Security for Business Innovation Council

Transcript

1 ABN Amro Dr. Martijn Dekker, Senior Vice President, Chief Information Security Officer Airtel Felix Mohan, Senior Vice President e Global Chief Information Security Officer AstraZeneca Simon Strickland, Global Head of Security Automatic Data Processing Roland Cloutier, Vice President, Chief Security Officer The Coca-Cola Company Renee Guttmann, Chief Information Security Officer EMC Corporation Dave Martin, Vice President e Chief Security Officer FedEx Denise D. Wood, Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer Fidelity Investments Tim MCKnight, Executive Vice President, Enterprise Information Security and Risk HDFC Bank Vishal Salvi, Chief Information Security Officer e Senior Vice President HSBC Holdings plc. Bob Rodger, Group Head of Infrastructure Security Intel Malcolm Harkins, Vice President, Chief Security and Privacy Officer Johnson & Johnson Marene N. Allison, Worldwide Vice President of Information Security JPMorgan Chase Anish Bhimani, Chief Information Risk Officer Nokia Petri Kuivala, Chief Information Security Officer SAP AG Ralph Salomon, Vice President IT Security and Risk Office TELUS Kenneth Haertling, Vice President e Chief Security Officer t Report basato su discussioni con Security for Business Innovation Council trasformazione della sicurezza delle informazioni Progettazione di un team allargato all'avanguardia T-Mobile USA William Boni, Corporate Information Security Officer (CISO) e Vice President, Enterprise Information Security Consigli dei dirigenti Global 1000 In questo report Walmart Stores, Inc. Jerry R. Geisler III, Office of the Chief Information Security Officer La missione in evoluzione della sicurezza delle informazioni Nuove competenze richieste Opportunità di collaborazione emergenti Informazioni approfondite su ottimizzazione nell'uso delle risorse Suggerimenti attuabili Mappa di "responsabili e mansioni" su un team allargato Iniziativa di settore sponsorizzata da RSA

2 * Sommario punti salienti del report 1 1. Introduzione team in transizione 2 2. Il nuovo SOW 3 Grafico 1 - L'attuale missione della sicurezza delle informazioni>>>>>>4 3. Sfide e opportunità 6 4. Suggerimenti 7 1. Ridefinire e potenziare le competenze chiave>>>>>>>>>>>>>>>>>>7 2. Delegare le operazioni di routine>>>>>>>>>>>>>>>>>>>>>>>>>>>9 3. Richiedere esperti in prestito o assumerli a tempo determinato>>> Guidare i proprietari dei rischi nella gestione dei rischi>>>>>>>>> Assumere esperti nell'ottimizzazione dei processi>>>>>>>>>>>>> Instaurare relazioni cruciali>>>>>>>>>>>>>>>>>>>>>>>>>>>>> Pensare out-of-the-box per talenti futuri>>>>>>>>>>>>>>>>>>>> 12 Conclusioni 13 Informazioni su Security for Business Innovation Council 13 appendice Grafico 2 - Illustrazione di un team allargato all'avanguardia per la sicurezza delle informazioni>>>>>>>>>>>>>>>>>>>>>>>>>> 14 Autori 16 Declinazione di responsabilità - Il presente Security for Business Innovation Council Report (di seguito il "Report") comprende informazioni e materiali (congiuntamente, il "Contenuto") soggetti a modifica senza obbligo di preavviso. RSA Security LLC, EMC Corporation e i singoli autori del Security for Business Innovation Council (congiuntamente, gli "Autori") declinano espressamente ogni obbligo di aggiornamento del Contenuto. Il Contenuto viene fornito "COSÌ COM'È". Gli Autori non forniscono alcuna garanzia espressa o implicita in relazione all'uso del Contenuto, comprese, a titolo esemplificativo, commerciabilità, compatibilità, non violazione, accuratezza o idoneità a uno scopo particolare. Il Contenuto è inteso a fornire informazioni al pubblico e non costituisce alcuna consulenza legale da parte di RSA Security LLC, della sua azienda principale, di EMC Corporation, dei relativi avvocati o degli autori del presente report SBIC. L'utente non deve agire o trattenersi dall'agire in base al Contenuto, senza avere prima consultato un legale iscritto all'albo presso la sua giurisdizione. Gli Autori non potranno essere ritenuti responsabili di eventuali errori qui contenuti o di eventuali danni derivanti o relativi all'uso di questo Report (incluso tutto il Contenuto), compresi, a titolo indicativo, i danni diretti, indiretti, incidentali, speciali, consequenziali o punitivi, sia per inadempimento contrattuale, negligenza o responsabilità extracontrattuale, anche qualora gli Autori fossero consapevoli della possibilità di tali errori o danni. Gli Autori declinano qualsiasi responsabilità in caso di errori od omissioni in qualsiasi parte del Contenuto. 2 Security for Business Innovation Council Report RSA, The Security Division of EMC

3 Punti salienti del report Che cosa serve oggi per gestire i rischi legati agli asset informatici in un'enterprise globale? Molto più di quanto serviva anche solo pochi anni fa. Negli ultimi 18 mesi, in particolare, i requisiti sono aumentati sensibilmente a causa dell'escalation di attacchi informatici, dell'adozione febbrile di nuove tecnologie, dei maggiori controlli normativi e di un ambiente aziendale iper-connesso. La missione della sicurezza delle informazioni non è più semplicemente "implementare ed eseguire i controlli di sicurezza", ma si è evoluta fino a includere attività tecniche e businesscentric avanzate come: analisi dei rischi aziendali, valutazione degli asset, integrità della supply chain IT, cyber intelligence, security data analytics, data warehousing e ottimizzazione dei processi. Sono talmente tante le nuove competenze richieste che la vera sfida nel realizzare un team efficace è data dalla carenza di professionisti con le giuste competenze. Emerge quindi una nuova opportunità: in molte organizzazioni il personale non addetto alla sicurezza si sta rendendo conto di essere esso stesso, e non gli addetti alla sicurezza, responsabile dei rischi dei propri asset informativi, e comprende l'esigenza di stringere collaborazioni attive con la sicurezza per la gestione di questi rischi. Per avere successo, la funzione di sicurezza delle informazioni deve essere un progetto interaziendale, che prevede processi di sicurezza profondamente integrati nei processi aziendali. Il team allargato comprende il personale del reparto IT, delle business unit e di uffici come approvvigionamento, legale e marketing. Il team "core" per la sicurezza delle informazioni amministra e coordina l'intera iniziativa ed esegue attività che richiedono conoscenze specializzate o centralizzazione. Sette suggerimenti costituiscono il manuale per realizzare un team allargato all'avanguardia per gestire in modo efficace i rischi alla sicurezza informatica e ottimizzare l'uso delle risorse umane a disposizione e per garantire che il team disponga delle nuove competenze richieste. 1. Ridefinire e potenziare le competenze core - Concentrare il team core sull'incremento delle abilità in quattro aree principali: Cyber Risk Intelligence e Security Data Analytics, Security Data Management, Risk Consultancy e Controls Design and Assurance. 2. Delegare le operazioni di routine - Assegnare processi di sicurezza ripetibili e consolidati a IT, business unit e/o service provider esterni. 3. Richiedere esperti in prestito o assunti a tempo determinato - In caso di specializzazioni particolari, estendere il team core con esperti provenienti sia dall'interno che dall'esterno dell'organizzazione. 4. Guidare i Risk Owner nella gestione dei rischi - Collaborare con l'azienda per la gestione dei rischi alla sicurezza informatica e coordinare un approccio omogeneo. Semplificare la procedura per l'azienda e renderli responsabili delle loro scelte. 5. Assumere esperti nell'ottimizzazione dei processi - Dotare il team di persone con esperienza e/o certificazioni nella gestione di qualità, progetti o programmi, nell'ottimizzazione dei processi e nell'erogazione dei servizi. 6. Instaurare relazioni cruciali - Conquistare una posizione adeguata per avere un impatto sulle persone chiave come gli owner dei "gioielli della corona", il middle management e i service provider esternalizzati. 7. Pensare "out-of-the-box" per talenti futuri - Data la mancanza di competenze immediatamente disponibili, lo sviluppo di talenti è l'unica soluzione a lungo termine per la maggior parte delle organizzazioni. Una formazione utile può includere amministrazione di database, sviluppo software, analisi aziendale, intelligence militare, competenze in ambito legale o di privacy, data science, matematica o storia. RSA, The Security Division of EMC Security for Business Innovation Council Report 1

4 1 Introduzione: team in transizione S e qualche anno fa foste entrati in un reparto di sicurezza delle informazioni, avreste probabilmente incontrato un team con competenze esclusivamente tecniche. Avreste sentito parlare di tecniche di protezione del perimetro, liste di controllo di conformità e aggiornamenti antivirus. Se varcaste ora quella stessa soglia, vi trovereste di fronte un'immagine completamente diversa. I team si stanno evolvendo in gruppi multidisciplinari che comprendono analisti delle minacce, consulenti sui rischi, Data Scientist ed esperti dei processi. Le discussioni si stanno spostando su argomenti come gestione dei rischi aziendali, analisi dei dati, assicurazione dei controlli e governance dei service provider. Organizzazioni diverse si trovano in fasi diverse del processo di trasformazione, anche se la maggior parte ha riconosciuto l'esigenza di adottare nuovi approcci alla sicurezza delle informazioni. Da un sondaggio recente sulla sicurezza è addirittura emerso che la seconda priorità di spesa in ordine di importanza per le enterprise globali è la riprogettazione fondamentale dei programmi di sicurezza delle informazioni. 1 Aggiungere semplicemente soluzioni mirate o lavorare su miglioramenti incrementali non è più sufficiente. Ma in cosa consiste esattamente un programma di sicurezza delle informazioni efficace e che guarda al futuro? Questo report è il primo di una serie sulla trasformazione dei programmi sulla sicurezza delle informazioni aziendali che si propone di rispondere a questa domanda, partendo dall'esperienza e dalla visione di alcuni dei responsabili della sicurezza delle informazioni più importanti al mondo facenti parte del Security for Business Innovation Council (SBIC). Questo primo report descrive le nuove competenze essenziali e illustra come le responsabilità della sicurezza delle informazioni vengono distribuite su tutta l'azienda. Fornisce consigli specifici e attuabili per la progettazione di un team allargato all'avanguardia. 1 E&Y Global Information Security Survey, novembre Security for Business Innovation Council Report RSA, The Security Division of EMC

5 2 Il nuovo SOW L a missione della sicurezza delle informazioni non è più semplicemente "implementare ed eseguire i controlli di sicurezza", ma si è evoluta fino a includere un gruppo di attività più ampio. Per realizzare un team ottimizzato con le persone migliori per il job è fondamentale comprendere l'ambito del lavoro. Che cosa serve oggi per gestire i rischi legati agli asset informativi in un'enterprise globale? Molto più di quanto serviva anche solo pochi anni fa. Negli ultimi 18 mesi, in particolare, i requisiti sono aumentati sensibilmente a causa dell'escalation di attacchi informatici, dell'adozione febbrile di nuove tecnologie, dei maggiori controlli normativi e di un ambiente aziendale iper-connesso. Le organizzazioni sono oggi sottoposte a una forte pressione per ottenere un atteggiamento proattivo ai rischi della sicurezza informatica. Per attuare questo cambiamento, è necessario adottare nuovi approcci nella difesa contro le minacce avanzate, integrando la sicurezza delle informazioni nelle strategie tecnologiche e di business e garantendo efficacia ed efficienza dei processi di sicurezza. Sono ora indispensabili attività avanzate incentrare su tecnologia e business, come: DDInformation Risk Management/Business Risk versus Reward Analysis Per rendere sistematico il processo decisionale sulla base di rischio/ricompensa DDInventario e valutazione degli asset Per assegnare priorità alle strategie di protezione e concentrarsi sulla salvaguardia degli asset più preziosi DDGestione dei rischi di terze parti/integrità della supply chain IT Per valutare il crescente numero di service provider e componenti di sistema reperiti a livello globale DDCyber Risk Intelligence e Threat Analysis Per comprendere il panorama conflittuale e riconoscere gli indicatori degli attacchi DDSecurity Data Analytics Per applicare tecniche di analisi avanzate nel rilevamento dei sistemi anomali o del comportamento degli utenti negli ambienti IT DDSecurity Data Management e Data Warehousing Per sviluppare una strategia e un'infrastruttura complessive per la raccolta di dati da diverse fonti da utilizzare per scopi vari come rilevamento minacce, monitoraggio controlli e conformità DDOttimizzazione dei processi di sicurezza Per formalizzare il miglioramento dell'efficienza dei processi di sicurezza DDControls Agility Per conseguire gli obiettivi per i controlli di sicurezza utilizzando metodi nuovi in risposta a tendenze come cloud e mobile computing Uno degli aspetti chiave nella strategia del team è la definizione della missione al fine di determinare "responsabili e mansioni". Il grafico 1 illustra la missione della sicurezza delle informazioni presso le più grandi organizzazioni di oggi ed elenca le attività dalle più convenzionali a quelle sempre più avanzate. Le organizzazioni dotate di un programma convergente potrebbero includere nella missione anche mansioni correlate come frode, ediscovery, privacy, qualità dei prodotti e/o sicurezza fisica. Questo report illustra i componenti della sicurezza delle informazioni, tenendo contro del coordinamento necessario con altre attività correlate. RSA, The Security Division of EMC Security for Business Innovation Council Report 3

6 Il nuovo SOW Grafico 1 l'attuale missione della sicurezza delle informazioni Le attività vengono elencate indicativamente dalle più convenzionali a quelle sempre più avanzate. Program Management Security Policy e Standard Implementazione dei controlli Determinare la strategia complessiva e il piano del programma di gestione della sicurezza delle informazioni. Controllare che il programma risponda alle esigenze aziendali più cruciali dell'organizzazione. Coordinarsi con le attività correlate come frode, ediscovery, sicurezza fisica, sicurezza dei prodotti e/o privacy. Sviluppare e documentare le direttive e le regole generali che indicano come proteggere le informazioni dell'organizzazione. Elaborare il set completo di controlli amministrativi, tecnici e fisici per la sicurezza delle informazioni applicati dall'organizzazione (ad es. framework dei controlli) compresi controlli di accesso, crittografia, identificazione e autenticazione, Configuration Management, monitoraggio, audit log, sicurezza delle applicazioni e formazione della consapevolezza (di personale e clienti). Prendere in considerazione i requisiti di varie leggi e normative (ad es. SOX, HIPAA, PCI). Verificare che in controlli siano agili e tenere traccia dei cambiamenti nel panorama del business e delle minacce. Implementare i controlli in base a policy e standard e ai fattori ambientali interni ed esterni. Operazioni dei controlli Controls Design (Security Architecture) Controls Oversight/ Assurance Mettere in funzione i controlli in base a policy e standard e ai fattori ambientali interni ed esterni. Sviluppare nuovi controlli o nuovi metodi per implementare i controlli in base ai cambiamenti nel panorama di business, IT e minacce. Include tecniche di sviluppo applicativo; definizione, implementazione, personalizzazione e/o sviluppo di nuove tecnologie di sicurezza e nuovi accordi e procedure per utente finale. Valutare tutti i controlli e garantire che siano conformi a policy e standard. Verificare che tutti i controlli siano presenti e che offrano le prestazioni previste. Verificare che tutti i controlli siano monitorati e attestati in modo omogeneo. Incident Response/ Resiliency Information Risk Assessment Information Risk Management/ Business Risk vs. Reward Analysis Coordinare e gestire la risposta dell'organizzazione agli incident di sicurezza, compresi business continuity/disaster recovery. Valutare i rischi di un programma, un processo, un progetto, un'iniziativa o un sistema in base a valore delle informazioni, data asset, minacce e vulnerabilità applicabili, probabilità di compromissione, impatto sull'organizzazione (ad es. reputazione, entrate, non conformità normativa) e perdite stimate. Stabilire la capacità del Risk Owner di assumersi i rischi e definire il livello di accettazione dei rischi autorizzato. In base all'assessment dei rischi per un particolare programma, processo, progetto, iniziativa o sistema, formulare la strategia di contenimento e risoluzione dei rischi. Attuare un processo omogeneo per valutare i rischi per la sicurezza delle informazioni rispetto alle ricompense per il business. Determinare i controlli richiesti per portare il rischio a un livello accettabile. Integrare il rischio informazioni con il framework/programma di gestione dei rischi enterprise. 4 Security for Business Innovation Council Report RSA, The Security Division of EMC

7 Il nuovo SOW Inventario e valutazione degli asset Delineare l'inventario completo di processi aziendali, dati sensibili e sistemi informatici utilizzati dall'organizzazione. Redigere una documentazione completa per processi aziendali e un mapping del flusso di dati al fine di comprendere i processi e i dati che devono essere protetti e formulare le strategie di protezione. Identificare gli utenti privilegiati in tutta l'extended enterprise che hanno accesso a sistemi critici. Determinare il valore degli asset per assegnare la priorità alle strategie di protezione. Third-Party Risk Management/ IT Supply Chain Integrity Accertarsi che venga eseguita una valutazione del rischio prima che l'organizzazione instauri una relazione con terzi. Sviluppare un processo di "due diligence" per valutare vendor, partner e fornitori. Valutare i rischi che caratterizzano i rapporti commerciali continuativi con vendor, partner e fornitori. Comprendere la supply chain relativa all'it e valutare la sicurezza di hardware e software utilizzati nell'ambiente IT di livello enterprise. Incrementare le efficienze per mezzo di assessment condivisi e di un monitoraggio continuo dei controlli. Cyber Risk Intelligence e Threat Analysis Comprendere il panorama conflittuale relativo agli asset aziendali (identità, capacità, motivazioni e destinazioni). Raccogliere dati di intelligence relativi alle minacce per l'organizzazione. Gestire le origini dei dati di intelligence, interpretare i dati, eseguire analisi e produrre report e alert di intelligence relativi alle minacce. Integrare creazione di modelli delle minacce e intelligence in un processo e ciclo di vita completo di gestione della sicurezza. Security Data Analytics Utilizzare tecniche di analisi avanzate e Data Science per analizzare i dati della sicurezza arricchiti da dati di intelligence. Sviluppare query, algoritmi e modelli di dati utilizzati per rilevare o prevedere attività malevole. Security Data Management e Data Warehousing Sviluppare una strategia e un'infrastruttura di gestione dei dati per aggregare e analizzare i dati sulla sicurezza provenienti da fonti diverse (sistemi di sicurezza, database, applicazioni, feed sulle minacce) con varie finalità (ad es. rilevamento delle minacce, gestione dei rischi e conformità aziendali, monitoraggio continuo dei controlli). Progettare un data warehouse per i dati sulla sicurezza. Security Process Optimization Tenere traccia e misurare in maniera uniforme l'efficienza dei processi di sicurezza e implementare i miglioramenti mediante metodologie formalizzate di gestione qualità, project management ed erogazione dei servizi. Pianificazione a lungo termine Osservare le tendenze future del business, della tecnologia e delle normative allo scopo di formulare strategie di sicurezza proattive. Sviluppi tecnologici come l'"internet of Things" e l'informatica che si indossa, ad esempio, introducono nuove sfide per la sicurezza. RSA, The Security Division of EMC Security for Business Innovation Council Report 5

8 3 Sfide e opportunità C reare un team efficace per la sicurezza delle informazioni pone una serie di sfide. Dave Martin Vice President e Chief Security Officer, EMC Corporation DDL'esperienza è scarsa ed è difficile trattenere i talenti Gli esperti in sicurezza e nei rischi aziendali sono molto ricercati DDIl budget è limitato DDI team di sicurezza lavorano già a pieno ritmo DDL'attenzione della sala riunioni richiede un certo acume aziendale Mentre la sicurezza delle informazioni diventa una componente di importanza maggiormente critica della strategia di business, gli addetti alla sicurezza devono contare su una conoscenza approfondita del business. La buona notizia è che stanno palesandosi alcune opportunità emergenti. DDLa consapevolezza è in espansione A ogni livello, dagli utenti finali alla leadership, la consapevolezza dei problemi di sicurezza è più alta che mai a causa dell'attenzione dei media, dell'esperienza effettiva con gli attacchi informatici o della pressione normativa. DDIl "business" sta assumendo la proprietà dei rischi In molte organizzazioni avviene un cambiamento di prospettiva in base al quale il personale non addetto alla sicurezza si sta rendendo conto di essere responsabile in prima persona dei rischi dei propri asset informativi e comprende l'esigenza di stringere collaborazioni attive con il settore della sicurezza per la gestione di questi rischi. DDAumentano i cachet dei professionisti della sicurezza Sono tempi d'oro per chi si occupa di sicurezza delle informazioni, poiché il settore si estende ora a nuovi ambiti come business risk analysis, cyber intelligence e Data Science. Tanto i notiziari quanto le rappresentazioni cinematografiche della difesa del ciberspazio non fanno che È sorprendente. Siamo passati da 'Voi addetti alla sicurezza ci siete di ostacolo, perché dobbiamo fare questa cosa?' alle business unit che utilizzano i nostri servizi centrali di consulenza per eseguire il roll out delle strategie di contenimento del rischio. Il fenomeno è inoltre in fase di accelerazione in quanto le business unit si rendono conto che devono gestire i propri rischi anziché affidarsi ad altri per risolvere i problemi o peggio nascondere la testa sotto la sabbia". incrementare l'interesse in questo ambito, contribuendo ad attirare nuovi talenti. DDLa gamma di service provider è in aumento Poiché il mercato risponde alle richieste in continuo aumento, è sempre più facile per le organizzazioni rivolgersi a service provider di sicurezza esterni per ridurre i costi, ottenere competenze specializzate, contribuire a completare una marea di attività e fornire assessment indipendenti. 6 Security for Business Innovation Council Report RSA, The Security Division of EMC

9 4 Suggerimenti Per avere successo, la funzione di sicurezza delle informazioni deve essere un progetto interaziendale, che prevede processi di sicurezza profondamente integrati nei processi aziendali. Il team allargato per la sicurezza delle informazioni deve includere le seguenti figure: DDPersonale addetto all'implementazione IT e alla gestione dei controlli di sicurezza. DDResponsabili dei rischi che nelle business unit rispondono ai problemi legati ai rischi. DDEsperti del settore acquisti che implementano i protocolli di assicurazione e assessment dei rischi dei vendor per la valutazione dei fornitori. DDUfficio privacy per la gestione delle normative. DDPersonale di marketing che monitora i social media alla ricerca di informazioni sulle possibili minacce. Il team "core" per la sicurezza delle informazioni amministra e coordina l'intera iniziativa ed esegue attività che richiedono conoscenze specializzate o centralizzazione. Parte del personale addetto alle operazioni di sicurezza al di fuori del team core può essere di tipo a referente diretto o indiretto, mentre altri possono essere attivi in conformità agli standard di sicurezza o ai Service Level Agreement (SLA). Il grafico 2 dell'appendice illustra responsabili e relative mansioni in un team allargato, compresi sicurezza delle informazioni core, IT, business e service provider. I seguenti suggerimenti costituiscono il manuale per realizzare un team allargato all'avanguardia in grado di gestire in modo efficace i rischi per la sicurezza delle informazioni e di ottimizzare l'uso delle risorse umane a disposizione. In base al livello di maturità raggiunto dall'organizzazione, queste indicazioni possono essere utili per avviare il processo, convalidare un approccio o velocizzare l'avanzamento in determinate aree. Ridefinire e potenziare le competenze chiave Delegare le operazioni di routine Richiedere esperti in prestito o assumerli a tempo determinato Guidare i Risk Owner nella gestione dei rischi Assumere esperti nell'ottimizzazione dei processi Instaurare relazioni cruciali Pensare "out-of-the-box" per talenti futuri 1. Ridefinire e potenziare le competenze chiave All'interno delle organizzazioni leader, i team core di sicurezza delle informazioni si dedicano attualmente a potenziare le competenze in quattro aree principali: Cyber Risk Intelligence e Security Data Analytics, Security Data Management, Risk Consultancy e Controls Design and Assurance. In base alle dimensioni del team core e al livello di specializzazione, i singoli membri possono svolgere mansioni specifiche oppure occuparsi di più aree. Ogni area richiede un set di competenze chiave che spesso sono del tutto nuove per i membri del team. In futuro, il personale esistente dovrà sviluppare le competenze richieste per mezzo della formazione e/o il team core dovrà aggiungere nuovi membri o affidarsi a service provider. RSA, The Security Division of EMC Security for Business Innovation Council Report 7

10 suggerimenti 1. Cyber Risk Intelligence e Security Data Analytics Alla luce del costante aumento delle minacce, migliorare il rilevamento delle minacce è di vitale importanza per la maggior parte delle organizzazioni di tutto il mondo; in particolare, è essenziale sviluppare un approccio di tipo "intelligence-driven" (leggere il report SBIC, "Getting Ahead of Advanced Threats: Achieving Intelligence-Driven Information Security"). Questo approccio prevede la raccolta e la fusione dei dati di intelligence informatica di origine interna (ad es. sensori nei sistemi IT e nelle applicazioni aziendali) e di origine esterna (ad es. feed sulle minacce di enti pubblici o commerciali) e l'uso di tecniche avanzate di data analytics per individuare gli indicatori degli attacchi e i pattern di comportamento anomalo. Il team core deve disporre delle capacità necessarie per arrivare a una consapevolezza della situazione in tutta l'organizzazione. Determinare le origini dei dati pertinenti ed eseguire analisi significative richiede una comprensione approfondita dell'ambiente di business effettivo, degli asset da proteggere e del panorama informatico conflittuale. I team di sicurezza stanno iniziando a orientarsi nella potenza delle tecnologie dei Big Data allo scopo non solo di individuare ma anche di prevenire gli attacchi. DDCompetenze del personale chiave: networking interno ed esterno per lo sviluppo di fonti di intelligence valide, comunicazione per lo sviluppo di report e la presentazione di relazioni sull'intelligence. DDCompetenze dei processi chiave: progettazione di un processo di intelligence end-to-end che prevede di ottenere e filtrare i dati, eseguire analisi, comunicare i risultati, prendere una decisione sui rischi e intraprendere azioni. DDCompetenze tecniche chiave: analisi (individuare collegamenti tra dati apparentemente non collegati), tecniche di data analytics e Data Science. 2. Security Data Management Nel loro tentativo di arrivare alla data analytics per il rilevamento delle minacce, le organizzazioni si stanno rendendo conto di avere bisogno di una strategia e di un'infrastruttura complessive di gestione dei dati sulla sicurezza. Ciò comprende l'unione dei dati provenienti da tutto l'ambiente IT compresi log, flussi completi di dati in pacchetti e dati non strutturati prodotti da sistemi, database e applicazioni aziendali. I dati possono essere applicati oltre il rilevamento delle minacce e utilizzati per scopi come la gestione dei rischi aziendali, la conformità e il monitoraggio continuo dei controlli. DDCompetenze del personale chiave: interfaccia con IT e business, compresi enterprise data management architect. DDCompetenze dei processi chiave: mapping dei flussi di dati sulla sicurezza in tutto l'ambiente IT dell'organizzazione. DDCompetenze tecniche chiave: competenze IT chiave come storage architecture, architettura di elaborazione, schema database, normalizzazione e gestione dei colli di bottiglia delle reti. 3. Consulenza sui rischi Il team core agisce da centro di consulenza fornendo consigli all'azienda in merito alla gestione dei rischi per gli asset informatici, compresi quelli legati a sicurezza, privacy, questioni legali, conformità normativa e ediscovery. Il team core deve conoscere in modo puntuale i processi aziendali. Deve saper collaborare con gli interessati per valutare i rischi, misurare il valore degli asset, determinare le strategie di contenimento del rischio e accertarsi che le discussioni sui rischi abbiano luogo all'avvio dei progetti. Un set di rischi in continua crescita nasce da terze parti esterni. Le strategie di global sourcing e cloud computing stanno portando le organizzazioni a incrementare ulteriormente l'utilizzo di service provider esternalizzati e ad associarsi a nuovi business partner e fornitori. È essenziale disporre delle conoscenze necessarie per eseguire la "due diligence" di terze parti in modo efficace ed efficiente, gli assessment continui e l'analisi di hardware e software. "L'esperienza core del team della sicurezza dovrebbe essere principalmente concentrata sul fornire consulenza, assicurare orientamento, stimolare la strategia, identificare e illustrare i rischi per il business, comprendere le minacce e fare avanzare l'organizzazione, senza essere gravati dalle attività operative delle routine quotidiane". Bob Rodger Group Head of Infrastructure Security, HSBC Holdings plc. 8 Security for Business Innovation Council Report RSA, The Security Division of EMC

11 suggerimenti DDCompetenze del personale chiave: leadership, networking interno per conoscere le strategie aziendali, comunicazione (ascolto, articolazione verbale, gestione conversazioni difficili, sensibilità a sfumature di carattere culturale e organizzativo). DDCompetenze dei processi chiave: mapping e documentazione dei processi aziendali, framework di gestione dei rischi, protocolli per assessment dei rischi di terze parti e garanzia dei controlli (compresi assessment condivisi), gestione dei service provider esternalizzati e community di supply chain. DDCompetenze tecniche chiave: valutazione dei rischi, misurazione di rischi diversi e della propensione al rischio in un'organizzazione con un metodo standardizzato, automazione delle attività di gestione dei rischi e di assessment dei vendor, monitoraggio continuo dei controlli. 4. Controls Design and Assurance Una delle aree di maggior interesse per il team core potrebbe essere la progettazione di controlli innovativi allineati agli obiettivi aziendali e l'elaborazione di tecniche di verifica avanzate per l'assicurazione dei controlli. Questo lavoro prevede ricerca/sviluppo e valutazione/implementazione di nuove tecnologie di sicurezza. Gli analisti dei controlli devono progettare la raccolta di dati non solo per accertarsi che i controlli siano in funzione come previsto, ma anche per garantire che siano i migliori per difendersi contro le minacce più recenti e per garantire l'agilità del business. DDCompetenze del personale chiave: tradurre i requisiti aziendali e di conformità in requisiti di sicurezza, mettendoli in relazione con l'architettura aziendale. DDCompetenze dei processi chiave: documentare il framework dei controlli dell'organizzazione, sviluppare protocolli per l'assessment e la convalida dei controlli. DDCompetenze tecniche chiave: architettura della sicurezza, sicurezza delle applicazioni, sicurezza mobile, sicurezza del cloud, monitoraggio continuo dei controlli, test e analisi avanzati dei controlli di sicurezza. 2. Delegare le operazioni di routine I team di sicurezza tradizionali si sentono più a loro agio se si occupano personalmente di ogni mansione. Questo atteggiamento però deve cambiare. Delegare le operazioni di sicurezza di routine ad altri gruppi interni o a service provider esterni consente al team core di concentrarsi su attività più proattive e strategiche, ottimizzando la propria competenza tecnica e le capacità di gestione dei rischi aziendali. Inoltre, attraverso scalabilità e specializzazione, i service provider adatti consentono non solo di ridurre i costi ma anche di incrementare la qualità. I processi ripetibili e consolidati sono i migliori da delegare. Alcuni esempi sono l'assegnazione della gestione di firewall, autenticazione, sistemi di prevenzione delle intrusioni e/o software antivirus a gruppi del reparto IT o a provider di servizi di sicurezza gestiti. È possibile assegnare la gestione dell'accesso utente a livello di applicazione e l'amministrazione degli utenti alle business unit; formare sviluppatori nella sicurezza delle applicazioni e fornire loro gli strumenti necessari per individuare le vulnerabilità; valutare la possibilità di utilizzare soluzioni Security-as-a-Service per scansioni e verifiche. Poiché il team core distribuisce le attività, dovrà anche garantirsi un livello adeguato di comando e controllo attraverso requisiti, standard e Service Level Agreement completi. Il team core deve anche disporre di competenze tecniche sufficienti in ambito di sicurezza, oltre ad abilità nella gestione dei vendor, per assicurare una supervisione efficace. Le organizzazioni che nutrono dubbi sull'esternalizzazione della sicurezza a terze parti esterne possono spesso conseguire gli stessi obiettivi "esternalizzando" a gruppi IT interni; è richiesto comunque lo stesso livello di supervisione a prescindere dal tipo di service provider. Nel corso del tempo, il team core deve continuare a valutare cosa potrebbe essere eseguito in modo più efficace o efficiente da altri. Ad esempio, il team core può inizialmente gestire l'implementazione e il funzionamento di una nuova tecnologia di sicurezza ma, una volta standardizzata, può delegare la gestione delle operazioni in corso. RSA, The Security Division of EMC Security for Business Innovation Council Report 9

12 suggerimenti 3. Richiedere esperti in prestito o assumerli a tempo determinato Una delle maggiori problematiche è la mancanza all'interno del team core delle competenze richieste in aree specializzate. Esperti provenienti dall'esterno rispetto al reparto di sicurezza possono colmare questa lacuna. Ad esempio, alcuni team addetti alla sicurezza stanno assumendo personale di data analytics dai service provider o da altre sezioni dell'organizzazione come ufficio frodi o marketing. I Big Data possono essere una novità per la sicurezza, ma altre aree dell'azienda hanno adottato le tecniche di analisi dei dati già da anni. Quando non è praticabile o semplicemente troppo costoso disporre di determinati esperti nel proprio team a tempo pieno, come specialisti in indagini sul malware o cyber threat intelligence analyst, le organizzazioni possono rivolgersi a service provider esterni su base continua. I team core possono avvalersi di talenti ulteriori per gestire un incremento improvviso dell'attività o come supporto quando dei membri lasciano il team. Dare vita a una partnership con un'azienda di consulenza in materia di sicurezza, capace di mettere a disposizione professionisti della sicurezza multisfaccettati di alto livello a cui si versa un onorario è un'altra valida possibilità. Possono arricchire le abilità del team core e offrire un punto di vista indipendente. Per risolvere problemi particolarmente complessi, è spesso utile coinvolgere esperti del settore come un Security Architect Consultant specializzato in una determinata tecnologia. È necessario tuttavia "Tradizionalmente, il team della sicurezza delle informazioni si concentrava maggiormente sulla tecnologia. Ma uno dei ruoli che sta acquisendo un'importanza crescente consiste nell'essere un punto di collegamento con il business, per portarne i requisiti nell'organizzazione della sicurezza e quindi trasferire al business il punto di vista della sicurezza". Se non dispongo di una competenza cruciale la creo o la compro. Bisogna sapere quando creare o quando comprare in base ai costi complessivi di gestione. Per alcune competenze, potrebbe essere più logico rivolgersi a un service provider". Marene N. Allison Worldwide Vice President of Information Security, Johnson & Johnson ricordare che il team core ha comunque bisogno di conoscenze interne sufficienti da applicare alle competenze esternalizzate. 4. Guidare i Risk Owner nella gestione dei rischi In genere, i manager senior all'interno dell'azienda sono i veri responsabili delle decisioni di gestione dei rischi associate a iniziative come il lancio di un nuovo prodotto o servizio, a programmi come il BYOD, ad asset informativi come siti web lato clienti o a processi aziendali come la generazione di report finanziari. Poiché i dirigenti delle aziende riconoscono con maggiore frequenza la propria responsabilità nella gestione della sicurezza informatica, un numero crescente di organizzazioni predispone "responsabili dei rischi per la sicurezza delle informazioni" dedicati nelle business unit che si occupano di correzione dei rischi. Il ruolo del team core è guidare le attività di gestione dei rischi per le informazioni e collaborare con l'azienda nella gestione di rischi per la sicurezza informatica. Sono quindi inclusi il coordinamento di un approccio omogeneo a identificazione, assessment, contenimento, correzione e segnalazione dei rischi, la valutazione dei rischi rispetto ai vantaggi, la definizione dei livelli di propensione e accettazione dei rischi e l'integrazione del rischio informazioni nel programma complessivo di gestione dei rischi di livello enterprise. Il segreto per una buona riuscita sta nel semplificare la procedura per il business e nel rendere il business stesso responsabile della gestione dei rischi fornendo strumenti selfservice, assimilando la gestione dei rischi nei processi aziendali e implementando l'automazione. Felix Mohan Senior Vice President e Global Chief Information Security Officer, Airtel 10 Security for Business Innovation Council Report RSA, The Security Division of EMC

13 suggerimenti 5. Assumere esperti nell'ottimizzazione dei processi La competenza nei processi è un aspetto essenziale in un team all'avanguardia. È importante dotare il team di persone che hanno accumulato esperienza nella gestione di qualità, progetti o programmi, nell'ottimizzazione dei processi e nell'erogazione dei servizi e che possono essere formate sulla sicurezza. Prendere quindi in considerazione l'assunzione di persone con credenziali in Six Sigma Process Improvement, IT Service Management (ITSM) di ITIL, COBIT IT Governance e/o Enterprise Architecture di TOGAF. Alcuni team core sono stati capaci di sfruttare esperti dei processi o professionisti nella gestione di programmi di altre aree dell'organizzazione, come il reparto qualità o l'ufficio programmi aziendali. Poter contare su competenze nei processi contribuisce a soddisfare le crescenti esigenze in termini di miglioramenti dei processi. Ad esempio, alla luce del panorama delle minacce, alcune organizzazioni preferirebbero che l'installazione di patch in tutti i sistemi critici avvenisse nell'arco di ore e non di settimane. Le business unit desiderano limitare l'impatto della sicurezza sui processi aziendali, riducendo al minimo il disagio per gli utenti finali e i tempi di inattività dei server. Gli enti normativi desiderano controlli più rigidi sull'accesso alle informazioni, come revoca dei diritti scaduti svolta in pochi minuti e non in giorni. E crescono le aspettative nei confronti del reparto di sicurezza chiamato a misurare la produttività degli investimenti nella sicurezza e a fornire Un'extended enterprise nel settore informatico deve individuare i propri service provider di importanza critica e stabilire con loro un solido rapporto di collaborazione. Impedite ai 'cattivi' di riuscire a nascondersi perché avete alzato lo standard di conformità a una buona prassi di sicurezza su tutto il vostro ecosistema". William Boni Corporate Information Security Officer (CISO), Vice President, Enterprise Information Security, T-Mobile USA "Esiste un fondamento essenziale per l'organizzazione della nostra sicurezza che dice che 'la formalità conta'. I nostri processi devono venire rigidamente documentati e rivisti. In che modo possiamo renderli più efficienti? Più efficaci? Abbiamo trascurato qualcosa? Servono persone con una solida formazione in ambito di processi e qualità se si desidera avere credibilità con i propri leader aziendali". Denise D. Wood Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer, FedEx Corporation miglioramenti quantificabili nel tempo, tra cui ripetibilità dei processi, agilità e scalabilità. 6. Instaurare relazioni cruciali È importante che il team core stringa relazioni solide in tutta l'organizzazione al fine di raccogliere un numero crescente di persone addette alla sicurezza, creare un ambiente collaborativo e garantire che i membri del team allargato comprendano ed eseguano le proprie mansioni. Il team core deve raggiungere tutte le aree dell'azienda ed essere coinvolto a tutti i livelli. Deve conquistare una posizione ottimale per poter esercitare la propria influenza sulle persone che contano, come le persone che controllano gli investimenti tecnologici e che prendono decisioni aziendali strategiche. Una delle relazioni più importanti è quella con i soggetti che sono in possesso delle risorse più preziose dell'organizzazione, ad esempio i dataset e i processi aziendali con proprietà intellettuale o dati proprietari. Un'altra è con i membri del middle management; è possibile infatti fare grandi progressi se si conquista la fiducia dei dirigenti di livello intermedio. Anche i provider di esternalizzazione dei processi aziendali sono un obiettivo strategico. Il team core dovrebbe realizzare una solida rete di contatti per la sicurezza tra questi provider e lavorare con loro per garantire alti standard di sicurezza e condivisione delle informazioni all'interno dell'intera community. RSA, The Security Division of EMC Security for Business Innovation Council Report 11

14 7. Pensare "out-of-the-box" per talenti futuri L'interesse per la sicurezza delle informazioni è in aumento, ma nel breve termine si assisterà a una carenza di professionisti con competenze in ambito di sicurezza informatica "pronta all'uso" e consulenza sui rischi. È particolarmente difficile trovare persone di talento con competenze specifiche nelle tecnologie per la sicurezza emergenti. Alcune organizzazioni nel frattempo hanno iniziato a rivolgersi ai MSSP a causa della difficoltà nel riuscire ad assumere e/o a conservare personale di talento dotato di particolari competenze tecniche. Per i team di sicurezza occorrono inoltre professionisti capaci di trascendere la competenza tecnica per poter discutere proficuamente di rischio aziendale con i principali interessati. È essenziale poter contare su una strategia di recruiting continua per costruire un team di sicurezza efficace. Altrettanto essenziale è la collaborazione con le business unit e le risorse umane, per valutare le esigenze e le possibili fonti di talenti. Sono sempre più numerose le organizzazioni che assumono personale privo di una formazione in ambito di sicurezza ma che possiede preziose competenze e che può essere addestrato nel campo della sicurezza. Uno degli approcci adottati consiste nel formare una "accademia di sicurezza informatica" interna. Un altro è fornire supporto ai singoli componenti del team, affinché seguano Data la mancanza di competenze immediatamente disponibili, lo sviluppo di talenti è l'unica soluzione a lungo termine per la maggior parte delle organizzazioni. corsi di formazione esterni e conseguano le relative certificazioni, e/o istituire programmi di mentoring. Oltre ai neolaureati, i nuovi assunti possono anche essere personale interno proveniente dal settore IT o da altre aree che potrebbero essere interessati a intraprendere una carriera nella sicurezza. Spesso sono la scelta migliore poiché hanno già una conoscenza approfondita dell'organizzazione e possono contare su una rete di contatti. Data la mancanza di competenze immediatamente disponibili, lo sviluppo di talenti è l'unica soluzione a lungo termine per la maggior parte delle organizzazioni. Mantenere una mentalità aperta mentre si cerca personale da formare per i ruoli del settore della sicurezza è importantissimo. Esiste un'ampia gamma di preziosi ambiti di formazione tra cui amministrazione database, sviluppo software, analisi aziendale, intelligence militare o competenze legali e nel settore della privacy. Recentemente, alcuni team core hanno assunto Data Scientist con una formazione in sequenziamento del DNA. Il personale dotato di conoscenze teoriche in aree quali l'econometria o la matematica può incrementare le proprie capacità tecniche pratiche. Chi ha invece una formazione umanistica in storia o giornalismo può offrire eccellenti competenze investigative. Poiché conservare il personale è una sfida enorme quando si impartisce formazione per trasmettere competenze altamente ricercate, è importante presentare un "Quando si inseriscono nuove persone nella propria organizzazione, la diversità di pensiero è fondamentale. La sua importanza oggi è addirittura più cruciale che mai poiché il cambiamento che interessa il lato business sta superando in velocità le capacità della sicurezza e richiederà una riflessione innovativa per risolvere questi problemi". Jerry R. Geisler III Office of the Chief Information Security Officer, Walmart Stores Inc. percorso professionale immaginabile e interessante per i singoli componenti del team e garantire un compenso allineato ai valori di mercato. Molte organizzazioni hanno avviato progetti di collaborazione con le università per agevolare lo sviluppo di un pool di talenti in ambito di sicurezza. In tale ottica, la collaborazione può prevedere creare programmi di sviluppo di leadership, contribuire ad orientare i piani di studio affinché soddisfino le esigenze del settore e offrire opportunità di tirocinio/ stage. Programmi di solidarietà all'università e persino a livello di scuola secondaria possono contribuire a istruire la potenziale forza lavoro su una carriera nel settore della sicurezza informatica. 12 Security for Business Innovation Council Report RSA, The Security Division of EMC

15 Conclusioni I team di sicurezza delle informazioni si stanno evolvendo per soddisfare le richieste di un ambiente di business, un panorama delle minacce e un regime normativo sempre più complessi. La consapevolezza dei problemi legati alla sicurezza rende possibile il cambiamento nella posizione della sicurezza delle informazioni, che si allontana dall'essere un archivio tecnico per diventare un'attività genuinamente collaborativa. Le organizzazioni stanno anche scoprendo che per soddisfare i requisiti di sicurezza occorre una maggiore attenzione al processo. Un efficace team di sicurezza oggi conosce profondamene i processi di business e l'importanza di validi processi di sicurezza per il conseguimento della sua finalità. Il prossimo report di questa serie in tre parti sulla trasformazione della sicurezza delle informazioni esplorerà ulteriormente il modo in cui le organizzazioni leader stanno rivalutando e ottimizzando i processi. Il terzo report illustrerà come le nuove tecnologie si inseriscono nel quadro complessivo di un programma moderno di sicurezza delle informazioni che si fonda su un team creativo e che guarda al futuro. Informazioni sull'iniziativa del Security for Business Innovation Council L'innovazione del business ha raggiunto il primo posto all'ordine del giorno in molte enterprise, dove la dirigenza al massimo livello è impegnata a controllare il potere della globalizzazione e della tecnologia per creare nuovo valore e nuove efficienze. Ma c'è ancora un anello mancante. Benché l'innovazione del business sia alimentata dai sistemi informatici e IT, proteggere le informazioni e i sistemi IT non viene generalmente considerato una questione strategica, anche laddove le enterprise devono affrontare una pressione normativa crescente e minacce in aumento. La sicurezza delle informazioni viene addirittura spesso considerata in seconda battuta, inserita in modo posticcio alla fine di un progetto o, peggio ancora, ignorata completamente. Ma senza la strategia di sicurezza giusta, l'innovazione del business potrebbe venire facilmente soffocata o mettere le organizzazioni in grande pericolo. Noi di RSA crediamo che se i team della sicurezza sono partner effettivi nel processo di innovazione del business, possono consentire alla loro organizzazione di ottenere risultati senza precedenti. I tempi sono maturi per un nuovo approccio, dove la sicurezza deve finalmente venire promossa da specializzazione tecnica a strategia di business. Mentre molti team di sicurezza hanno riconosciuto l'esigenza di un migliore allineamento della sicurezza al business, molti altri faticano ancora a tradurre la loro comprensione del problema in piani d'azione concreti. Sanno bene dove devono andare, ma sono incerti su come arrivarci. Ecco perché RSA ha avviato una collaborazione con alcuni dei principali leader mondiali nel campo della sicurezza, per indirizzare un dialogo di settore volto a individuare una nuova strada verso il futuro. RSA ha chiamato a raccolta un gruppo di dirigenti di successo del settore della sicurezza provenienti da aziende Global 1000 in ambiti diversi e li ha riuniti nel Security for Business Innovation Council. Stiamo conducendo una serie di colloqui approfonditi con il Council, stiamo avviando la pubblicazione delle idee che propone in una serie di report e stiamo sponsorizzando una ricerca indipendente volta a esplorare tali argomenti. Accedere a per visualizzare i report o consultare la ricerca. Insieme possiamo accelerare questa trasformazione cruciale per il settore. RSA, The Security Division of EMC Security for Business Innovation Council Report 13

16 A Appendice Illustrazione di un team allargato all'avanguardia per la sicurezza delle informazioni Grafico 2 La dirigenza e il consiglio di amministrazione supervisionano il programma. Componenti del team Sicurezza delle informazioni core IT Business Service provider ( usi comuni) Un'ampia gamma di specialisti. I singoli possono assumere più di un ruolo. Personale coinvolto in ruoli legati alla sicurezza strategica e operativa. Linee di business e aree funzionali (ad es. privacy, risorse umane, marketing, settore legale, audit, approvvigionamento). Consulenti con SME (subject matter expertise), MSSP (managed security service provider) e cloud vendor (SAAS) Possibile convergenza con ediscovery, sicurezza fisica e/o team di sicurezza dei prodotti. Attività Responsabilità specifiche Program Management CISO conduce il programma e presiede l'"information Risk Committee" interfunzionale. Il CIO prende parte all'"information Risk Committee". Alcuni dirigenti d'azienda partecipano all'"information Risk Committee". Security Policy e Standard Sviluppare policy e standard. Conferire su policy e standard. Conferire su policy e standard. Implementazione dei controlli Gestire e supervisionare l'implementazione dei controlli. Eseguire l'implementazione dei controlli in aree più complesse Implementare i controlli secondo gli standard di sicurezza o fornire servizi in conformità al Service Level Agreement della sicurezza. Facilitare l'implementazione dei controlli. I MSSP assicurano servizi di implementazione dei controlli che soddisfano il Service Level Agreement della sicurezza. Operazioni dei controlli Gestire e supervisionare le operazioni dei controlli. Eseguire controlli più nuovi e complessi. Eseguire i controlli secondo gli standard di sicurezza o fornire servizi in conformità al Service Level Agreement della sicurezza. Accertarsi che le operazioni del business soddisfino i requisiti di sicurezza dei controlli. I MSSP assicurano servizi di esecuzione dei controlli che soddisfano il Service Level Agreement della sicurezza. Controls Assurance Eseguire un assessment dei controlli e sviluppare strumenti avanzati per il collaudo e l'analisi dei controlli. Implementare il monitoraggio continuo dei controlli. I provider di servizi di sicurezza gestiti garantiscono i servizi, come analisi del codice sorgente e scansione della vulnerabilità. Controls Design (Security Architecture) Dare impulso alla progettazione di nuovi controlli di sicurezza. Lavorare con l'architettura IT aziendale. Conferire sulla progettazione di nuovi controlli di sicurezza. Conferire sulla progettazione di nuovi controlli di sicurezza. Incident Response/ Resiliency Gestire e coordinare la risposta interaziendale. Lavorare sugli aspetti tecnici della risposta. Lavorare sugli aspetti legali, delle pubbliche relazioni e delle risorse umane della risposta. I consulenti competenti in materia forniscono indagini e analisi del malware. 14 Security for Business Innovation Council Report RSA, The Security Division of EMC

17 Information Risk Assessment Gestire il programma di assessment dei rischi. Eseguire assessment dei rischi in casi più complessi. Fornire gli strumenti per facilitare gli assessment del rischio. Eseguire l'assessment del rischio con strumenti forniti dal team core. Eseguire l'assessment del rischio con strumenti forniti dal team core. Il personale dell'ufficio legale conferisce sui rischi legali e di conformità. La tendenza emergente sono gli assessment dei rischi eseguiti da service provider che soddisfano il Service Level Agreement della sicurezza. Information Risk Management/ Business Risk versus Reward Analysis Dare impulso alle attività di gestione dei rischi. Relazionarsi con l'it e il business. Conferire sulla gestione dei rischi. Lavorare con il team core per gestire i rischi. Facilitare la correzione dei rischi individuati. Riferire regolarmente sullo stato dei rischi. Lavorare con il team core per gestire i rischi. Facilitare la correzione dei rischi individuati. Riferire regolarmente sullo stato dei rischi. Fornire gli strumenti per facilitare la gestione dei rischi. Third- Party Risk Management/ IT Supply Chain Integrity Dare impulso alla gestione dei rischi di terze parti e al programma di integrità della supply chain. Sviluppare standard e fornire strumenti per assessment di terze parti e la valutazione di hardware e software. Eseguire la "due diligence" e assessment di terze parti servendosi di strumenti forniti dal team core. Eseguire la valutazione di hardware e software servendosi di strumenti forniti dal team core. Eseguire la "due diligence" e assessment di terze parti servendosi di strumenti forniti dal team core. L'approvvigionamento incorpora gli assessment della sicurezza nel processo di approvvigionamento stesso. I consulenti competenti in materia eseguono la "due diligence" e gli assessment di terze parti servendosi di standard forniti dal team core. Il personale dell'ufficio legale conferisce sui rischi legali e di conformità e per la stesura dei contratti. Inventario e valutazione degli asset Dare impulso allo sviluppo del registro. Relazionarsi con il team core per elencare e valutare gli asset. Relazionarsi con il team core per elencare e valutare gli asset. Cyber Risk Intelligence e Threat Analysis Gestire il programma di intelligence. Coordinare le fonti. Condividere i dati di intelligence come le di phishing. Condividere i dati di intelligence come il monitoraggio dei social media. I consulenti competenti in materia assicurano l'analisi delle fonti e delle minacce. Security Data Analytics Dare impulso allo sviluppo di query e modelli. Richiedere consulenza e/o fornire servizi di data analytics. Richiedere consulenza e/o fornire servizi di data analytics. Gli SME e/o MSSP garantiscono servizi di data analytics. Security Data Management e Data Warehousing Dare impulso alla strategia di sicurezza della gestione dei dati e progettare il data warehouse di sicurezza. Dare impulso alla strategia complessiva di gestione dei dati dell'organizzazione. Conferire sulla strategia di sicurezza e su origini dei dati come i registri di rete. Conferire sulle origini dei dati come registri di applicazioni e database. Gli SME forniscono feed sulle minacce. Gli MSSP ricevono dati dai registri dei sistemi di sicurezza. Security Process Optimization Dare impulso all'ottimizzazione dei processi di sicurezza su tutta l'organizzazione. Conferire e facilitare l'implementazione dei miglioramenti. Conferire e facilitare l'implementazione dei miglioramenti. Pianificazione a lungo termine Osservare le tendenze future del business, della tecnologia e delle normative allo scopo di formulare strategie di sicurezza proattive. Collaborare su tendenze future e strategie proattive. Collaborare su tendenze future e strategie proattive. RSA, The Security Division of EMC Security for Business Innovation Council Report 15

18 Autori report Security for Business Innovation Council Marene N. Allison Worldwide Vice President of Information Security, Johnson & Johnson Anish Bhimani CISSP Chief Information Risk Officer, JPMorgan Chase William Boni CISM, CPP, CISA Corporate Information Security Officer (CISO), VP, Enterprise Information Security, T-Mobile USA Roland Cloutier Vice President, Chief Security Officer, Automatic Data Processing, Inc. Dr. Martijn Dekker Senior Vice President, Chief Information Security Officer, ABN Amro Jerry R. Geisler III GCFA, GCFE, GCIH, Office of the Chief Information Security Officer, Walmart Stores, Inc. Renee Guttmann Chief Information Security Officer, The Coca-Cola Company Malcolm Harkins Vice President, Chief Security and Privacy Officer, Intel Kenneth Haertling Vice President e Chief Security Officer, TELUS Petri Kuivala Chief Information Security Officer, Nokia Dave Martin CISSP Vice President e Chief Security Officer, EMC Corporation Tim MCKnight CISSP Executive Vice President, Enterprise Information Security and Risk, Fidelity Investments Felix Mohan Senior Vice President e Global Chief Information Security Officer, Airtel Robert Rodger Group Head of Infrastructure Security, HSBC Holdings, plc. Ralph Salomon CRISC Vice President IT Security and Risk Office, SAP AG Vishal Salvi CISM Chief Information Security Officer e Senior Vice President, HDFC Bank Limited Simon Strickland Global Head of Security, AstraZeneca Denise D. Wood Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer, FedEx Corporation Per consultare le biografie complete dei membri SBIC, visitare 16 Security for Business Innovation Council Report RSA, The Security Division of EMC

19 EMC, EMC 2, il logo EMC, RSA e il logo RSA sono marchi o marchi registrati di EMC Corporation negli Stati Uniti e/o in altri paesi. Tutti gli altri prodotti e/o servizi citati nel presente documento appartengono ai rispettivi proprietari EMC Corporation. Tutti i diritti riservati H12227 CISO RPT 0813 RSA, The Security Division of EMC Security for Business Innovation Council Report 17