Return On Security Investments (ROSI) Alessandro Vallega

Transcript

1 Return On Security Investments (ROSI) Alessandro Vallega

2 Alessandro Vallega Consiglio Direttivo Clusit Oracle Security Business Developer Responsabile di Oracle Community for Security Leader / coautore di diverse pubblicazioni in ambito sicurezza Project Manager in ambito Oracle ERP / HCM per diversi anni su progetti internazionali PMP fino al

3 Agenda Le difficoltà dell azienda ad investire in Security Approccio e suggerimenti per sostenere le proprie scelte Tante domande, qualche spunto, poche risposte 3

4 E difficile investire in sicurezza SECURITY OFFICER u E difficile decidere su cosa investire Non esiste la palla di cristallo Non esiste il prodotto miracoloso I sistemi sono complessi, i componenti multipli e interconnessi La forza di una catena sta nel suo anello più debole La sicurezza è tecnologia, processi, risorse umane DIRETTORI DIRETTORI u E difficile convincere la direzione dell utilità Il costo è certo, il beneficio incerto Gli interlocutori sono multipli (risk, compliance, sviluppo, operation, linea...) e la catena di comando frammentata Il budget è di qualcun altro La value proposition e il modello di incentivazione dei vendor tendono ad essere frammentati e i messaggi contrastanti 4

5 E cmq difficile investire in sicurezza SECURITY OFFICER DIRETTORI E importante investire in u E sicurezza! difficile decidere su cosa investire Non esiste la palla di cristallo Non esiste il prodotto miracoloso I sistemi sono complessi, i componenti multipli e interconnessi La forza di una catena sta nel suo anello più debole La sicurezza è tecnologia, processi, risorse umane Beh, se non ci è mai capitato niente u E di difficile grave vuol convincere dire che la direzione dell utilità non siamo Il costo messi è certo, così male... il beneficio incerto Gli interlocutori sono multipli (risk, compliance, operation, linea...) e la catena di comando frammentata Il budget è di qualcun altro Beh, visto che ci è appena successo per adesso siamo tranquilli, no? DIRETTORI La value proposition e il modello di incentivazione dei vendor tendono ad essere frammentati e i messaggi contrastanti 5

6 Prestazione CLOUD Assistiamo ad una crescita dell innovazione ICT senza precedenti nella storia dell uomo Crescita e diffusione che parte dalle economie di scala, costo e prezzo e viene guidata dal B2C TELEGRAFO 6

7 Qualità Gli aspetti di qualità direttamente legati al business seguono da vicino la curva della prestazione. facilità d uso Le economie manutenibilità di scala e di costo permettono flessibilità una rapida discesa dei prezzi al consumo integrazione (b2c e b2b) e spingono ulteriormente localizzazione l innovazione. personalizzazione Tecnologie durata lato consumer guidano il mercato adeguatezza e poi arrivano ecc.... sull azienda... (BYOD; Social Networks; Cloud) 7

8 Riservatezza e Integrità Mentre la sicurezza (che ha solo un legame indiretto) viene lasciata indietro e lascia delle ampie scoperture che aumentano via via. 3 NUOVE TECNOLOGIE, NUOVE VULNERABILITÀ Un ritardo di un anno ha effetti ben più gravi oggi che 25 anni fa SCOPERTURE à MOLTI ATTACCHI, GRANDI INCIDENTI, NUOVE COMPLIANCE 2 1 8

9 Come si colma un gap così grande? (1) #2 CISO's Will Get Agreement with C- Suite About BYOD Security Policies #3 Securing Internet of Things Moves from Incidental to Critical #4 Cloud Identity Driven by Authentication as a Service & Bring Your Own Identity #5 Cyber Weapons Change Warfare # 6 Social Controls Meld Security, Marketing, and ROI #7 Security in the Data Center Finally Gets Serious #8 Privacy Becomes Even More Amorphous #9 Senior Management Demands Security That Is a Predictable, Operational Expense #10 Analytics Becomes the Differentiator in Threat Intelligence Excellence 9

10 Come si colma un gap così grande? (2) Spostare la security sull architettura permette di semplificare le applicazioni L architettura di sicurezza Accelera il time to market Il project manager chieda: Resiste ai futuri cambiamenti u Quali requisiti di sicurezza deve Eccede avere le l applicazione aspettative u Cosa deve fare l applicazione Fa e cosa risparmiare deve fare sui costi di l architettura sviluppo Valuti la bontà degli standard aziendali di sicurezza Crei gli spazi per una Progettazione orientata al futuro 10

11 Requisiti di sicurezza ISO27000 Riservatezza - riguarda sia i dati personali sia altri dati da proteggere che siano o non siano relativi a persone (ad esempio i segreti industriali). Furto di carte di credito, dati sanitari, utenze e password di accesso, trafugamento di informazioni riservate Integrità - riguarda il fatto che nessuno possa cambiare i dati in maniera non autorizzata per errore o per trarne un vantaggio o un profitto. Pagamento di fatture artefatte, alterazione saldo di conti bancari, modifica di dati contabili Disponibilità - il fatto che i sistemi siano disponibili quando servono e i dati siano adeguatamente protetti dalla distruzione accidentale. Blocco del sistema, interruzione del servizio, sabotaggio per impedire la fruizione di informazioni o lo svolgimento di operazioni 11

12 Nuovo business. Realizzare dei nuovi prodotti / servizi per dei nuovi clienti Nuovi servizi. Realizzare un nuovo modo di servire i propri clienti Investimenti in sicurezza Esempi: Multicanalità Motivazioni / home banking Borsellino elettronico B2B Integration Federazione applicativa, integrazione di portali Protezione Me too Esempi: SecaaS Identity Provisioning as a Service Servizi esterni di autenticazione SMS PEC Sw x Parental Control... Compliance Rischio Operativo Immagine aziendale Qui ci torniamo... Efficienza Operativa Esempi: Firewall Antivirus 12

13 Esempi di investimento Per usare la multicanalità - home banking, commercio elettronico... - il portale va messo in sicurezza (access management, db firewall...) Espongo i processi di business su internet devo proteggere la trasmissione e garantirmi dell identità (programmi, persone) di chi accede (web service security, autorizzazione a grana fine...) Per evitare le frodi interne mi assicuro la segregation of duties (identity analytics, attestation...) Per proteggere il dato sanitario a riposo lo sottopongo a crittografia Per controllare i database administrator gli impedisco di leggere i dati salariali (database vaulting...) Per proteggere il brand aziendale e mettermi a riparo dalle sanzioni proteggo i dati di bilancio in fase di formazione (security in depth...) NUOVI SERVIZI NUOVI SERVIZI RISCHIO OPERATIVO COMPLIANCE COMPLIANCE E RISCHIO IMMAGINE AZIENDALE 13

14 Dalla compliance al rischio Compliance che considera la necessità di sottostare a regole esterne al confine organizzativo o imposte dall organizzazione stessa. In molti casi gli investimenti sono stati realizzati per esigenze di Privacy, protezione del pagamento (PSD Banca d Italia, PCIDSS...) e per le leggi nazionali ed internazionali sulle aziende quotate (SOX, ). Rischio operativo passa attraverso una valutazione che avvengano delle frodi o delle perdite di informazioni e del conseguente impatto sul business. Immagine aziendale che viene valutata sulla base di un calcolo degli effetti di un incidente (es. perdita di riservatezza) che diventa di pubblico dominio e, secondo alcune metodologie, il conseguente impatto sul valore azionario e sul costo di ripristino dell immagine aziendale. Efficienza dei processi controllo che considera la riduzione dei costi dei controlli manuali e fronte dell automazione degli stessi. 14

15 Bisogni e motivazioni di investimento nei diversi processi AREA DELLE MISURE AREA DELLE MOTIVAZIONI Esemplificazione di una valutazione qualitativa comparata dei bisogni delle diverse applicazioni Questa matrice ci aiuta a capire quali misure di sicurezza adottare e di chi chiedere il supporto

16 Razionalità economica Le aziende operano sulla base di una 1 razionalità economica Gli investimenti devono sempre restituire un ritorno Spesso la sicurezza è percepita come un costo Il management chiede il ROI (1) Limitata; Herbert Simon

17 Il costo dell investimento è certo. Il ritorno? Motivazione Calcolo Stakeholder principale Aumentare l Efficienza dei processi controllo Valutare il risparmio costi prima e dopo CEO, CIO Ridurre il Rischio operativo Garantire la Compliance Proteggere l Immagine aziendale Monetizzare il rischio tramite probabilità ed impatto Considerare effetti (negativi e) positivi della (mancanza) di compliance 1 Valutare l impatto sull immagine aziendale e/o i costi di ripristino CFO, CxO, CRM CEO, CCM CEO, CMM

18 Il costo dell investimento è certo. Il ritorno? Motivazione Calcolo Stakeholder principale Aumentare l Efficienza dei processi controllo Valutare il risparmio costi prima e dopo CEO, CIO Ridurre il Rischio operativo Garantire la Compliance Proteggere l Immagine aziendale Monetizzare il rischio tramite probabilità ed impatto Considerare effetti (negativi e) positivi della (mancanza) di compliance Valutare l impatto sull immagine aziendale e/o i costi di ripristino CFO, CxO, CRM CEO, CCM CEO, CMM

19 Il costo dell investimento è certo. Il ritorno? Motivazione Calcolo Stakeholder principale Aumentare l Efficienza dei processi controllo Valutare il risparmio costi prima e dopo CEO, CIO Ridurre il Rischio operativo Garantire la Compliance Proteggere l Immagine aziendale Monetizzare il rischio tramite probabilità ed impatto Considerare effetti (negativi e) positivi della (mancanza) di compliance Valutare l impatto sull immagine aziendale e/o i costi di ripristino CFO, CxO, CRM CEO, CCM CEO, CMM

20 Molteplici stakeholder e il sourcing Pesatura qualitativa delle sensibilità (tabella di riepilogo)

21 Zoom sul rischio Le tecniche di identificazione, analisi, risposta, monitoraggio e controllo sono analoghe in tutte le best practices (PMBOK, ISO ) Consideriamo qui, principalmente, i rischi di sicurezza del prodotto e non quelli del progetto Il rischio di riservatezza (+) si può applicare anche ai deliverable del progetto nel suo stesso ciclo di vita 21

22 La valutazione economica di un rischio passa per PxI Probabilità di un evento avverso Impatto economico dello stesso 22

23 Dal ROI al ROSI ROSI for an enterprise is an important measure in today s cyberworld, in which hackers, computer viruses and cyberterrorists are making headlines ISACA ROI = Expected Return Cost of Investment Cost of Investment 23

24 ROSI con NPV 24

25 ROSI con NPV Diversi scenari di investimento Probabilità per Impatto Perdite future scontate tramite il tasso di interesse All inizio sta la virtù? 25

26 Cigno nero Il difetto degli approcci PxI è che sembra sia possible sostenere una certa quantità di incidenti abbastanza piccoli D&B China fallita a fronte di un breach di 150 milioni di record HPS breach di 130 milioni di carte di credito; crollo dell azione del 40% Più recentemente u... Sony... u... LinkedIn... u... Société Générale 26

27 Grazie per l attenzione alessandro.vallega@oracle.com DAL 12/14 MARZO 2013 Clusit e Oracle Community for Security (google) Oracle Security Reference Architecture ( tinyurl.com/bb5yosb) 27