trasformazione della sicurezza delle informazioni

Transcript

1 ABN Amro Dr. Martijn Dekker, Senior Vice President, Chief Information Security Officer Astra Zeneca Simon Strickland, Global Head of Security Automatic Data Processing Roland Cloutier, Vice President, Chief Security Officer The Coca-Cola Company Renee Guttmann, Chief Information Security Officer ebay Leanne Toliver, Office of the Chief Information Security Officer EMC Corporation Dave Martin, Vice President e Chief Security Officer FedEx Denise D. Wood, Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer Fidelity Investments Tim MCKnight, Executive Vice President, Enterprise Information Security and Risk HDFC Bank Vishal Salvi, Chief Information Security Officer e Senior Vice President HSBC Holdings plc. Bob Rodger, Group Head of Infrastructure Security Intel Malcolm Harkins, Vice President, Chief Security and Privacy Officer Johnson & Johnson Marene N. Allison, Worldwide Vice President of Information Security JPMorgan Chase Anish Bhimani, Chief Information Risk Officer Nokia Petri Kuivala, Chief Information Security Officer SAP AG Ralph Salomon, CRISC, Vice President Security, Processes & Compliance Office, SAP Cloud and Infrastructure Delivery TELUS Kenneth Haertling, Vice President e Chief Security Officer t Report basato su discussioni con Security for Business Innovation Council trasformazione della sicurezza delle informazioni Il punto sulle tecnologie strategiche T-Mobile USA William Boni, Corporate Information Security Officer (CISO) e Vice President, Enterprise Information Security Walmart Stores, Inc. Jerry R. Geisler III, Office of the Chief Information Security Officer Definizione delle aree chiave per l'ottimizzazione della resilienza alle minacce Creazione di una strategia di Big Data a livello enterprise Consigli dei dirigenti Global 1000 In questo report Guida agli investimenti su tecnologie investigative rivoluzionarie Ottimizzazione dell'esperienza utente Miglioramento della visibilità nel cloud Consigli per sfruttare al meglio le tecnologie avanzate Iniziativa di settore sponsorizzata da RSA

2 * Sommario PUNTI SALIENTI DEL REPORT 1 1. INTRODUZIONE: CONSOLIDAMENTO DELLE FUNZIONALITÀ 2 2. SVILUPPO DELLA RESILIENZA CONTRO LE MINACCE INFORMATICHE 3 3. OTTIMIZZAZIONE DELL'ESPERIENZA UTENTE 7 4. MAGGIORE SICUREZZA PER IL CLOUD STORAGE A LIVELLO ENTERPRISE 9 5. SUGGERIMENTI 1. Pianificare con un orizzonte di almeno tre anni Ampliare la prospettiva con l'integrazione Massimizzare il valore tramite distribuzioni tecnologiche formalizzate 14 CONCLUSIONI 16 CHE COS'È L'INIZIATIVA SBIC 16 AUTORI REPORT 17 Declinazione di responsabilità - Il presente Security for Business Innovation Council Report (di seguito il "Report") comprende informazioni e materiali (congiuntamente, il "Contenuto") soggetti a modifica senza obbligo di preavviso. RSA Security LLC, EMC Corporation e i singoli autori del Security for Business Innovation Council (congiuntamente, gli "Autori") declinano espressamente ogni obbligo di aggiornamento del Contenuto. Il Contenuto viene fornito "COSÌ COM'È". Gli Autori non forniscono alcuna garanzia espressa o implicita in relazione all'uso del Contenuto, comprese, a titolo esemplificativo, commerciabilità, compatibilità, non violazione, accuratezza o idoneità a uno scopo particolare. Il Contenuto è inteso a fornire informazioni al pubblico e non costituisce alcuna consulenza legale da parte di RSA Security LLC, della sua azienda principale, di EMC Corporation, dei relativi avvocati o degli autori del presente report SBIC. L'utente non deve agire o trattenersi dall'agire in base al Contenuto, senza avere prima consultato un legale iscritto all'albo presso la sua giurisdizione. Gli Autori non potranno essere ritenuti responsabili di eventuali errori qui contenuti o di eventuali danni derivanti o relativi all'uso di questo Report (incluso tutto il Contenuto), compresi, a titolo indicativo, i danni diretti, indiretti, incidentali, speciali, consequenziali o punitivi, sia per inadempimento contrattuale, negligenza o responsabilità extracontrattuale, anche qualora gli Autori fossero consapevoli della possibilità di tali errori o danni. Gli Autori declinano qualsiasi responsabilità in caso di errori od omissioni in qualsiasi parte del Contenuto. 2 Security for Business Innovation Council Report RSA, The Security Division of EMC

3 Punti salienti del report I responsabili della sicurezza delle informazioni più autorevoli hanno individuato tre aree chiave dove è possibile rafforzare le funzionalità di sicurezza: resilienza contro le minacce informatiche, ottimizzazione dell'esperienza utente e sicurezza del cloud. I responsabili della sicurezza oggi parlano in termini di resilienza contro i cyber threat: per contrastare le continue intrusioni, l'obiettivo è impedire agli attacker di ottenere quello che vogliono, gestire le violazioni inevitabili e minimizzare il loro impatto. L'analisi dei Big Data e le tecnologie antimalware di nuova generazione sono considerate fondamentali per lo sviluppo della resilienza contro le minacce informatiche. Se implementate appieno, le analisi dei Big Data permettono alle aziende di tenere i cyber threat sotto monitoraggio continuo in tutto l'ambiente aziendale e di rilevare, capire e rispondere agli incidenti in tempo reale. Per la maggior parte delle implementazioni più all'avanguardia ci si è basati su soluzioni sviluppate internamente, salvo passare con sempre maggiore frequenza a piattaforme di analisi di sicurezza commerciali e pronte all'uso. Queste soluzioni commerciali sono oggi largamente diffuse ed è prevedibile che entro i prossimi 18 mesi molte aziende avranno iniziato l'implementazione di programmi di analisi di sicurezza. Le tecnologie antimalware di nuova generazione non si basano su firme, ma rilevano il malware analizzando i modelli di comportamento alla ricerca di caratteristiche sospette e sono perciò molto più efficaci contro gli attacchi zero-day. Questo report comprende una serie di preziosi consigli raccolti da 18 dei responsabili della sicurezza più importanti al mondo e pensati per aiutare le aziende a costruire una strategia di sicurezza di sicuro impatto contro le crescenti minacce del panorama attuale. La resilienza contro le minacce informatiche richiede investimenti coraggiosi: i team di sicurezza più importanti indirizzano oggi i propri investimenti verso controlli che rilevano le intrusioni piuttosto che prevenirle. Molti di questi team considerano di primaria importanza adeguare l'esperienza utente dei sistemi di sicurezza ai nuovi standard dettati dall'avvento di smartphone, tablet e applicazioni consumer di grande diffusione. Gli utenti moderni pretendono la diminuzione e la velocizzazione dei processi di autenticazione, un accesso più rapido a dati e applicazioni, maggiore mobilità tra dispositivi, posizioni e piattaforme. L'esperienza utente migliora grazie ai progressi nelle tecniche di autenticazione basate sul livello di rischio e nella gestione dell'identità e dell'accesso. Un'ampia gamma di servizi è ora disponibile per aiutare a risolvere alcuni dei problemi di sicurezza più spinosi legati all'utilizzo del cloud a livello enterprise. I team di sicurezza più importanti vedono ottime potenzialità nei nuovi servizi di sicurezza per il cloud e pianificano di implementarne almeno uno nel corso del prossimo anno. Questi servizi sembrano offrire la soluzione a problemi quali l'it ombra, la valutazione del rischio e l'assicurazione dei controlli, la gestione degli accessi e dell'identità, le perdite di dati, la protezione delle credenziali utente e la crittografia nel cloud. Lo SBIC offre i tre consigli chiave per utilizzare al meglio le tecnologie avanzate, ottimizzare gli strumenti di difesa e migliorare la produttività aziendale: 1. Pianificare con un orizzonte di almeno tre anni: un piano di sviluppo su base triennale è uno strumento utile che aiuta a investire capitali limitati in tecnologia di sicurezza rivolta al futuro. Una guida specifica prevede: l'utilizzo dell'analisi SWOT, l'allineamento tra IT e business, la creazione di una strategia di Big Data a livello enterprise e il coinvolgimento continuo degli auditor. 2. Ampliare la prospettiva con l'integrazione: attualmente, il maggiore vantaggio derivante dall'investimento nelle tecnologie di sicurezza, deriva dalla possibilità di connettere e consolidare più applicazioni. Le tecnologie moderne facilitano l'integrazione significativa dei sistemi; ad esempio, i team di sicurezza riescono a integrare con maggiore completezza la rilevazione delle minacce con le tecnologie di prevenzione e la gestione del rischio con le applicazioni business. 3. Massimizzare il valore tramite distribuzioni tecnologiche formalizzate: il ritmo delle innovazioni e i capitali limitati rendono l'implementazione efficace della tecnologia un processo complicato. Per gestire in modo proattivo i rischi, è bene fare una previsione e tenere una traccia dei costi e del valore complessivi, preferire implementazioni scalabili da cui trarre vantaggi immediati, regolare in modo scrupoloso il rapporto con i vendor di servizi cloud e mantenere un approccio strategico alla manutenzione. RSA, The Security Division of EMC Security for Business Innovation Council Report 1

4 1 Introduzione: consolidamento delle funzionalità " I cambiamenti si succedono a una velocità senza precedenti. Innovazione e flessibilità devono diventare elementi chiave di ogni strategia. Nell'arco di 18 o 12 mesi la tecnologia si sarà evoluta e con essa anche i competitori. Potete stare certi che presto arriveranno anche le prime domande sul perché la vostra azienda non stia tenendo il passo con il progresso. Simon Strickland, Global Head of Security, AstraZeneca I l Security for Business Innovation Council (SBIC), un gruppo orientato al futuro, composto dai responsabili della sicurezza più importanti al mondo, ha individuato le opportunità offerte dai progressi tecnologi per sviluppare le funzionalità di sicurezza. Queste opportunità si concentrano su tre aree principali: resilienza contro le minacce informatiche, ottimizzazione dell'esperienza utente e sicurezza del cloud. I responsabili della sicurezza che compongono il SBIC sostengono che gli enormi cambiamenti in atto nell'ambito della sicurezza, non stanno avvenendo a un ritmo sufficientemente rapido. Il loro desiderio è che i continui progressi della tecnologia di sicurezza riguardino non solo il miglioramento dei sistemi preventivi di difesa ma coinvolgano anche la produttività aziendale. Questo report, il terzo e ultimo della serie dedicata alla trasformazione delle informazioni di sicurezza, combina le conoscenze in ambito tecnologico con l'esperienza strategica, al fine di orientare i team di sicurezza nelle complicate decisioni sulle implementazioni tecnologiche e garantire una massimizzazione degli investimenti. In che cosa consiste esattamente un programma di sicurezza delle informazioni efficace e rivolto al futuro? Il Security for Business Innovation Council (SBIC) ha cercato di rispondere a questa domanda con la pubblicazione della serie di tre report "Trasformazione della sicurezza delle informazioni". Fondendo le conoscenze e la vision dei più importanti responsabili della sicurezza delle informazioni, i report offrono una serie di consigli pratici per creare un programma strategico. Il primo report consisteva in una guida per costruire un team allargato e all'avanguardia; il secondo esplorava i processi di sicurezza delle informazioni più innovativi. Il terzo identifica alcune delle tecnologie fondamentali per l'evoluzione dei programmi di sicurezza delle informazioni. Leggi i primi 5 due report 2 Security for Business Innovation Council Report RSA, The Security Division of EMC

5 2 Sviluppo della resilienza contro le minacce informatiche È ormai assodato che le attuali implementazioni di sicurezza contro le minacce informatiche sono spesso insufficienti. Il report investigativo sulla violazione dei dati condotto da Verizon rivela che il 66% delle violazioni vengono scoperte dopo mesi o persino anni. 1 I responsabili della sicurezza parlano oggi in termini di resilienza contro i cyber threat. Pur continuando nella lotta contro i nemici Analisi della sicurezza: una tecnologia fondamentale La tecnologia di analisi dei Big Data viene adottata da un numero crescente di team di sicurezza all'avanguardia, come componente fondamentale dei propri programmi di sicurezza delle informazioni su più livelli. L'applicazione primaria di questa tecnologia è il rilevamento delle minacce. Se implementata completamente, l'analisi dei Big Data permette alle aziende di tenere i cyber threat sotto monitoraggio continuo in tutto l'ambiente aziendale e di rilevare, capire e rispondere agli incidenti in tempo reale. La raccolta di dati sulle minacce e sui processi aziendali fornisce una visione più completa e aumenta in modo significativo la visibilità globale a livello enterprise. Queste caratteristiche, unite alla particolare capacità di adattamento a lungo termine alle trasformazioni del panorama delle minacce, rende l'analisi dei Big Data uno strumento irrinunciabile della difesa informatica. informatici e le loro intrusioni nei sistemi aziendali, i team di sicurezza riconoscono ora la possibilità di un compromesso. Per contrastare le continue intrusioni, l'obiettivo è impedire agli attacker di ottenere quello che vogliono, gestire le violazioni inevitabili e minimizzare il loro impatto. Per ottenere la resilienza alle minacce informatiche, i responsabili della sicurezza richiedono tecnologie in grado di fornire una consapevolezza situazionale a livello globale, un rilevamento delle minacce efficace e la capacità di rispondere rapidamente agli incidenti. È importante ricordare che le nuove tecnologie non possono sostituirsi completamente ai controlli di sicurezza esistenti, ma si integrano piuttosto come elemento fondamentale nel framework generale di difesa e protezione su più livelli dell'azienda. Ad esempio, l'esecuzione regolare, ma soprattutto corretta, delle basilari pratiche di igiene finalizzate alla sicurezza è ancora un elemento essenziale. I programmi di oggi I team di sicurezza più importanti che utilizzano programmi di analisi relativamente maturi, non solo hanno già ottenuto da essi ottimi vantaggi, ma stanno anche "alzando la posta" dei propri investimenti. Tra le iniziative in atto ci sono l'aggiunta di tecniche di visualizzazione dei dati più sofisticate, al fine di fornire contesto aggiuntivo relativo a un incidente e aiutare chi lo analizza a comprendere meglio gli eventi collegati. Alcune aziende stanno puntando su una maggiore integrazione dei dati sugli eventi e i processi aziendali nel proprio sistema di analisi, per aumentare e automatizzare la protezione delle risorse business più critiche. Altre aziende sono maggiormente concentrate sulla riduzione dei tempi di risposta a seguito del rilevamento degli attacchi e sull'arricchimento delle analisi con dati sulle minacce esterne. Sebbene la maggior parte delle implementazioni più all'avanguardia sia basata su soluzioni sviluppate internamente, molte aziende si stanno ora rivolgendo a soluzioni commerciali. L'implementazione delle analisi di sicurezza sta diventando un processo sempre meno complesso per queste aziende, grazie alla crescente completezza delle piattaforme offerte dai vendor. Sono ora disponibili piattaforme di analisi di sicurezza di prima generazione, commerciali e pronte all'uso, nelle quali i vendor integrano funzionalità sempre più avanzate, come il supporto per workflow integrati di risposta agli incidenti. Data l'ampia disponibilità commerciale di queste soluzioni, si prevede che entro i prossimi 18 mesi molte aziende, in particolar modo quelle di grandi dimensioni, avranno iniziato l'implementazione di un programma di analisi di sicurezza. 1 Report investigativo sulla violazione dei dati condotto da Verizon nel 2013 RSA, The Security Division of EMC Security for Business Innovation Council Report 3

6 VISIONE A LUNGO TERMINE I principali team di sicurezza stanno progettando sistemi di analisi sempre più potenti e automatizzati. La tabella descrive alcune delle funzionalità che si prevede verranno aggiunte ai programmi di analisi sul lungo periodo. Le funzionalità del futuro Applicazione dell'apprendimento automatico allo sviluppo delle regole di rilevamento delle minacce Automatizzazione del contenimento e della risposta Previsione degli attacchi Supporto per la protezione della community Creazione di istanze dei comandi e spostamento delle risorse automatici Descrizione Il sistema suggerisce automaticamente le regole da modificare o le correlazioni utili. Ad esempio, può suggerire di modificare il limite di soglia di una regola di rilevamento, se il comportamento attuale degli utenti normali genera troppi falsi positivi. Grazie all'apprendimento automatico il sistema può individuare parametri, prima ignorati, utili per il rilevamento di un attacco. I primi prototipi hanno dato ottimi risultati e mostrano che i sistemi di apprendimento automatico sono estremamente efficaci nella ridefinizione delle regole di rilevamento delle minacce. Al rilevamento di un problema il sistema risponde automaticamente con il contenimento e la limitazione dell'impatto senza richiedere l'intervento umano. La risposta automatica è particolarmente adatta alle situazioni in cui le risposte seguono passaggi ben definiti, come nel caso degli attacchi DDoS (Distributed Denial-of-Service). Sistema di impostazione di soglie di priorità per i rischi ad alto potenziale negativo. Il sistema genera alert se rileva comportamenti che potrebbero indicare la pianificazione di un attacco, come una rapida successione di tentativi di autenticazione non riusciti. Mentre gli alert di reazione avvertono gli analisti che è in corso un attacco, gli alert predittivi segnalano i comportamenti caratterizzati da un valore indicativo del rischio di una violazione futura e comprensivo delle cause e del contesto. Il sistema dispone di meccanismi integrati per la condivisione automatica dei dati di intelligence relativi alle minacce con altre organizzazioni. Tra questi meccanismi, le funzionalità di masking e alti livelli di attendibilità nella rete di condivisione delle informazioni. Il sistema utilizza la virtualizzazione per permettere uno spostamento più semplice delle risorse. Se una risorsa subisce un attacco, il sistema provvede automaticamente a spostarla in una posizione fisica differente. Nella nuova posizione il sistema definisce delle istanze dei comandi per quella risorsa, specifiche per il tipo di attacco in corso. 4 Security for Business Innovation Council Report RSA, The Security Division of EMC

7 SVILUPPO DELLA RESILIENZA CONTRO I CYBER THREAT Problematiche L'implementazione dell'analisi dei Big Data pone anche i team di sicurezza più all'avanguardia di fronte a una serie di problematiche. La criticità di alcune di queste, tuttavia, dovrebbe attenuarsi con il maturare della tecnologia. Queste alcune delle problematiche attuali: DDI programmi di analisi più sofisticati richiedono competenze specialistiche. Considerata la limitata disponibilità di esperti, molte aziende che ricercano tali competenze devono talvolta rivolgersi a service provider. (Per una guida al set di competenze necessarie, fare riferimento al primo report della serie: Progettazione di un team allargato all'avanguardia). DDLa privacy dell'utente finale deve essere tenuta in considerazione, poiché i dati raccolti e archiviati possono rivelare molto sugli individui, sul loro lavoro e sulle abitudini personali. Per questo motivo le aziende sono obbligate a sviluppare competenze sulla tutela della privacy sin dalla progettazione, la cosiddetta "privacy by design". Vedere la barra laterale nella Sezione 3 per approfondimenti. DDIl data warehouse di un programma di analisi è una risorsa essenziale che contiene informazioni provenienti dai sistemi di sicurezza e dai processi di business, come i log e altri dati sensibili. Ecco perché deve essere protetto da controlli di sicurezza efficaci. La fusione di dati in un'unica posizione rappresenta un nuovo obiettivo per i criminali informatici. DDL'analisi dei Big Data raccolti da diversi sistemi e il loro caricamento in una piattaforma analitica è un'operazione complessa, DDche richiede potenza di elaborazione e requisiti di storage importanti. Le aziende devono assicurarsi di poter soddisfare i requisiti di scalabilità degli ambienti di elaborazione e di disporre di una piattaforma sufficientemente elastica, in grado di gestire i considerevoli picchi del flusso di dati, che si possono verificare durante un attacco. DDLe soluzioni di analisi per la sicurezza commerciali non sono ancora preconfigurate per la gestione di molti tra gli use case comuni e necessitano pertanto di un elevato grado di personalizzazione. DDPer l'analisi della sicurezza servono risorse dedicate e ben orientate. Per evitare conflitti di interessi e gap lasciati dallo spostamento di dipendenti verso aree come le operazioni IT, il monitoraggio della sicurezza deve essere separato da altre attività di monitoraggio di tipo diverso. Le tecnologie antimalware di nuova generazione sono state adottate da molte aziende lungimiranti e dovrebbero acquisire piena diffusione entro i prossimi 18 mesi. Il futuro dell'antimalware: uno strumento chiave della difesa informatica Negli ultimi anni sono stati introdotti sul mercato diversi prodotti destinati al rilevamento e all'arresto del malware senza ricorrere alle firme. Questi possono essere distribuiti come software o appliance sulla rete e risultano efficaci contro alcuni tipi di minacce. Le tecnologie antimalware di nuova generazione sono ora considerate parti essenziali delle strategie di difesa informatica. Analisi del malware La maggior parte delle tecnologie antimalware di nuova generazione rileva il malware analizzando i modelli di comportamento alla ricerca di caratteristiche sospette, come un processo che effettua un tentativo di esecuzione a livello di kernel anziché a livello di applicazione. Questo le rende particolarmente efficaci contro gli attacchi zero-day, altrimenti non rilevabili con gli strumenti basati esclusivamente su firme. Le soluzioni possono sfruttare le seguenti tecniche: 1. Analisi del payload: il traffico in ingresso viene diretto in un ambiente virtuale ed eventualmente bloccato prima di raggiungere l'endpoint, se identificato come malware. 2. Analisi di rete: Viene verificato se un processo sta tentando di connettersi a un indirizzo IP associato a un server di comando e controllo di una botnet. 3. Analisi della memoria: Analisi della memoria a livello di endpoint per verificare l'eventuale stato di infezione del dispositivo. Un vantaggio chiave di queste soluzioni è la notevole riduzione del tempo che intercorre tra l'arrivo e l'individuazione del malware, in modo da velocizzare il blocco e la pulizia e prevenire possibili perdite di dati o altri attacchi malevoli. Queste soluzioni hanno tuttavia lo svantaggio di non potersi sostituire completamente alle soluzioni antivirus; ne risulta che le aziende devono implementare la nuova tecnologia, mantenendo quella esistente. Le tecnologie antimalware di nuova generazione sono state adottate da molte aziende lungimiranti e dovrebbero acquisire piena diffusione entro i prossimi 18 mesi. RSA, The Security Division of EMC Security for Business Innovation Council Report 5

8 SVILUPPO DELLA RESILIENZA CONTRO I CYBER THREAT 5 La necessità di fare investimenti rivoluzionari I team di sicurezza più importanti indirizzano oggi i propri investimenti verso controlli che rilevano le intrusioni piuttosto che prevenirle. I controlli investigativi sono progettati per generare alert a cui seguono azioni di follow-up, per distinguere i falsi positivi dalle minacce vere e proprie e rispondere a quest'ultime. Ciò richiede la presenza di uno staff altamente qualificato e affidabilità dei processi di gestione degli incidenti legati alle azioni di followup. La necessità di nuove competenze e processi, insieme al tempo necessario per reagire agli incidenti, rendono le recenti tecnologie antimalware e di analisi più onerose dal punto di vista dei costi di funzionamento rispetto a molte altre tecnologie convenzionali di protezione. I team di sicurezza potrebbero essere tentati di rimandare gli investimenti sulla difesa informatica, considerati i costi delle tecnologie investigative avanzate e il ritmo del progresso tecnologico in questo settore. Ciò non toglie che l'investimento in tecnologie strategiche e aggiornate di protezione contro le minacce informatiche è al momento un punto fermo della strategia dei team di sicurezza. In particolare, è di fondamentale importanza che le organizzazioni oggetto di minacce avanzate continue (APT), coinvolte in infrastrutture critiche o in possesso di proprietà intellettuali di valore, implementino tecnologie di rilevamento delle minacce informatiche di livello più alto, tra cui le soluzioni avanzate antimalware e l'analisi dei Ralph Salomon Vice President Security, Processes & Compliance Office, SAP Cloud and Infrastructure Delivery, SAP AG "Gli attacchi APT implicano sempre un grande movimento di capitali. Per identificare davvero tutti gli attacchi zero-day e APT, le aziende devono necessariamente adottare un approccio proattivo e investire in tecnologie di analisi e di difesa non basate su firme." Big Data. Con i costi delle indagini sugli attacchi e delle operazioni di ripristino alla mano, i team di sicurezza riescono spesso a costruire un solido caso aziendale che giustifica l'investimento in tecnologie investigative in grado di individuare un attacco prima che arrivi a provocare danni significativi. Questi investimenti dovrebbero essere presentati come un elemento chiave di un framework difensivo su più livelli. La distribuzione delle soluzioni avanzate antimalware è relativamente rapida, mentre per gli strumenti di analisi dei Big Data si parla di un progetto su più livelli. Per godere subito dei vantaggi di tali implementazioni, le aziende di alto profilo definiscono con attenzione l'entità del progetto e mantengono lo slancio iniziale. Il sistema viene inizialmente costruito per alcuni use case con un numero minimo di origini di dati, in modo da renderlo stabile finché le dimensioni sono ridotte, per poi aggiungere gradualmente origini e use case. 6 Security for Business Innovation Council Report RSA, The Security Division of EMC

9 OTTIMIZZAZIONE DELL'ESPERIENZA UTENTE 3 Ottimizzazione dell'esperienza utente B e pratiche di Bring Your Own Device e le applicazioni di cloud computing hanno ridefinito le aspettative all'interno del panorama aziendale. I dipendenti di oggi sono insofferenti verso le esperienze utente antiquate, che sono ancora tipiche delle applicazioni aziendali. Molti dei team di sicurezza più importanti considerano di primaria importanza adeguare l'esperienza utente dei sistemi di sicurezza ai nuovi standard dettati dall'avvento di smartphone, tablet e app consumer di grande diffusione. Nell'ambito della sicurezza delle informazioni, l'esperienza utente non è legata semplicemente all'aspetto, quanto piuttosto alla semplificazione: L'esperienza dell'utente finale è un aspetto chiave del successo del modello di sicurezza per le applicazioni aziendali e consumer. diminuzione e velocizzazione dei processi di autenticazione, accesso più rapido a dati e applicazioni, maggiore mobilità tra dispositivi, posizioni e piattaforme. È richiesta inoltre una riduzione dell'impegno mentale, come quello richiesto per memorizzare password complicate, in diverse combinazioni con i nomi utente. Una migliore esperienza utente si traduce subito in un aumento dell'efficienza per i dipendenti aziendali e, nel caso delle applicazioni rivolte ai clienti, in una maggiore soddisfazione degli utenti che le utilizzano, con un immediato ritorno a livello economico. L'esperienza dell'utente finale è un aspetto chiave del successo del modello di sicurezza per le applicazioni aziendali e consumer. Metodi di autenticazione più flessibili grazie alle analisi Uno degli obiettivi di molte aziende è la semplificazione dei processi di autenticazione che un utente tipo deve gestire, sfruttando un processo rapido e veloce per le situazioni a basso rischio e uno più complesso per quelle a rischio maggiore. Questo tipo di autenticazione, basata sul livello di rischio, è stata già implementata su vasta scala per i servizi di consumer banking. Ad esempio, un utente che utilizzi sempre lo stesso laptop per pagare un conto con frequenza mensile, può procedere senza problemi; al contrario, a un utente che tenti di effettuare un importante trasferimento di liquidi da un dispositivo non abituale, può essere chiesto di verificare la propria identità. Le tecniche avanzate che si avvalgono di diversi fattori per l'identificazione basata sul livello di rischio, aumentano il livello di affidabilità e riducono il livello di interazione richiesta all'utente, per transazioni più sicure e una maggiore soddisfazione dell'utente finale. La complessità dei calcoli del rischio Le analisi dei Big Data permettono di effettuare calcoli del rischio molto complessi, analizzando le caratteristiche dell'utente e dei suoi comportamenti. Sono molti i fattori da prendere in considerazione per determinare il grado di sicurezza dell'identità di un utente e il livello generale di affidabilità generale di una transazione, come la posizione fisica, il momento dell'accesso, l'attività richiesta, il valore delle risorse a cui si tenta di accedere e le caratteristiche di sicurezza del dispositivo dell'utente (per es. se è protetto da password o oggetto di jailbreaking). Le aziende più importanti hanno iniziato a implementare questi sistemi sempre più sofisticati di autenticazione basata sul rischio per le applicazioni consumer e aziendali. RSA, The Security Division of EMC Security for Business Innovation Council Report 7

10 OTTIMIZZAZIONE DELL'ESPERIENZA UTENTE L'ottimizzazione dell'esperienza di autenticazione richiede spesso di accettare compromessi di difficile gestione. L'utilizzo di strumenti di analisi impone un'attenzione particolare alla privacy (vedere barra a lato), ma prevede anche la possibilità di personalizzazione. Alcuni utenti potrebbero optare per un'autenticazione a due o tre fattori per le transazioni online di maggior valore. Altri potrebbero scegliere di registrare il proprio dispositivo e consentire un controllo e un tracciamento del comportamento più intrusivo, per effettuare transazioni senza ricevere richieste di verifica dell'identità. Miglioramenti nella gestione dell'identità e dell'accesso Recenti sviluppi nell'ambito della gestione dell'identità e dell'accesso (IAM) aiutano a raggiungere il cruciale obiettivo di rendere operativi i nuovi assunti, gli appaltatori e i partner il più velocemente possibile, assicurando l'accesso corretto per ogni ruolo e interrompendolo immediatamente quando non è più richiesto. La maggior parte dei sistemi IAM fornisce connettori out-of-the-box a diversi sistemi, per un'integrazione più semplice con i database aziendali più autorevoli come i sistemi per risorse umane. I servizi di intermediazione dell'identità ora permettono l'accesso di terze parti alle applicazioni enterprise, sollevando l'azienda dall'impegno di dover convalidare l'identità o distribuire e gestire le credenziali. Anche le tecnologie di federazione delle identità sono maturate, semplificando la connessione delle aziende con le organizzazioni partner e i provider di servizi cloud. In ogni caso i leader nel settore sicurezza sono cauti nel valutare l'idoneità delle attuali soluzioni IAM di livello enterprise, considerando il crescente ricorso delle aziende ai servizi di cloud pubblico. Un altro potenziale ostacolo per le tecnologie IAM è il crescente utilizzo dell'accesso tramite social media con federazione dell'identità tra più siti consumer, pratica che potrebbe diffondersi anche in ambito enterprise. IMPLICAZIONI PER LA PRIVACY E LA PROTEZIONE DEI DATI L'autenticazione avanzata e la consapevolezza situazionale delle minacce informatiche sono entrambe rafforzate dalla raccolta e dall'analisi di dati su larga scala. L'attenzione dedicata alle implicazioni riguardanti la privacy dei dati è destinata a crescere con la diffusione di questo tipo di tecnologie. I programmi di analisi per la sicurezza raccolgono dati legati alla macchina su lunghi periodi di tempo, che mettono in luce il modello di lavoro individuale, le applicazioni utilizzate o le impostazioni del dispositivo selezionate, la posizione e le tempistiche di lavoro dell'utente. In alcuni paesi questi dati sono considerati "dati personali" e impongono un'adeguata protezione. Anche se i dati non sono regolamentati a livello locale, i team di sicurezza devono comunque trovare un compromesso tra l'utilità delle informazioni raccolte sull'utente e la sensibilità dell'utente rispetto a questi stessi dati. Nel ciclo di vita dello sviluppo della sicurezza dovrebbero essere incorporati hook di progettazione per la protezione della privacy, soprattutto in fase di configurazione di un programma di analisi. È importante porsi domande di questo tipo: I clienti e i dipendenti sono stati chiaramente informati circa il tipo di dati che verranno raccolti e l'utilizzo che ne verrà fatto? I dati di macchina raccolti sono tutti indispensabili? Qual è il livello di sicurezza del repository dove sono archiviati i dati? Quando si aggregano dati in un repository di Big Data si perdono i controlli originari sull'informazione e la possibilità di applicare controlli granulari potrebbe essere limitata. Privacy e Big Data 8 Security for Business Innovation Council Report RSA, The Security Division of EMC

11 MAGGIORE SICUREZZA PER L'UTILIZZO DEL CLOUD A LIVELLO ENTERPRISE 4 Maggiore sicurezza per l'utilizzo del cloud a livello enterprise L'impatto del cloud computing sull'it delle grandi aziende è dimostrato dal fatto che molte di queste, grandi o piccole che siano, sono in dubbio se mantenere una propria infrastruttura IT o affidarsi ai servizi cloud. Tra il 2013 e il 2017 il tasso di crescita annuo complessivo previsto per i servizi IT per il cloud pubblico è del 23,5%, cinque volte quello dell'industria IT considerata globalmente. 2 A parte questo notevole incremento del giro di affari, rimane una domanda fondamentale per le aziende: "In che modo possiamo riuscire a mantenere il controllo dei nostri dati come azienda, se questi non risiedono sulla nostra infrastruttura IT?". Un'ampia gamma di servizi è ora disponibile per aiutare a risolvere alcuni dei problemi di sicurezza più spinosi legati all'utilizzo del cloud a livello enterprise. Molti dei principali team di sicurezza vedono un potenziale realistico nei nuovi servizi di sicurezza per il cloud e pianificano di implementarne almeno uno nel corso del prossimo La difficoltà di gestione dei problemi di sicurezza cresce con l'aumento dell'utilizzo del cloud a livello enterprise. Oltre ai dubbi che le aziende hanno sempre nutrito nei confronti del cloud, al centro dell'attenzione c'è ora un'area relativamente nuova: quella della potenziale vulnerabilità alla sorveglianza delle istituzioni dei dati ospitati su cloud. In particolare, molte organizzazioni sono riluttanti a inviare dati sensibili ai servizi cloud oltre confine, dove tali dati potrebbero venire collocati in infrastrutture controllate da un governo straniero. La promessa di visibilità e controllo dei nuovi servizi di sicurezza per il cloud. anno. In generale, si prevede una crescita del mercato dai $ 2,1 miliardi del 2013 ai $ 3,1 miliardi del I tempi sono ancora prematuri e non è ancora possibile valutare se questa nuova generazione di servizi di sicurezza per il cloud saprà essere all'altezza delle aspettative. La tabella mostra alcune delle funzionalità di valore offerte. Problemi per la sicurezza e cloud IT ombra: i dipendenti utilizzano i servizi cloud per lavoro senza approvazione da parte dell'azienda Valutazione del rischio e assicurazione dei controlli Gestione dell'identità e dell'accesso Nuove offerte di servizi di sicurezza per il cloud Analisi degli ambienti enterprise per individuare i servizi cloud utilizzati dai dipendenti. Restrizione o blocco dell'utilizzo di specifiche applicazioni cloud. Il team di sicurezza può, ad esempio, ritirare l'autorizzazione alla condivisione di documenti specifici, quando questa avviene tramite determinati servizi di file-sharing. Valutazione della sicurezza delle singole applicazioni cloud. Monitoraggio continuo dei controlli sui servizi cloud. Misurazione in tempo reale dei principali indicatori di rischio. Effettuare il provisioning e il deprovisioning degli account dei dipendenti su più applicazioni cloud tramite account LDAP o Active Directory. Garantire ai dipendenti l'accesso a diverse applicazioni basate su cloud con Single Sign-On. Supporto per autenticazione avanzata. Limitazione dell'accesso in base al dispositivo e alla posizione geografica dell'utente. Prevenzione delle perdite di dati Protezione delle credenziali degli utenti Crittografia dei dati nel cloud per rispettare i requisiti normativi o proteggerli dalla sorveglianza Estensione al cloud della portata della prevenzione delle perdite di dati (DLP) o della gestione dei diritti sulle informazioni (IRM). Audit trail dei tentativi di accesso e degli accessi alle applicazioni effettuati correttamente. Analisi del comportamento dell'utente e generazione di alert a livello enterprise se un account appare compromesso. Attivazione della crittografia dei dati prima dell'invio al cloud, tramite una password controllata a livello enterprise, per impedirne la lettura non autorizzata da parte di istituzioni o altre entità. (Alcuni team di sicurezza sono scettici nei confronti dei fornitori che sostengono di garantire una solida crittografia, mentre permettono il pieno utilizzo dei dati in applicazioni basate su cloud per funzionalità di ordinamento e ricerca.) 2 IDC, settembre Gartner Research, ottobre 2013 RSA, The Security Division of EMC Security for Business Innovation Council Report 9

12 SUGGERIMENTI 5 Suggerimenti I dirigenti del settore sicurezza del SBIC hanno detto la loro riguardo alcune domande cruciali, come: DDQuali sono i fattori da considerare quando si sviluppa una strategia tecnologica? DDCome possiamo ottenere il massimo dalle tecnologie acquistate? DDQuali sono le voci irrinunciabili da inserire nel budget? Quali quelle trascurabili? DDQuali sono gli aspetti principali a livello di progettazione, acquisizione e distribuzione tecnologica? Sulla scorta della loro pluriennale esperienza, questi sono i consigli imperdibili per mantenere la propria azienda al passo con i requisiti di un panorama in continuo cambiamento Pianificare con un orizzonte di almeno tre anni Ampliare la prospettiva con l'integrazione Massimizzare il valore tramite distribuzioni tecnologiche formalizzate 1. Pianificare con un orizzonte di almeno tre anni Un piano di sviluppo su base triennale è uno strumento utile che aiuta a investire capitali limitati in tecnologia di sicurezza rivolta al futuro. Uso dell'analisi SWOT Come parte della regolare prassi di pianificazione strategica, il team di sicurezza dovrebbe prevedere i punti deboli e quelli di forza, le opportunità e le minacce (SWOT) che interesseranno l'azienda nei tre anni successivi e oltre. Queste previsioni dovrebbero guidare nella scelta delle soluzioni su cui investire, con la consapevolezza che più lontani nel tempo sono gli scenari previsti minore è l'affidabilità di tali piani. 10 Security for Business Innovation Council Report RSA, The Security Division of EMC

13 SUGGERIMENTI CINQUE STRATEGIE PER GIOCARE SEMPRE D'ANTICIPO Assicuratevi che il vostro programma di protezione preveda un'architettura molto robusta, per controbilanciare la tendenza dei dipendenti a richiedere solo la tecnologia con la quale hanno maggiore familiarità. Definite i vostri requisiti in termini di quali funzionalità deve fornirvi la nuova tecnologia, piuttosto che in termini di quali prodotti o gruppi di prodotti esistenti devono essere rimpiazzati. Tenete sotto controllo i vendor emergenti nel settore sicurezza. Le idee innovative delle startup potrebbero non essere ancora sufficientemente mature per l'implementazione su vasta scala, ma dopo un paio di anni di sviluppo quelle soluzioni potrebbero fare al caso vostro. Definite i problemi aziendali che dovrete affrontare tra tre anni e iniziate da subito a richiedere ai fornitori gli strumenti che vi serviranno in futuro. Reperite informazioni sui trend tecnologici da fonti come l'institute for the Future ( Allargare il concetto di "minaccia" dalle minacce per la sicurezza a qualsiasi evento che potrebbe ripercuotersi in modo negativo sull'azienda. Le opportunità dovrebbero includere i progressi nel campo delle tecnologie di sicurezza che permettono prevedere l'andamento del settore nei prossimi tre anni, nonché i progressi tecnologici più ampi e di maggiore impatto, come quelli che interesseranno le piattaforme mobili, il cloud computing, l'"internet of Things" e l'identità del consumatore. Come si evolverà la tecnologia e quali rischi emergeranno da questo sviluppo? Allineamento tra l'it e l'azienda La direzione tecnologica generale dell'azienda sarà determinante per stabilire i controlli e i sistemi di sicurezza che garantiscono il valore maggiore. È essenziale che i team di riferimento per l'architettura tecnologica e l'architettura di sicurezza collaborino strettamente nella pianificazione. In alcune aziende la posizione di responsabile per entrambe le funzioni è occupata dalla stessa persona. In altre aziende i team restano separati ma lavorano fianco a fianco. Ogni strategia di sicurezza, per essere efficace, deve essere fatta su misura per l'azienda. Il team di sicurezza deve saper dimostrare che la propria vision non solo è in linea con la strategia aziendale, ma contribuisce concretamente a realizzarla. Una strategia di Big Data a livello enterprise Un'area chiave per l'allineamento tecnologico consiste nella creazione di una strategia globale di gestione dei Big Data a livello enterprise. In molti casi, i log legati all'infrastruttura IT, ai database e alle applicazioni business sono preziosi per la sicurezza ma anche utili per l'it e altre unità di business. Le analisi dei Big Data possono giovare a un'ampia gamma di processi aziendali, dal supporto IT all'ottimizzazione della supply chain di produzione. Nelle aziende che hanno adottato un programma di analisi, il Chief Information Officer promuove generalmente strategie a favore della centralizzazione Le analisi dei Big Data possono giovare a un'ampia gamma di processi aziendali, dal supporto IT all'ottimizzazione della supply chain di produzione. dei Big Data e di un miglior utilizzo a livello aziendale, per superare lo sconveniente utilizzo di singoli archivi di dati per ogni reparto. Il team di sicurezza è nella posizione di poter aiutare a definire una strategia generale per i Big Data, in quanto si troverà ad affrontare alcuni dei principali casi di utilizzo. La scelta dei partner e delle nuove soluzioni tecnologiche deve fornire una strategia di Big Data applicabile su scala aziendale. Le tecnologie dei Big Data specifiche per la sicurezza possono assicurare il rispetto dei requisiti di funzionalità del team di sicurezza, ma al costo di perdere l'opportunità di perseguire obiettivi aziendali più ampi. L'adozione dei Big Data offre un vantaggio competitivo, non solo grazie a un migliore rilevamento delle minacce, ma soprattutto perché permette di approfondire la conoscenza del mercato, di offrire un servizio clienti su misura e un'intelligenza operativa di valore. È essenziale che i team di sicurezza sviluppino nuovi controlli sulla sicurezza delle informazioni, per permettere una rapida adozione a livello enterprise delle tecniche Big Data e, allo stesso tempo, garantire la protezione delle risorse ad essi legate. RSA, The Security Division of EMC Security for Business Innovation Council Report 11

14 SUGGERIMENTI Per giocare sempre d'anticipo è necessaria un'architettura molto robusta. Il team deve poter progettare con un orizzonte di almeno tre anni. Bisogna avere il coraggio di puntare nella direzione che si prevede prenderà il progresso tecnologico. Coinvolgere gli auditor Se si lavora con auditor esterni è bene tenerli sempre aggiornati sulle nuove tecnologie che si prevede di implementare nell'arco dei tre anni successivi. I framework di auditing che servono alla classificazione delle aziende si basano solitamente su testi sulla sicurezza, spesso vecchi di almeno tre anni. Per far approvare l'utilizzo di tecnologie più recenti, è bene aggiornare i propri auditor con regolarità sugli ultimi sviluppi tecnologici. L'archiviazione di informazioni regolamentate sul cloud, come nel caso dei dati dell'industria delle carte di pagamento (PCI) è un'operazione problematica, perché gli auditor potrebbero non sapere come confermare il livello di sicurezza dell'ambiente cloud, anche se questo è in Kenneth Haertling Vice President e Chief Security Officer, TELUS effetti più sicuro di quello fisico al quale si sostituisce. Se si progetta di adottare la tecnologia cloud o soluzioni di virtualizzazione, con il rischio di andare in contro a difficoltà a livello di auditing, è bene sviluppare con largo anticipo una partnership con gli auditor, al fine di stabilire criteri di controllo adeguati. Nel frattempo, si può procedere al passaggio verso il cloud in modo graduale. Un'azienda leader organizza incontri trimestrali con i propri auditor per trovare una soluzione ai problemi legati all'utilizzo del cloud, con l'obiettivo di passare all'archiviazione su cloud dei dati regolamentati entro il Security for Business Innovation Council Report RSA, The Security Division of EMC

15 SUGGERIMENTI 2. Ampliare la prospettiva con l'integrazione Attualmente, il maggiore vantaggio derivante dall'investimento nelle tecnologie di sicurezza deriva dalla possibilità di connettere e consolidare più applicazioni. La maggior parte delle organizzazioni di sicurezza sfruttano una frazione del valore potenziale dei propri dati di sicurezza, mantenendoli all'interno di decine di applicazioni isolate, non progettate per lavorare insieme. Sono oggi disponibili tecnologie in grado di rendere più semplice l'integrazione significativa tra i sistemi. Ad esempio, l'analisi dei Big Data, le piattaforme di governance, rischio e conformità (GRC) e quelle di intelligence di sicurezza offrono un percorso per una migliore integrazione del rilevamento delle minacce e della gestione del rischio con le applicazioni aziendali o le tecnologie di prevenzione. I seguenti esempi illustrano come sia possibile integrare: Dati dei processi aziendali e data warehouse di sicurezza Per integrare il reale contesto aziendale e gli eventi relativi alla sicurezza, un'azienda leader ha riconosciuto il bisogno di analizzare dati provenienti non solo dai sistemi di sicurezza ma anche dalle applicazioni e dai database aziendali. Ha quindi creato un servizio di creazione di log comune per inserire nel proprio data warehouse di sicurezza i dati rilevanti raccolti sulle applicazioni aziendali. Gli analisti che conducono le azioni di follow up agli incidenti hanno ora un'immagine globale dell'ambiente aziendale e possono portare a termine le proprie indagini in modo più rapido e approfondito. Test delle applicazioni in tempo reale e piattaforme di intelligence di sicurezza I sistemi di Dynamic Application Security Testing (DAST) controllano la presenza di eventuali problemi di sicurezza nelle applicazioni web in tempo reale. Un'azienda leader ha integrato il sistema DAST con il proprio firewall, sfruttando la piattaforma di intelligence di sicurezza (SIP), permettendo al firewall di fornire una protezione ottimale per le applicazioni web. Se il sistema DAST individua un problema in un'applicazione, categorizza il tipo di vulnerabilità in base al database delle vulnerabilità nazionali e trasmette un numero di indice di vulnerabilità alla SIP. La SIP invia il nome dell'applicazione difettosa al firewall, insieme all'ip e al numero di indice di vulnerabilità. Il firewall identifica quella particolare applicazione come difettosa e vulnerabile agli attacchi di un certo tipo di malware o protocollo. Il firewall, conoscendo il tipo di traffico più pericoloso, blocca quel traffico verso l'applicazione. GRC e project management Le unità di business devono essere in grado di visualizzare in modo olistico tutte le informazioni sui rischi di sicurezza associate ai propri processi, per poterle gestirle globalmente. Alcune aziende leader hanno raggiunto questo obiettivo implementando strumenti GRC con i sistemi di project management, automatizzando la richiesta di valutazione del rischio per tutti i nuovi progetti. Le unità di business possono tenere traccia dei rischi generali mano a mano che questi cambiano o vengono risolti, lungo l'intero ciclo di vita dei progetti. GRC e dispositivi mobili Un'azienda leader a sviluppato una app mobile che offre viste personalizzate dei rischi presenti nel sistema GRC enterprise. I membri del consiglio aziendale e lo staff posso accedere all'applicazione tramite ipad o qualsiasi altro dispositivo mobile e visualizzare un elenco dei rischi assegnati o presenti nella propria area di responsabilità. Possono inoltre utilizzare l'applicazione per analizzare i dettagli dei rischi specifici, come le azioni intraprese per mitigarli e lo stato corrente. I sistemi non sono sempre progettati per connettersi out-of-the-box e in modo trasparente, il che rende la loro integrazione complicata. Ad esempio l'implementazione completa di una piattaforma di intelligence di sicurezza con ogni applicazione, firewall, controllo degli accessi e così via, è tanto impegnativa quanto la distribuzione di un sistema di Enterprise Resource Planning (ERP), ma dà come risultato un sistema integrato molto più potente della somma delle sue parti. Per godere dei vantaggi dei progressi delle moderne tecnologie di sicurezza, è bene avere un approccio che dia preferenza alle soluzioni integrabili nell'architettura e ricorrere alle soluzioni mirate solo se necessarie per il rispetto di requisiti particolari. "Le organizzazioni di sicurezza devono analizzare le proprie soluzioni attuali, tra le quali spesso non vi è integrazione e collaborare per trovare una risposta a questa domanda: come possiamo consolidare queste tecnologie? Come possiamo integrarle per costruire un contesto, aumentare l'utilizzabilità e ottenere una visione aggregata?" Malcolm Harkins, Vice President, Chief Security and Privacy Officer, Intel RSA, The Security Division of EMC Security for Business Innovation Council Report 13

16 SUGGERIMENTI 3. Massimizzare il valore tramite distribuzioni tecnologiche formalizzate Anche intercettando i nuovi prodotti con il radar più sensibile, la distribuzione della tecnologia rimane sempre una sfida impegnativa. Considerando il ritmo attuale del progresso tecnologico, nel tempo necessario per implementare completamente un sistema, la tecnologia potrebbe aver compiuto un significativo balzo in avanti, ancor prima che il progetto sia stato portato a termine i nuovi prodotti selezionati con attenzione non sempre si mantengono all'altezza delle aspettative. E con risorse economiche limitate è difficile mantenere il funzionamento giornaliero delle operazioni, per non parlare della strategia aziendale a lungo termine o dell'aggiornamento con gli ultimi trend tecnologici. I team di sicurezza più importanti, ben consapevoli di questi ostacoli, consigliano di adottare un approccio formale alla distribuzione, per una gestione proattiva dei rischi. Un approccio formale all'implementazione permette 5 di gestire i rischi in modo proattivo. Prevedere e tracciare i costi e il valore complessivi Una delle principali cause di fallimenti dei progetti di implementazione tecnologica è la mancata previsione dei costi di funzionamento. La presenza di professionisti appositamente preparati per la gestione della tecnologia di sicurezza è un fattore chiave e, allo stesso tempo, un considerevole capitolo di spesa, a causa delle alte competenze richieste. Prima di investire in una nuova tecnologia, è importante avere un'idea precisa dei costi complessivi di gestione e disporre di un budget operativo disponibile lungo l'intero ciclo di vita. Un processo formale di definizione e tracciamento dei costi e dei vantaggi previsti può migliorare la collaborazione tra i team di sicurezza e i fornitori, massimizzando il valore del prodotto fornito. È consigliabile inoltre assicurarsi che i contratti con i fornitori specifichino il valore che deriverà dal prodotto in un periodo di tempo specifico, ad esempio sei mesi, per poter effettuare conseguentemente una valutazione. Se dopo sei mesi il valore previsto non è riscontrabile o se sono sopraggiunti costi inaspettati, l'azienda dovrebbe intraprendere un procedimento che arrivi a stabilire di chi è la responsabilità: propria, della tecnologia o delle modalità di implementazione. Dopodiché potrà avviare una fase correttiva. Dopo un periodo che va dai nove ai 12 mesi, se l'azienda non riscontra ancora il valore previsto, deve considerare opzioni quali l'interruzione del rapporto con il fornitore, una penale sul pagamento o una diversa modalità di implementazione. Vantaggi immediati con le distribuzioni scalabili Molte aziende di grandi dimensioni hanno compreso che le distribuzioni effettuate tutte in una volta a livello enterprise sono troppo onerose in termini di tempi e costi. La chiave per rimanere al passo con gli sviluppi del settore e implementare comunque una tecnologia significativa per l'azienda, sta nel cercare di limitare le dimensioni delle distribuzioni iniziali, rispondendo a domande come queste: posso implementare un nuovo controllo antimalware solamente su determinati data asset per i quali questo è indispensabile? L'azienda può ricevere un buono slancio implementando un nuovo sistema di autenticazione a livello di singolo team o reparto? Se la tecnologia viene introdotta con successo in scala ridotta, è probabile che possa crescere in modo organico verso un'implementazione più ampia. Scrupolosità nella gestione dei vendor cloud I processi formali non sono l'unica chiave per l'implementazione di tecnologie in sede. Con il progressivo aumento dei service provider di sicurezza per il cloud a cui si rivolgono le aziende, è fondamentale gestire i rapporti con questi vendor in modo molto scrupoloso. La valutazione dell'affidabilità dei servizi di sicurezza per il cloud va pensata attentamente, ad esempio includendo un 14 Security for Business Innovation Council Report RSA, The Security Division of EMC

17 SUGGERIMENTI esame dell'efficacia dei controlli di sicurezza su base continua, tramite un'assicurazione dei controlli basata su dati concreti (fare riferimento al secondo report di questa serie: Future-Proofing Processes). Le aziende dovranno stilare contratti in cui si richiede al vendor di dimostrare regolarmente il corretto funzionamento dei propri controlli e allo stesso tempo dovranno disporre di una strategia preventiva di uscita dal rapporto con il vendor, considerando che l'avvento di nuove funzionalità e competitori nel settore dei servizi di sicurezza cloud potrebbe rendere necessario un cambiamento "in corsa" del proprio fornitore. Mantenere un approccio strategico alla manutenzione Qualunque team desidera avere una versione migliore della tecnologia con cui è già familiare. Alcuni membri del team di sicurezza preferiranno, ad esempio, mantenere la tecnologia antivirus, se le proprie competenze vertono su questa. Avendo a disposizione un capitale limitato per aggiornare la tecnologia, è necessario contrastare questa naturale tendenza e analizzare in modo critico l'effettivo investimento del team di sicurezza in upgrade e point release della tecnologia esistente. Ad esempio, è bene chiedersi se si intende affrontare i rischi legati al mancato aggiornamento di tutti i software o dell'hardware per tecnologie prossime alla fine del proprio ciclo di vita. Una politica strategica di taglio dei costi può sbloccare risorse utili per adottare tecnologie più avanzate. Si tratta di un atto di equilibro, a fronte di un budget limitato. I costi sull'infrastruttura di sicurezza esistente vanno ridotti, cercando di mantenere i rischi a un livello accettabile, per investire i risparmi così ottenuti in alcune delle tecnologie più recenti. Petri Kuivala Chief Information Security Officer, Nokia RSA, The Security Division of EMC Security for Business Innovation Council Report 15

18 Conclusioni I team di sicurezza delle informazioni stanno adottando tecnologie all'avanguardia, nel tentativo di fare muro contro gli attacchi avanzati e contribuire all'innovazione a livello aziendale. Mano a mano che i team sviluppano la propria strategia, emerge che non basta saper scegliere la tecnologia giusta. Per ottenere il massimo, i team devono anche elaborare dei piani pluriennali, di portata globale, per integrare le nuove tecnologie nell'infrastruttura esistente dell'azienda. La costruzione di un framework di difesa su più livelli richiede una profonda comprensione dell'ambiente aziendale e delle risorse critiche da assicurare, nonché una conoscenza degli attacchi specifici di cui l'azienda potrebbe essere oggetto. Le implementazioni tecnologiche di maggior successo sono sostenute da solidi processi che fanno leva su strumenti innovativi e su personale in grado di utilizzarli. La serie di report SBIC "Trasformazione della sicurezza delle informazioni" fornisce una guida per proteggere al meglio le aziende moderne, che punta sull'aggiornamento e l'allineamento delle persone, dei processi e delle tecnologie. Informazioni sull'iniziativa del Security for Business Innovation Council L'innovazione del business ha raggiunto il primo posto all'ordine del giorno in molte enterprise, dove la dirigenza al massimo livello è impegnata a controllare il potere della globalizzazione e della tecnologia per creare nuovo valore e nuove efficienze. Ma c'è ancora un anello mancante. Benché l'innovazione del business sia alimentata dai sistemi informatici e IT, proteggere le informazioni e i sistemi IT non viene generalmente considerato una questione strategica, anche laddove le enterprise devono affrontare una pressione normativa crescente e minacce in aumento. La sicurezza delle informazioni viene addirittura spesso considerata in seconda battuta, inserita in modo posticcio alla fine di un progetto o, peggio ancora, ignorata completamente. Ma senza la strategia di sicurezza giusta, l'innovazione del business potrebbe venire facilmente soffocata o mettere le organizzazioni in grande pericolo. Noi di RSA crediamo che se i team della sicurezza sono partner effettivi nel processo di innovazione del business, possono consentire alla loro organizzazione di ottenere risultati senza precedenti. I tempi sono maturi per un nuovo approccio, dove la sicurezza deve finalmente venire promossa da specializzazione tecnica a strategia di business. Mentre molti team di sicurezza hanno riconosciuto l'esigenza di un migliore allineamento della sicurezza al business, molti altri faticano ancora a tradurre la loro comprensione del problema in piani d'azione concreti. Sanno bene dove devono andare, ma sono incerti su come arrivarci. Ecco perché RSA ha avviato una collaborazione con alcuni dei principali leader mondiali nel campo della sicurezza, per indirizzare un dialogo di settore volto a individuare una nuova strada verso il futuro. RSA ha chiamato a raccolta un gruppo di dirigenti di successo del settore della sicurezza provenienti da aziende Global 1000 in ambiti diversi e li ha riuniti nel "Security for Business Innovation Council". Stiamo conducendo una serie di colloqui approfonditi con il Council, stiamo avviando la pubblicazione delle idee che propone in una serie di report e stiamo sponsorizzando una ricerca indipendente volta a esplorare tali argomenti. Accedere a per visualizzare i report o consultare la ricerca. Insieme possiamo accelerare questa trasformazione cruciale per il settore. 16 Security for Business Innovation Council Report RSA, The Security Division of EMC

19 Autori report Security for Business Innovation Council MARENE N. ALLISON Worldwide Vice President of Information Security, Johnson & Johnson ANISH BHIMANI CISSP Chief Information Risk Officer, JPMorgan Chase WILLIAM BONI CISM, CPP, CISA Corporate Information Security Officer (CISO), VP, Enterprise Information Security, T-Mobile USA ROLAND CLOUTIER Vice President, Chief Security Officer, Automatic Data Processing, Inc. DR. MARTIJN DEKKER Senior Vice President, Chief Information Security Officer, ABN Amro JERRY R. GEISLER III GCFA, GCFE, GCIH, Office of the Chief Information Security Officer, Walmart Stores, Inc. RENEE GUTTMANN Chief Information Security Officer, The Coca-Cola Company MALCOLM HARKINS Vice President, Chief Security and Privacy Officer, Intel KENNETH HAERTLING Vice President e Chief Security Officer, TELUS PETRI KUIVALA Chief Information Security Officer, Nokia DAVE MARTIN CISSP Vice President e Chief Security Officer, EMC Corporation TIM MCKNIGHT CISSP Executive Vice President, Enterprise Information Security and Risk, Fidelity Investments ROBERT RODGER Group Head of Infrastructure Security, HSBC Holdings, plc. RALPH SALOMON CRISC Vice President Security, Processes & Compliance Office, SAP Cloud and Infrastructure Delivery, SAP AG VISHAL SALVI CISM Chief Information Security Officer e Senior Vice President, HDFC Bank Limited SIMON STRICKLAND Global Head of Security, AstraZeneca Per consultare le biografie complete dei membri SBIC, visitare LEANNE TOLIVER Office of the Chief Information Security Officer, ebay DENISE D. WOOD Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer, FedEx Corporation RSA, The Security Division of EMC Security for Business Innovation Council Report 17

20 EMC, EMC 2, il logo EMC, RSA e il logo RSA sono marchi o marchi registrati di EMC Corporation negli Stati Uniti e/o in altri paesi. Tutti gli altri prodotti e/o servizi citati nel presente documento appartengono ai rispettivi proprietari EMC Corporation. Tutti i diritti riservati CISO RPT Security for Business Innovation Council Report RSA, The Security Division of EMC