Security Convergence: Lo stato dell arte dall inizio del secolo

Transcript

1 Security Convergence: Lo stato dell arte dall inizio del secolo Alessandro Lega -CPP, Chairman di ASIS International European Convergence Subcommittee ASIS International Chapter Italy Security Summit 2011 Milano 16 marzo

2 Questa presentazione si concentra su sei diversi aspetti: Una introduzione su ciò che viene definita Security Convergence. Un esposizione di ciò che è stato fatto per adottarla e promuoverla. Alcuni casi di studio nei quali Security Converged policiessono state adottate con successo Uno sguardo sul futuro di un nuovo Security Management Framework per la gestione della security a livello total company (enterprise) Descrizione di ciò che ASIS International ha fatto in Europa. Una anticipazione su ciò che ASIS International intende fare nel prossimo futuro. 2

3 Security Convergence i punti principali Security Convergence può essere definita come un insieme di processi che mettono insieme tutti quelli dedicati ai diversi aspetti di security deputati alla protezionedegliasset inerentiilbusiness. In molticasiphysical security e information security sonogestitidadue organizzazioni separate. Il riconoscimento delle interdependenze di queste funzionidibusiness e deirelativiprocessiha portatoallosviluppodiun approccioolisticodel security management. L accesso autorizzato e sicuro alle informazioni aziendali e la protezione degli asset sono di particolare importanza per entrambi i teams. Quindi la loro cooperazioneè importante. 3

4 La convergenza dei sistemi Nel tempo i sistemi di physical security sono diventati fortemente dipendenti dalle reti informatiche per poter ususfruire dei benefici che derivano da una infrastruttura tecnologica comune. Questa convergenza ha prodotto benefici significativi così come nuove e non sempre comprese opportunitàassociate con ilnuovoscenario di rischiocondiviso. La maggioranza delle soluzioni di physical security operano oggisu unareteaziendalee la Security spessoè gestitada due manager diversi. Le vulnerabilità della rete possono influenzare anche i sistemi di physical security e chi attacca una rete può prenderne il controllo. Questo richiede che siano protetti sia gli accessi fisici di una struttura aziendale sia gli accessi logici delle sue infrastrutture IT. 4

5 Rischi originati da una varietà di cause Incidentidi Security accadonoper un insiemedi modalitàdi attacchi sia fisici che logici e richiedono di essere contrastati usandoglispecialistidisponibilidallevarieareechehannoa chefare con la security: building e personnel security, IT, communications etc. I rischipossonoarrivaredavarietàdi cause: Information risk Physical risk Legal risk Human Resources risk Credit (financial) risk. 5

6 Vulnerabilità dei siystemi L ambiente in cui si trovano gli apparati di comunicazione ed i server di una organizzazione è un esempio che fa capire dove convergono le diverse preoccupazioni di security di chi si occupa di physical e logical security. Il social engineering viene spesso usato per avere accesso alla rete ed ai dati aziendali. I punti deboli di una di queste aree possono essere la causa di interesse di concorrenti sleali,in grado di ottenere illegalmente dati aziendali. I benefici che derivano dall indirizzare i rischi in modo integrato (converged), invece di affrontarli con strutture separate, possono essere enormi. Poichè le aree di sovrapposizione stanno crescendo progressivamento, grazie anche alle tecnologie Internet, spesso è difficile decidere chi dei due team debba occuparsi di specifici problemi security. 6

7 La nascita di Alliance for Enterprise Security Risk Management (AESRM) A fine 2004, alcuni membri di diverse organizzazioni security iniziarono a discutere circa la necessità percepita di creare occasioni formali per indirizzare la crescente importanza del security convergence. Nel febbraio 2005, naque Alliance for Enterprise Security Risk Management (AESRM) formata da tre associazioni internationali di security: ASIS International,ISACA e la Information Systems Security Association (ISSA ). L alleanza ha messo insieme più di global security professionals con esperienze molto ampie in ambito security e con valide competenze per indirizzare la crescente complessità dei rischi security derivanti dal terrorismo, cyber attacks, Internet viruses, furti, frodi, estorsioni ed altre minacce 7

8 L Alleanza: missione e attività dal 2005 al 2010 La crescita significativa della complessità dei rischi di security ha prodotto un aumentata attenzione su Security Convergence, centrando uno degli obiettivi che ricadono nella missione di AESRM. Questo corrisponde ad un aumento dell awareness delle aziende nei confronti dei rischi. Novembre 2005: rilasciato il white paper sottolineando i punti più importanti in risposta alla convergence dei rischi di security. Dal 2006 al 2009 : una serie di ricerche/white papers su vari aspetti di convergence e ERM. Dal 2006 al 2008: Convergence in action: 3 riconoscimenti da parte di AESRM. 8

9 Converged security projects in Inghilterra Nel 2008 nominato il Convergence Lead per ASIS UK a seguito di un articolo pubblicato su ASIS UK newsletter. Dal 2008 ad oggi: nasce l Information Security Awareness Forum. Partecipazione delle principali organizzazioni Information Security in UK. Presenza di forze di polizia ed agenzie di crime reduction. La crescita di awareness sull importanza di Security Convergence è un fattore chiave per il lavoro del forum. Nel ASIS Europe, conferenza di Montreux : panel su Security Convergence coordinato dal rappresentante ISAF. Nel settembre 2009 : ISAF/SASIG Convergence workshop Documento Convergence of security risks: PwC/ISAF ed altri. Attività in corso su ASIS Convergence Standard come parte di Physical Assets Protection Standard Security Convergence Awards per il

10 Alcune delle organizzazioni interessate 10

11 11

12 Documento prodotto da ISAF e PwC su Convergence of security risks e sottolinea una risposta converged in April

13 L approccio SIMPLE è stato sviluppato da un gruppo di lavoro condotto da ISAF e PwC. Mette in evidenza alcuni dei benefici chiave di una strategia Converged. 13

14 Rapporto Aberdeen Group: 2007 La ricerca mostra le top 20% (best in class) delle 140 organizzazioni internazionali sottoposte a survey che hanno adottato una politica di converged security ed hanno visto un significativo miglioramento negli ultimi anni, nelle seguenti aree: Physical security: 83% delle aziende best in class hanno ridotto il numero di incidenti, 40% hanno ridotto il tempo per indirizzare gli incidenti di security ed il 27% hanno ridotto il costo totale. Al contrario la media dell industria (vicina al 50%) ha sperimentato una crescita degli incidenti ed una crescita del costo totale per indirizzarli. Logical security: il 48% delle aziende best in class ha ridotto il numero di incidenti logici. Il 31% ha ridotto il tempo per indirizzarli ed il 22% ha ridotto il loro costo totale. Allo stesso tempo la media del settore ha sperimentato un aumento degli incidenti ed anche il costo totale per indirizzarli. 14

15 Ricerca Aberdeen Group

16 Benefici sul Business Compliance: il 55% ha ridotto il numero di incidenti di non-compliance (per esempio audit falliti) e il 35% hanno ridotto il costo per gestirli. I progetti di Convergence possono essere alimentati dagli evidenti benefici che derivano da una migliore security, da una compliance sostenuta dai fatti, da una risposta più tempestiva, da costi più bassi a da una migliore collaborazione. Diverse aziende leader si stanno muovendo in questa direzione: British Telecom, BP, IBM, MICROSOFT, Vodafone, UnicreditGroup, 16

17 Rapporto Forrester : benefici evidenziati Consolidamento delle credenziali per accesso fisico e IT tramite una smart card unica che può servire come un ID badge per accesso alle sedi e contenere anche le credenziali IT come password e certificati digitali. Adozione di un processo congiunto per rilasciare e revocare accesso alle sedi e accesso IT. Congiungendo i processi per gestire i diritti dei dipendenti per accedere ai sistemi IT con quelli per l accesso fisico alle sedi aziendali farà aumentare più velocemente la produttività delle persone ed aumenterà il livello di sicurezza. Un approccio single sign on con un accesso converged di physical e digital control process è uno dei migliori modi per assicurare che solo persone autenticate in una qualsiasi sede aziendale possa lavorare con dati confidenziali. Non c è dubbio che se i dati sono protetti in modo digitale ed i sistemi fisici sono correttamente correlati, il loro accesso e la loro sottrazione sarà più difficile per i frodatori. 17

18 Event management Mettere in correlazione eventi di security fra i due domini di physical e di IT dominini. Security event management systems, attualmente usati per monitorare e rispondere ad eventi IT, dovrebbero incorporare eventi che provengono dai sistemi physical security. Un allarme dovrebbe scattare se, per esempio, una VPN dovesse segnalare che un dipendente si stia collegando alla rete con modalità remote mentre il sistema di badging dovesse indicare che lui o lei siano all interno di una sede aziendale. Unificare l auditing dei diritti di accesso physical e IT con gli eventi security. Attivando processi e controlli di autenticazione e di autorizzazione in comune fra sistemi IT e sedi fisiche le organizzazioni troveranno molte opportunità per far aumentare efficienza e sicurezza. 18

19 Una cosa certa è che convergence la fusione delle funzioni che in passato erano separate ha messo una maggiore attenzione sull attuale agenda della security (ottobre 2008). L utilizzo di sistemi di accesso fisico basati su tecnologie IP e l adozione di piattaforme applicative aperte ed in particolare l uso di Web services stanno introducendo una reale security convergence che raggiunge un numero crescente di aziende nel settore financial services. 19

20 Alcune linee guida per sviluppare un approccio converged La responsabilità di raggiungere una soluzione di Security Convergence ricade su ciascun risk leader funzionale e richiede un forte commitment nelle seguentiaree: Un accordofraileader cheaffrontanoirischiper fasìchel obiettivoprincipale della loro funzione sia la protezione delle persone, delle informazioni e degli asset aziendali, garantendo che i metodi più efficienti e cost-effective siano utilizzati al meglio per ridurre i rischi aziendali. Svilupparecomprensionefrale variefunzioni. Le minaccesisonoconverged; le competenze e le risposte devono ugualmente convergere. Creare professionalismo in ogni funzione con processi chiari, ripetibili e misurabili invecediapprocciimprovvisati. Favorirela disponibilitànelcondivideree integrare processi e reporting. 20

21 Ulteriori metodi per procedere Incoraggiare un attitudine di umiltà nell accettare che le altrui priorità nell affrontare i rischi possano essere più urgenti e quindi da affrontare con il giusto budget e la corretta attenzione manageriale. Armonizzare metodi e processi di gestione dei rischi in grado di garantire priorità e decisioni dei finanziamenti fra le differenti aree di rischio; una visione chiara degli asset critici (un registro unico degli asset e dei rischi); Fornire un single point of contact per il reporting e per gli incidenti. Trasformare una difesa generica in una soluzione basata sulla convergenza di physical e IT security 21

22 Action Plan - per adottare un modello convergence 1. L idea deve essere proposta al board tramite un business plan, mettendo enfasi sui cost savings che potranno essereottenuti tramitela combinazionedelle varieorganizzazioni security, rendendodisponibile parte del budjet per altriprogetti. 2. Il cambiamento deve venire dall alto. 3. Usare dei KPI per misurare l efficacia della convergence. 4. Individuareilcapo diun department o un executive con l adeguatoskill per gestirele strategiediconvergence, come per esempioun Risk Manager, evitandoche a farlosiasolo un espertodisecurity, ma bensì unapersona che cosca gli aspetti organizzativi. 5. Usarelo standard ISO 27001/2 attualmentedispoinibilecome la base delleprocedure di physical e technical security. 6. Adottare un sistema di security incident reporting gestito in modo autonomo(help Desk) in grado di fornire anche suggerimenti di security. 7. Usare uno stesso processo unificato di risk/threat assessment per le diverse discipline/competenze che riguardano le varie aree organizzative.

23 Converged Security Management Maturity Model Strategy & Metrics Compliance and Policy Training Attack Methods Security Features and Design Standards and Requirements Governance Intelligence Deployment SSDL Touchpoints Per Concessione di James Willison ISAF UK Penetration Testing Environment Configuration Management and Vulnerability Management Architecture Analysis Review Security Testing

24 Microsoft un case study Microsoft è ben conosciuta per il suo commitment nell integrazione della security logical e physical, basata su una smart cards multi uso. Ciò che abbiamo fatto per introdurre l uso di smart cards è stato inizialmente guidato da una visione security (eliminando la dipendenza di seplici username e password) non da una prospettiva di riduzione dei costi operativi (dichiarazione di Microsoft). Questo approaccio si è evoluto in una competenza converged che riduce i costi ed aumenta security e compliance (Source : Aberdeen Group, 2007).

25 BP un case study BP ha adottato un approccio di converged risk anche se physical security e digital security mantengono responsabilità separate. Invece di guardare in modo isolato a ciascun rischio, i due team operano in stretta cooperazione, garantendo armonizzazione dei processi, efficacia nella comunicazione e permette di utilizzare le esperienze di entrambi i team per identificare potenziali aree di sovrapposizione dei rischi. Questo nuovo metodo di lavorare in modo converged ha aiutato BP nell assicurare una migliore identificazione dei rischi, sia di physical che digital security, di gestirli e monitorarli.

26 UnicreditGroup un case study UnicreditGroup ha introdotto un modello converged a cominciare dal 2007 Questo anche per accelerare l integrazioni delle culture security provenienti dalle diverse realtà bancarie, nazionali ed internazionali, che si sono fuse in un unico gruppo L allinemento dei processi security, physical e digital, ha dato inizio ad una progressiva integrazione favorendo una graduale convergenza favorita da una leadership determinata e supportata dal senior management I risultati raggiunti alla fine del 2010 sono stati decisamente confortanti: -Perdite di tipo fisico ridotte del 90% -Frodi tramite carte di credito e Internet ridotte del 100% -Riduzione del budget intorno al 30% in quattro anni

27 Un approccio converged aiuta ad identificare i rischi Questo nuovo metodo di lavorare (converged) ha aiutato nel garantire che entrambi physical e digital security risk siano meglio identificati, gestiti e monitorati. L approccio pragmatico introdotto da security convergence continua ad aiutare le aziende che l hanno adottato ad identificare in anticipo potenziali punti deboli, rischi ed opportunità permettendo loro di salvaguardare il brand e la reputazione (Source: Convergence of security risks : PwC, ISAF ed altri, 2010).

28 Enterprise security risk management framework Vision and principles Input to framework Business environment (i.e., commercial and regulatory) Risk exposure and prioritization Standards legislation and regulation Security practices and technologies Counter measure portfolio Design Evaluate risk investment trade off Implement Compliance, metrics and reporting Corporate and BU strategies Geopolitical trends and forces Business case (i.e., investments and ROI) Organization & governance Security operations Change management and BU integration Per gentile concessione di David Tyson CISO di Pacific Gas & Electric Company Linkages to other enterprise risk framework and processes Linkages to partners & suppliers

29 Management Framework Components Vision & Principles define the vision for the future and principles to operate by Risk Exposure & Prioritization develop an enterprise view of risk exposure & priority Standards & Regulations ensure a clear understanding of current rules effecting the organization and the integrated approach Security practices & technologies ensure a clear understanding of changing disruptive technologies (Cloud virtualization, etc) & new practices, as well as new security technologies Countermeasures definition define a consistent integrated process to evaluate new risks that provides common criteria and a clear process for defining countermeasures Compliance, Metrics & Reporting Define GMR programs that report enterprise risk levels in both activity and total risk reduction Per gentile concessione di David Tyson CISO PG&E Business case Ensure appropriate business case process existing to evaluate security investment options not all ROI! Organization & governance Ensure the correct security organizational structure exists for the company converged, security committee, etc. Change Mgt. & BU considerations Understand how to institutionalize change of security across Business units Security business operations Understand how security operations processes work together in most efficient fashion Linkages to other enterprise frameworks & processes Manage the needed touch points between all risk facing activities to make comprehensive decisions Linkages to partners & supplies Understand impacts of new relationships have on existing relationships across the organization

30 Security Convergence di ASIS International in Europe Nel giugno 2010 l European AdvisoryCouncil (EAC) ha deciso di nominare un European Security Convergencerepresentative. Durante i primi tre mesi l attività è stata dedicata ad individuare e pianificare ciò che era necessario fare. Una volta consolidato, il piano è stato messo in esecuzione. La prima attività è stata quella di verificare le esperienze Europa. 30

31 1. Adottare un approccio più strutturato in Europa per Security Convergence: Nominare un European ASIS International Representative per Security Convergence. Contattare i principali key players di Security Convergence all interno di AESRM e le altre organizzazioni nostre partner, ISSA e ISACA. Suggerire ai vari ASIS International chapters in Europa di nominare un loro Security Convergence representative. Identificare criterio e metodo per misurare i progressi in termini di diffusione del modello di Security Convergence fra le aziende Europee. 31

32 2. Stabilire solidi rapporti con ISSA ed ISACA. Accelerare la cooperazione su Convergence con ISSA ed ISACA. Promuovere una survey Europea per individuare quante aziende abbiano attualmente adottato un modello di Security Convergence all interno delle loro organizzazioni. Sviluppare, in collaborazione con le altre associazioni, un pamphlet su cosa sia Security Convergence e mostri i benefici che le organizzazoni possono avere nell adottarne il modello. Stabilire, in collaborazione con le altre associazioni security, un link con le principali associazioni Europee di Human Resources allo scopo di diffondere Security Convergence all interno delle organizzatzioni. 32

33 3. Selezionare specifici eventi per promuovere Security Convergence in Europa I risultati di tutte le attività svolte in Europa su Security Convergence dovrebbero ricevere visibilità all interno di ASIS International in Europe e dare uno spazio nella Conferenza annuale Europea. Selezionare eventi nei vari Regional/Country ASIS International dove poter promuovere Security Convergence. Identificare eventi security internazionali in cui ottenere spazi da utilizzare per parlare di Security Convergence per conto di ASIS International in Europa. Assicurarsi che questa strategia sia in sintonia con ASIS International Convergence event policies. 33

34 4. Fornire formazione su Security Convergence: Identificare qualsiasi corso di Security Convergence, evento di training e seminari conosciuti da parte dei soci ASIS International in Europa. Sviluppare uno specifico programma di formazione su Security Convergence per proporlo ad executives e senior management di aziende Europee. Prendere in considerazione lo sviluppo di un DVD, di materiale multi-mediale per training on-line da proporre come programma di formazione long distance su Security Convergence. Selezionare articoli scritti da professionisti soci di ASIS International per poterli pubblicare su riviste/stampa specializzata, compreso Security Management. 34

35 5. Riconoscimenti/premi per Security Convergence: Le migliori organizzazioni capaci di adottare un efficace modello di Security Convergence in Europa dovrebbe ricevere una particolare attenzione ed essere invitata ad esporre quale sia stato il processo interno che ha loro permesso di adottarlo con successo. I risultati di rilievo in ambito Security Convergence ed il raggiungimento di specifici obiettivi raggiunti da organizzazioni Europee in questo campo, dovrebbero ottenere un riconoscimento da parte di ASIS International premiando le persone per il loro contributo. I chapter Europei di ASIS International dovrebbero adottare speciali programmi per individuare e premiare entità nazionali (associazioni, individui ed aziende) che abbiano dato un particolare contributo nel promuovere soluzioni di Security Convergence. 35

36 ASIS International Europa Business Plan per Security Convergence in Europa Completare la realizzazione del Business Plan 2010 Idividuare un Education Center in Europa per offrire first class education su Security Convergence Aumentare il numbero di security leader nel contribuire alle iniziative di Security Convergence in Europ Adottare degli standards per creare un modello di Security Convergence 36

37 ASIS International Europa decisioni su Security Convergence, inizio 2011 In febbraio 2011 EAC ha nominato un sottocomitato per occuparsi di Security Convergence, al posto di un semplice rappresentante. La posizione di chairman è stata affidata al precedente rappresentante. E stata condotta una robusta selezione per individuare un gruppo di professionisti e mager, tutti soci ASIS International in Europa, in grado di contribuire nello sviluppo di Security Convergence in Europa. Per prima cosa ciascun chapterprincipale in Europa è stato invitato a nominare un loro candidato. Dopo la scelta dei membri il sottocomitato è stato ufficialmente nominato Al momento il Security Convergence Subcommittee ha otto membri 37

38 ASIS International Europa attività European Security Convergence inizio 2011 Il sottocomitato include soci ASIS International di Francia (1), Italia (2), Olanda (1), Svizzera (1) e UK (3). Altri chapterssono attesi per entrare a far parte del gruppo. Ogni due mesi verrà tenuto un virtualmeeting per raccogliere gli input dal gruppo per discutere i vari punti. Una volta all anno, il sottocomitato si incontrerà fisicamente in occasione della European ASIS International Conference. Altri contributi sono attesi anche da chiunque sia disponibile a fornire validi input, inclusi altre realtà (come ISSA, ISACA, ISAF, CSA, ecc) 38

39 Conclusioni su Security Convergence Security Convergence ha necessità di essere promossa in Europa Le aziende devono essere consapevoli che Security Convergence contribuisce alla riduzione del TCO della Security Questo specifico momento potrebbe favori l adozione di un modello di Security Convergence, traendo vantaggio da un momento di minore crescita del mercato. Sinergia e cooperazione fra le differenti funzioni sono di aiuto per il suo successo Security Convergence è spesso un processo graduale che è favorito se le iniziative sviluppate vengono condotte da una persona di business la cui competenza di leader sia ampiamente riconosciuta. 39

40 Domande?