Presentazione dell iniziativa ROSI

Transcript

1 Presentazione dell iniziativa ROSI Return on Security Investment Sessione di Studio AIEA, Lugano 19 gennaio 2011 Alessandro Vallega Oracle Italia 1

2 Agenda Il gruppo di lavoro Il metodo Framework Evoluzioni future Versione Security Summit (marzo 2011) Workshop 2

3 Documento ROSI Documento di 60 pagine (v1) Avente lo scopo di facilitare e orientare il decision maker di investimenti di sicurezza Licenza Attribuzione- Condividi nello stesso modo 3

4 4

5 Sponsor dell iniziativa Ogni azienda / associazione ha investito il proprio tempo La forza collaborativa del messaggio 5

6 Oracle Community for Security Information Security Formazione Informazione Condivisione Comunicazione Temi recenti PCI-DSS Fascicolo Sanitario Elettronico Role Management Amministratori di sistema 6

7 Motivazioni del gruppo di lavoro Mettersi al servizio Aiutare a fare un passo avanti Serve sicurezza Serve la capacità di scegliere gli investimenti giusti per la propria azienda Serve la capacità di sostenere le proprie scelte Rispondere ai problemi osservati nel mercato 7

8 Problemi osservati Evoluzione tecnologica Nuove opportunità di business Nuove minacce / nuovi rischi Distanza tra quello che serve e quello che viene fatto in azienda Difficoltà ad investire Scegliere dove focalizzarsi Spiegare che la sicurezza non è un costo Ottenere le risorse Aumento delle frodi e dei furti 8

9 Comunicazione Security Summit (Milano marzo) CIO Dinner (Roma aprile) Sessione in AUSED (Milano maggio) Assemblea Clusit (Milano maggio) Security Summit (Roma giugno) Assemblea AIEA (Milano luglio) GRC Forum (Milano, Settembre) Oracle Lunch (Milano, Roma, ottobre) Sessione studio AIEA (Verona, novembre) Sessione studio AIEA (Roma, dicembre) Sessione studio AIEA (Lugano, gennaio) Security Summit (Milano, marzo) 9

10 Tools Collaborazione web ma anche riunioni fisiche (13 da settembre 2009) tanti compiti a casa e un prezioso human configuration management tool 20/5/

11 Metodo 11

12 Definizione di sicurezza adottata Il termine sicurezza dell informazione significa proteggere l informazione e i sistemi informativi da accesso, uso, diffusione, interruzione, modifica e distruzione non autorizzati, al fine di fornire: Riservatezza Integrità Disponibilità (title 44 of the US Code) e perseguendo l obiettivo ulteriore di Conformità a leggi e regolamenti! 12

13 Motivazioni all investimento Gli investimenti in sicurezza vengono effettuati per (business driver): Contenere il Rischio operativo Garantire la Compliance Proteggere l Immagine aziendale Aumentare l Efficienza dei processi di sicurezza 13

14 ROI ROSI L approccio matematico del ROI fa fatica a rappresentare tali motivazioni 14

15 Approccio ROSI Propone di considerare anche il Rischio la Compliance l Immagine aziendale Pone al centro la ricerca dell interesse dei differenti stakeholder che sono sensibili in modo diverso A Riservatezza, Integrità, Disponibilità E ai Business Driver Abbandonare il FUD come criterio di scelta 15

16 Aumentare l'efficienza dei Processi vista come aumento della qualità e della velocità Aumentare l'efficienza dei Processi vista come diminuzione dei costi Garantire la Compliance Proteggere Immagine Aziendale Contenere Rischio Operativo Molteplici interlocutori per il CSO CEO / Amministratore delegato Internal Auditing Direzione Finanza e Amministrazione Direzione Vendite Direzione Manufacturing Direzione Marketing Direzione Risorse Umane Direzione Acquisti Direzione IT Direzione Organizzazione Direzione R&D CSR (Corporate Social Responsibility) Business Continuity Manager Compliance Manager Risk Manager Business Driver Esemplificazione benefici Riduzione della probabilità di accadimento di eventi CEO / Amministr atore delegato Internal Auditing Direzione Finanza e Amministr azione Direzione vendite Direzione Manufactu ring dannosi che impattano sulla riservatezza x x x x x x x Riduzione della probabilità di accadimento di eventi dannosi che impattano sulla integrità x x x x x x x x x Riduzione della probabilità di accadimento di eventi Direzione Marketing Direzione Risorse Umane Direzione Acquisti Direzione IT Direzione Organizza zione Direzione R&D CSR (Corporate Social Responsibi lity) dannosi che impattano sulla disponibilità x x x Riduzione dei premi assicurativi Business Continuity Manager Complianc e Manager x x x Riduzione degli accantonamenti per far fronte ad eventuali eventi dannosi x x Erogazione di servizi core business tramite canali innovativi quali mobile, internet x x Apertura del business verso fornitori e partner commerciali tramite canali innovativi quali mobile, internet Poter aumentare l'apertura dei servizi interni su canali innovativi come mobile, internet x x Riduzione della probabilità di accadimento di eventi x x x dannosi che impattano sull'immagine aziendale x x x x Incremento della fiducia della clientela Incremento del valore del "brand" aziendale Riduzione del rischio di non conformità x x x x x x Riduzione del costo di gestione per della conformità a leggi e normative x x x x x Riduzione del costo di verifica della conformità a leggi e normative x x x x x x Incremento della qualità e della velocità dei processi per la gestione e verifica della conformità a leggi e normative Riduzione dei costi di gestione dei processi aziendali x x x x x x x x x x x x x preposti al raggiungimento e mantenimento di un livello concordato di sicurezza x x x x x x Riduzione dei costi di gestione dei processi di controllo interno / esterno x x x x x x Riduzione dei costi di gestione dei processi di business aziendali x x x x x Incremento della qualità e della velocità dei processi aziendali preposti al raggiungimento e mantenimento di un livello concordato di sicurezza x x x x Incremento della qualità e della velocità dei processi aziendali di controllo interno / esterno x x x x Incremento della qualità e della velocità dei processi di business aziendali x x x x x x x x Ognuno sensibile a diversi business drivers x Risk Manager x

17 ROSI Approccio strutturato per Scegliere dove investire Scegliere come investire Spiegare le ragioni delle proprie scelte Flessibile Top-Down Verify (bottom-up) Potente Frutto delle competenze del gruppo di lavoro Forte riuso delle best practice internazionali 17

18 Struttura del documento Management Summary Appendici (sito web) Metodo Pattern Case Study (v.2) Redazione ROSI 18

19 ROSI e le best practices 19

20 Approccio PDCA ISO/IEC 27001:2005 Framework processi sicurezza ABI- LAB CMM (IT Gov. Institute) ISO/IEC 27005:2008 Business Impact Analysis / Risk Management RIDC ISO/IEC ITIL ISF (Information Security Forum) KCI / KRI GISS 2010 (Security Survey) Common Sense ValIT CobiT 4.1 Pattern Stakeholder Identification Case study 20

21 Struttura dei pattern Nome e Area di intervento (ISO 27000) Chiavi di classificazione Criteri di sicurezza (RIDC) Risorse impattate (Infrastruttura, Risorse, Applicazioni, Informazioni) Driver di Business (Rischi, Compliance, Immagine, Efficienza) Contesto di riferimento Descrizione Driver / Motivazioni Punti di attenzione Elementi di valutazione Benefici / Vantaggi 21

22 Es. Identity & Access Management 22

23 Pattern Disponibili Amministratori di sistema Identity and Access Management Single Sign On Intrusion Detection System Application Security Sicurezza Fisica In preparazione Information Rights Management Data Loss Prevention SCADA e DCS Security Assessment PCI-DSS Role Management Database Access Monitoring 23

24 Framework 24

25 Framework Il metodo mette in luce le cose da fare e gli approcci da considerare Il framework rende disponibili degli strumenti per svolgere le cose Il gruppo di lavoro si rende disponibile per aiutare le aziende nell utilizzo del ROSI usando il framework 25

26 Criterio ispiratore Semplificare, senza banalizzare, il processo decisionale relativo agli investimenti in sicurezza Procedere per passi, mettere a fuoco un argomento alla volta Questo è a maggior ragione valido la prima volta e nel caso relativo alla redazione del case study Limitare gli strumenti all approccio scelto 26

27 Approccio Top Down: Ambiti Ambiti dell approccio Top Down Security Governance Come l azienda gestisce la sicurezza da un punto di vista organizzativo Processi IT Come l IT incorpora e tratta la sicurezza nei suoi processi Security Risk Management Come l azienda valuta il rischio di sicurezza (riservatezza, integrità, disponibilità, compliance) 27

28 Approccio Verify: Esigenze Basato sui pattern esistenti Possibilità di creazione di nuovi pattern a cura del gruppo di lavoro 28

29 Comuni Specifici Gli approcci e gli strumenti Approccio Top Down Approccio Verify Ambito Security Governance Ambito Processi IT Ambito Security Risk Management Esigenza d interesse SG1 (Framework Processi Sicurezza) IT1 (Processi IT security related) SRM1 (RiskIT, ISO27005) Pattern SG2 (CMM in ambito Sec Gov, con ISO27002) IT2 (CMM in ambito Processi IT, con ISO27002) SRM2 (CMM in ambito SRM, modello basato su RiskIT e CMM) Template Case study e schema d intervista Linee guida CMM Template ROSI Linee guida calcolo KRI / KCI Linee guida identificazione stakeholder 29

30 I passi del framework 1. Definizione Approccio 2. Pianificazione 3. Analisi Esigenze 4. Valutazione ROSI 5. Case Study Illustrare metodo ROSI Illustrare framework Identificare approccio Identificare interlocutori Illustrare modello / standard Fornire e spiegare strumenti Pianificare i tempi Utilizzare strumenti per: Identificare scenari di intervento Identificare stakeholder Condividere scenari Illustrare strumenti e doc. ROSI Utilizzare strumenti Redigere ROSI e annessi Condividere risultati Intervistare cliente Analizzare risultati Redigere case study Ambito definito Accordo ottenuto Elenco attività Piano Scenari d intervento consolidati Documento ROSI e materiale a supporto Case study nel web ROSI 30

31 Supporto gratuito previsto dal GdL 1. Definizione Approccio 2. Pianificazione 3. Analisi Esigenze 4. Valutazione ROSI 5. Case Study GdL (4 ore) Illustrare metodo ROSI Illustrare framework Cliente Identificare approccio Identificare interlocutori GdL (4 ore) Illustrare modello / standard Fornire e spiegare strumenti per fase 3 Cliente Pianificare i tempi Funzione dell approccio GdL (4 ore) Illustrare strumenti e doc. ROSI Cliente Utilizzare strumenti Redigere ROSI e annessi GdL (4 ore) Condividere risultati GdL (4 ore) Intervistare cliente Analizzare risultati Redigere case study Ambito definito Accordo ottenuto Elenco attività Piano Scenari d intervento o pattern consolidato Documento ROSI e materiale a supporto Case study nel web ROSI Approccio Top Down Approccio Verify Cliente Utilizzare strumenti per: Identificare scenari di intervento Identificare stakeholder GdL (8 ore) Condividere scenari Cliente Utilizzare strumenti per: Redigere Pattern Identificare stakeholder GdL (8 ore) Condividere Pattern 31

32 Strumenti 32

33 Strumenti 33

34 Strumenti 34

35 Strumenti 35

36 Conclusioni 36

37 Evoluzioni in corso Stesura versione 2 in corso Ristrutturazione documento e appendici Migliore integrazione tra gli approcci top-down a verify Integrazione sulle metriche, indicatori, KCI, KRI... Nuovi pattern Presentazione a marzo durante Security Summit Workshop ROSI (estate 2011) 37

38 Come contribuire Nel minisito si trovano le istruzioni Sono graditi contributi rispetto: Stesura di Pattern Sperimentazione uso del ROSI presso la propria azienda (per sezione Case Studies) Idee, correzioni, suggerimenti 38

39 Evoluzioni recenti ISACA ha pubblicato una guideline sul ROSI: G41 RETURN ON SECURITY INVESTMENT (ROSI) Si conferma l importanza del tema. Da leggere! 39

40 40