Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano Feliciano Intini

Transcript

1 Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007 Security Governance Chief Security Advisor Microsoft Italia

2 La gestione della sicurezza è...

3 LE 17 PERLE DELLA SECURITY GOVERNANCE...alcune semplici provocazioni per riflettere su 17 elementi fondamentali nella gestione della sicurezza...

4 Perla della Security Governance N 1 La sicurezza si fa seriamente o è un optional in azienda? Organizational Security Security Management Struttura e ruolo formale della divisione Sicurezza, distinto dalla divisione di Esercizio Management Committment e posizione nell organigramma aziendale Tip: sfruttare i 2 driver che spingono a fare sicurezza in Italia: emergenze (worm e intrusioni) normativa che obbliga (e sanziona)

5 Perla della Security Governance N 2 Serve pensare e scrivere le Security Policy? Organizational Security Security Policy servono per comunicare i principi di condotta (le regole) e le motivazioni di fondo, per segnalare le cose importanti prepararle aiuta a creare il piano di sicurezza, perché ci fa riflettere sul da farsi Tip: OK per sintesi e semplicità KO per prolissità e burocrazia

6 Perla della Security Governance N 3 Sappiamo cosa difendere? Organizational Security Asset/Data Inventory and Classification Non stiamo parlando dell inventario dei cespiti ma del Configuration Management DataBase (CMDB) relativo agli aspetti di sicurezza. Tip: basterebbero anche dei fogli excel... Microsoft System Center Configuration Manager 2007

7 Perla della Security Governance N 4 Sappiamo con chi abbiamo a che fare e cosa gli permettiamo di fare? Organizational Security Third-party relationships Collaborare vuol dire esporsi Se non è facile gestire la propria sicurezza, figuriamoci quella altrui Tip: non dimenticare di inserire requisiti di sicurezza nei contratti che regolano i rapporti di partnership e outsourcing fornire accesso selettivo: Microsoft Intelligent Application Gateway 2007 (IAG)

8 Perla della Security Governance N 5 Con quale criterio acquistiamo/adottiamo le contromisure? Operational Security Security Risk Management Richiede l Asset/Data Inventory come requisito Tip: in medio stat virtus no ad azienda consumista avere troppe soluzioni rende ingestibile la sicurezza no ad azienda cavalluccio marino Anche la normativa italiana chiede l adozione dello state-of-the-art nel campo della sicurezza

9 Perla della Security Governance N 6 Siamo preparati ai disastri? Operational Security Disaster Recovery/Business Continuity Consideriamo anche le minacce non strettamente di sicurezza Alcuni settori lo devono fare anche per compliance Tip: attenti a non pensare solo al core business o meglio: anche l IT è ormai core business

10 Perla della Security Governance N 7 A quanti e a chi stiamo dando le chiavi di casa? Operational Security Security Delegation & Duty Separation In Italia i Domain Administrator abbondano... Applicare ove possibile il principio del Least Privilege Tip:... ricordate le leggi immutabili della sicurezza! Law #6: A computer is only as secure as the administrator is trustworthy

11 Perla della Security Governance N 8 La sicurezza è pensata nativamente nei progetti? Operational Security Security By Design Richiede una importante formalizzazione organizzativa Tip:... vi fa risparmiare per il futuro! Costa meno pensare la sicurezza by design, che fare hardening

12 Perla della Security Governance N 9 Sappiamo cosa sta succedendo in tempo reale? Operational Security Security Monitoring La tecnologia attuale (inadeguata) sta recuperando il gap Microsoft System Center Operations Manager 2007 (Audit Collection Service ACS) Tip:... sono fondamentali le attività di reporting direzionale, per dare visibilità dello stato di sicurezza aziendale al top management Microsoft Forefront Client Security Microsoft Forefront Server Security Management Console

13 Perla della Security Governance N 10 Sappiamo far rispettare le regole? Operational Security Security Auditing Ovviamente serve avere delle regole (Policy & Procedure) e strumenti adeguati Microsoft System Center Configuration Manager 2007 (Desired Configuration Monitoring) Tip:... dare evidenza a tutti delle non compliance per migliorare la security awareness, senza un atteggiamento inquisitorio

14 Perla della Security Governance N 11 Sappiamo reagire in modo ordinato e costruttivo ai problemi? Operational Security Security Incident Response E fondamentale comprendere le proprie vulnerabilità per migliorare davvero nel tempo la sicurezza della nostra infrastruttura Tip:... approfittare di questi momenti per cavalcare l onda del management committment

15 Perla della Security Governance N 12 Conosci e controlli adeguatamente il tuo perimetro? Defense In-Depth Perimeter/Network Security Il Firewall da solo non serve più Richiede il coordinamento con chi segue il network Tip:... valutate in anticipo la preparazione dell IT necessaria per adottare le tecnologie di network access control Microsoft Network Access Protection (NAP) Microsoft Network Access Quarantine Control

16 Perla della Security Governance N 13 Quanti scrupoli ti fai nel fare security patching urgente? Defense In-Depth Host Security Lo scenario di rischio non permette più di fare test applicativi che durano 6 mesi Tip:... utilizzare le tecnologie di ridondanza e il rollback per prevenire/reagire ai problemi di compatibilità applicativa Microsoft Windows Server Update Services Microsoft System Center Configuration Manager 2007

17 Perla della Security Governance N 14 Quanto è semplice controllare la configurazione di sicurezza? Defense In-Depth Host Security Ha senso fare hardening... con l evoluzione dei SO? Microsoft Windows Vista Microsoft Windows Server 2008 (ex Longhorn) Tip:... puntare alla usability per utenti e amministratori Integrazione tra gestione della sicurezza e gestione dei sistemi Microsoft Forefront & System Center

18 Perla della Security Governance N 15 Sei sicuro della sicurezza del TUO codice? Defense In-Depth Application Security Il nuovo trend è attaccare il codice applicativo Tip:... seguire le best practice di programmazione di codice sicuro Microsoft Security Development Lifecycle (SDL)

19 Perla della Security Governance N 16 Lo sai che i dati e le informazioni sono il tuo tesoro? Defense In-Depth Data Security & Privacy E la ragione che giustifica la sicurezza Tip: Microsoft Windows Right Management Services (RMS) Microsoft Identity Lifecycle Manager... aiuta a far considerare la Sicurezza come abilitatore del business i prodotti più sicuri sono più interessanti per il mercato

20 Perla della Security Governance N 17 Stiamo coordinando la sicurezza logica con quella fisica? Defense In-Depth Physical Security Avere cura della sicurezza fisica è un ovvio prerequisito E necessaria la convergenza tra le due tipologie di sicurezza Tip:... riunire la loro gestione sotto un unico cappello

21 Approccio Defense In-Depth

22 Security Blog di Approfondire e condividere notizie, best practice, strategie ed innovazioni di Sicurezza Informatica su tecnologia Microsoft

23