Data Security Governance: come conciliare esigenze tecniche, obiettivi di business e vincoli di budget

Transcript

1 <Insert Picture Here> Data Security Governance: come conciliare esigenze tecniche, obiettivi di business e vincoli di budget Andrea Gaglietto Protiviti andrea.gaglietto@protiviti.it Luca Mazzocchi Saipem luca.mazzocchi@saipem.com Andrea Goisis Zeropiu andrea.goisis@zeropiu.it

2 Agenda Introduzione Data Breach Data Governance Normative e Standard Le Misure di Sicurezza Database Security Criticità nella sicurezza del dato L approccio metodologico Un caso concreto: SAIPEM Declinazione dell approccio Il piano di intervento Risultati e benefici attesi

3 Introduzione...L Incremento del volume dei dati gestiti dalle aziende e dei canali a disposizione per accedervi hanno portato nuove e interessanti opportunità......e al contempo, una crescita delle potenziali minacce ai requisiti di confidenzialità, integrità e disponibilità delle informazioni......diventa rilevante definire un approccio strutturato alla gestione delle informazioni, che permetta di mitigare il rischio di compromissione dell informazioni e di subire un Data Breach... Security Risk Process Data

4 Data Breach Alcune Statistiche: Circa 1 miliardo di utenti/records hanno subito data breach nel periodo I casi di data breach malevoli hanno determinato un costo medio di $160 per record; gli attacchi malevoli hanno causato il costo più elevato Data breaches - Alcuni Esempi Aprile Una società di marketing ha subito un cyber attack massivo ai suoi sistemi, con conseguente accesso non autorizzato ad alcuni dati di clienti. L attacco ha coinvolto nome, , data di nascita e password criptate, impattando su 50 milioni di utenti. Luglio Dicembre Una Società francese sviluppatrice e distributrice di videogiochi mette in guardia 58 milioni di utenti rivelando di aver subito un accesso illegale ai suoi sistemi online, e quindi al suo database, che includeva il nome degli utenti, l indirizzo e password criptate. Hacker russi sono stati in grado di ottenere 54 millioni di dati identificativi di cittadini turchi. Il comitato Turkey s Supreme Election aveva inizialmente condiviso questi dati con le diverse parti politiche, che conservavano le informazioni su siti web non sicuri, facile preda degli hacker.

5 Data Breach - Benchmark Distribuzione dei costi del Data Breach per settori industriali (US$) 2013 (relativo al singolo record) Costo medio per Paese delle tre principali cause del Data Breach (US$) 2013 (relativo al singolo record) Sources: Ponemon Institute. Ricerca di benchmark sponsorizzata da Symantec

6 Data Governance - Minacce La Data Governance è l insieme di processi e di strumenti tesi a garantire l efficace gestione, in termini di valorizzazione e di protezione delle informazioni aziendali, durante il loro intero ciclo di vita. Persone Asset informativi strategici incustoditi Dipendenti infedeli Disattenzione/incuria nel modificare i dati Hacking Social Engineering Relative al sito Tecnologiche Minacce Malfunzionamento/ compromissione Hw e SW Malicious Codes

7 Data Governance - Le esigenze Indicatori di esigenza di un programma di Data Governance: Incidenti con violazione della confidenzialità delle informazioni / Sanzioni comminate Assenza di policy e di procedure per l adempimento degli obblighi di compliance Identificazione di criticità o di rischi nell accesso, nella conservazione e nel trattamento delle informazioni Incidenti di sicurezza IT Operazioni straordinarie / rilevanti: fusioni, acquisizioni, dismissioni, partnership, outsourcing di processi di business / sistemi, etc. Mancanza di policy e di processi per la gestione delle informazioni: classificazione, monitoraggio, etc. Incompleta mappatura dei punti di archiviazione / replica delle informazioni aziendali e dei diritti di accesso agli stessi Rischi / criticità relativi all infrastruttura per il monitoraggio e per il controllo dell accesso alle informazioni (staffing, strumenti, etc.)

8 Data Governance - Il modello Implementazione delle misure di sicurezza Data Governance Model Security Risk Process Rilevazione delle informazioni e dell architettura dei dati Definizione Remediation Plan Data Sviluppo/ miglioramento di policy e processi di sicurezza Classificazione delle informzioni ed identificazione dei rischi

9 Il Processo di Data Breach Scoperta dell Incidente di Data Breach: necessaria la definizione di misure organizzative e tecnologiche a supporto della rilevazione tempestiva dell evento di data breach Escalation Notifica Risposta ex-post: organizzare e coordinare le attività del Team di risposta all incidente di data breach definire il piano di comunicazione per la sua gestione predisporre documenti (richiesti dalle normative vigenti) da inviare al target dell incidente

10 Normative e Standard Circolare n. 263 di Banca d Italia...É definito uno standard aziendale di data governance che individua ruoli e responsabilità delle funzioni coinvolte nell utilizzo e nel trattamento, al fine di assicurare nel continuo l integrità, completezza e correttezza dei dati conservati e delle informazioni... PCI DSS 3.0 Aggiornamento dello standard PCI per rispondere in modo più efficace alle nuove minacce e ai cambiamenti associati all evoluzione del mercato. Ad esempio: Gestione delle terze parti Sicurezza fisica dei terminali Gestione account e password Normative e Standard ISO 27001:2013 Aggiornamento dello standard per la gestione sicura delle informazioni, ad esempio: Valutazione dei rischi sulla base dell impatto derivante dalla compromissione della confidenzialità, dell integrità e della disponibilità delle informazioni Domini specifici relativi alla gestione della crittografia e della sicurezza delle informazioni nei rapporti con le terze parti Privacy Regolamento UE n. 611/2013 «il fornitore notifica all autorità nazionale competente la violazione di dati personali entro un termine di 24 ore...» Provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali (c.d. Data breach) - 4 Aprile 2013

11 Le misure di sicurezza Modello di Security Data Governance Policy e Procedure di Sicurezza Programma di comunicazione e sensibilizzazione MISURE ORGANIZZATIVE Training Newsletter Workshop E-Learning Soluzioni di sicurezza perimetrale / infrastrutturale Data Loss Prevention Crittografia MISURE TECNOLOGICHE Gestione accessi e profili (IAM) Log & Monitoring DRM / IRM Disaster Recovery Classificazione delle informazioni SEGRETO RISERVATO Database Security INTERNO PUBBLICO

12 Agenda Introduzione Data Breach Data Governance Normative e Standard Le Misure di Sicurezza Database Security Criticità nella sicurezza del dato L approccio metodologico Un caso concreto: SAIPEM Declinazione dell approccio Il piano di intervento Risultati e benefici attesi

13 Zeropiu ZEROPIU System integrator attivo nel campo della sicurezza logica, con focalizzazione su: Role, Identity and Access Management Information security Mobile security Infrastructure security Servizi operativi specialistici, basati su SLA e best practice ITIL Audit e consulenza Privacy Società certificata ISO 9001:2008 per sviluppo e servizi in ambito IT Consulenza Servizi operativi Sicurezza di: Identità digitali, Informazioni, Infrastruttura, mobile. Progetti

14 Il contesto Criticità Vincoli Velocità di crescita dei dati Espansione data breach Overall Exabytes * + Budget Compliance Reazione = Aumento investimenti sicurezza E i dati?? * Data Breach Investigation Report 2013 Verizon Risk Team

15 E i dati?? La protezione del perimetro forse non basta più: Ambienti eterogenei e poco monitorati Informazioni sensibili non cifrate Password condivise Procedure di sicurezza insufficienti Condivisione di dati sensibili con terze parti Sviluppatori lavorano su dati reali Fase 1: Necessità di un approccio strutturato Kickoff meeting Fase 2: Interviste iterative Fase 3: Elaborazione risultati interviste Implementazione delle misure di sicurezza Data Governance Model Security Risk Process Data Rilevazione delle informazioni e dell architettur a dei dati Fase 4: Presentazione risultati Assessment Definizione Remediation Plan Sviluppo/ miglioramento di policy e processi di sicurezza Classificazione delle informzioni ed identificazione dei rischi

16 3-8 settimane Approccio strutturato: la metodologia Fase 1: Kickoff meeting Fase 2: Interviste iterative Fase 3: Elaborazione risultati interviste Fase 4: Presentazione risultati

17 Il metodo Fase 1 Kickoff Meeting Presentazione metodo; Definizione perimetro; Profondità dell assessment: di dettaglio; per classe di servizi, analisi di alto livello; Pianificazione attività; Presentazione obiettivi / risultati; Attori coinvolti: CIO, CISO, Compliance, DBA, Application Manager;

18 Il metodo Fase 2 (Interviste) Business Context: Dettaglio dei servizi a supporto del business, processi critici e relativi dati Analisi dell impatto derivante da perdita di sicurezza (riservatezza, disponibilità, integrità) Rischi inerenti per mancata conformità, di immagine o operativi Attori: CISO, Compliance, AM Technical Context: Numero database; Architettura data center; Tecnologie database, erogazione servizi, ecc.. Storage, Sistemi operativi, ecc.. Metodologie di accesso ai servizi Log, SIEM Sicurezza DB: DB Access, Server Access, Firewall & Log Manager, Data protection, Secure Configuration (SOD, patches ) Attori: DBA, Infrastrutture, CISO

19 Il metodo - Fasi 3 e 4 Fase 3: Elaborazione risultati interviste Elaborazione dati raccolti; Raggruppamento database per classi omogenee (tipologia, versione, ecc..) Analisi del livello di maturità Ipotesi di modello to be Attori: Consulenti, CISO Fase 4: Presentazione risultati Assessment Presentazione as is - Maturity evaluation data security Opportunità di miglioramento della sicurezza Benefici attesi e tecnologie abilitanti Matrice di fattibilità e priorità di intervento Attori: CIO, CISO;

20 Deliverables: maturity evaluation & priority matrix Feasibility Secure Level of Configuration simplicity Transformation speed Access Control Data Protection DB Activity Monitoring& Blocking and Audit Product/Capability High Maturity Evaluation Data As Is Encryption Recommended DB Firewalling & Logging Un-formal change process and Force Named Production environment policy; security patches are not separated from development & regularly applied and Accounts Access test; policy and procedures for configuration management is not change and patch management regulated Implement SYS / SYSTEM Control passwords Privileged SOD for DBA widely used by a small Account number Named account and privileged of DBA; systematic use of access Data management application passwords. Masking Formal DB backup implemented. DB Upgrade Segregate No other data protection at rest, Use of encryption of Enviroments DB data. in transit, on exports; production Test and development data deidentified. database is used for development Low Low No log management. Some applicative PHP controls via self developed classes. Absence of real time alerting. Protect database connection from malicious SQL injections both from applications, and from direct access tools. Implement formal logging and auditing/alerting procedures. Priority/Urgence Gap recovery opportunities between As Is and Recommended Potential impact generated High

21 Un caso concreto

22 Saipem: A Leading Global EP(I)C General Contractor Revenues (2012) Backlog (31st December, 2012) Employees (31st December, 2013) Engineers & Project Managers 13.4 B 19.7 B 48,600 > 7,000 Operating in more than 60 countries, more than 50 permanent establishments, employees from 127 nationalities Drilling High quality player onshore and in niches offshore Engineering & Construction Full service EP(I)C provider Distinctive frontier focus in Oil & Gas industries Most modern, technologically advanced offshore construction fleet

23 Saipem: l ICT Security Sviluppa su base pluriennale iniziative e progetti finalizzati ad un progressivo sviluppo della sicurezza, lavorando su processi e tecnologie User EndPoint Network Service Application Data

24 Obiettivi e vincoli Riferimenti normativi SOX l. 262/05 Informazione al mercato Responsbilità amministrativa (231/01) Disponibilità Riferimenti di contesto Perimetro aziendale variabile Sicurezza del contesto operativo Diverse tutele legislative Integrità Dati strutturati Criticità Esposizione a: frodi sabotaggio attacchi informatici Operatività 24x7 Riservatezza

25 Saipem: applicazione metodo Settembre 2013 Ottobre 2013 Ottobre 2013 Novembre 2013 Inizio 2014 Fase 1: Kickoff Meeting Presentazione metodo Definizione perimetro: tutti i database Modalità di analisi generale tutti i database; dettagliata per i database soggetti a compliance SOX Stakeholders: CIO, CISO,Compliance Ref. Infrastrutture e DB, AM; Fase 3: Elaborazione risultati interviste Elaborazione dati raccolti Raggruppamento database Oracle (ver 9-11), MS Sql Server, Sybase Criticità: SOX (Priorità 1), Priorità 2, Priorità 3 Maturity Model: posizionamento rispetto alla metodologia Preparazione modello to be Stakeholders: Zeropiu, CISO Fase 2: Interviste Infrastruttura (CISO + Ref. infrastrutture e DB): Numero di database database Tipologie: Oracle, MS SQL Server, Sybase Infrastrutture: virtualizzata, linux oriented, business continuity Procedure di sicurezza (CISO + Ref. infrastrutture e DB): Patch Management, Access Management, Procedure di hardening, Sistemi di controllo Compliance (CISO, Compliance, Ref. infrastrutture e DB, AM): Servizi / Database soggetti a SOX Stakeholders: CISO, Compliance, Ref. Infrastrutture e DB, AM Fase 4: Presentazione risultati Assessment Presentazione as is - Maturity evaluation data security Opportunità di miglioramento della sicurezza Benefici attesi e tecnologie abilitanti: EUS - Vault - Masking Matrice di fattibilità e priorità di intervento Stakeholders: CIO, CISO, Compliance, Responsabile DBA, AM;

26 Saipem: dal metodo ai progetti Settembre 2013 Ottobre 2013 Ottobre 2013 Novembre 2013 Inizio 2014 Vision Action Metodo Misurazione gap Definizione della roadmap Priorità Action Verifica improvement Individuare gli obiettivi intermedi Progetto Priorità di investimento Solution Selection Scope Stakeholder analysis Comunicazione Priorità 1: Priorità 2: Priorità 3: Segregazione dei ruoli Oracle database vault Accesso nominale Enterprise User Security Mascheramento dati Oracle Data Masking 3 mesi 4 mesi 3 mesi Elapsed