleghi: L’obiettivo è di ampliare i concetti di monitoraggio e valutazione della sicurezza, anche e soprattutto attraverso l’aggregazione di competenze. La rappresentazione grafica dell’indice di sicurezza (Security Marketing) sarà quindi “solo” il risultato di approfondimenti e considerazioni di professionisti dell’ IT Security & Audit e della Business Intelligence.

31 CHI E’ LOGICAL SECURITY
Presente nel mercato della sicurezza logica dal 2002, base su Treviso. Alcune referenze: SAVE Aeroporti di Venezia MAE - Unità di Crisi Gruppo De’ Longhi Università Cattolica S. Cuore- Roma Crediveneto - BCC Replay Fashion Box Autovie Venete GGP Italy Gruppo Stefanel Gruppo Despar Gruppo Unicomm (Famila) Gruppo Supermercati Alì T-Systems Italia YKK

32 CHI E’ LOGICAL SECURITY
Un gruppo di professionisti fortemente orientati alle sviluppo di competenze dei suoi consulenti e del cliente. LOGICAL SECURITY PORTFOLIO IT Governance & Security c c Business Process Management Compliance Audit Business Impact Analisys IT Strategy Cost Reduction Security Operation Center Assessment Management Measuring Expertise Mainframe Z/OS Networking Cloud Dipartimentale IT Security Technology Access Control PKI Recovery Backup IAM VPN (IPSEC/SSL) Antivirus Firewall Business Continuity Applications Collaborazione Elettronica - EDI Business Intelligence

33 RISCHIO INFORMATICO E CONTINUOUS AUDITING:
Monitorare in continuo i livelli di sicurezza: quali implicazioni? Alessandro Da Re, CRISC Chief Executive Officer Grazie per l’attenzione !

Scaricare ppt "RISCHIO INFORMATICO E CONTINUOUS AUDITING:"

Presentazioni simili

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Prototipo del Portale Fiscale per le Aziende. Portale Fiscale x le Aziende Area informativa news Area abbonati, accesso alla home page personalizzata,

Prototipo del Portale Fiscale per le Aziende. Portale Fiscale x le Aziende Area informativa news Area abbonati, accesso alla home page personalizzata,
Miglioramento della protezione dei dati mediante SQL Server 2005 Utilizzo della crittografia di SQL Server 2005 per agevolare la protezione dei dati Pubblicato:

Miglioramento della protezione dei dati mediante SQL Server 2005 Utilizzo della crittografia di SQL Server 2005 per agevolare la protezione dei dati Pubblicato:
Risultati degli audit Nicoletta Brunetti Roma - 6 Ottobre 2008

Risultati degli audit Nicoletta Brunetti Roma - 6 Ottobre 2008
L. De Benedetti: Contributo operativo alla redazione del manuale 1 Dibattito guidato sulle problematiche nella redazione del Manuale Qualità nei laboratori.

L. De Benedetti: Contributo operativo alla redazione del manuale 1 Dibattito guidato sulle problematiche nella redazione del Manuale Qualità nei laboratori.
AMBIENTE CONTESTO NEL QUALE UN’ORGANIZZAZIONE OPERA, COMPRENDENTE L’ARIA, L’ACQUA, IL TERRENO, LE RISORSE NATURALI, LA FLORA, LA FAUNA, GLI ESSERI UMANI.

AMBIENTE CONTESTO NEL QUALE UN’ORGANIZZAZIONE OPERA, COMPRENDENTE L’ARIA, L’ACQUA, IL TERRENO, LE RISORSE NATURALI, LA FLORA, LA FAUNA, GLI ESSERI UMANI.
1 di 16. 2 di 16 CEPIS Il CEPIS, Council of European Professionals Informatics Societies, è la federazione delle associazioni informatiche europee Federa.

1 di di 16 CEPIS Il CEPIS, Council of European Professionals Informatics Societies, è la federazione delle associazioni informatiche europee Federa.
Marketing e Servizi della Provincia di Torino. Le azioni sono state gestite attraverso la procedura di Qualità ISO 9001:2000 Processo MKGT in Provincia.

Marketing e Servizi della Provincia di Torino. Le azioni sono state gestite attraverso la procedura di Qualità ISO 9001:2000 Processo MKGT in Provincia.
IL PROCESSO DI REVISIONE AZIENDALE

IL PROCESSO DI REVISIONE AZIENDALE
Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.

Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.
Enrico Dellarciprete, PMP - Framework PMBOK – Linee guida CNIPA sulla qualità delle forniture ICT Linee guida CNIPA sulla qualità delle forniture ICT.

Enrico Dellarciprete, PMP - Framework PMBOK – Linee guida CNIPA sulla qualità delle forniture ICT Linee guida CNIPA sulla qualità delle forniture ICT.
1 9: Progettazione Architetturale Obiettivo: stabilire la struttura globale di un sistema software Descriveremo diversi tipi di modello di architettura,

1 9: Progettazione Architetturale Obiettivo: stabilire la struttura globale di un sistema software Descriveremo diversi tipi di modello di architettura,
DIFFICOLTA’ DEL LINGUAGGIO

DIFFICOLTA’ DEL LINGUAGGIO
Il Surplus Del Consumatore e del Produttore

Il Surplus Del Consumatore e del Produttore
A.A. 2009-2010 GESTIONE E ORGANIZZAZIONE PER LA COMUNICAZIONE DIMPRESA 19 marzo 2010 Modulo: Prof. Lucio Fumagalli (canale M-Z)

A.A GESTIONE E ORGANIZZAZIONE PER LA COMUNICAZIONE DIMPRESA 19 marzo 2010 Modulo: Prof. Lucio Fumagalli (canale M-Z)
VALUTAZIONE DEI RISCHI

VALUTAZIONE DEI RISCHI
1 Corso di Informatica (Programmazione) Lezione 4 (24 ottobre 2008) Architettura del calcolatore: la macchina di Von Neumann.

1 Corso di Informatica (Programmazione) Lezione 4 (24 ottobre 2008) Architettura del calcolatore: la macchina di Von Neumann.
eliana minicozzi linguaggi1a.a lezione2

eliana minicozzi linguaggi1a.a lezione2
1 Lo Sportello Unico e la comunicazione Arezzo, 27 gennaio 2005.

1 Lo Sportello Unico e la comunicazione Arezzo, 27 gennaio 2005.
RICOH: dove le idee prendono forma… Barberis Massimiliano Consulting Operation Manager NUOVO IMPULSO AL VOSTRO BUSINESS CON LA…STOCCATA VINCENTE!

RICOH: dove le idee prendono forma… Barberis Massimiliano Consulting Operation Manager NUOVO IMPULSO AL VOSTRO BUSINESS CON LA…STOCCATA VINCENTE!

Presentazioni simili

Annunci Google