Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer»

Transcript

1 Skills 4 security: antani? «Le dico solo tre parole... Chief Security Officer»

2 La security: esperienza vs conoscenza didattica Cosa può capitare avendone solo una delle due? Esperienza pregressa Conoscenza didattica 2015 BL4CKSWAN SRL Pagina 2 Skills 4 security: Antani?

3 Errori comuni secondo Zelster e SANS Quali si possono evitare con l esperienza? Quali con la conoscenza di standard o best practices? E con entrambe? 1. Attivare frettolosamente un SGSI ISO prima che l organizzazione sia pronta. 2. Scrivere politiche di sicurezza che non si è in grado di far applicare. 3. Implementare singoli requisiti di compliance senza inserirli in una struttura di security più ampia. 4. Far stilare le politiche di sicurezza a risorse esterne prive della sufficiente conoscenza del perimetro. 5. Dare per scontato che essere «compliant» implichi automaticamente «essere sicuri». 6. Cercare di «nascondere» le problematiche agli occhi degli auditor 7. Acquistare ed attivare un prodotto o tool di sicurezza senza effettuare tuning specifico 8. Non monitorare a sufficienza o in modo corretto i sistemi IDS, firewall e antivirus 2015 BL4CKSWAN SRL Pagina 3 Skills 4 security: Antani?

4 Errori comuni secondo Zelster e SANS Quali si possono evitare con l esperienza? Quali con la conoscenza di standard o best practices? E con entrambe? (2) 9. Effettuare periodicamente verifiche tecnologiche ma non seguirne la successiva remediation. 10. Assegnare un ruolo di Risk Management ma senza delegare sufficienti poteri decisionali. 11. Focalizzarsi sull analisi del rischio quantitativa senza aver prima considerato la «big picture». 12. Assumere che la security non sia importante «perché tanto l azienda è troppo piccola». 13. Dare per scontato di essere sicuri in quanto non si è subito un security breach fino a quel momento. 14. Classificare tutti i propri asset al massimo livello di riservatezza e/o criticità. 15. Attivare tanti controlli di sicurezza al punto da rendere difficile la normale operatività. 16. Focalizzarsi su controlli preventivi lasciando in secondo piano quelli di rilevamento e monitoraggio 2015 BL4CKSWAN SRL Pagina 4 Skills 4 security: Antani?

5 Errori comuni secondo Zelster e SANS Quali si possono evitare con l esperienza? Quali con la conoscenza di standard o best practices? E con entrambe? (3) 17. Scegliere il tempo di retention dei file di log basandosi sullo spazio che occupano. 18. Assumere che l uso di SSL nella propria web application sia sufficiente per gestire tutta la sua sicurezza. 19. Imporre regole di gestione delle password troppo onerose per gli utenti. 20. Utilizzare gli stessi controlli di autenticazione e accesso su sistemi con diversa criticità di dati contenuti. 21. Imporre requisiti di sicurezza senza fornire adeguata formazione o strumenti a supporto. 22. Illudersi che gli utenti abbandonino spontaneamente il comfort per la sicurezza. 23. Utilizzare il medesimo rigore su tutti gli asset aziendali, indipendentemente dal loro profilo di rischio. 24. Acquistare e attivare sistemi o tool di security senza considerare i costi e gli effort di mantenimento BL4CKSWAN SRL Pagina 5 Skills 4 security: Antani?

6 Un aiuto? Le figure professionali Le figure professionali legate alla Security sono state individuate da diversi standard e documenti nel corso del tempo, tra i quali: Responsabilità E-competence Framework 2.0 UNI E-competence Framework 3.0 Percorsi formativi Attività assegnate Cosa si definisce nelle figure professionali sulla security e con quali vantaggi? Figure professionali Posizionamento gerarchico Competenze attese 2015 BL4CKSWAN SRL Pagina 6 Skills 4 security: Antani?

7 Profili professionali relativi alla sicurezza delle informazioni Attività professionali non regolamentate - Profili professionali per l ICT E-CF 2.0 / CVA Tra cui le figure ICT Security Specialist e ICT security manager UNI 11506:2013 «Profili di seconda generazione» E-CF 3.0 Futura norma UNI multipart APN: Profili professionali per l ICT 2015 BL4CKSWAN SRL Pagina 7 Skills 4 security: Antani?

8 Profili professionali per l ICT Approfondimento su alcuni profili CISO Analista di processo Specialista di processo Analista tecnico Specialista infrastrutturale Specialista applicativo Specialista nella risposta agli incidenti 2015 BL4CKSWAN SRL Pagina 8 Skills 4 security: Antani?

9 Profili professionali per l ICT CISO Responsabile di: Le principali politiche di sicurezza Analisi e verifiche di sicurezza (organizzative e tecnologiche) Indicatori Definizione requisiti Principali compiti: Informa la direzione Gestisce il budget Organizza le responsabilità 2015 BL4CKSWAN SRL Pagina 9 Skills 4 security: Antani?

10 Profili professionali per l ICT Analista di processo per la sicurezza delle informazioni Responsabile di: Report tecnici di analisi Principali compiti: Programma e pianifica le attività di analisi Riesamina documentazione ed effettua interviste Stila report sugli scostamenti individuati E parte attiva nel processo di miglioramento E referente nel programma di analisi per la sicurezza delle informazioni 2015 BL4CKSWAN SRL Pagina 10 Skills 4 security: Antani?

11 Profili professionali per l ICT Specialista di processo per la sicurezza delle informazioni Responsabile di: Gestione giorno per giorno degli aspetti operativi Referente in: Procedure operative sulla sicurezza Piano di disaster recovery Indicatori sulla sicurezza delle informazioni Piano di trattamento del rischio / piano di sicurezza 2015 BL4CKSWAN SRL Pagina 11 Skills 4 security: Antani?

12 Profili professionali per l ICT Analista tecnico per la sicurezza delle informazioni Responsabile di: Verifica tecnica della sicurezza delle informazioni dei sistemi, delle reti e delle applicazioni Report tecnici di analisi Referente in: Verifiche tecniche di sicurezza 2015 BL4CKSWAN SRL Pagina 12 Skills 4 security: Antani?

13 Profili professionali per l ICT Specialista infrastrutturale per la sicurezza delle informazioni Responsabile di: Pianificazione e implementazione delle soluzioni per la sicurezza delle informazioni riguardanti sistemi e reti. Referente in: Requisiti per la sicurezza delle informazioni Indicatori per la sicurezza Report tecnici di analisi 2015 BL4CKSWAN SRL Pagina 13 Skills 4 security: Antani?

14 Profili professionali per l ICT Specialista applicativo per la sicurezza delle informazioni Responsabile di: Pianificazione e implementazione delle soluzioni applicative per la sicurezza e degli aspetti di programmazione sicura. Referente in: Procedure operative per la sicurezza delle informazioni Indicatori per la sicurezza delle informazioni 2015 BL4CKSWAN SRL Pagina 14 Skills 4 security: Antani?

15 Profili professionali per l ICT Specialista nella risposta agli incidenti Responsabile di: Gestione delle azioni di risposta agli incidenti (tipicamente appartenente a un CERT). Referente in: Report di analisi forensi Procedure operative per la sicurezza delle informazioni 2015 BL4CKSWAN SRL Pagina 15 Skills 4 security: Antani?

16 Formazione e. Eh! Standard della famiglia 27xxx, solo uno certificabile 2015 BL4CKSWAN SRL Pagina 16 Skills 4 security: Antani?

17 2015 BL4CKSWAN SRL Pagina 17 Skills 4 Security... Antani?

18 Voglio imparare meglio la sicurezza Mi aspetto di imparare i principi generali (e non) della security Mi aspetto di imparare come implementare e gestire un ISMS Mi aspetto di ottenere delle capacità pratiche (operative) per imparare a lavorare meglio Mi aspetto di apprendere quali metodologie posso usare per lavorare meglio Mi aspetto di affrontare nuove e vecchie tecnologie (che ad oggi sono solo acronimi) BL4CKSWAN SRL Pagina 18 Skills 4 Security... Antani?

19 ISO Lead Auditor: i contenuti (1) La High Level Structure HLS Sta migliorando... Context Leadership & Commitment Policy Roles and Responsibilities Actions to address risk and opportunities Plan and Objectives Resources Competences Awareness Communication Documented Information Internal Audit Management Review Improvement 2015 BL4CKSWAN SRL Pagina 19 Skills 4 Security... Antani?

20 ISO Lead Auditor: i contenuti (2) I domini della security Business Continuity Information Security Policies Compliance Organization Physical and Environmental Incident Management Asset Management Supplier Relations Communications Human Resources Access Control Cryptography Operations Security Acquisition Development Maintenance 2015 BL4CKSWAN SRL Pagina 20 Skills 4 Security... Antani?

21 ISO Lead Auditor: i contenuti (3) La Comptenze auditor Definizione Obiettivi Definizione Programma Attuazione Programma Attività di audit Migllioramento programma di audit Monitoraggio e riesame del programma 2015 BL4CKSWAN SRL Pagina 21 Skills 4 Security... Antani?

22 I corsi Lead Auditor: i problemi e le classiche reazioni post-corso «È stato gradevole e ora mi sento più in grado di gestire il mio day by day» 2015 BL4CKSWAN SRL Pagina 22 Skills 4 Security... Antani?

23 I corsi Lead Auditor: i problemi e le classiche reazioni post-corso (1) Ok - ora strutturarami un processo di ANALISI DEI RISCHI 2015 BL4CKSWAN SRL Pagina 23 Skills 4 Security... Antani?

24 I corsi Lead Auditor: i problemi e le classiche reazioni post-corso (2) Come gestiresti le escalation per il tuo processo di INCIDENT MANAGEMENT 2015 BL4CKSWAN SRL Pagina 24 Skills 4 Security... Antani?

25 I corsi Lead Auditor: i problemi e le classiche reazioni post-corso (3) Che ce l hai un pò di BUSINESS CONTINUITY? 2015 BL4CKSWAN SRL Pagina 25 Skills 4 Security... Antani?

26 Il mio corso ideale Si chiama Lead Implementer, e mi insegna a: Scrivere un business case e un project plan per inizializzare l implementazione di un ISMS Definire lo scope del mio ISMS Sviluppare il mio ISMS e l Information Security Policy Selezionare l approccio e le metodologie più utili per il risk assessment Draftare un SOA Progettare e realizzare un Information Security Policy framework Progettare e selezionare controlli di sicurezza Definire metriche, performance indicator e dashboard a supporto del monitoraggio del mio ISMS 2015 BL4CKSWAN SRL Pagina 26 Skills 4 Security... Antani?

27 Il mio corso ideale 27xxx Di implementer, non ce ne è solo uno ISO 27001:2013: Information Security Management Systems CISO ISO 27004:2009: Information security management Measurement CISO ISO 27005:2011: Information security risk management Specialista di Processo ISO 27014:2013: Governance of information security Specialista di Processo ISO 27034:2011: Application security Specialista Applicativo ISO 27035:2011: Information security incident management Specialista nella risposta agli incidenti 2015 BL4CKSWAN SRL Pagina 27 Skills 4 Security... Antani?

28 I corsi Lead Implementer e quella questione del bollino BL4CKSWAN SRL Pagina 28 Skills 4 Security... Antani?

29 Professional Evaluation & Certification Board (PECB) Ente di Certificazione per le competenze personali accreditato ANSI nel rispetto dello standard ISO/IEC 17024; 31 schemi accreditati; Progetta, sviluppa, eroga corsi certificati; Certifica le competenze professionali; rete di partner in 150 paesi 2015 BL4CKSWAN SRL Pagina 29 Skills 4 Security... Antani?