SECURITY CONVERGENCE: FRA MITO E REALTÀ

Transcript

1 BANCASICURA 2011 Milano, 19 e 20 ottobre 2011 SECURITY CONVERGENCE: FRA MITO E REALTÀ ALESSANDRO LEGA, CPP Chairman of ASIS International European Convergence Subcommittee Qualche volta osserviamo la nascita di alcuni nuovi termini che progressivamente si impongono nel linguaggio quotidiano usato in ambito business informatico. Uno di questi è stato Security Convergence che oggi è un concetto in forma di binomio che viene spesso usato in ambito Corporate Security. Vale la pena spendere qualche parola per esporre l evoluzione che ha caratterizzato questo termine specifico. L origine va ricercata nella progressiva evoluzione che è stata introdotta dalla disciplina Enterprise Security Risk Management (ESRM). Il razionale che c è dietro ESRM è che qualsiasi sia l origine dei security risk, tutti ricadono nella responsabilità del Security department. E un aspetto essenziale se comparato con le tradizionali organizzazioni della security adottate dalle aziende dove spesso le responsabilità sono divise in due o più gruppi: Sicurezza Fisica da una parte e IT Security dall altra. Per molto tempo le due discipline sono state considerate completamente separate o marginalmente collegate. Queste considerazioni sono rilevanti per comprendere cosa effettivamente sia Security Convergence. Deve essere vista come un evoluzione storica, muovendo dal punto di vista di chi agisce per mitigare e gestire i rischi verso il punto di vista della Convergence, più complesso e moderno: i rischi di security convergono per diversi motivi (la tecnologia, gli ambienti operativi, le necessità del business, etc) per cui sarebbe inopportuno approcciare i rischi di security con modelli organizzativi basati su compartimenti stagni. Ciò è importante per comprendere perché alcune aziende orientate all innovazione stiano lentamente muovendo da un approccio tradizionale e frammentato andando verso un approccio organizzativo sempre più integrato. Questo movimento risponde alle necessità organizzative così come a quella di recuperare efficienza. Il punto importante diventa: se i rischi di security stanno convergendo perché continuare ad affrontarli con organizzazioni frammentate? E necessario chiarire immediatamente un punto importante: i rischi di security nelle aziende sono evoluti durante l ultima decade; inoltre si sono modificati, riducendo il gap fra i tradizionali rischi fisici e quelli più evoluti dei rischi dell Information Technology. Questo non vuol dire che un abuso di sicurezza fisica sia esattamente uguale ad un IT Security breach. Entrambi mantengono le loro peculiari differenze. Al contrario, non c è dubbio che indipendentemente dall origine che possono avere i rischi, tutti hanno conseguenze negative nei confronti del business aziendale. Questo è il razionale che supporta l introduzione di un modello di Convergence che ha inspirato tre associazioni mondiali a creare nel la Alliance Enterprise Security Risk Management (AESRM). Le tre associazioni furono ASIS International, ISSA e ISACA. E importante anche sottolineare che le tre associazioni hanno tuttora una mission diversa: ASIS International si concentra principalmente su security risk management, ISSA si occupa principalmente di IT security management, e ISACA è prevalentemente centrata su IT security auditing. Se ci spostiamo da qualsiasi aspetto di discutibile implicazione accademica o associativa e se aderiamo ad un concetto di business, indipendentemente da possibili e preminenti movimenti che potrebbero essere introdotti da professionisti di security o da lobby, l aspetto centrale adottato da Security Convergence risponde a diverse richieste che sono imperative, in particolare in momenti come quello che stiamo attraversando in cui il livello di efficienza richiesto impone di evitare duplicazione di costi e potenziali inefficienze. Se noi prendiamo l evoluzione tecnologica da una parte e i metodi usati dai professionisti per misurare il livello di rischio (Risk Analysis, Business impact Analysis, Gap Analysis, etc) dall altro, si potrebbe concludere che le aree di sovrapposizione che hanno la Sicurezza Fisica e l IT Security sono cresciute in modo notevole negli ultimi anni. Se consideriamo i sistemi CCTV di oggi, per esempio, che usano sempre più spesso soluzioni IP per indirizzare dispositivi di sicurezza (telecamere, sensori, etc) la differenza fra Sicurezza Fisica e IT security è marginale. A. Lega - SECURITY & RISK CONVERGENCE- COS'È E COME SI STA DIFFONDENDO 1.

2 BANCASICURA 2011 Milano, 19 e 20 ottobre 2011 Ancora, i criteri di accesso fisico ad un edificio non è completamente diverso dall accesso ad una rete informatica o ad un sistema informatico aziendale. Inoltre, se ci spostiamo dalla tecnologia ai comportamenti criminali potremmo concludere che la distanza fra Sicurezza Fisica e IT security è sempre meno. Il furto di identità è un problema peculiare di ambienti IT. Tuttavia spesso il furto di identità viene usato per commettere crimini di natura fisica. Si Potrebbe concludere che la prima è di complemento alla seconda. Potremmo continuare nell elencare le vicinanze che ci sono fra Sicurezza Fisica e IT security. Si può aggiungere che, anche se la distanza fra le due discipline si riduce, le due entità mantengono le loro peculiarità. Questo aspetto giustifica il perché sia ancora necessario mantenere alcune diversità in termini di specializzazione. Anche se Risk Analysis, Risk Evaluation, Risk Mitigation, Security Management, Crises Management, Disaster Recovery, etc sono termini comuni ai due mondi, non ci sono dubbi che le due specializzazioni richiedono ancora specifiche competenze, strumenti, esperienze e così via. Cosa possiamo certamente affermare è che gli aspetti generali di management in cui ricadono i vari spunti di security sono comuni e ricadono tutti nell ambito dello stesso tipo di responsabilità. Il Logo adottato da PwC per rappresentare il concetto di convergenza si spiega da solo: Rende l idea del movimento attraverso il quale i rischi convergono; per riprodurre un cerchio perfetto, che rappresenta la figura geografica piatta con la massima superficie, a pari perimetro. In altre parole, il massimo risultato con il minimo sforzo, giusto per richiamare un concetto ricorrente in ambito di risk management. L argomento è prevedibilmente destinato a divenire di interesse e ben condiviso in ambito Security Management. I risultati positivi che sono stati raggiunti laddove un modello di Security Convergence sia stato adottato sono una prova tangibile che dietro questo concetto di Convergence ci sia una soluzione Win-Win.. Ci sono diversi modi per raggiungere il risultato. Un azienda può decidere di cambiare all improvviso la propria organizzazione di security oppure può decidere di procedere ad un lento cambiamento. Qualsiasi sia la decisione sarà necessario un cambiamento culturale: l attenzione si dovrà spostare da quale soluzione adottare a quel è l evoluzione del rischio mettendo al centro dell attenzione i rischi che l azienda effettivamente stia correndo Questo modello, per essere divulgato, richiede solo che venga conosciuto ed apprezzato dal senior management per la sua maturità che oggi è in grado di offrire in un contesto di business più consapevole, particolarmente interessato a ridurre inefficienze ed aumentare la produttività. Con l obiettivo di accelerare questo processo, allo scopo di creare una migliore consapevolezza delle potenzialità che esistono dietro un modello di Security Convergence, ASIS International Group 15 (che opera in Europa) ha sviluppato delle specifiche strategie che sono fondamentalmente basate su tre punti principali: Security Convergence può essere definito come un insieme di processi che mettono insieme tutti quelli che sono dedicati ai vari aspetti di security usati per proteggere tutti gli asset a- ziendali. In diverse organizzazioni la Sicurezza Fisica ed IT security vengono gestiti in ambito separato. Il riconoscimento delle interdipendenze di queste due funzioni di business e dei loro processi richiede lo sviluppo di un approccio olistico del security management. Un accesso alle informazioni aziendali sicuro e autorizzato è di particolare interesse per entrambe le funzioni e la loro cooperazione è importante per garantirlo. Questo è stato il punto di partenza per creare all interno di ASIS International in Europa, nella seconda parte del 2010, un rappresentante Europeo dedicato alla Security Convergence con l obiettivo principale di riattivare in Europa l alleanza fra ASIS International, ISSA ed ISACA. Dopo alcuni mesi di attività, concentrando l attenzione sullo stato dell arte della Security Convergence in Europa, l European Advisor Council (EAC) ha deciso di investire nell impegno di rilanciare la Security Convergence in Europa. La decisione è stata di mettere in piedi un sottocomitato, mettendo insieme alcune delle maggiori e- sperienze in quest area. La proposta fu fatta nel novembre 2010 con l obiettivo di avere il sottocomita- A. Lega - SECURITY & RISK CONVERGENCE- COS'È E COME SI STA DIFFONDENDO 2.

3 BANCASICURA 2011 Milano, 19 e 20 ottobre 2011 to completamente operativo per l inzio del La selezione dei membri ha richiesto un po di tempo per individuare dei volontari capaci e disponibili a far parte del sottocomitato e dedicare parte del loro tempo. La leadership è stata affidata ad Alessandro Lega, certificato CPP che opera in ambito ASIS International chapter 211 (Italy) socio ASIS International dal 1997, che era il Security Convergence representative nel Consapevole del fatto che la Security Convergence in Europa si era sviluppata principalmente in Inghilterra, la decisione fu di analizzare quale fosse stato il modello usato per stabilire delle solide relazioni fra le tre associazioni che avevano fondato AESRM. Alcuni incontri con i protagonisti di ASIS International UK chapter, ISSA UK chapter e ISACA UK chapter hanno permesso di risparmiare tempo evitando di reinventare la ruota nel mettere in piedi un progetto per l intera Europa. Il sottocomitato Security Convergence di ASIS International in Europa è stato ufficialmente costituito il 1 febbraio 2011 con il coinvolgimento, al momento, di dodici membri appartenenti a sette paesi Europei. Tutti i membri del sottocomitato sono soci di ASIS International ed hanno una pluriennale esperienza in ambito Security Convergence. Uno dei primi aspetti di cui il sottocomitato Security Convergence Subcommittee si sta occupando è la individuazione di un centro Europeo di formazione destinato a diventare punto di eccellenza per la materia. Al momento ci sono diverse alternative. Con il contributo dei membri del sottocomitatoverrà individuato una località in Europa in grado di diventare un vero Centro di eccellenza per la formazione dei manager su Security Convergence. Ci sono altri obbiettivi importanti per il Fra tutti il principale sarà quello di mantenere i rapporti con le altre associazioni ed altri gruppi di lavoro impegnati sullo stesso fronte. Verrà fatto qualsiasi sforzo per condividere esperienze e best practices, anche nel campo degli standard, per esempio. Per concludere, dopo alcuni anni di limitata attenzione ad aspetti di Security Convergence, con qualche aspetto di rilievo raggiunto principalmente in Inghilterra, ASIS International in Europa intende mettere il turbo per ridurre il gap. Questa è la realtà sulla quale il sottocomitato Security Convergence metterà attenzione dopo qualche ritardo osservabile nell Europa continentale. A. Lega - SECURITY & RISK CONVERGENCE- COS'È E COME SI STA DIFFONDENDO 3.

4 Security & Risk Convergence: cos è e come si sta diffondendo Chairman of the ASIS International Security Convergence Subcommittee

5 Contenuto della presentazione Agenda Definizione di Security Convergence Evoluzione in ambito internazionale Fattori trainanti in ambienti complessi Cosa è e cosa non è la Security Convergence Le competenze richieste Uno studio su aziende del settore Gas-Oil-Energy Risultati preliminari del recente survey ASIS International Conclusioni Domande?

6 Una possibile definizione di Security Convergence Con Security Convergence si intende un insieme di processi che avvicinano le diverse sfere della sicurezza rivolte alla protezione di persone, informazioni, beni sia materiali che immateriali Le organizzazioni sono sempre più vulnerabili a minacce di tipo multiforme nei confronti di persone, informazioni, beni materiali ed immateriali La Convergenza, quindi, prima ancora di essere una modalità innovativa di fare Security, è una caratteristica insita nei rischi, nelle minacce e nel modus operandi sia di coloro che in modo intenzionale intendano condurre una aggressione sia nei vari eventi dolosi o naturali capaci di arrecare un danno

7 Cosa ne deriva? Diventa importante saper assegnare a tutti i rischi la loro giusta priorità, per poter rispondere agli attacchi in modo tempestivo ed efficace, indipendentemente dal fatto che le minacce siano di tipo fisico o di tipo informatico La consapevolezza che i vari soggetti aggressori siano capaci di sfruttare la tecnologia a proprio vantaggio (a scapito di altri) sta portando i leader dell'information Security a unire le proprie forze con i professionisti della sicurezza più tradizionale per sviluppare le opportune strategie in grado di contrastare questi attacchi: ecco un esempio concreto di ciò che intendiamo per convergenza

8 Cosa è accaduto nella realtà internazionale Una disciplina ormai matura, in particolare in ambienti complessi, che si è affermata come Enterprise Risk Management (ERM) ha generato una sottospecie conosciuta come Enterprise Security Risk Management (ESRM) a cui han cominciato a far riferimento sia i professionisti con competenze Physical Security, sia coloro che hanno competenze di IT Security Nel 2004 è stata costituita in Nord America un alleanza, Alliance Enterprise Security Risk Management (AESRM), fra tre ben affermate associazioni internazionali: ASIS International (focalizzata sugli aspetti di Security Management), ISSA (focalizzata su aspetti di IT Security) e ISACA (focalizzata su aspetti di IT Security Auditing)

9 Quali sono i drivers a sostegno della Security Convergence Il trend Tecnologico: dispositivi IP sempre più diffusi, il cloud computing, i social media, la virtualizzazione del mondo IT, la trasformazione del mondo IT (proliferazione dei dispositivi in rete), l evoluzione industriale (smart grid, le nanotecnologie, i dispositivi mission critical in rete), l incremento della complessità (sistemi SCADA) Il trend Security: il crimine organizzato, la persistenza di minacce evolute, gli attacchi zero-day, i crimini informatici, le minacce dall interno delle organizzazioni, la necessità di proteggere le infrastrutture critiche, la progressiva scarsità di risorse disponibili per lo staff Security, la costante concorrenza

10 Cosa non è e cos è la Security Convergence Non é Non è una nuova piattaforma tecnologica Non è una integrazione di prodotti tecnologici Non è una nuova disciplina della Security Non è una nuova moda che viene da chi sa dove Invece é Un modo olistico di pianificare e gestire la Security Una metodologia con approccio pluridisciplinare Una modalità innovativa che richiede un manager innovativo Un processo ancor più trasversale che richiede un team in grado di esprimere tutte le competenze richieste

11 Convergenza delle minacce/rischi

12 Quali sono le competenze principali richieste al CSO Da Security Manager tradizionale a team leader Da lavorare nel buio ad un executive con alta visibilità Da funzione che dice solo no a quella di facilitatore Da manager guidato da regole a leader guidato dalle necessità del business Da esecutore tradizionale a pianificatore capace di impostare obiettivi stimolanti Avere conoscenze/attitudini multiculturali Conoscere molto bene le necessità dell azienda Saper comunicare verso l alto, verso il basso e con i pari Essere in grado di stabilire priorità in base alle esigenze di business

13 Survey su alcune aziende del settore Gas Oil Energy Le prime cento aziende del mondo occidentale che operano nel settore Gas Oil Energy sono state intervistate da The Security Faculty UK La scelta è caduta su aziende del settore energetico perché sono state le prime ad adottare delle soluzioni Converged Le interviste sono state condotte da accademici che hanno personalmente contattato i vertici aziendali ed i CSO Pur mantenendo l anonimato lo studio ha permesso di distinguere le aggregazioni geografiche Hanno partecipato anche due aziende Italiane

14 A chi riporta il CSO? Fonte: The Security Faculty UK

15 Le aziende hanno un team Security Converged? Fonte: The Security Faculty UK

16 La Convergence di alcune funzioni Fonte: The Security Faculty UK

17 La Convergence di specifiche attività Technology Operations Resource Plan Reporting Strategy Fonte: The Security Faculty UK

18 Perché Convergence? Quali sono i drivers? Risk & Capability Fonte: The Security Faculty UK

19 Security Convergence. Quali sono le difficoltà? 1 Difficult 5 Easy Fonte: The Security Faculty UK

20 ASIS European Security Convergence Survey Il 30 settembre si è conclusa una survey organizzata da ASIS in Europa a cui hanno risposto 216 realtà fra Physical e IT security (CSO, CISO,CRO, CIO, etc) Il 39% di coloro che hanno risposto affermano che le due funzioni collaborano fra di loro in modo informale Il 16% di coloro che hanno risposto affermano che la loro azienda ha adottato una vera soluzione Converged Nel 21% dei casi le due funzioni fanno capo ad uno stesso organo decisionale (Steering Committe o Comitato esecutivo) Nel 24% dei casi le due funzioni sono totalmente separate e non hanno occasioni di lavorare congiuntamente

21 ASIS European Security Convergence Survey Fonte: ASIS International Europe

22 Conclusioni su Security Convergence Il vertice aziendale esprime un parere molto positivo su l adozione di modelli organizzativi di Security integrata Non sempre le competenze sono adeguate per affrontare il cambiamento organizzativo Le aziende che hanno già adottato un modello di Security Convergence confermano di trarne vantaggio e di avere iniziato un processo simile anche in altri settori Le modalità per arrivare ad una organizzazione integrata sono molteplici (dallo Zar della Security ai comitati integrati) E essenziale che per primo sia convinto il vertice aziendale, senza il quale è difficile avviare un processo di integrazione

23 Domande? Milano, 19 e 20 ottobre 2011

24 Grazie per l attenzione, alessandro_lega@tin.it alessandro.lega@asisitaly.org