Upload
nguyennhan
View
221
Download
0
Embed Size (px)
Citation preview
1 © Copyright 2014 EMC Corporation. All rights reserved.
@RSAItalia
Un'efficace gestione del rischio per ottenere vantaggi competitivi
Luciano Veronese - RSA Technology Consultant
Marco Casazza - RSA Technology Consultant
2 © Copyright 2014 EMC Corporation. All rights reserved.
@RSAItalia
Obiettivi della presentazione
Dimostrare come una efficace gestione dei rischi aziendali può contribuire al vantaggio competitivo di una
organizzazione.
Illustrare come la visione e le tecnologie di RSA sono in grado di gestire in modo efficace sia i rischi di business sia i rischi legati alla tecnologia considerandone le relazioni.
3 © Copyright 2014 EMC Corporation. All rights reserved.
@RSAItalia
Vantaggio competitivo? Quali i fattori ?
Automazione dei processi
Rimozione dei Silos Informativi
Individuare le aree di criticità
(rischi)
Prendere decisioni sulla
base dei risultati dell’analisi del
rischio
Visibilità: Asset, Report, Dashboard,…
4 © Copyright 2014 EMC Corporation. All rights reserved.
@RSAItalia
Qualche definizione… Business: insieme dei processi, politiche, controlli, governance, […] che caratterizzano una organizzazione, l’ambito in cui opera
IT: l’insieme delle tecnologie a supporto delle attività del Business
Rischio
Business Rischio = f (Probabilità evento, Impatto creato)
IT/InfoSec Rischio = f (Valore asset, Probabilità minaccia, Vulnerabilità dell’asset, Impatto)
• Evento=Minaccia che si manifesta (es. sfrutta la vulnerabilità di un asset) • Un rischio esiste nella misura in cui esiste una minaccia! Note
5 © Copyright 2014 EMC Corporation. All rights reserved.
@RSAItalia
L’universo dei rischi � I rischi sono classificati in molteplici categorie come
Enterprise Risk, Operational Risk, IT-Risk, InfoSec Risk
� I processi di gestione sono simili, ma le metodologie di assessment sono spesso specializzate
Sicurezza delle Informazioni
Rischi Progetto Sviluppi Applicativi
Rischi IT
Rischi Investimento
(spesa)
Rischi di Infrastruttura
Confidenzialità Integrità
Disponibilità
� I rischi IT sono solitamente classificati come parte degli Operational Risk e a loro volta classificati in
6 © Copyright 2014 EMC Corporation. All rights reserved.
@RSAItalia
La continuità operativa � Riguarda un particolare tipo di rischi: quelli caratterizzati da
eventi a bassa frequenza ed alto impatto – Possono determinare la chiusura di un’organizzazione per l’incapacità
di raggiungere i propri obiettivi (di produzione, di servizi, ecc.)
� I piani sono le azioni di remediation associate ai rischi individuati e per i processi critici individuati
� In una visione globale dei rischi aziendali, essi fanno parte dei rischi operativi
7 © Copyright 2014 EMC Corporation. All rights reserved.
@RSAItalia
Quali minacce (o sfide) ? • Pressione normativa, inefficienza, costi • Sfide a livello di sistema paese • Processi manuali (scarsa automazione) • Silos informativi (difficoltà di comunicazione) • Scarsa visibilità: difficoltà decisionale
Minacce che impattano il Business
• Advanced Threats • Frodi • Denial of Service • Indisponibilità di sistemi
Minacce che impattano l’IT
In generale, anche la mancanza di allineamento fra IT e Business è una minaccia per la competitività !
8 © Copyright 2014 EMC Corporation. All rights reserved.
@RSAItalia
Quali impatti? � InfoSec: perdita di Confidenzialità, Integrità, Disponibilità
� Immagine aziendale e reputazione
� Perdite economiche
� Impatti sulla sicurezza del sistema paese (ad es. perdita di informazioni sensibili)
� Furti di proprietà intellettuale (ad es. perdita diretta di competitività)
� Mancata erogazione di servizi essenziali
� …
9 © Copyright 2014 EMC Corporation. All rights reserved.
@RSAItalia
Come affrontare gli scenari di rischio indotti dalle minacce
10 © Copyright 2014 EMC Corporation. All rights reserved.
@RSAItalia
Gli ecosistemi aziendali e le minacce Lo schema di riferimento
I.T. Applicazioni, Dispositivi,
Tecnologie, Storage, …
Processi, Controlli, Policy, Prodotti, Informazioni …
BUSINESS Minacce che impattano il business
Minacce che impattano l’Information Technology (e di conseguenza il business…)
11 © Copyright 2014 EMC Corporation. All rights reserved.
@RSAItalia
Livello Tecnologico
Livello Strategico
Le tecnologie RSA supportano sia il livello strategico sia il livello tecnologico con prodotti altamente integrati che condividono le relative informazioni di contesto
La nostra visione strategica
Archer eGRC
Policy
Compliance
Vulnerability Management
Security Operations
Risk
Enterprise Management
Business Continuity
Advanced SOC/SA
Fraud Risk Intelligence
Identity Governance
I.T. Applicazioni.,
Dispositivi, Tecnolgie, Storage, …
Processessi, Controlli, Policy, Prodotti, Informazioni …
BUSINESS Minacce/ Rischi di Business
Minacce/ Rischi IT/InfoSec
12 © Copyright 2014 EMC Corporation. All rights reserved.
@RSAItalia
Rischio di Business e IT
Rischi di Business
Minacce sul Business
Rischi IT/InfoSec
Minacce IT/InfoSec
Cre
ano
Impatti sul Business
Impatti sull’IT
Integrati in…
Supporta l’analisi di…
Supporta l’analisi tradizionale e…
Vantaggio Competitivo
13 © Copyright 2014 EMC Corporation. All rights reserved.
@RSAItalia
La visione di RSA abilita l’approccio che caratterizza il massimo livello di maturità
Diversi modi di affrontare le minacce
Livello 1 Difesa Perimetrale
• Focus su controlli puntuali
• Approccio molto TATTICO
Livello 2 Difesa orientata alla Compliance
• Controlli determinati in base ai requisiti di compliance
• Mentalità delle checklist
Livello 3 Difesa sulla base del rischio IT/InfoSec
• Controlli determinati dai processi di IT/InfoSec Risk Management
Livello 4 Difesa sulla base del rischio di Business
• E’ considerata la relazione fra Business Risk e IT Risk
• Approccio molto STRATEGICO
Si possono individuare diversi approcci nell’affrontare le sfide indotte dalle minacce nel corso del tempo o sulla base del livello di maturità aziendale.
14 © Copyright 2014 EMC Corporation. All rights reserved.
@RSAItalia
Gestire il rischio IT: gli approcci L’approccio tradizionale al risk management, governato da metodologie e standard quali ISO-27005 e ISO-31000, permette sostanzialmente di individuare “rischi potenziali”: il fine è l’allocazione dei controlli!
NOTA: le minacce tecnologiche, come le Advanced Threats, possono creare un impatto sugli asset tecnologici (e quindi sul business) SOLO se esiste una vulnerabilità che può essere da loro sfruttata!
Grazie ad Archer eGRC, supporta l’approccio tradizionale, sia per il Business Risk sia per l’IT/InfoSec Risk
Supporta anche un approccio “pragmatico” al risk management, grazie alla stretta integrazione fra i prodotti dello stack tecnologico
15 © Copyright 2014 EMC Corporation. All rights reserved.
@RSAItalia
L’approccio RSA per la gestione del rischio IT
Business Asset
Business Asset
Business Asset
Impatto sul Business
IT Asset
IT Asset
IT Asset
Impatto Tecnico
Vulnerabilità
Vulnerabilità
Vulnerabilità
Vulnerabilità di sicurezza
Agente di Attacco
Attacco
Attacco
Attacco
Vettore di Attacco
Controllo
Controlli di sicurezza
Controllo Attacco
Vulnerabilità
IT Asset
Business Asset
Impatto Tecnico
Fattibile ed efficace
Fattibile ed efficace
Migliorare l’efficienza della rilevazione
dell’attacco
Migliorare l’efficienza della
risposta all’incidente
Prevenzione delle Minacce Rilevazione degli Attacchi
Risposta e Rimedio
Possibile Difficile
Si possono individuare 3 macro aree di intervento:
Modello OWASP (https://www.owasp.org/index.php/Top_10_2010-Main)
I possibili punti di intervento per mitigare i rischi
16 © Copyright 2014 EMC Corporation. All rights reserved.
@RSAItalia
La “gestione pragmatica” del rischio IT � Gestione preventiva: mitiga il rischio, riducendo le vulnerabilità rilevate
(che rappresentano dei rischi reali, non potenziali) – Il rischio è ridotto agendo sulla componente di probabilità della tipica equazione di rischio
Prevenzione delle Minacce
Rilevazione degli Attacchi
Risposta e Rimedio
Archer Vulnerability Risk Management
Security Analytics
Archer Security Operations
Management
� Gestione della capacità di rilevazione e di risposta: mitiga il rischio migliorando le capacità di rilevare attacchi e l’efficienza del processo di risposta agli incidenti – Il rischio è ridotto agendo sulla componente di impatto della tipica equazione di rischio
17 © Copyright 2014 EMC Corporation. All rights reserved.
@RSAItalia
Archer Vulnerability Risk Management Mitigare i rischi (riduzione probabilità minacce) attraverso una gestione business-oriented delle vulnerabilità
SFI
DE
Scoprire le vulnerabilità
Classificare i problemi
Indirizzare i problemi
Monitoraggio e Repor;ng
Catalogo Asset P
assi
Nessuna relazione fra da; di business e tecnologici Mancanza di un contesto e meccanismi di priori;zzazione
Mancanza di automazione e di workflow flessibile Repor;ng inefficace e lento
Vulnerability Management [La soluzione RSA]
Indirizzato dai fornitori di
Vulnerability Scanner (Qualys, McAfee, …)
Mancanza di un catalogo centralizzato (o catalogo parziale)
Risultato Scansioni Contesto
di Business
Threat Intelligence
+ + = Vulnerabilità
Priori;zzate ü Workflow ü KPI ü Report
ü Scalabilità ü Velocità ü Precisione
Σ
18 © Copyright 2014 EMC Corporation. All rights reserved.
@RSAItalia
Archer SecOps (Security Operations Management) Mitigare i rischi (impatto delle minacce) rendendo più efficace il processo di risposta agli incidenti
Ruo
li (U
ser
Pers
onas
) S
ecO
ps
Orchestrare &
Gestire
Analisti del SOC Analista L1 Analista L2
Analista di Threat Intelligence
Gestione del SOC
Responsabile del SOC CISO/CSO
Team Inter-Funzione
CIO Resp. di Business Resp. Privacy Conformità Legale Resp. Personale
Soluzione costruita attorno al concetto di “User Persona”
19 © Copyright 2014 EMC Corporation. All rights reserved.
@RSAItalia
Misurare il rischio IT in tempo reale
� Grazie alla integrazione tra le diverse tecnologie, il nostro approccio consente di rappresentare metriche (KRI) che abilitano scenari di gestione dei rischi in tempo reale
Indicatori e Metriche
RSA IT Security Risk Management
RSA Archer GRC
Risultati delle scansioni
Flussi di mitigazione
Correlazione delle minacce
Scalabilità Prev
enzi
one Vulnerability Risk
Incidenti & Investigazioni
Gestione dei Breach
Gestione delle Crisi
Gestione del SOC
Risposta
Security Operations
Gli approcci tradizionali al Risk Management utilizzano tecniche di assessment condotte 1 o 2 volte l’anno
• I rischi sono rilevati con una bassa frequenza… • … che spesso non è compatibile con la dinamicità
sempre maggiore delle organizzazioni
20 © Copyright 2014 EMC Corporation. All rights reserved.
@RSAItalia
L’approccio IT Security Risk Management per legare il Rischio di Business al Rischio IT
IT-‐SRM Advanced SOC
• Security Analy;cs • Servizi Advanced Cyber
Defense • ECAT • Data Loss Preven;on
Governance Risk Compliance
• Conformità norma;va • Rischi Opera;vi • Rischi di terze par; • Con;nuità Opera;va • Audit
• Security Opera/ons Management (SecOps) • Vulnerability Risk Management (VRM)
21 © Copyright 2014 EMC Corporation. All rights reserved.
@RSAItalia
Conclusioni
Vantaggio competitivo? = Saper prendere le giuste decisioni !
1
Individuare le aree critiche = Identificare i rischi di Business
2
Considerare anche i rischi IT indotti da minacce come le Advanced Threat, integrandoli nei rischi di Business
3 La nostra visione e le nostre
tecnologie supportano la gestione sia del rischio di Business, sia dei rischi IT
4
Rischio Business <-> Rischio IT:
• Allineamento costante grazie ad una integrazione che prevede lo scambio di informazioni di contesto
• Supporto di un processo decisionale in tempo reale che è uno degli abilitatori primari per ottenere un vantaggio competitivo
5
22 © Copyright 2014 EMC Corporation. All rights reserved.
@RSAItalia
DEMO Esempio di implementazione di un workflow di processo nell’ambito “Risk Management” con il coinvolgimento di diversi attori (quali Risk Manager e Risk Owner), ognuno con una propria vista dedicata.