RISCHIO INFORMATICO E CONTINUOUS AUDITING:

Slides:



Advertisements
Presentazioni simili
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Advertisements

Prototipo del Portale Fiscale per le Aziende. Portale Fiscale x le Aziende Area informativa news Area abbonati, accesso alla home page personalizzata,
Miglioramento della protezione dei dati mediante SQL Server 2005 Utilizzo della crittografia di SQL Server 2005 per agevolare la protezione dei dati Pubblicato:
Risultati degli audit Nicoletta Brunetti Roma - 6 Ottobre 2008
L. De Benedetti: Contributo operativo alla redazione del manuale 1 Dibattito guidato sulle problematiche nella redazione del Manuale Qualità nei laboratori.
AMBIENTE CONTESTO NEL QUALE UN’ORGANIZZAZIONE OPERA, COMPRENDENTE L’ARIA, L’ACQUA, IL TERRENO, LE RISORSE NATURALI, LA FLORA, LA FAUNA, GLI ESSERI UMANI.
1 di di 16 CEPIS Il CEPIS, Council of European Professionals Informatics Societies, è la federazione delle associazioni informatiche europee Federa.
Marketing e Servizi della Provincia di Torino. Le azioni sono state gestite attraverso la procedura di Qualità ISO 9001:2000 Processo MKGT in Provincia.
IL PROCESSO DI REVISIONE AZIENDALE
Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.
Enrico Dellarciprete, PMP - Framework PMBOK – Linee guida CNIPA sulla qualità delle forniture ICT Linee guida CNIPA sulla qualità delle forniture ICT.
1 9: Progettazione Architetturale Obiettivo: stabilire la struttura globale di un sistema software Descriveremo diversi tipi di modello di architettura,
DIFFICOLTA’ DEL LINGUAGGIO
Il Surplus Del Consumatore e del Produttore
A.A GESTIONE E ORGANIZZAZIONE PER LA COMUNICAZIONE DIMPRESA 19 marzo 2010 Modulo: Prof. Lucio Fumagalli (canale M-Z)
VALUTAZIONE DEI RISCHI
1 Corso di Informatica (Programmazione) Lezione 4 (24 ottobre 2008) Architettura del calcolatore: la macchina di Von Neumann.
eliana minicozzi linguaggi1a.a lezione2
1 Lo Sportello Unico e la comunicazione Arezzo, 27 gennaio 2005.
RICOH: dove le idee prendono forma… Barberis Massimiliano Consulting Operation Manager NUOVO IMPULSO AL VOSTRO BUSINESS CON LA…STOCCATA VINCENTE!
Avviamento ai giochi sportivi
ESERCITAZIONE 2.
Area: la gestione dei progetti complessi
CONTROLLO DI SUPPLY CHAIN MEDIANTE TECNICHE H-INFINITO E NEGOZIAZIONE
Tecnologie, servizi e consulenza per i call center
14° Convegno Cnipa- Roma 11 aprile 2006 Rosanna Alterisio 1 La gestione documentale per lefficienza e la trasparenza Stato dellarte e opportunità Rosanna.
Torino - 16 febbraio Il successo passa dal porta a porta 1 Giuseppe Gamba Vicepresidente della Provincia di Torino Assessore allo Sviluppo Sostenibile.
05/02/2014 Versione:1.0 RUO-FCRSI Progetti formativi di Sicurezza ICT Piani di Sicurezza ICT – Formazione a supporto.
Cercare informazioni sul Web. 5-2 Organizzazione dellinformazione tramite gerarchie Classificazione gerarchica Linformazione è raggruppata in un piccolo.
1Milano, 3 Novembre 2004Assemblea Nazionale FISM WORKSHOP La certificazione dei requisiti di qualità per le Società Medico-Scientifiche Presentazione del.
FONDAMENTI DI INFORMATICA III A2A2-1 CARATTERISTICHE E MODELLIZZAZIONE DEL LAVORO DUFFICIO Argomento 2 Approfondimento 2 CARATTERISTICHE E MODELLIZZAZIONE.
PREVENZIONE E MANUTENZIONE
Capitolo 2 L’impresa e la strategia di marketing finalizzata alla relazione di clientela.
Capitolo 10 La determinazione del prezzo Comprendere e cogliere
Il marketing: costruire una relazione profittevole con il cliente
Fabrizio Conti Borsa Italiana S.p.A. Il progetto Anno 2000 di Borsa Italiana S.p.A. Conferenza nazionale sulladeguamento informatico allanno 2000 Roma,
1 3 maggio 2012TuTest Università degli Studi di Torino Progetto TuTest test orientativi per gli Istituti di Istruzione Secondaria Superiore Bologna Bologna,
La struttura organizzativa e informativa del controllo
ELEMENTI DI UN BUSINESS PLAN
19 Lezione 21/5/04 Composizione dell'immagine 1 COMPOSIZIONE DELLIMMAGINE.
La nuova Intranet della Provincia di Ferrara e l’innovazione dei processi interni Ludovica Baraldi Bologna, 25 maggio 2006.
PROGETTO SECURITY ROOM
Teorie organizzative Scuola classica Scuola sociale Scuola sistemica.
BS 7799 Certificazione della sicurezza delle informazioni Alessandro Leone.
ORSS Web 2012.
+ Gestione Intelligente dellEnergia. + C OSTO DELL E NERGIA In Italia i costi dellenergia sono tra i più alti al mondo L efficienza Energetica da sola.
Aspetti strategico – organizzativi - gestionali delle imprese che aderiscono ad una rete Dott. Vincenzo Presutto Dottore Commercialista e Revisore Legale.
Norman Security Suite Sicurezza premium facile da usare.
La funzione del magazzino e la politica delle scorte
III Convegno Nazionale
Scheda Ente Ente Privato Ente Pubblico. 2ROL - Richieste On Line.
Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni Limportanza di una corretta impostazione delle.
© GISIG, 2006 GI-INDEED Workshop "GI training: experience and needs in the new European dimension" 2nd-3rd October 2006, Genoa (Italy) 1 Emanuele Roccatagliata.
Partite insieme a noi per un viaggio nel mare dei numeri del Vostro Business liberi da ogni limite…
Slide n° 1 Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Milano 25 ottobre 2002 Claudio Gentili Security Senior Consultant Kyneste.
LE COMPONENTI DEL SISTEMA INFORMATIVO
Analisi strategica del settore dei servizi a valore aggiunto nel sistema finanziario nazionale ed internazionale Ing. Silvia Torrani ottobre 2006.
IL SISTEMA DI GESTIONE QUALITA’
Evolve. Il software EVOLVE consente un veloce accesso, visualizzazione ed estrazione dei dati contenuti nel data base dellAmministrazione del Personale.
Competitività e attrattività dei territori italiani: la SICILIA _______________________________ Palermo, 9 giugno 2014 Area PTIE 1.
IShared Security Service (S 3 ) La nostra filosofia, il nostro approccio, le nostre soluzioni… al VOSTRO servizio.
We make it 1 L’ infrastruttura Virtuale e la gestione Dinamica Fabiano Finamore Infrastructure Optimization Sales Brain Force Italia.
INFN & sicurezza: aspetti legali Roberto Cecchini Paestum, 11 Giugno 2003.
Master MATITCiclo di vita del Sistema Informativo1 CICLO DI VITA DEL SISTEMA INFORMATIVO.
NiXuS srl1 Training Galco Italia 22 Gennaio 2000 pMeter Software per l’analisi delle performance aziendali. N I X U S srl Via G. Scarabelli Roma,
FITEL Telecomunicazioni Soluzioni per tecnologie informatiche e telecomunicazioni.
Premessa 1 Eurovita è una compagnia di bancassicurazione, piattaforma aperta, indipendente e specializzata nella distribuzione di polizze tramite.
Analisi di sicurezza della postazione PIC operativa
Le basi di dati.
Prof.ssa Cecilia Silvestri - A.A. 2014/ Evoluzione dei Mercati Storia della Qualità Principi del TQM CFs of TQM Prof.ssa Cecilia Silvestri - A.A.
Transcript della presentazione:

RISCHIO INFORMATICO E CONTINUOUS AUDITING: Monitorare in continuo i livelli di sicurezza: quali implicazioni? Alessandro Da Re, CRISC Chief Executive Officer

Quesiti Cosa significa “Monitorare continuamente i livelli di sicurezza” ? Come definire in maniera accettabile la descrizione olistica(1) di “Livello o indice di sicurezza”? Cosa misuro? Le infrastrutture IT gli “apparati di sicurezza”? I Processi e le procedure di Security Governance? Il grado di affidabilità del software? Quali le metriche? Qualitative? Quantitative? O altro? Chi certifica che la misurazione effettuata è efficace ? Note una 1- Relativamente a ciò che può essere chiamato "olistico", per definizione, la sommatoria funzionale delle parti è sempre maggiore/differente della somma delle prestazioni delle parti prese singolarmente.

Security Index? Ma per favore…

Proviamo ad immaginare… Quanto si può prevenire? Quali indicatori? Premonizioni Cognitive? Note una

Casi reali Oltre ai parametri operativi consentiti …non sempre va come auspico. Il caso “Bud Hollands” Note una

GENESI Consapevolezza e immediatezza di informazioni sui rischi; se mancano sono il primo vero rischio per il business. Quindi, va da se, l’esigenza del controllo è evidente perché si sa, prevenire è meglio (che curare). Security Marketing! Rappresentare efficacemente i rischi al management è un driver I Framework di riferimento forniscono i “parametri operativi” e gli ambiti di controllo (CobIT, ValIT, RiskIT, ISO 27001 etc.). Risk Management e “Valore del Business”: fondamenti per la strategia di BC Da queste sintetiche ma fondamentali considerazioni è nata, nel 2000, l’idea di pensare ad un tool che fosse in grado di recepire diversi indicatori dall’ambiente, di “misurare” un “indice di sicurezza” e di relazionarlo a KPI recepite da “indicatori di Business” (Business Intelligence). Note una

Situational Awareness E’ il concetto di base nella gestione delle situazioni complesse, e consente di avere “il polso” della situazione, agire con efficacia ed efficienza, evitare situazioni di panico, prevenire. In sintesi: mantenere il controllo e la consapevolezza in qualsiasi condizione

Early Warning Concetto mutuato dalla cultura militare: Individuare le minacce prima di essere alla loro portata; Gestire in maniera proattiva la propria infrastruttura Prevenire gli incidenti e agire in maniera coordinata Avere la visione completa dello scenario

Definiamo; Monitorare Significa: Conoscere l’ambiente ed il suo valore (scenario) Scegliere uno o più framework di riferimento e confrontarlo “il più spesso possibile” Sintesi efficace delle informazioni che ritengo strategiche Accorgersi per tempo che “qualcosa non va” rispetto alle policy Individuarne la causa e decidere sul rimedio nel minor tempo possibile. Note una Il termine monitoraggio deriva dal latino monitor – oris, derivato di monere, con il significato di ammonire, avvisare, informare, consigliare. Il termine ha origine in ambiente industriale, per indicare la vigilanza continua di una macchina in funzione, mediante appositi strumenti che ne misurano le grandezze caratteristiche (velocità, consumo, produzione, ecc.). Il significato originario si è ampliato: dalla macchina all'intero processo, a tutta una struttura operativa, includendo in essa anche le risorse umane

Monitorare; paradigmi Una BIA consente di valutare l’impatto sul Business che potrebbe avere un “Rischio” non correttamente gestito. Il Risk Management, evidenzia i rischi a cui sono esposti gli Asset strategici (scope) con l’obiettivo di mitigarli. MONITORARE: Determino il grado di rischio, in funzione della criticità e natura dell’asset, della probabilità e della tipologia e numero di vulnerabilità del sistema che lo ospita o dei processi che sottende… In breve: Misurare quindi in modo oggettivo (Best Practice) un ambiente soggettivo (scope) Note una

Monitorare Continuamente? “Computer Security Audit”, rappresenta quel segmento di processi organizzativi e strumenti tecnologici atti a rilevare lo “stato di salute” di un sistema informativo. Misurare il livello di sicurezza di una infrastruttura IT è da sempre stata una sfida importante, tanto più complessa quanto più esteso è l’ambiente d’analisi. Le tecniche di Audit tradizionali, prevedono dei controlli “manuali” effettuati in istanti diversi, a campione (ISO 19011) Può accadere che nel lasso di tempo che intercorre tra l’attività di controllo effettuata nell’istante T e la successiva dell’istante T1, avvengano dei fatti – ad esempio la rilevazione di una vulnerabilità in un sistema - tali per cui il livello di sicurezza si abbassa, esponendo l’infrastruttura a dei reali rischi di attacco.

Continuous Auditing: Is It Fantasy or Reality? Monitorare Continuamente! “Continuous Audit” (CA) consente, se associato alle opportune attività di applicazione delle contromisure, di ridurre drasticamente il rischio di violazione dei sistemi e mantenere il livello di sicurezza vicino al target di riferimento. ISACA in un articolo apparso nella rivista “Information Systems Control Journal, Volume 5, 2002” dichiara: Continuous Auditing: Is It Fantasy or Reality? Continuous auditing has been defined as a methodology or framework that enables auditors (external and internal) to provide written results on the subject matter using one or a series of reports issued simultaneously. The ability to report on events in a real-time or near real-time environment can provide significant benefits to the users of audit reports

Continuous Auditing Rappresenta una sfida complessa in quanto occorre: Mantenere una ricognizione continua delle vulnerabilità sulle situazioni esistenti (Early Warning); Controllare attivamente tutte le nuove situazioni che possano rappresentare un rischio; Realizzare adeguate metriche per ricavare il Livello di Sicurezza complessivo, da rappresentare in modo intuitivo e immediato e in forma sia sintetica che analitica.

IT Security Index??? (ma per favore 2!!!) Non esistono standard (de facto o meno) che suggeriscano la “metrica” per definire un IT Security Index. Tuttavia; tutto ciò che esiste è misurabile (o no?) Allora: perché è difficile o utopico parlare di IT Security Index? Viene spontaneo il quantum “Qualitativo”, ancorché “Quantitativo” Presupposto 1: In presenza di Vulnerabilità, aumenta il rischio di violazione, diminuisce l’indice di sicurezza. Presupposto 2: Audit significa evidenziare per tempo vulnerabilità (di varia natura), che possano compromettere i requisiti di sicurezza e, di conseguenza, il business. Note una

Schema di un abitacolo del Mikoyan-Gurevich MIG-23BN Misure: Le metriche - esperienza I rischi IT indotti dalle minacce e dalle vulnerabilità non gestite sono molteplici e di diversa natura. Misurarli tutti significa trovarsi con una plancia di comando traboccante di strumentazione ed indicatori; in caso di emergenza, l’attenzione è rivolta solo agli strumenti più importanti e facilmente visibili. un unico indicatore, pur mantenendo il dettaglio dell’informazione, rende efficace l’intervento di remediations. Una metrica adeguata pondera i singoli rischi ricavandone un unico indice, per orientare correttamente attenzione ed investimenti sui punti realmente più critici. Schema di un abitacolo del Mikoyan-Gurevich MIG-23BN

Metriche Analisi Quali – Quantitativa per uniformare il monitoraggio dei Rischi IT, su infrastrutture tecnologiche complesse. In queste metriche di esempio, vengono inseriti nel calcolo dell’indice di sicurezza i fattori di rischio relativi alle vulnerabilità dei sistemi, e alla disponibilità di un “processo” associato ad una Applicazione critica. Il ”set” di metriche può essere esteso in modo significativo, assegnando di volta in volta il “peso” con il quale ognuna di essa influisce per il calcolo del livello di sicurezza in quello specifico ambiente. Security Metrics Contributo % M1 Numero totale di vulnerabilità di tipo HIGH 25,0 19,2 M2 Numero di vulnerabilità per tipologia diverse di tipo HIGH M3 Numero di vulnerabilità di tipo MID 17,5 9,3 M4 Numero di vulnerabilità diverse di tipo MID M5 Numero di vulnerabilità di tipo LOW 7,5 3,5 M6 Numero di vulnerabilità diverse di tipo LOW M7 Disponibilità dei singoli servizi 18,0 M8 Disponibilità di processo “A” (p.es. Ciclo Attivo) Totale contributo sul calcolo del Security Index 100,0

Metriche Il rischio di violazione dei sistemi aumenta considerevolmente nel caso si fosse in presenza di più vulnerabilità di diverso tipo in più host, dando quindi più possibilità di successo nell’ottenere un accesso non autorizzato ai sistemi. La metriche rendono il calcolo del SL(Security Level) indipendente dall’ambiente e dalle dimensioni dell’organizzazione

Altre security Metrics? ISACA Tools: Note una

Qhawax: “El que observa o vigila con astucia” L’esperienza e le esigenze di mercato, ha portato a ragionare e sviluppare un prodotto d’ausilio al monitoraggio continuo del Rischio, cercando di realizzare ciò che in letteratura è considerata una sfida. L’azienda, completando un percorso iniziato nel 2002, ha voluto investire risorse per lo sviluppo del prodotto, portandolo a brevetto Italiano:

Qhawax: L’architettura

Qhawax: L’architettura di monitoraggio

Qhawax: Schema Logico modulo VA MODELLO ARCHITETTURALE QHAWAX GSI: Reti, Sistemi, Servizi IT e Organizzazione Cruscotto Real-Time Reports, documentazione e Allarmi LIVELLO DI CONTROLLO Analisi Calcolo dell’indice globale di sicurezza APPLICAZIONE Valutazione dei dati raccolti per indicatore Raccolta e archiviazione dati di analisi Ambito tecnologico Analisi automatica delle vulnerabilità e trend SI Network Security Index SICUREZZA INFRASTRUTTURA Security Index per ogni singolo sistema Classificazione delle vulnerabilità Asset Inventory Sonde distribuite Security Server Metriche di Sicurezza

ESEMPIO Dashboard La dashboard propone un Security Level complessivo. In questo esempio, il sistema evidenzia l’aggregazione della metrica “vulnerabilità di sistema”, con la possibilità di drill-down nel singolo dettaglio. ESEMPIO

Dashboard

Dashboard

I Sistemi di allerta Quali sono i giusti sistemi di allerta? Vengono presi correttamente in considerazione? L’infrastruttura organizzativa è in grado di sostenere e garantire un adeguato livello di sicurezza agli utenti? Early Warning RSS Feed E-mail SMS

Business Intelligence La Business Impact Analysis, punto di partenza valutare l’impatto che una errata gestione del rischio, può comportare. Individuare i processi “core” dell’impresa, e valuta l’impatto economico / organizzativo del loro ripristino, in caso di emergenza, in funzione del tempo (Recovery Time Objective) e della relativa perdita economica. L’idea di integrare IT Risk con la Business Intelligence consiste, in breve, nell’ottenere indicatori relativi al “valore” del processo, e porlo in relazione con i rischi rilevati e valutare: Costi di ripristino; RTO massimo consentito dal business; Scenari di impatto (what if). La sensibilizzazione verso l’IT Security, avviene attraverso parametri di conto economico e di immagine (perdita / guadagno) in funzione del Rischio.

Integrazione

Da Idea a brevetto Abbiamo voluto premiare l’iniziativa e l’effort di questi anni, decidendo di brevettare la soluzione. Qhawax è quindi registrato dal 2008 come brevetto n° TO2008A000217 “Metodo , Apparecchio e sistema per calcolare in modo completamente automatico il livello di sicurezza di un sistema informatico”. L’analisi di applicabilità, la stesura della documentazione e la presentazione della domanda di brevetto, è stata affidata allo Studio Torta di Torino

Conclusioni Ci auguriamo che il metodo proposto possa diventare oggetto di studio e di critica proattiva da parte dei colleghi: L’obiettivo è di ampliare i concetti di monitoraggio e valutazione della sicurezza, anche e soprattutto attraverso l’aggregazione di competenze. La rappresentazione grafica dell’indice di sicurezza (Security Marketing) sarà quindi “solo” il risultato di approfondimenti e considerazioni di professionisti dell’ IT Security & Audit e della Business Intelligence.

CHI E’ LOGICAL SECURITY Presente nel mercato della sicurezza logica dal 2002, base su Treviso. Alcune referenze: SAVE Aeroporti di Venezia MAE - Unità di Crisi Gruppo De’ Longhi Università Cattolica S. Cuore- Roma Crediveneto - BCC Replay Fashion Box Autovie Venete GGP Italy Gruppo Stefanel Gruppo Despar Gruppo Unicomm (Famila) Gruppo Supermercati Alì T-Systems Italia YKK

CHI E’ LOGICAL SECURITY Un gruppo di professionisti fortemente orientati alle sviluppo di competenze dei suoi consulenti e del cliente. LOGICAL SECURITY PORTFOLIO IT Governance & Security c c Business Process Management Compliance Audit Business Impact Analisys IT Strategy Cost Reduction Security Operation Center Assessment Management Measuring Expertise Mainframe Z/OS Networking Cloud Dipartimentale IT Security Technology Access Control PKI Recovery Backup IAM VPN (IPSEC/SSL) Antivirus Firewall Business Continuity Applications Collaborazione Elettronica - EDI Business Intelligence

RISCHIO INFORMATICO E CONTINUOUS AUDITING: Monitorare in continuo i livelli di sicurezza: quali implicazioni? Alessandro Da Re, CRISC Chief Executive Officer Grazie per l’attenzione !

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.