Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoIgnazio Renzi Modificato 10 anni fa
1
Slide n° 1 Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Milano 25 ottobre 2002 Claudio Gentili Security Senior Consultant Kyneste
2
Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 2 Agenda Premessa Lapproccio consulenziale Lapproccio tecnologico Il ciclo di vita della sicurezza CSO – Chief Security Officer
3
Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 3 Premessa Indagine Sirmi Security Management: le nuove frontiere della sicurezza nell'ICT il 20% degli attori intervistati dichiara di avere una politica scritta comprendente tutte le regole di sicurezza dei sistemi informativi il 31% degli attori intervistati dispone di una politica scritta ma limitata agli obiettivi di sicurezza il 30% degli attori intervistati ha un politica informale
4
Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 4 Premessa Indagine Sirmi Security Management: le nuove frontiere della sicurezza nell'ICT Gli elementi più comuni l'uso di password (92 %) amministrazione di rete (83 %) protezione e detenzione dati (83 %) amministrazione del sistema informativo (81 %) architettura sicura (70 %) regole di uso delle e-mail (62 %)
5
Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 5 Lapproccio consulenziale La security consulting tradizionalmente si pone come obiettivo interventi di natura strategica, secondo un approccio tipicamente top down: Identificazione e formalizzazione delle piramidi gerarchiche Identificazione di minacce da cui proteggersi Classificazione di beni aziendali da proteggere Identificazione delle misure di Sicurezza funzionali da adottare …
6
Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 6 Lapproccio consulenziale La scelta e ladozione delle soluzioni strategiche si accompagna generalmente alla scelta di standard metodologici di riferimento ITSEC (Information Technology Security Evaluation Criteria) UE 1991 ISO 15408 (Common Criteria) ISO 17799 (Code of Practice for Information Security Management - BS 7799 - British Standard) …ma anche TCSEC Orange Book (Trusted Computer Systems Evaluation Criteria) D.o.D. USA 1985 CTCPEC (Canadian Trusted Computer Product Evaluation Criteria) CA 1993 FC (Federal Criteria) 1992 USA
7
Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 7 Lapproccio consulenziale Gli attori generalmente coinvolti sono Top manager Responsabili dellorganizzazione (Più raramente ) Responsabili di network Responsabili della logistica Responsabili legali (Molto più raramente) Responsabili dei sistemi Responsabili degli applicativi Responsabili di auditing
8
Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 8 Lapproccio consulenziale I valori dellapproccio consulenziale – Visione olistica del problema della sicurezza – Accezione di Sicurezza in termini di sistema informativo I limiti dellapproccio consulenziale Generalmente non è oggetto di controllo la propagazione delle direttive alle azioni puntuali Generalmente sono carenti i meccanismi di feedback per valutare lapplicazione delle direttive
9
Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 9 Lapproccio tecnologico La tecnologia tradizionalmente ha come obiettivo interventi di natura tattica, secondo un approccio tendenzialmente bottom up: Difesa perimetrale dellinfrastruttura Difesa e compartimentazione delle porzioni inside del sistema Data analysis Rilevazione di vulnerabilità atomiche Improvement …
10
Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 10 Lapproccio tecnologico Ovviamente, anche lapproccio tecnologico si avvale di visioni strategiche
11
Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 11 Lapproccio tecnologico Ovviamente, anche lapproccio tecnologico si avvale di visioni strategiche
12
Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 12 Lapproccio tecnologico Gli attori generalmente coinvolti sono Responsabili dei sistemi Responsabili di network Responsabili degli applicativi (Più raramente ) Top manager Responsabili dellorganizzazione Responsabili della logistica Responsabili legali (Molto più raramente) Responsabili di auditing
13
Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 13 Lapproccio tecnologico I valori dellapproccio tecnologico – Visione operativa del problema della sicurezza – Tempestività di intervento – Copertura di larga casistica di minacce I limiti dellapproccio tecnologico Visione settoriale Carenza di strumenti di comunicazione con il mondo esterno Non viene valutata la propagazione del rischio ai sistemi connessi (organizzativi e fisici)
14
Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 14 Il ciclo di vita della sicurezza Un modello abusato (ma sempre valido): il ciclo della sicurezza Pianfiicazione Controllo Implementazione Corporate Security Policy SECURE MONITOR AUDIT / TEST MANAGE & IMPROVE Policy Development Policy Review
15
Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 15 Il ciclo di vita della sicurezza Il principio del ciclo di vita della sicurezza coordina il passaggio tra consulenza a tecnologia Problema: come coordinare il ciclo di vita della sicurezza? Altro problema: come gestire gli approcci ibridi (non top down e nemmeno bottom up)?
16
Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 16 CSO – Chief Security Officer Il Chief Security Officer (CSO) è la figura preposta alla gestione del processo di sicurezza Coordina gli attori (interni ed esterni) Riporta al top management Gestisce e attiva le competenze Struttura ed alimenta i canali di comunicazione tra le differenti entità, condividendone lo stesso linguaggio … Gestisce e storicizza la Sicurezza come un Processo in Qualità ( …dimmi ciò che fai, e fa ciò che dici… )
17
Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 17 CSO – Chief Security Officer Il Chief Security Officer (CSO) non deve essere necessariamente una figura tecnica, ma deve possedere: (1) Principi generali di sicurezza aziendale Concetti di politica ed organizzazione della sicurezza del sistema informativo Concetti di analisi del rischio, di progettazione dei sistemi di protezione e di classificazione delle informazioni Concetti di progettazione di un piano di protezione del sistema informativo
18
Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 18 CSO – Chief Security Officer Il Chief Security Officer (CSO) non deve essere necessariamente una figura tecnica, ma deve possedere: (2) Elementi di architetture e loro evoluzione nel tempo; Visibilità dello stato dellarte in materia di information security Visibilità dei prodotti di sicurezza disponibili sul mercato; Competenze su norme legali ed operative di sicurezza per i sistemi distribuiti e sistemi di telecomunicazioni
19
Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 19 Ci sono domande?
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.