Security and The Economy Come gestire il rischio in tempo di crisi Mauro Orlando Gartner Consulting

Come si evolve la spesa per la sicurezza Come si evolve la spesa per la sicurezza? No a tagli drastici anche in presenza di budget tagliati La spesa di sicurezza rimane pressoché in linea con gli anni passati Cambia la distribuzione della spesa per natura: meno HW e personale più SW e consulenza Security Spend as a Percent of IT Spend Distribution of Security Spend Source: Gartner IT Key Metrics Data 2009 - Excluding Disaster Recovery

Comunicare in modo trasparente la situazione a tutti gli stakeholder La sicurezza è un lusso? Il mantenimento di un livello adeguato è una necessità Nei momenti di difficoltà dovuti a budget tagliati o ritardo nella loro approvazione possono essere messe in campo alcune azioni tattiche: Mantenimento della protezione di base. E’ necessario individuare cosa non è deferibile o riducibile: es. manutenzione dei firewall, sicurezza e-mail, gestione delle vulnerabilità, aggiornamento prodotti anti-malware. Scendere a compromessi (assennati). E’ necessario posporre alcune iniziative o rinunciare a componenti accessorie. Richiedere decisioni esplicite. E’ necessario spiegare bene le condizioni di rischio legate alle diverse opzioni e richiedere una specifica accettazione del nuovo profilo di rischio derivante dalle scelte di riduzione della spesa. Soddisfare gli adempimenti contrattuali, legali ed etici. E’ necessario mantenere i livelli di sicurezza richiesti o annunciare esplicitamente l’impossibilità di farlo. Aggiornare il profilo di rischio ad ogni decisione che tagli iniziative di sicurezza Comunicare in modo trasparente la situazione a tutti gli stakeholder Chiedere decisioni esplicite su tutte le questioni che influenzano il livello di rischio

Quali sono le sfide chiave per il 2009 Quali sono le sfide chiave per il 2009? Crisi o no, la sicurezza è chiamata a fare la sua parte Ridurre i costi operativi Usare piattaforme di sicurezza Usare diverse opzioni di sourcing Supportare i cambiamenti business “Consumerization” Collaborazione sicura Anticipare le minacce Indirizzare l’imprevedibilità delle nuove minacce Rafforzare i meccanismi di autenticazione Migliorare la “data security” Assicurare la compliance Source: Gartner Research

IT Security IT Operations Ridurre i costi operativi ridistribuendo le responsabilità Strategia per ‘operazionalizzare’ il lavoro di routine IT Security Deve reagire e rispondere velocemente Usa risorse costose per affrontare nuove minacce Punta sull’efficacia (doing the right things) IT Operations Non predilige il cambiamento Sfrutta le economie di scala per task ben definiti e ripetitivi Punta sull’efficienza (doing things right) Nuove minacce Minacce mature Source: Gartner Research

Indirizzare l’imprevedibilità delle nuove minacce Adottare approcci selettivi per ottimizzare lo sforzo speso Blacklist  lista basta su firma per bloccare oggetti conosciuti come non sicuri Whitelist  permettere solo ciò che è posseduto e supportato Uberwhitelist  permettere tutto ciò che è conosciuto come sicuro Gestire le "graylist" Real time categorization Application control Bad Gray Good Source: Gartner Research

Gestire i meccanismi di autenticazione efficientemente Bilanciare costi, complessità e benefici Certificates + Biometric- Enabled Smart Tokens Digital Signatures Complexity and Cost Authentication Strength Passwords Graphical Passwords OTP (TAN) via phone Cached Certificates Biometrics PIN-Protected OTP Tokens Biometrics + Passwords Certificates + PIN-Protected Smart Tokens Transaction Numbers Inert Tokens Source: Gartner Research

Proteggere i dati con un mix di interventi bilanciato Sfruttare i meccanismi lungo l’intera catena informativa Data Security Stack Host Application Network Access Controls Content Monitoring and Filtering Activity Monitoring and Enforce-ment Logical Controls Encryption Policy Audit DATA ABC … XYZ Source: Gartner Research

"Know What You Do" "Say What You Know" "Do What You Say" Assicurare la compliance senza sprechi Adottare un approccio integrato riconoscendo gli obiettivi ricorrenti "Know What You Do" "Say What You Know" "Do What You Say" Comprendere e documentare processi e politiche Produrre i report richiesti Monitorare il livello di compliance ed i cambiamenti nel tempo La maggior parte delle normative indirizzano processi, governo e reporting, non tecnologia Source: Gartner Research

Source: Gartner Research Quale livello di maturità hanno raggiunto i programmi di sicurezza? La Ricerca Gartner mostra che il percorso è lungo ma indispensabile Il raggiungimento di un elevato livello di maturità del programma di sicurezza costituisce un percorso lungo ed impegnativo; inoltre non può essere condotto senza far maturare tutti i processi di sicurezza Risulta particolarmente impegnativo il passaggio da livelli di maturità medio bassi a medio-alti ma i vantaggi ottenibili sono importanti: diminuzione dei rischi riduzione della spesa Source: Gartner Research

Interventi scoordinati Interventi intempestivi Perché i programmi di sicurezza falliscono? Il buonsenso lascia lo spazio a paura ed approssimazione Interventi parziali Interventi scoordinati Interventi intempestivi / ? Source: Gartner

Come essere sicuri di non dimenticare niente Come essere sicuri di non dimenticare niente? Gartner propone un approccio olistico Strategy Technology deployment PROCESSES DOCUMENTS Governance ORGANIZATION INFRASTRUCTURE APPLICATIONS INFO & Payback Investment Architecture Monitoring Audit & Investigation Policies & Standards Awareness & Culture Source: Gartner

GRAZIE mauro.orlando@gartner.com DA LUNEDI’ Misurate il rischio associato ad ogni euro tagliato dal budget di sicurezza Valutate tutte le azioni in un contesto di programma complessivo Adottate un modello per fare evolvere il programma e controllare il mantenimento degli obiettivi irrinunciabili GRAZIE mauro.orlando@gartner.com