La Sicurezza, il Controllo e la Gestione dei Progetti IT

Transcript

1 La Sicurezza, il Controllo e la Gestione dei Progetti IT Andrea Pasquinucci A. Pasquinucci -- Gestione Progetti -- 21/04/ Pag. 1

2 Indice: Sicurezza e Controllo Sicurezza IT Dai Controlli ai Progetti Gestione di un Progetto IT e Sicurezza Conclusioni A. Pasquinucci -- Gestione Progetti -- 21/04/ Pag. 2

3 Sicurezza e Controllo Dirigenti IT ritengono: 83% : policy sicurezza sono allineate al business ma 57% : nessun monitoraggio della conformità 75% : fiducia nella sicurezza dei partners ma 72% : nessun controllo su terze parti 83% : convinto della solidità delle pratiche di sicurezza ma 44% : non sa spiegare gli incidenti Indagine 2008 The Global State of Information Security, CIO, CSO, PwC A. Pasquinucci -- Gestione Progetti -- 21/04/ Pag. 3

4 Sicurezza e Controllo Dirigenti IT ritengono: 73%: convinto della solidità delle pratiche di sicurezza 41% : non sa quanti incidenti negli ultimi 24 mesi 63%: ha politiche attive di monitoraggio e intervento 47% : non sa che tipo di incidenti sono avvenuti MA: 45% : non conosce la fonte degli incidenti Indagine 2009 The Global State of Information Security, CIO, CSO, PwC A. Pasquinucci -- Gestione Progetti -- 21/04/ Pag. 4

5 Sicurezza e Controlli Sicurezza IT: gestione quotidiana dei sistemi IT e della loro sicurezza Audit e Controlli IT: verifica da parte di terzi della Sicurezza IT Audit e Sicurezza IT devono lavorare insieme, anche se con finalità diverse, in un unico ciclo procedurale A. Pasquinucci -- Gestione Progetti -- 21/04/ Pag. 5

6 Sicurezza IT Non solo nel significato tecnico che include Confidenzialità Integrità Disponibilità (Autenticità) Ma anche più in generale come Affidabilità Capacità di un componente di assolvere alle funzioni per cui è stato progettato A. Pasquinucci -- Gestione Progetti -- 21/04/ Pag. 6

7 Sicurezza IT 10 Anni Fa... Con alcune eccezioni (es. mondo Mainframe): Mancanza skill professionali Ad Hoc Disorganizzata Non strutturata Mancanza di procedure Mancanza di coscienza del Management Limitatezza delle tecnologie Mancanza di prodotti e supporto... A. Pasquinucci -- Gestione Progetti -- 21/04/ Pag. 7

8 Sicurezza IT Oggi... Presenza di: Professioni e skill professionali Standard e certificazioni di persone e prodotti Approcci aziendali strutturati, organici e organizzati Procedure Coscienza del Management Tecnologie appropriate Prodotti e supporto per la grande, media e piccola azienda... A. Pasquinucci -- Gestione Progetti -- 21/04/ Pag. 8

9 Sicurezza IT? Perché allora oggi la Sicurezza IT è sempre più un Problema? A. Pasquinucci -- Gestione Progetti -- 21/04/ Pag. 9

10 Facciamo un Audit.. Documentazione Procedure Organigramma del personale Qualifiche del personale Aggiornamento del personale Audit periodici Antivirus, antispam Proxy web Firewall Accessi sicuri (biometria, OTP...) Segmentazione rete Cifratura dati e comunicazioni... A. Pasquinucci -- Gestione Progetti -- 21/04/ Pag. 10

11 Audit OK! Dov'è il problema? Affrontiamolo non dal punto di vista del controllo ma del fare : dall'esigenza aziendale, al fornitore, al servizio A. Pasquinucci -- Gestione Progetti -- 21/04/ Pag. 11

12 Azienda Piccola o Media Mancanza di competenze interne Affidamento al fornitore Fornitore Non conosce/capisce le esigenze dell'azienda Vende soluzione standard, meglio se HW Se la soluzione non è appropriata, convince il cliente all'acquisto di un'altra soluzione per un supposto altro problema A. Pasquinucci -- Gestione Progetti -- 21/04/ Pag. 12

13 Azienda Grande Ogni modifica necessaria per soddisfare una nuova esigenza aziendale può essere realizzata solo tramite un Progetto: Uno sforzo temporaneo e progressivo intrapreso per creare un prodotto o servizio unico Si distingue dalla Gestione (Ordinaria - Operations) Ogni progetto va Gestito formalmente e verificato, a partire da un Change Request (CR) sino ai Test di Accettazione (UAT) Nasce il Project Manager (PM) e la disciplina del Project Management A. Pasquinucci -- Gestione Progetti -- 21/04/ Pag. 13

14 PM del PM del PM... Azienda => Outsourcer => Fornitore => Appaltatore PMO PM PMO PM PMO PM PM Work A. Pasquinucci -- Gestione Progetti -- 21/04/ Pag. 14

15 Da una Esigenza... Da una esigenza dell'azienda All'interpretazione dell'outsourcer Ai prodotti del Fornitore Alle competenze dell'appaltatore A. Pasquinucci -- Gestione Progetti -- 21/04/ Pag. 15

16 Esempio SQL Injection applicazioni Web Sicurezza query su DB SQL Appliance Firewall SQL Quali filtri?... lasciamo il default Probabilmente la vera soluzione era un bugfixing delle applicazioni Web... A. Pasquinucci -- Gestione Progetti -- 21/04/ Pag. 16

17 Perché? E' più facile comprare una scatola che gestire un processo di analisi e sviluppo E' più conveniente comprare una scatola che gestire un processo di analisi e sviluppo E' meno rischioso comprare una scatola che gestire un processo di analisi e sviluppo E' più semplice fare un progetto a 360 o che risolvere un singolo problema in profondità A. Pasquinucci -- Gestione Progetti -- 21/04/ Pag. 17

18 Gestire un Progetto IT Esistono Metodologie Tecniche Professionalità per gestire i progetti (IT e non IT) Ma come incorporare la Sicurezza? A. Pasquinucci -- Gestione Progetti -- 21/04/ Pag. 18

19 Progetti e Sicurezza Acquisto Hardware Funzionalità di Sicurezza non implementabili a posteriori Procedure del Personale Difficile far cambiare le abitudini alle persone Architettura Applicativa Criteri: costo minimo, funzionalità minime => spesso aggiungere qualche cosa richiede rifare tutto A. Pasquinucci -- Gestione Progetti -- 21/04/ Pag. 19

20 Progetti di Sicurezza Pochissimi i veri Progetti di Sicurezza IT a se stanti Rete, crittografia, SSO... Spesso è invece la Messa in Sicurezza di un Sistema IT con problemi Il tipico Cerotto: se il Sistema fosse stato progettato e implementato bene non avrebbe bisogno di cerotti Il Cerotto ha sempre una funzionalità limitata e temporanea Tipico esempio: Firewall Applicativi A. Pasquinucci -- Gestione Progetti -- 21/04/ Pag. 20

21 Sicurezza nei Progetti La Sicurezza è pervasiva, non è una componente aggiuntiva Dovrebbe essere una delle caratteristiche principali della Qualità di un Progetto e del suo risultato (prodotto o servizio) Chi gestisce un Progetto dovrebbe assicurarsi che gli elementi che garantiscono la Sicurezza siano presenti in tutte le fasi del Progetto: HW, SW, Procedure, Controlli... A. Pasquinucci -- Gestione Progetti -- 21/04/ Pag. 21

22 Gestione di un Progetto Il Triangolo del PM: Per raggiungere gli Scopi ed Obiettivi del progetto vi sono 3 vincoli principali connessi tra loro: Qualità Tempi Costi A. Pasquinucci -- Gestione Progetti -- 21/04/ Pag. 22

23 Gestione di un Progetto In pratica, purtroppo, pur di ottenere qualche risultato si è obbligati ad ordinarli come segue: 1. Costi 2. Tempi 3. Scopi ed Obiettivi 4. Qualità delle funzionalità di base 5. Qualità delle funzionalità avanzate e Sicurezza A. Pasquinucci -- Gestione Progetti -- 21/04/ Pag. 23

24 Auditor Se coinvolto nel Progetto Verifica che Sicurezza e Qualità siano pervasive ed al primo posto nell'agenda del Progetto In alcuni casi è meglio che il Progetto sia cancellato piuttosto che si rinunci troppo in Sicurezza Nell'attività di Audit Chiede che i problemi siano risolti in profondità Non accetta i Cerotti se non come misure straordinarie e temporanee Cerca di diffondere la cultura della Sicurezza e del Controllo a 360 o A. Pasquinucci -- Gestione Progetti -- 21/04/ Pag. 24

25 Conclusioni Il problema è umano, quindi difficile La tecnica (HW e SW) da sola ci aiuta poco Dobbiamo imparare a coniugare la Sicurezza sin dal principio Dobbiamo imparare a vedere la Sicurezza in ogni attività e componente Dobbiamo imparare e non usare i Cerotti ma nel caso rifare tutto da capo SOGNO? A. Pasquinucci -- Gestione Progetti -- 21/04/ Pag. 25

26 Copyright e Licenza Queste slide sono copyright Andrea Pasquinucci Queste slide sono distribuite sotto la licenza Creative Commons by-nc-nd 2.5: attribuzione, non-commerciale, non-opere-derivate A. Pasquinucci -- Gestione Progetti -- 21/04/ Pag. 26

27 Grazie Andrea Pasquinucci pasquinucci-at-ucci.it A. Pasquinucci -- Gestione Progetti -- 21/04/ Pag. 27