la trasformazione dell'information security Processi a prova di futuro

Transcript

1 ABN Amro Dr. Martijn Dekker, Senior Vice President, Chief Information Security Officer Airtel Felix Mohan, Senior Vice President e Global Chief Information Security Officer AstraZeneca simon strickland, Global Head of Security Automatic Data Processing roland cloutier, Vice President, Chief Security Officer The Coca-Cola Company renee guttmann, Chief Information Security Officer ebay Leanne Toliver, Ufficio del Chief Information Security Officer EMC Corporation Dave Martin, Vice President e Chief Security Officer FedEx denise d. wood, Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer Fidelity Investments tim mcknight, Executive Vice President, Enterprise Information Security and Risk HDFC Bank Vishal Salvi, Chief Information Security Officer e Senior Vice President HSBC Holdings plc. bob rodger, Group Head of Infrastructure Security Intel malcolm harkins, Vice President, Chief Security e Privacy Officer Johnson & Johnson Marene n. Allison, Worldwide Vice President of Information Security JPMorgan Chase Anish Bhimani, Chief Information Risk Officer Nokia Petri Kuivala, Chief Information Security Officer SAP AG ralph salomon, Vice President IT Security e Risk Office t Report basato sulle discussioni con Security for Business Innovation Council la trasformazione dell'information security Processi a prova di futuro TELUS Kenneth Haertling, Vice President e Chief Security Officer T-Mobile USA William Boni, Corporate Information Security Officer (CISO) e Vice President, Enterprise Information Security Walmart Stores, Inc. Jerry r. Geisler III, Ufficio del Chief Information Security Officer Dove concentrare il miglioramento dei processi Suggerimenti dei responsabili del gruppo Global 1000 Come ottimizzare i processi di sicurezza fondamentali In questo report: Linee guida sulla documentazione dei processi di business Tecniche aggiornate per la valutazione del rischio Accertamento dell'efficacia dei controlli basato su prove Suggerimenti per ottenere capacità di data analytics Un'iniziativa di settore sponsorizzata da RSA

2 * Sommario punti salienti del report 1 1. Introduzione: prepararsi per il futuro 2 2. Aree chiave per il miglioramento 3 3. Suggerimenti 4 1. Spostare l'attenzione dagli asset tecnici ai processi di business critici 4 2. Stabilire valutazioni di business dei rischi per la sicurezza informatica 6 3. Stabilire un processo di valutazione del rischio incentrato sul business 6 4. Impostare un percorso per accertare l'efficacia dei controlli basata su prove 8 5. Sviluppare metodi di data collection informati 10 Conclusione 12 Informazioni sull'iniziativa SBIC 12 Autori del report 13 Dichiarazione di non responsabilità - Questo report del Security for Business Innovation Council ("Report") include informazioni e materiali (detti collettivamente il "Contenuto") soggetti a modifiche senza preavviso. RSA Security LLC, EMC Corporation e i singoli autori del Security for Business Innovation Council (detti collettivamente gli "Autori") escludono espressamente ogni obbligo di aggiornamento del Contenuto. Il Contenuto viene fornito "COSÌ COM'È". Gli Autori non riconoscono alcuna garanzia esplicita o implicita relativa all'utilizzo del Contenuto, ivi comprese quelle di commerciabilità, compatibilità, non violazione, precisione o idoneità per uno scopo specifico. Il Contenuto è destinato a fornire informazioni al pubblico e non costituisce un parere legale di RSA Security LLC, della sua casa madre, EMC Corporation, dei rispettivi avvocati o degli autori di questo report SBIC. L'utente non deve intraprendere azioni o astenersi dall'intraprendere azioni sulla base del Contenuto senza aver consultato un avvocato autorizzato a esercitare nella giurisdizione dell'utente. Gli Autori non saranno responsabili di eventuali errori contenuti nel presente documento o di eventuali danni di qualsivoglia tipo derivanti da o correlati all'uso di questo Report (incluso tutto il Contenuto), ivi compresi danni diretti, indiretti, incidentali, speciali, consequenziali o punitivi, che si verifichino in base a un contratto, in un illecito o in qualsiasi altra ipotesi di responsabilità, anche se gli Autori sono consapevoli della possibilità di tali errori o danni. Gli autori non si assumono alcuna responsabilità per gli errori o le omissioni del Contenuto. 2 Security for Business Innovation Council Report RSA, The Security Division of EMC

3 Punti salienti del report I processi ad hoc adottati quando la sicurezza era basata unicamente sul perimetro non sono in grado di risolvere la portata e la complessità di gestione dei rischi per la sicurezza informatica di un'azienda globale di oggi. Stare al passo con le minacce informatiche e con le ultime tendenze di business e tecnologiche richiede una revisione dei processi di information security. Le aree chiave per il miglioramento in molte organizzazioni sono le seguenti: Misurazione dei rischi: se si descrivono i rischi in termini tecnici, ad esempio "numero di intrusioni o vulnerabilità", diventa difficile consigliare i responsabili del business sulla gestione dei rischi per la sicurezza informatica. Business Engagement: i processi per tenere traccia dei rischi devono essere facili ed efficienti da utilizzare per il business, ma spesso sono ancora basati su complessi metodi manuali. Valutazioni dei controlli: le valutazioni point-in-time e frammentarie non sono più sufficienti. L'integrità dei controlli di sicurezza deve essere misurata in termini di continuity delle funzionalità. Valutazioni del rischio di terze parti: l'attuale modello di valutazione del rischio è inefficiente e ripetitivo e non offre una visibilità continua sui controlli di sicurezza del service provider. Rilevamento delle minacce: sebbene sia richiesto un approccio alla sicurezza basato sull'intelligence, per la maggior parte dei team dedicati alla sicurezza non è tuttavia chiaro quali dati raccogliere e come eseguire un'analisi sensata. Questo report contiene preziosi suggerimenti da parte di 19 addetti alla sicurezza, leader mondiali del settore, che possono aiutare le organizzazioni a sviluppare strategie di sicurezza per il panorama delle crescenti minacce attuali. Cinque suggerimenti Concentrarsi su come affrontare i problemi critici, aggiornare i programmi di information security e prepararsi al futuro: 1. Spostare l'attenzione dagli asset tecnici ai processi di business critici Abbandonare il punto di vista strettamente tecnico sulla protezione degli asset informativi, ad esempio server e applicazioni. Adottare una prospettiva più generale che consideri l'uso che viene fatto delle informazioni nella gestione del business. Pensare a come proteggere end-to-end i processi di business più critici endto-end. Collaborare con le business unit per documentare i processi di business critici. 2. Stabilire valutazioni di business dei rischi per la sicurezza informatica Sviluppare tecniche per descrivere i rischi per la sicurezza informatica in termini di business e integrare l'uso di valutazioni di business nel processo consultivo relativo ai rischi. Definire scenari dettagliati che descrivano la probabilità di incidenti di sicurezza e la portata dell'impatto sul business. Se fattibile o richiesto, quantificare il rischio e passare gradualmente alle valutazioni finanziarie. 3. Stabilire un processo di valutazione del rischio incentrato sul business Passare a strumenti più automatizzati per tenere traccia dei rischi per le informazioni quando vengono identificati, valutati, accettati o risolti, per velocizzare il processo decisionale e consentire alle business unit di essere responsabili della gestione dei rischi. Fare affidamento sui service provider per le valutazioni ordinarie e ripetitive. Introdurre una certa flessibilità nel processo di accettazione dei rischi per consentire al business di sfruttare le opportunità urgenti. 4. Impostare un percorso per accertare l'efficacia dei controlli sulla base di prove Sviluppare la capacità di raccogliere dati pertinenti per testare continuamente l'efficacia dei controlli. Iniziare con la documentazione e la revisione dei controlli, dando la precedenza ai controlli più importanti che proteggono i processi di business critici. Determinare da quale prova sarà sostenuto ogni controllo e impostare le procedure per raccogliere e segnalare sistematicamente la prova e apportare continuamente le modifiche necessarie. Automatizzare col tempo la raccolta di prove e la generazione di report per migliorare le valutazioni interne e di terze parti. 5. Sviluppare metodi di data collection informati Iniziare esaminando i tipi di domande a cui l'analisi dei dati è in grado di rispondere per identificare le origini di dati rilevanti. Creare un insieme di use case dell'analisi dei dati. Modificare il logging ove i dati originali siano insufficienti, negoziando, se necessario, con gli owner del sistema. Comprendere come applicare l'intelligence sulle minacce esterne per migliorare l'analisi. Sviluppare un piano completo per migliorare l'architettura complessiva della raccolta, generare log con un volume di dati più elevato e aumentare la capacità di storage dei dati. RSA, The Security Division of EMC Security for Business Innovation Council Report 1

4 1 Introduzione: prepararsi per il futuro I processi ad hoc adottati quando la sicurezza era basata unicamente sul perimetro non sono in grado di risolvere la portata e la complessità di gestione dei rischi per la sicurezza informatica di un'azienda globale di oggi. I team della sicurezza orientati al futuro sono consapevoli che stare al passo con le minacce informatiche e con le ultime tendenze business e tecnologiche richiede una revisione dei processi di information security. Partendo dai punti di vista di alcuni responsabili dell'information security, leader mondiali del settore, questo report esamina le aree chiave dei programmi di sicurezza che ora richiedono attenzione. Fornisce consigli pratici su nuovi processi e tecniche aggiornate, consentendo ai team della sicurezza di affrontare i problemi attuali e di prepararsi per il futuro. 5 Leggi il primo report 2 BUSINESS ENGAGEMENT MISURAZIONE DEI RISCHI RILEVAMENTO DELLE MINACCE ASSESSMENT DEI CONTROLLI ASSESSMENT DEL RISCHIO DI TERZE PARTI Come deve essere un programma di information security efficace e orientato al futuro? Per rispondere a questa domanda, il Security for Business Innovation Council (SBIC) sta preparando una serie di tre report su "La trasformazione dell'information security". I report offrono consigli pratici nati dall'unione delle conoscenze e dei punti di vista dei principali leader del settore della sicurezza dell'information security. Il primo report era un playbook per la definizione di un team esteso all'avanguardia. Questo report illustra i fondamenti dei processi di information security. Nel terzo verranno identificate alcune tecnologie essenziali per l'evoluzione dei programmi di information security. Security for Business Innovation Council Report RSA, The Security Division of EMC

5 2 S Aree chiave per il miglioramento e ai programmi di sicurezza fossero date pagelle di valutazione dei processi, nella maggior parte delle organizzazioni, le aree seguenti sarebbero identificate con "non soddisfa le aspettative, servono miglioramenti". 1. Misurazione dei rischi I dirigenti e i consigli di amministrazione di tutto il mondo hanno capito che i rischi per la sicurezza informatica possono compromettere significativamente il bilancio di un'azienda. Eventi recenti hanno dimostrato la portata dell'impatto. Negli ultimi 12 mesi, molte banche hanno subito attacchi DDoS (Distributed Denial of Service) ai propri siti di online banking. Un report dell'ip Commission pubblicato all'inizio dell'anno ha stimato che i furti internazionali di proprietà intellettuale americana sono nell'ordine di centinaia di miliardi di dollari all'anno.1 Vedendo la possibilità di ulteriori perdite economiche, le business unit di molte organizzazioni sono sempre più interessate a una gestione proattiva dei rischi per la sicurezza informatica. Dal loro punto di vista, i rischi per la sicurezza informatica vengono considerati esattamente come gli altri rischi, ovvero in termini economici. Inoltre, la U.S. Securities and Exchange Commission (SEC) prevede che le aziende pubbliche degli Stati Uniti divulgheranno informazioni rilevanti relative ai rischi per la sicurezza informatica e agli incident.2 Nell'Unione Europea, la Markets in Financial Instruments Directive (MiFID) richiede agli istituti finanziari di adottare misure adeguate per la gestione dei rischi.3 Il team dell'information security deve consigliare i responsabili del business sulla gestione dei rischi per la sicurezza informatica, generare report sulla "rilevanza" o dimostrare l'"adeguatezza". Ciò è difficile se il rischio viene descritto solo in termini tecnici, ad esempio con il numero di intrusioni o di vulnerabilità. 2. Progetto di business Man mano che le business unit diventano sempre più responsabili della gestione dei rischi per la sicurezza informatica, il team della sicurezza deve lavorare in collaborazione con esse per garantirne il successo. Il processo per identificare, valutare, eseguire il triage e tenere traccia dei rischi deve essere semplice ed efficiente e deve consentire al business di rispondere alle pressioni di un mercato competitivo. Eppure i processi di valutazione del rischio spesso sono ancora basati su complessi metodi manuali. 3. Valutazioni dei controlli Nella maggior parte delle organizzazioni, le valutazioni per verificare che i controlli di sicurezza stiano funzionando come previsto vengono in genere eseguite sporadicamente da diversi auditor interni ed esterni. Le valutazioni point-in-time e frammentarie non sono più sufficienti. Viste le crescenti minacce e l'aumento degli investimenti in sicurezza, i team della sicurezza sono tenuti ad assicurarsi che i controlli siano sempre efficienti ed efficaci. L'integrità dei controlli di sicurezza deve essere misurata in termini di continuity delle funzionalità. Tuttavia, la maggior parte dei team della sicurezza non valuta in modo coerente i controlli né vi apporta continuamente le modifiche necessarie. 4. Valutazioni del rischio di terze parti Il modello tradizionale per la valutazione del rischio si basa su questionari e audit on-site, i cui risultati vengono registrati in documenti e aggiornati annualmente. Sia per i service provider che per i clienti, questo processo è inefficiente e richiede a tutti operazioni ripetitive. Inoltre, non fornisce alle organizzazioni una visibilità tattica e operativa continua sui controlli di sicurezza del service provider per assicurarsi che il provider soddisfi i requisiti per la protezione delle informazioni. 5. Rilevamento delle minacce È ormai evidente in tutto il settore che a causa delle minacce avanzate le organizzazioni devono passare rapidamente ad approcci di rilevamento maggiormente basati sull'intelligence. Il solo monitoraggio degli eventi dall'infrastruttura di rete perimetrale non è più efficace. La sicurezza basata sull'intelligence si serve dell'analisi dei dati, abilita gli alert in caso di comportamenti indicanti sfruttamento e fornisce il contesto delle minacce. Richiede che i dati vengano raccolti e analizzati da un'ampia gamma di origini. Eppure per la maggior parte dei team dedicati alla sicurezza non è tuttavia chiaro quali dati raccogliere e come eseguire un'analisi sensata. The Report of the Commission on the Theft of American Intellectual Property, National Bureau of Asian Research, RSA, The Security Division of EMC Security for Business Innovation Council Report 3

6 3 Suggerimenti Q uesti suggerimenti non sono concepiti come istruzioni complete per la riprogettazione dei processi di sicurezza, ma hanno come obiettivo la correzione di alcuni processi chiave che richiedono attenzione per affrontare problemi critici, aggiornare i programmi di information security e prepararsi al futuro. 1. Spostare l'attenzione dagli asset tecnici ai processi di business critici Per risolvere le limitazioni degli attuali processi di sicurezza, è innanzitutto necessario fare un passo indietro e riconsiderare come formulare il problema. I professionisti dell'information security hanno sempre pensato alla protezione degli asset informativi, ad esempio server e applicazioni. Questo punto di vista tecnico, anche se necessario, non è sufficiente, perché non offre una visione abbastanza ampia dell'uso che viene fatto delle informazioni nella gestione del business. Non sarà inoltre di grande utilità di fronte ad attacchi mirati, specificatamente progettati per danneggiare i processi di business, ad esempio gli ordini dei clienti, le transazioni finanziarie, i processi di sviluppo o fabbricazione di prodotti o le procedure di contabilità clienti. È invece opportuno adottare una prospettiva più generale e pensare a come proteggere i processi di business critici end-to-end. Cambiare prospettiva Spostando l'attenzione dagli asset tecnici ai processi di business, il team della sicurezza avrà un punto di vista più consapevole e saprà dove concentrare gli sforzi. Potrà determinare quali siano i processi più critici che richiedono la massima protezione. Conoscendo il flusso delle informazioni all'interno di ogni processo, potrà comprendere come un attacker possa impedire un processo e quali siano i controlli di sicurezza più efficaci. 5 Suggerimenti 1. Spostare l'attenzione dagli asset tecnici ai processi di business critici 2. Stabilire valutazioni di business dei rischi per la sicurezza informatica 3. Stabilire un processo di valutazione del rischio incentrato sul business 4. Impostare un percorso per accertare l'efficacia dei controlli in base a prove 5. Sviluppare metodi di data collection informati 4 Security for Business Innovation Council Report RSA, The Security Division of EMC

7 suggerimenti Grazie alla comprensione dei processi di business la sicurezza può essere integrata e non semplicemente aggiunta. " Prendere in considerazione un processo di sviluppo di nuovi prodotti. Se il team della sicurezza non conosce il processo, non può sapere che cosa sia un'attività "normale", ad esempio come e quando i membri del team di progettazione accedono all'applicazione di progettazione, come e quando vengono utilizzati messaggi per comunicare le specifiche ai contractor di terze parti e così via. Approfondendo il processo, saranno in grado di instrumentare meglio i controlli per rilevare ed evitare le condizioni non normali e proteggere la proprietà intellettuale. Grazie alla conoscenza dei processi di business, il team della sicurezza può verificare come i controlli di sicurezza influiscano sui processi e limitare così diverse problematiche. Ad esempio, esaminando i passaggi di un processo di business, potrebbe essere possibile eliminare la necessità di trasferire i dati riservati e quindi la necessità della crittografia. In alcuni casi, potrebbe essere necessario apportare lievi modifiche a un processo di business per rendere più efficiente il monitoraggio. Ad esempio, è difficile rilevare se un utente non autorizzato sta sottraendo informazioni tramite il download dei dati delle transazioni, se il normale utilizzo richiede il download giornaliero di tutte le transazioni in un database. Grazie alla comprensione dei processi di business la sicurezza può venire integrata e non semplicemente aggiunta. Ad esempio, un processo di approvvigionamento potrebbe incorporare un protocollo per consentire al team degli acquisti di scremare un elenco di problemi di sicurezza e privacy. Aiuta inoltre il team della sicurezza a capire che i controlli di sicurezza tecnici non sono necessariamente l'unica soluzione per proteggere un processo. Se si verifica un problema con la certificazione di accesso, ad esempio, inserire un passaggio di riconciliazione manuale nel processo può essere una soluzione efficace. La documentazione dei processi di business deve essere un'attività collaborativa che porti a stabilire quali siano i rischi per il sistema. Non potremo mai comprendere il valore delle informazioni per il business allo stesso modo del proprietario dell'azienda, che al contrario non potrà mai comprendere le minacce allo stesso modo del " team della sicurezza. dave martin Vice President e Chief Security Officer, EMC Corporation?Domande da porre durante la documentazione dei processi di business La documentazione dei processi a fini di protezione dei dati richiede in genere di analizzare i singoli passaggi dei processi, descrivendo in dettaglio come vengono utilizzate le informazioni. Ecco alcuni esempi di domande pertinenti: DDDurante questo processo vengono generati, scambiati o archiviati dati riservati, sensibili o soggetti a normative? Se sì, quali controlli di sicurezza esistenti fanno parte di questo processo? L'uso di queste informazioni viene monitorato? In che modo? DDCome si verrebbe a sapere che qualcosa non va nel processo di business? Esistono controlli di rilevamento in tali aspetti chiave? Vengono registrate le informazioni giuste? Il monitoraggio è coerente con le potenziali indicazioni di compromissione o frode? DDEsistono problemi di privacy relativi a dove i dati vengono archiviati e spostati? Ad esempio, i dati vanno dall'europa agli Stati Uniti senza l'appropriata documentazione legale allegata? Documentare i processi di business Per comprendere i processi di business, è necessaria una documentazione. Il team della sicurezza dovrà collaborare con il personale delle business unit per documentare i processi critici (vedi barra laterale). Poiché ogni descrizione di processo dovrà essere un documento in continua evoluzione, in ogni business unit dovrà esserci un owner responsabile dell'aggiornamento del documento. È possibile che le aziende con un team CQI (Continuous Quality Improvement, miglioramento continuo della qualità) o BPI (Business Process Improvement, miglioramento dei processi di business) dispongano di una documentazione utilizzabile come punto di partenza, ma spesso la documentazione nelle aziende è poca o inesistente. Per creare la documentazione sui processi di business, si potrebbe sfruttare il personale del gruppo di resilienza aziendale, di business continuity o di audit interno dell'organizzazione. RSA, The Security Division of EMC Security for Business Innovation Council Report 5

8 suggerimenti 2. Stabilire valutazioni di business dei rischi per la sicurezza informatica Una gestione efficace dei rischi per le informazioni implica oggi che il team della sicurezza svolga la funzione di advisor per le business unit e i dirigenti. Per il coretto funzionamento dei servizi di consulenza sui rischi, il team della sicurezza deve sviluppare metodi per descrivere i rischi per la sicurezza informatica in termini di business e integrare l'uso di valutazioni di business nel processo di consulenza sui rischi. Un approccio efficace per descrivere i rischi per la sicurezza informatica in termini di business è quello di definire scenari dettagliati, esponendo la probabilità di incident di sicurezza e la portata dell'impatto sul business, ad esempio perdita di reputazione, mancata conformità alle normative vigenti o contenziosi legali. Se fattibile o richiesto (ad esempio, per i report 10K SEC sul rischio materiale), il team della sicurezza deve poter tenere discussioni sull'impatto per il business per quantificare il rischio. Con il tempo, il team deve perfezionare le tecniche di quantificazione del rischio e diventare esperto nella previsione di perdite monetarie. Ciò comporta spesso la collaborazione con le business unit per determinare l'impatto finanziario di potenziali eventi come il passaggio offline dei processi di business, il furto di progettazioni di prodotti, l'esposizione di dati soggetti a normative e così via. La quantificazione dei rischi per la sicurezza informatica in termini finanziari è un campo in via di sviluppo. I professionisti della sicurezza hanno spesso la preoccupazione che la quantificazione dei rischi possa condurre a una paralisi dell'analisi e a lunghe discussioni aventi per oggetto i numeri. Tenere presente che, come per le altre valutazioni di business, ad esempio le previsioni di vendita, non è possibile fare calcoli precisi. Spesso è sufficiente una stima per ordine di grandezza, ad esempio per valutare se si tratta di un rischio da 1, 10 o 100 milioni di dollari. Per i dirigenti, una valutazione finanziaria ragionevole, anche se non esatta, fornirà informazioni più utili di una descrizione tecnica del rischio. Una delle insidie insite nelle valutazioni finanziarie è una stima in eccesso della probabilità o della frequenza degli eventi. Invece è importante mirare soprattutto a determinare l'impatto finanziario. Se un evento si verifica nella vostra organizzazione, non ha importanza che si tratti di un evento che si può verificare solo in rare occasioni. Utilizzare al meglio gli strumenti di quantificazione dei rischi I team della sicurezza possono ottenere un quadro della portata e della probabilità delle possibili perdite monetarie dai report sui principali incident di information security in aziende simili. I dati in possesso della maggior parte delle organizzazioni sono relativi a precedenti incident subiti da esse. Alcune utilizzano anche strumenti come la terminologia standard FAIR (Factor Analysis of Information Risk) e il framework per eseguire l'analisi dei rischi. Molte organizzazioni del settore dei servizi finanziari utilizzano i dati dell'associazione ORX (Operational Risk exchange) che fornisce dati anonimi su eventi effettivi di rischio operativo e la scala di perdita associata. Le valutazioni di business dei rischi per la sicurezza informatica consentiranno alle organizzazioni di soppesare meglio i rischi e i vantaggi, di determinare i livelli appropriati di investimenti nella riduzione del rischio e di dare la priorità ai rischi per la sicurezza informatica rispetto ad altri tipi di rischi per l'enterprise. Le valutazioni di business faciliteranno inoltre le discussioni sulla "rilevanza" dei rischi per la sicurezza informatica o sull'"adeguatezza" dei programmi di gestione dei rischi, come richiesto da normative quali le linee guida della SEC o MiFID. martijn dekker Senior Vice President, Chief Information Security Officer, ABN Amro "I professionisti della sicurezza stanno ricevendo pressioni per trovare il modo di quantificare i rischi per la sicurezza. Poiché le organizzazioni spendono di più per la sicurezza e dunque si chiedono 'Perché stiamo spendendo così tanto per questo? Quanto sono grandi i rischi?', sta diventando sempre più importante per noi giustificare tale spesa." 3. Stabilire un processo di valutazione del rischio incentrato sul business In molte organizzazioni, ancora oggi le valutazioni del rischio per l'information security vengono eseguite tramite fogli di calcolo. In genere, all'inizio di un progetto, l'owner del progetto completa un modulo seguendo un template di foglio di calcolo e lo invia tramite al team della sicurezza. Il team della sicurezza utilizza le informazioni fornite nel modulo e nelle discussioni di follow-up per valutare il rischio e consigliare una strategia di riduzione del rischio. Con questo metodo, il personale delle business unit ha poche possibilità di gestire e rivedere regolarmente un quadro aggiornato dei rischi che corrono. Diventa inoltre difficile per il team della sicurezza avere una visione completa di tutti i rischi nell'intera enterprise. 6 Security for Business Innovation Council Report RSA, The Security Division of EMC

9 suggerimenti Automatizzare il processo Il passaggio a strumenti più automatizzati può semplificare di molto le procedure. L'automazione può velocizzare il processo decisionale e consentire alle business unit di essere responsabili della gestione dei rischi per le informazioni. Molte organizzazioni stanno automatizzando il processo di valutazione del rischio mediante strumenti GRC (Governance, Risk, and Compliance). Le business unit e il team della sicurezza possono tenere traccia dei rischi mentre vengono identificati, valutati e accettati o risolti tramite il sistema GRC. Un processo più automatizzato e misurabile si integra meglio in una prospettiva generale di gestione dei rischi di livello enterprise e allinea meglio l'organizzazione di sicurezza all'azienda. L'esempio seguente illustra un processo di valutazione del rischio basato su un approccio relativamente nuovo che incorpora un service provider in outsourcing e integra il servizio con il sistema GRC dell'enterprise. Utilizzando un service provider per le valutazioni ordinarie e ripetitive, il processo riduce il carico per le business unit e il team della sicurezza. In questo approccio, alle business unit che iniziano nuovi progetti viene richiesto di acquistare una valutazione del rischio dal service provider designato del team della sicurezza e di mettere in bilancio le valutazioni di follow-up. Il service provider esegue le valutazioni e inserisce i finding direttamente nel sistema GRC. Al termine di una valutazione, il team della sicurezza e la business unit hanno accesso immediato ai risultati, che vengono implementati nel quadro generale dei rischi per le informazioni. Per i progetti più di routine, il responsabile rischi all'interno delle business unit coordina la risoluzione, assicurandosi che abbiano piani attuabili per affrontare i rischi identificati in base agli standard del team della sicurezza ed entro un periodo specificato. Il responsabile rischi presenta quindi al team della sicurezza un report sullo stato attuale. Per i progetti che vanno oltre un limite di soglia di rischio specificato, il team della sicurezza viene convocato per un'ulteriore Tradizionale All'avanguardia analisi e per collaborare con il business allo sviluppo di piani di risoluzione e accettazione dei rischi più personalizzati. Un ulteriore vantaggio dell'utilizzo della valutazione del rischio come servizio è che può essere facilmente calcolata in base a un modello di costo delle merci vendute, utilizzando il budget della business unit anziché le risorse del team della sicurezza. Introdurre flessibilità nell'accettazione dei rischi Le organizzazioni devono spesso trovare un compromesso tra la necessità di gestire i rischi e quella di immettere rapidamente nuovi prodotti e servizi sul mercato. Per consentire al business di sfruttare le opportunità urgenti, il team della sicurezza deve consentire alle business unit di accettare per un breve periodo di tempo un livello di rischio più alto del normale. In questo caso, il comitato di gestione dei rischi dell'organizzazione (ad esempio, CISO, General Counsel, Chief Procurement Officer e altri) fornirà all'iniziativa una formale esenzione dai rischi per un periodo, ad esempio, di 6-18 mesi, dopo il quale i rischi verranno riesaminati. Questo tipo di modello di risoluzione dei rischi basato sul successo aumenta i controlli di sicurezza proporzionalmente al successo del prodotto o servizio. Ad esempio, potrebbe essere consigliabile per il business accettare rischi più elevati per un numero inizialmente piccolo di clienti, sapendo che il prodotto o il servizio, una volta raggiunto un numero significativo di clienti, avrà un flusso di entrate tale da giustificare i miglioramenti della sicurezza. I rischi residui (diversi dai rischi accettati) verranno quantificati e gestiti. " Un aspetto chiave della gestione dei rischi è disporre di un processo per assicurarsi che per ogni iniziativa nell'organizzazione venga eseguita una valutazione del rischio " nella fase iniziale del ciclo di vita. Vishal Salvi Information Security Officer e Senior Vice President, HDFC Bank Limited Approccio tradizionale e all'avanguardia ai processi di gestione dei rischi Metodi ad hoc Descrizioni tecniche del rischio Uguale trattamento di tutti i rischi Sicurezza considerata responsabile della gestione dei rischi Uniformità del processo di accettazione dei rischi Revisione del rischio negli archivi Processi formali e coerenti integrati nei processi di business Rischio quantificato in perdite in importi monetari con percentuale di probabilità Sistema di assegnazione delle priorità che imposta i limiti di soglia per i rischi prioritari Responsabilità condivisa per la gestione dei rischi: alle business unit spettano le decisioni relative a rischi/vantaggi ed è in atto un processo per considerarle responsabili della gestione dei rispettivi rischi Modello flessibile di accettazione dei rischi in base al quale per determinate opportunità di business vengono accettati rischi più elevati a breve termine per ridurre i tempi del Time-To-Market Visione olistica del rischio basata sull'automazione RSA, The Security Division of EMC Security for Business Innovation Council Report 7

10 suggerimenti la regola 80/20 4. Impostare un percorso per accertare l'efficacia dei controlli sulla base di prove Le organizzazioni oggi devono assicurarsi che in ogni momento i controlli di sicurezza soddisfino gli standard, proteggano dalle minacce in tempo reale, offrano valore aggiunto per l'investimento e consentano l'agilità del business. Il modo più valido per raggiungere questo obiettivo è di accertare con delle prove il corretto funzionamento dei controlli. È quindi necessario raccogliere continuamente dati pertinenti per testare l'efficacia dei controlli. Anche se la configurazione richiede tempo e un elevato livello di maturità nei processi di sicurezza e IT, l'accertamento dell'efficacia dei controlli basato su prove sta diventando una competenza necessaria per i team della sicurezza. Si otterrà maggiore trasparenza, L'accertamento dell'efficacia dei controlli basato su prove sta diventando una competenza necessaria per i team della sicurezza. i controlli difettosi o gli errori di controllo verranno identificati facilmente e tempestivamente e, apportando continuamente le modifiche necessarie, sarà possibile risolvere i problemi e ottimizzare la strategia di protezione. Grazie al flusso di prove, sarà anche considerevolmente più semplice per le organizzazioni dimostrare la conformità. Gli audit saranno più efficienti e richiederanno meno interruzioni. Qualità, non quantità Le aziende dei settori altamente regolati potrebbero in ultima analisi aver bisogno di documentare, rivedere e raccogliere prove su tutti i controlli di sicurezza. Per le altre aziende, tuttavia, è spesso consigliabile dare la priorità a un piccolo subset di controlli di sicurezza: i controlli più importanti che proteggono solo i processi di business più critici. Per molte organizzazioni, viene applicata la regola 80/20: Il 20% dei controlli garantisce la gran parte della sicurezza. È opportuno identificarli quanto prima e concentrarsi sulla relativa documentazione, revisione e raccolta di prove. Non dare importanza alla quantità quando si tratta di accertare l'efficacia dei controlli in base a prove: ciò che importa non è il numero dei controlli, ma ottenere visibilità sui controlli a cui l'organizzazione si affida maggiormente. Processo di audit normale In un normale processo di audit, gli auditor fanno lasciare al personale l'abituale lavoro per chiedere una prova di conformità. Processo di audit con monitoraggio dei controlli continuo Con il monitoraggio continuo dei controlli, un sistema acquisisce i log che attestano l'efficacia dei controlli. Idealmente, gli auditor possono interrogare il sistema o visualizzare i report senza interrompere le normali attività. Documentare i controlli Il primo passo per implementare l'accertamento dell'efficacia dei controlli basato su prove consiste nel documentare i controlli di sicurezza dell'organizzazione come set di istruzioni verificabili o misurabili. Dare la precedenza ai controlli più importanti che proteggono i processi di business critici (vedi barra laterale). Un semplice esempio di istruzione di controllo è una descrizione dell'uso delle password, inclusi i requisiti di lunghezza, complessità e aggiornamento. Per un controllo di protezione dei dati, la descrizione potrebbe includere la modalità di applicazione di tag, crittografia e watermark ai dati e gli strumenti richiesti. Il processo di documentazione può richiedere spesso il refactoring di lunghi documenti in un set di istruzioni distinte. Eseguire una revisione dei controlli La documentazione dei controlli offre l'opportunità per eseguire anche una revisione completa di tutti i controlli. Porre domande mirate, ad esempio: ogni singolo controllo è ancora necessario? È al posto giusto? È ridondante? È obsoleto? Ha operato in modo inefficiente? Crea un carico non necessario per i processi di business? Complica l'esperienza utente? È efficace considerate le minacce attuali? Inoltre, quanto costa il controllo? È necessario gestire i controlli dalle prestazioni insufficienti a un costo minore o pianificarli per la dismissione e/o la sostituzione. 8 Security for Business Innovation Council Report RSA, The Security Division of EMC

11 suggerimenti Raccogliere le prove Il passaggio successivo consiste nel determinare da quale prova sarà sostenuto ogni controllo (per gli esempi, vedere il grafico sotto) e nel configurare le procedure per raccogliere e segnalare sistematicamente questa prova. Il team della sicurezza deve chiedersi quale sia la funzionalità a breve e a lungo termine per poter dimostrare questa prova. Con il tempo, è possibile automatizzare altri processi oltre alla raccolta e alla generazione di report, in modo che le organizzazioni possano scoprire i problemi molto prima che con i normali controlli manuali. Collegare e combinare i risultati raccolti tramite le attività di gestione delle vulnerabilità e delle minacce è cruciale per identificare i difetti nei controlli in fase iniziale. Tipo di controllo Password Esempi di prove per tipi diversi di controlli Sistema di inserimento nel data center Policy di utilizzo accettabile dei dispositivi mobili Origine della prova Log di applicazioni che mostrano che le password sono state aggiornate Log del sistema di autorizzazione relativi agli ingressi consentiti o rifiutati Record dei dispositivi persi o rubati che mostrano se i dispositivi mancanti vengono segnalati entro periodi di tempo specificati I team della sicurezza devono impegnarsi per incrementare il monitoraggio automatizzato dei controlli ovunque sia possibile, prevedendo l'invio dei risultati a un repository centrale (ad esempio, un sistema GRC). È inoltre necessario archiviare centralmente le prove manuali (all'interno del sistema GRC). Grazie allo storage centralizzato dei risultati della valutazione, gli audit risulteranno più semplici e potranno essere eseguiti indipendentemente dall'owner del processo e/o del controllo. Un obiettivo più a lungo termine per molte organizzazioni è il monitoraggio continuo dei controlli che consentirà di generare un report visuale sui controlli funzionanti e un alert in tempo reale per quelli non funzionanti. Il monitoraggio continuo dei controlli comporta in genere l'uso di tecnologie per l'aggregazione dei log, il sistema GRC e/o l'analisi dei dati e il data warehousing. Molte organizzazioni stanno sviluppando strategie omnicomprensive per la gestione dei dati della sicurezza, in modo da gestire la raccolta e l'utilizzo dei dati per più scopi, ad esempio l'accertamento dell'efficacia dei controlli, la gestione dei rischi e il rilevamento delle minacce. Migliorare le valutazioni di terze parti L'accertamento dell'efficacia dei controlli basato su prove può essere molto utile per migliorare le valutazioni di terze parti. I metodi tradizionali, basati su questionari, visite a siti e rivalutazione annuale, sono complessi e non sono in grado di generare informazioni tempestive e pratiche. Se i clienti e i service provider dispongono di funzionalità per l'accertamento dell'efficacia dei controlli basato su prove, sarà più semplice condividere le valutazioni; i clienti possono stabilire requisiti standardizzati per le attestazioni dei controlli e i service provider possono fornire prove standardizzate. Le valutazioni standardizzate dei service provider potranno essere quindi utilizzate da più clienti. L'approccio basato su prove consente inoltre valutazioni di terze parti sempre più automatizzate. Ad esempio, due organizzazioni leader del settore dei servizi finanziari, una banca e un service provider aziendale, stanno collaborando per soddisfare un set di requisiti misurabili per i controlli di sicurezza. Il service provider fornirà alla banca la prova continua che determinati controlli sono efficaci grazie all'accesso a un sistema GRC. Il sistema GRC si troverà all'estremità della rete del service provider e, in ultima analisi, verrà utilizzato da più clienti per ottenere visibilità su alcuni controlli chiave. "L'accertamento dei controlli basato su prove offre un quadro completo dell'efficacia dei controlli nel proprio ambiente. Ma, prima di accettare una valutazione condivisa, un'attestazione di terze parti, vorrei sapere quale sia la prova che i controlli su cui altri si sono basati funzionano davvero continuamente." roland cloutier Vice President, Chief Security Officer, Automatic Data Processing, Inc. RSA, The Security Division of EMC Security for Business Innovation Council Report 9

12 suggerimenti 5. Sviluppare metodi di data collection informati L'analisi dei dati è diventata una funzionalità essenziale per il rilevamento delle minacce informatiche. Una volta che si hanno a disposizione un datastore e un engine di analisi e dopo aver preparato un'analisi dei dati, per attuare una funzionalità di analisi dei dati, è necessario configurare i processi per determinare quali dati raccogliere e dove trovarli. Creare un set di use case Un passaggio fondamentale consiste nell'esaminare i tipi di domande a cui può rispondere l'analisi dei dati. Un esempio di domanda è: "Come capire se l'attività di System Administrator in questo particolare sistema è legittima o è quella di un utente non autorizzato?" La risposta potrebbe essere: "Se si identificano schemi insoliti di attività, ad esempio più set di credenziali utilizzati in rapida successione in un solo computer o un amministratore che si connette a un sistema non associato a nessun ordine di lavoro". Tenendo ben presenti le domande e le risposte chiave relative alla protezione dei processi di business critici, il team della sicurezza può iniziare a identificare le origini di dati rilevanti. Il team della sicurezza deve creare un set di use case dell'analisi dei dati. Per ogni use case, si completerà in genere un processo iterativo con più cicli di raccolta dati, sviluppo di algoritmi, test e perfezionamento. Ad esempio, il team potrebbe essere interessato a rispondere alla domanda "Come possiamo contrassegnare le possibili violazioni in rapida successione" (casi in cui un utente sembra attivo in due sedi fisicamente distanti in un breve periodo di tempo)? Il team potrebbe partire da dati come: sede geografica delle strisciate del badge negli edifici, indirizzi IP, connessioni dei dispositivi mobili e connessioni VPN statiche; i timestamp in questi log; e itinerari dei viaggi aziendali per indicare dove l'utente dovrebbe trovarsi. L'analista dei dati svilupperà quindi un algoritmo che genererà un punteggio di rischio in base alla velocità calcolata a cui l'utente si sta apparentemente spostando. Dopo aver eseguito l'analisi ed esaminato i risultati, il team comprenderà quali casi potrebbero effettivamente corrispondere a un comportamento normale pur generando punteggi di rischio elevati. Il passaggio successivo consisterà nel perfezionare gli algoritmi, magari con dati aggiuntivi, per ridurre i falsi positivi. Un problema molto comune è che i dati necessari per rispondere alle domande critiche non sono facilmente accessibili. È possibile che il team della sicurezza debba riconfigurare la modalità di logging direttamente dai dispositivi originali. Ad esempio, è possibile che i log proxy debbano includere l'indirizzo IP dall'origine iniziale, ma questi dati potrebbero non essere ancora stati riportati nei log. Gli sforzi per la raccolta dati possono richiedere abili negoziazioni con gli owner di sistema, che potrebbero essere riluttanti a incrementare il logging dal momento che ciò potrebbe avere un impatto negativo sulle prestazioni di sistema. Oltre a esaminare dettagliatamente gli use case specifici, il team della sicurezza deve anche identificare i dati potenzialmente preziosi per la baseline della normale attività nei sistemi critici. Ad esempio, alcuni mesi di cronologia della rete e i modelli di accesso utente da origini quali i log di firewall e i sistemi di autenticazione potrebbero essere utili per avviare la baseline. Andare oltre i log di sicurezza. Applicare dati da diverse origini È inoltre importante includere le origini di dati appropriate. Andare oltre i log di sicurezza. I team della sicurezza devono verificare che cosa sta accadendo nell'ambiente di business e non solo nella tecnologia di sicurezza attorno all'ambiente di business. L'integrazione delle informazioni aziendali, ad esempio i log di processi, transazioni e applicazioni, offrirà un quadro più completo del business da proteggere. I dati dei sensori interni devono essere combinati con i dati delle origini esterne, ad esempio i feed sulle minacce commerciali, governativi o dei vari settori. Se le organizzazioni esaminano solo i dati interni, non vedranno l'impatto potenziale completo delle minacce per l'ambiente, perché in questo modo monitorano solo ciò che è accaduto, non ciò che si potrebbe prevenire. Prendere in considerazione di dedicare una risorsa all'integrazione effettiva dei dati ricavati da diverse origini interne e dall'intelligence esterna. 10 Security for Business Innovation Council Report RSA, The Security Division of EMC

13 suggerimenti Come molte organizzazioni hanno capito, è facile registrarsi ai feed sulle minacce, ma è più difficile intervenire su tali dati. È importante capire come applicare i dati in modo specifico e sviluppare uno schema per integrare i dati esterni con i dati interni per migliorare l'analisi. I dati dai feed sulle minacce commerciali relativi ad attacchi emergenti possono essere applicati testando specifiche aree note di vulnerabilità all'interno dell'ambiente per verificare se le minacce stanno sfruttando questi metodi per estrarre i dati. In questo caso, i dati esterni possono aiutare a individuare un'attività insolita su canali in genere non utilizzati per le comunicazioni in uscita. Sviluppare un piano completo per la data collection Per sviluppare una competenza nell'analisi dei dati, spesso è necessario un piano pluriennale per migliorare l'architettura complessiva della raccolta e modificare le applicazioni in modo da generare log con un volume di dati più elevato. È importante capire il prima possibile quali funzionalità dei dati (ad esempio, acquisizione di pacchetti, dati NetFlow) e di aggregazione dati (ad esempio, gestione dei registri, aggregazione centrale o correlazione di registri) mancano che sarebbero preziose per una funzionalità di analisi dei dati e pianificare un aumento della capacità di storage dei dati. "La sfida più grande dell'analisi dei dati è ottenere risultati significativi. Lo sviluppo di una strategia integrata richiede tempo. Concentratevi sulle informazioni importanti per il business e sviluppate le domande che volete porre o finirete per annegare nei dati." tim mcknight Executive Vice President, Enterprise Information Security & Risk, Fidelity Investments RSA, The Security Division of EMC Security for Business Innovation Council Report 11

14 Conclusione Per vincere le odierne sfide pratiche mentre si traccia la strada del progresso, i principali team della sicurezza stanno apportando importanti modifiche ai processi collaudati. Senza modifiche alle normali procedure non è possibile stare al passo con l'ambiente delle minacce attuali o con le iniziative di business basate sulla tecnologia. In particolare, è essenziale sviluppare una profonda comprensione dei processi di business e stabilire una collaborazione molto più stretta con le business unit. I rischi per la sicurezza informatica sono finalmente un argomento costante nel business e in molte organizzazioni è evidente una propensione maggiore a finanziare programmi in quest'ambito. Anche se il personale delle business unit nutre preoccupazioni per i rischi per la sicurezza informatica, non è in grado di gestirli. In questa fase, è d'obbligo per i professionisti della sicurezza educare le persone ai rischi per la sicurezza informatica. Dopo aver parlato per anni di trasformare l'information security in gestione dei rischi, è tempo di farlo seriamente alzando il livello dei processi di sicurezza e integrandoli nel business. Per la riprogettazione dei processi di sicurezza, l'ottimizzazione sarà un fattore di successo chiave, nonché un impegno costante. I processi di information security devono essere oggetto di una rivalutazione continua per assicurare l'uso effettivo delle risorse e la riduzione effettiva del rischio per il business. Mentre i team della sicurezza pensano a come rinnovare i processi, devono ovviamente anche impegnarsi per stare al passo con i cambiamenti della tecnologia. Le nuove tecnologie, in particolare quelle per l'analisi dei Big Data, stanno determinando alcuni dei cambiamenti chiave dei processi illustrati in questo report. Il prossimo e ultimo report di questa serie sulla trasformazione dell'information security tratterà di alcune delle più importanti tecnologie di sicurezza emergenti e in evoluzione e fornirà un'ulteriore visione pratica della gestione delle forze che stanno dando nuova forma all'information security. Informazioni sull'iniziativa Security for Business Innovation Council L'innovazione del business è ormai al primo posto nell'agenda della maggior parte delle enterprise, in quanto i dirigenti cercano di sfruttare la forza della globalizzazione e della tecnologia per creare nuovi livelli di valore ed efficienza. Tuttavia manca ancora qualcosa. Nonostante l'innovazione del business si basi sui sistemi informativi e IT, in genere la protezione di tali sistemi non è considerata strategica, anche se le enterprise devono fare fronte a crescenti pressioni normative e minacce. Infatti, l'information security è spesso messa in secondo piano, attuata alla fine di un progetto o addirittura nemmeno presa in considerazione. Ma senza la giusta strategia di sicurezza, l'innovazione del business potrebbe facilmente essere trascurata o potrebbe far correre gravi rischi all'organizzazione. In RSA, riteniamo che i team della sicurezza, operando come veri partner nel processo di innovazione del business, possano contribuire a far raggiungere alle organizzazioni risultati senza precedenti. È il momento giusto per un nuovo approccio: la sicurezza da specializzazione tecnica deve diventare una strategia aziendale. Anche se la maggior parte dei team della sicurezza ha riconosciuto la necessità di allineare più strettamente la sicurezza con il business, molti cercano ancora di soddisfare questa necessità con piani di azione concreti. Sanno che qual è il loro obiettivo, ma non sanno come raggiungerlo. Per questo RSA sta collaborando con alcuni dei principali leader mondiali del settore della sicurezza per guidare il dialogo nel settore e identificare la strada da percorrere. RSA ha riunito un gruppo di responsabili della sicurezza altamente competenti di enterprise del gruppo Global 1000 di svariati settori, che è stato chiamato "Security for Business Innovation Council". Stiamo conducendo una serie di interviste approfondite con il Council, pubblicando le idee emerse in una serie di report e sponsorizzando una ricerca indipendente per esaminare a fondo questi argomenti. All'indirizzo è possibile visualizzare i report o accedere alla ricerca. Insieme possiamo accelerare questa trasformazione cruciale del settore. 12 Security for Business Innovation Council Report RSA, The Security Division of EMC

15 Autori del report Security for Business Innovation Council Marene N. Allison Worldwide Vice President of Information Security, Johnson & Johnson anish bhimani Cissp Chief Information Risk Officer, JPMorgan Chase WilliAM BONI CISM, CPP, CISA Corporate Information Security Officer (CISO), VP, Enterprise Information Security, T-Mobile USA roland Cloutier Vice President, Chief Security Officer, Automatic Data Processing, Inc. dr. martijn dekker Senior Vice President, Chief Information Security Officer, ABN Amro jerry R. Geisler iii GCFA, GCFE, GCIH, Office of the Chief Information Security Officer, Walmart Stores, Inc. renee guttmann Chief Information Security Officer, The Coca-Cola Company malcolm harkins Vice President, Chief Security and Privacy Officer, Intel kenneth haertling Vice President e Chief Security Officer, TELUS petri kuivala Chief Information Security Officer, Nokia dave martin CISSP Vice President e Chief Security Officer, EMC Corporation tim mcknight CISSP Executive Vice President, Enterprise Information Security and Risk, Fidelity Investments felix mohan Senior Vice President e Global Chief Information Security Officer, Airtel robert rodger Group Head of Infrastructure Security, HSBC Holdings, plc. ralph salomon CRISC Vice President IT Security and Risk Office, SAP AG vishal salvi CISM Chief Information Security Officer e Senior Vice President, HDFC Bank Limited simon Strickland Global Head of Security, AstraZeneca leanne toliver Ufficio del Chief Information Security Officer, ebay FedEx denise d. wood, Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer Per la biografia completa dei membri SBIC, visitare il sito italy.emc.com RSA, The Security Division of EMC Security for Business Innovation Council Report 13

16 EMC, EMC 2, il logo EMC, RSA e il logo RSA sono marchi o marchi registrati di EMC Corporation negli Stati Uniti e in altri paesi. Tutti gli altri prodotti e/o servizi a cui si fa riferimento appartengono ai rispettivi proprietari EMC Corporation. Tutti i diritti riservati H12622 CISO RPT Security for Business Innovation Council Report RSA, The Security Division of EMC