This presentation, including any supporting materials, is owned by Gartner, Inc. and/or its affiliates and is for the sole use of the intended Gartner

This presentation, including any supporting materials, is owned by Gartner, Inc. and/or its affiliates and is for the sole use of the intended Gartner audience or other authorized recipients. This presentation may contain information that is confidential, proprietary or otherwise legally protected, and it may not be further copied, distributed or publicly displayed without the express written permission of Gartner, Inc. or its affiliates.© 2009 Gartner, Inc. and/or its affiliates. All rights reserved.

S t r a t e g i z e P l a n E x e c u t e M a n a g e

Security and The EconomyCome gestire il rischio in tempo di crisi

Mauro OrlandoGartner Consulting

2© 2009 Gartner, Inc. All Rights Reserved.

Come si evolve la spesa per la sicurezza?No a tagli drastici anche in presenza di budget tagliati

Security Spend as a Percent of IT Spend

Distribution of Security Spend

Source: Gartner IT Key Metrics Data 2009 - Excluding Disaster Recovery

La spesa di sicurezza rimane

pressoché in linea con gli anni passati

Cambia la distribuzione della spesa

per natura:

• meno HW e personale

• più SW e consulenza

La spesa di sicurezza rimane

pressoché in linea con gli anni passati

Cambia la distribuzione della spesa

per natura:

• meno HW e personale

• più SW e consulenza


La sicurezza è un lusso?Il mantenimento di un livello adeguato è una necessità

Nei momenti di difficoltà dovuti a budget tagliati o ritardo nella loro approvazione possono essere messe in campo alcune azioni tattiche:

Mantenimento della protezione di base. E’ necessario individuare cosa non è deferibile o riducibile: es. manutenzione dei firewall, sicurezza e-mail, gestione delle vulnerabilità, aggiornamento prodotti anti-malware.

Scendere a compromessi (assennati). E’ necessario posporre alcune iniziative o rinunciare a componenti accessorie.

Richiedere decisioni esplicite. E’ necessario spiegare bene le condizioni di rischio legate alle diverse opzioni e richiedere una specifica accettazione del nuovo profilo di rischio derivante dalle scelte di riduzione della spesa.

Soddisfare gli adempimenti contrattuali, legali ed etici. E’ necessario mantenere i livelli di sicurezza richiesti o annunciare esplicitamente l’impossibilità di farlo.

Aggiornare il profilo di rischio

ad ogni decisione che tagli

iniziative di sicurezza

Aggiornare il profilo di rischio

ad ogni decisione che tagli

iniziative di sicurezza

Comunicare in modo

trasparente la situazione a

tutti gli stakeholder

Comunicare in modo

trasparente la situazione a

tutti gli stakeholder

Chiedere decisioni esplicite

su tutte le questioni che

influenzano il livello di rischio

Chiedere decisioni esplicite

su tutte le questioni che

influenzano il livello di rischio


Quali sono le sfide chiave per il 2009?Crisi o no, la sicurezza è chiamata a fare la sua parte

Ridurre i costi operativi

Usare piattaforme di sicurezza

Usare diverse opzioni di sourcing

Supportare i cambiamenti business

“Consumerization”

Collaborazione sicura

Anticipare le minacce

Indirizzare l’imprevedibilità delle nuove minacce

Rafforzare i meccanismi di autenticazione

Migliorare la “data security”

Assicurare la compliance

Source: Gartner Research


Ridurre i costi operativi ridistribuendo le responsabilitàStrategia per ‘operazionalizzare’ il lavoro di routine

IT Operations• Non predilige il cambiamento

• Sfrutta le economie di scala per task ben definiti e ripetitivi

• Punta sull’efficienza (doing things right)

IT Security• Deve reagire e rispondere

velocemente

• Usa risorse costose per affrontare nuove minacce

• Punta sull’efficacia (doing the right things)

Minacce matureNuove minacce



Indirizzare l’imprevedibilità delle nuove minacce Adottare approcci selettivi per ottimizzare lo sforzo speso

Blacklist lista basta su firma per bloccare oggetti conosciuti come non sicuri

Whitelist permettere solo ciò che è posseduto e supportato

Uberwhitelist permettere tutto ciò che è conosciuto come sicuro

Gestire le "graylist"

Real time categorization

Application control

Bad

Gray

Good



Gestire i meccanismi di autenticazione efficientementeBilanciare costi, complessità e benefici

Certificates+ Biometric-

EnabledSmart Tokens

DigitalSignatures

Complexity and Cost

Aut

hent

icat

ion

Str

engt

h

Passwords

GraphicalPasswords

OTP (TAN)via phone

CachedCertificates

Biometrics

PIN-ProtectedOTP Tokens

Biometrics + Passwords

Certificates+ PIN-ProtectedSmart Tokens

TransactionNumbers

Inert Tokens



Proteggere i dati con un mix di interventi bilanciato Sfruttare i meccanismi lungo l’intera catena informativa

DataData

Security Stack

HostHost

ApplicationApplication

NetworkNetwork

Access Controls

Content Monitoring

and Filtering

Activity Monitoring

and Enforce-

ment

Logical Controls

Encryption

Policy Audit

DATA

ABC … XYZ



"Do What "Do What You Say"You Say""Do What "Do What You Say"You Say"Monitorare il

livello di compliance ed i cambiamenti nel

tempo

La maggior parte delle normative indirizzano processi, governo e reporting, non tecnologia

"Say What "Say What You Know"You Know""Say What "Say What You Know"You Know"

Produrre i report richiesti

"Know What"Know What You Do"You Do"

"Know What"Know What You Do"You Do"

Comprendere e documentare

processi e politiche

Assicurare la compliance senza sprechiAdottare un approccio integrato riconoscendo gli obiettivi ricorrenti



Quale livello di maturità hanno raggiunto i programmi di sicurezza?La Ricerca Gartner mostra che il percorso è lungo ma indispensabile


Il raggiungimento di un elevato livello di maturità del programma di sicurezza costituisce un percorso lungo

ed impegnativo; inoltre non può essere condotto senza far maturare tutti i processi di sicurezza

Il raggiungimento di un elevato livello di maturità del programma di sicurezza costituisce un percorso lungo

ed impegnativo; inoltre non può essere condotto senza far maturare tutti i processi di sicurezza

Risulta particolarmente

impegnativo il passaggio

da livelli di maturità medio

bassi a medio-alti ma i

vantaggi ottenibili sono

importanti:

• diminuzione dei rischi

• riduzione della spesa

Risulta particolarmente

impegnativo il passaggio

da livelli di maturità medio

bassi a medio-alti ma i

vantaggi ottenibili sono

importanti:

• diminuzione dei rischi

• riduzione della spesa


Perché i programmi di sicurezza falliscono?Il buonsenso lascia lo spazio a paura ed approssimazione

Interventi parzialiInterventi parziali

Interventi scoordinatiInterventi scoordinati

Interventi intempestiviInterventi intempestivi / ?

Source: Gartner


Come essere sicuri di non dimenticare niente?Gartner propone un approccio olistico

Strategy

GovernanceIn

vestmen

t

& P

ayback

Policie

s &

Standar

ds

Awareness

& Culture

Audit

Monitoring

& Investigation

Arc

hit

ectu

reTec

hnology

deplo

ymen

t

INFO

Source: Gartner


S t r a t e g i z e P l a n E x e c u t e M a n a g e

[email protected]

DA LUNEDI’

• Misurate il rischio associato ad ogni euro tagliato dal budget di sicurezza

• Valutate tutte le azioni in un contesto di programma complessivo

• Adottate un modello per fare evolvere il programma e controllare il mantenimento degli obiettivi irrinunciabili

Strategy

Governance

Inve

stmen

t

& P

ayb

ack

Policie

s &

Standar

ds

Awareness

& Culture

Audit

Monitoring

& Investigation

Arc

hit

ec

ture

Technolo

gy

deplo

ymen

t

INFO

Documents

This presentation, including any supporting materials, is owned by Gartner, Inc. and/or its affiliates and is for the sole use of the intended Gartner