Security assessment e normative Riccardo Barghini

Transcript

1 Security assessment e normative Riccardo Barghini

2 Agenda Valutazione livello di sicurezza Leggi e Normative attuali Documento di Security Assessment Benefici Aziendali Che cosa propone il gruppo AFBNet Sicurezza e protezione dei dati aziendali

3 Complessità e problematiche di valutazione Una valutazione complessiva delle stato di sicurezza aziendale è complesso. Necessita di strumenti validi di valutazione dei risultati ottenuti I risultati dovranno essere poi aggregati e produrre un report leggibile che restituisca una precisa visione e valutazione dello stato della sicurezza dell infrastruttura attualet

4 Complessità e problematiche di valutazione

5 Leggi e Normative A differenza degli anni passati la tutela dei dati adesso ha normative specifiche e legislazione. Non più Best Practices. La legge italiana prevede la realizzazione di specifici documenti di valutazione della sicurezza IT aziendale che spazia dal trattamento e tutela dei dati, al backup, all accesso e alle possibili metodologie di ripristino. Inoltre, esistono specifiche normative internazionali da rispettare in particolari ambiti. In questo caso di parla di compliance esempio : PCI, HIPAA, SANs CAG, FDCC

6 Leggi e Normative Elemento comune di ogni Compliance e/o Normativa Industriale ( esempio settori farmaceutici ) consiste nella realizzazione di un documento di analisi, riepilogo e valutazione. Documento di valutazione Risk Documento di Valutazione di Risk Assessment

7 Definizione del Valore di Rischi In base a questa visione si può definire un fattore di rischio nell ambito di ogni sezione e sottosezione dell assessment; il fattore di rischio può avere una valutazione qualitativa o quantitativa, tenendo presente che in ogni caso è costituito dalla formula: Rischio = Vulnerabilità X Impatto X Probabilità dove vulnerabilità è un coefficiente che misura quanto il sistema sia sensibile ad un determinato evento, impatto misura le conseguenze sul business del verificarsi di un determinato evento e probabilità è la misura, appunto, della probabilità che un tale evento si verifichi.

8 Risk Assessment Un piano di Risk Assessment passa dalla valutazione di 10 sezioni. La redazione di un documento in normativa ISO che specifica una serie di attività, controlli, fattori di rischio e indicazioni

9 Ambiti di un documento di Risk Assessment Politiche di sicurezza Organizzazione della sicurezza Classificazione e controllo degli Assett Sicurezza del Personale Sicurezza Fisica e Ambientale Gestione delle comunicazioni e delle operazioni Controllo degli accessi Installazione dei sistemi e manutenzione Gestione della Business Continuity Adeguatezza

10 Ambiti di un documento di Risk Assessment Politiche di sicurezza Organizzazione della sicurezza Classificazione e controllo degli Assett Sicurezza del Personale Sicurezza Fisica e Ambientale Gestione delle comunicazioni e delle operazioni Controllo degli accessi Installazione dei sistemi e manutenzione Gestione della Business Continuity Adeguatezza

11 Come viene effettuata l analisi L analisi viene eseguita mediante l utilizzo di Tools specifici alla scansione, cattura e analisi dell intera infrastruttura IT. Come scansione interna con e senza credenziali Come Penetration Test da Internet Interviste specifiche a personale aziendale IT e non Sono utilizzati strumenti specifici come Nessus, LanGuard, Microsoft Security Analyzer.

12 Scanner e Log

13 Scanner e Log

14 Redazione del documento di Risk Assessment Una volta catturati tutti i log sono aggregati per : Secondo le discipline individuate dal documento ISO di Risk Assessment Per tipologia Per valore di rischio Possono essere successivamente realizzati allegati tecnici specifici a tipologie di Compliance ( PCI,SOX, HIPAA

15 Risultati di un documento di Risk Assessment

16 Risultati di un documento di Risk Assessment

17 Benefici Aziendali Che cosa permette di ottenere questo documento. 1. Colmare il Gap di comunicazione IT e Direzione 2. Parlare di problematiche che influenzano il business senza scendere in aspetti solo tecnici. 3. Focalizzarsi su problematiche specifiche che comportano un rischio aziendale. 4. Stabilire obiettivi aziendali a prescindere dagli strumenti IT da utilizzare.

18 Che cosa propone il Gruppo AFBNet Group AFBNet Group propone una serie di soluzioni sia tecniche che consulenziali : Realizzazione del piano di scansione dell infrastruttura IT tramite strumenti sia Commerciali che Open Source. Consulenza tecnica e legale (opzionale tramite consulente esterno ). Utilizzo degli strumenti evoluti per la mitigazione ed eliminazione delle vulnerabilità. Sfruttare al meglio l infrastruttura esistente per renderla più sicura e adeguata alle normative.

19 Grazie dell Attenzione