Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale

Transcript

1 Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Visionest S.p.A. Padova, 11 giugno 2002 David Bramini

2 > Agenda Proteggere il proprio Business Risk Assessment Risk Management Conclusioni

3 > Proteggere il proprio Business Le organizzazioni stanno vivendo un momento di riflessione nei confronti del loro rapporto con tutto ciò che riguarda il governo della sicurezza dell informazione. La volontà del management è sempre più spesso quella di vedere oltre quell atmosfera di paura, incertezza e dubbio (FUD), a volte sapientemente diffusa sul mercato, e capire quale è il ritorno degli investimenti fatti in questa direzione.

4 > Proteggere il proprio Business Alcune tra le domande più diffuse in proposito sono: Cosa può succedere se il nostro business non è protetto? Ma abbiamo già i Firewall e gli Antivirus, non è abbastanza? E un lavoro complesso, chi se ne deve incaricare al nostro interno? Quali tecnologie sono coinvolte? Quali sono gli obblighi legali?

5 > Proteggere il proprio Business I tempi in cui si riteneva che per la dirigenza fosse sufficiente una limitata comprensione degli aspetti di protezione sono finiti. Sempre più di frequente il top-management stesso è chiamato ad assicurare partner, clienti ed investitori rispetto al fatto che il business gestito dalla propria azienda sia protetto e sicuro.

6 > Proteggere il proprio Business L obiettivo si raggiunge attivando un percorso di analisi in grado di: Individuare il livello di rischio a cui il business di una organizzazione è sottoposto Valutare ed attivare le contromisure necessarie per proteggerlo Mantenerlo entro un livello accettabile

7 > Proteggere il proprio Business In questo percorso è fondamentale che la protezione del business sia vista come una delle funzioni essenziali di tutta la gestione aziendale e non sia trattata solo come una questione tecnica relegata al personale IT.

8 > Proteggere il proprio Business La tipologia di analisi può essere di tipo qualitativo, ossia facente riferimento al significato strategico ed operativo degli elementi da proteggere, o di tipo quantitativo ove il riferimento è principalmente il valore economico.

9 > Proteggere il proprio Business E bene che la metodologia impiegata sia ispirata a diversi criteri e standard internazionalmente riconosciuti (es. ISO/IEC-17799) Questi dovranno essere integrati con la normativa del paese dove viene svolta l attività, in particolare per quanto riguarda: Privacy; Tutela della proprietà intellettuale; Trasmissione di dati all estero.

10 > Proteggere il proprio Business Per un approccio corretto ed efficace, è buona norma che l analisi venga articolata in due distinti moduli di progetto: Risk Assessment e Risk Management

11 > Proteggere il proprio Business Modulo1: Risk Assessment Si pone l obiettivo di individuare il livello di rischio a cui i beni (asset) dell organizzazione sono sottoposti. Deve essere basato su un modello di valutazione del rischio flessibile e facilmente adattabile al contesto in cui viene applicato.

12 > Proteggere il proprio Business Modulo 2: Risk Management Si pone l obiettivo di tenere sotto controllo il rischio definendo processi stabili e ripetibili nel tempo. E basato sulla gestione del ciclo di vita del Piano di Sicurezza dell organizzazione.

13 > Modulo 1: Risk Assessment Il modulo di Risk Assessment si compone in genere delle seguenti attività: Individuazione degli asset Classificazione degli asset Analisi delle vulnerabilità Applicazione di un modello di valutazione del rischio Interpretazione dei risultati

14 > Modulo 1: Risk Assessment Il modulo di Risk Assessment si compone delle seguenti attività: Individuazione degli asset Classificazione degli asset Analisi delle vulnerabilità Applicazione del modello di valutazione del rischio Interpretazione dei risultati

15 > Risk Assessment: Individuazione degli asset Una adeguata individuazione degli asset (beni di valore) soggetto dell assessment è fondamentale per la buona riuscita dell analisi.

16 > Risk Assessment: Individuazione degli asset In funzione delle caratteristiche della realtà aziendale chi opera l assessment individua in genere uno tra i seguenti approcci: basato sulla valutazione degli asset aziendali (asset based); orientato ai processi ed al business aziendale (process based o business oriented); combinato tra i due.

17 > Risk Assessment: Individuazione degli asset Esempio: Approccio asset-based Informazioni, dati, procedure di supporto: Basi di dati varie, Archivi Cartacei, procedure di accesso e gestione ai dati e di scambio informazioni, continuity plan, manuali. Software: Applicazioni gestionali, CAD, Sistema Operativo, DataBase, Utilities. Asset Fisici: Server, Workstation, apparati di Networking. Contratti: Assistenza Hw e Sw, gestione linee di comunicazione.

18 Esempio: Approccio process-oriented > Risk Assessment: Individuazione degli asset

19 > Risk Assessment: Individuazione degli asset Esempio: Approccio combinato. Individuazione di Aree di Attività che per l erogazione di servizi (interni o esterni) si basano su strumenti tecnologici e procedure organizzative Area Gestione Personale; Area Gestione Clienti; Area Archivio Progetti; Gestione Sistema Fax; Gestione Servizi di rete e comunicazione;

20 > Modulo 1: Risk Assessment Il modulo di Risk Assessment si compone delle seguenti attività: Individuazione degli asset Classificazione degli asset Analisi delle vulnerabilità Applicazione del modello di valutazione del rischio Interpretazione dei risultati

21 > Risk Assessment: Classificazione degli asset Gli asset prima individuati vengono ora classificati in base al loro valore, stabilendo che più è alto l impatto di un evento dannoso, più deve essere alto il valore assegnato all asset.

22 > Risk Assessment: Classificazione degli asset Tra i criteri qualitativi di cui tenere conto troviamo: Confidenzialità: La proprietà per cui un informazione non è resa disponibile o svelata a individui, entità o processi non autorizzati. Integrità: La proprietà per cui un informazione non è stata modificata o distrutta senza autorizzazione. Disponibilità: La proprietà per cui un sistema o una risorsa di sistema sono accessibili e usabili su domanda da parte di un entità autorizzata, in accordo alle specifiche di prestazione del sistema. Criteri derivanti dalla normativa: Privacy in particolare.

23 > Risk Assessment: Classificazione degli asset ACME inc. Personale Gestione Clienti Archivio Progetti Gestione Fax Gestione Networking... Valore Asset Molto Alto Alto Medio Molto Alto Alto...

24 > Modulo 1: Risk Assessment Il modulo di Risk Assessment si compone delle seguenti attività: Individuazione degli asset Classificazione degli asset Analisi delle vulnerabilità Applicazione del modello di valutazione del rischio Interpretazione dei risultati

25 > Risk Assessment: Analisi delle vulnerabilità L analisi delle vulnerabilità può essere condotta sia tramite interviste al personale che tramite l utilizzo di opportuni strumenti software di scansione (della rete, dei sistemi operativi, dei database, ecc.). L obiettivo è una valorizzazione del livello di criticità delle diverse vulnerabilità identificate negli asset.

26 > Risk Assessment: Analisi delle vulnerabilità Ad esempio, vulnerabilità più o meno critiche possono essere identificate: Nella tipologia e nella gestione delle password; Nella configurazione del Sistema Operativo; Nella carenza di Continuity Plan ; Nel livello di affidabilità dell Hardware; Nella gestione dell accesso fisico agli asset.

27 > Modulo 1: Risk Assessment Il modulo di Risk Assessment si compone delle seguenti attività: Individuazione degli asset Classificazione degli asset Analisi delle vulnerabilità Applicazione del modello di valutazione del rischio Interpretazione dei risultati

28 > Risk Assessment: Applicazione del Modello di Valutazione del Rischio Nella maggioranza dei modelli di valutazione, il rischio relativo ad un asset viene espresso in funzione del: Valore dell asset da proteggere Livello di criticità della varie vulnerabilità individuate Probabilità che una certa minaccia sia attuata sfruttando quelle specifiche vulnerabilità R=Valore*Vulnerabilità*Probabilità

29 > Risk Assessment: Applicazione del Modello di Valutazione del Rischio Dalla precedente formulazione del rischio, emerge che è necessario individuare e quantificare anche le possibili minacce e la loro probabilità di occorrenza (es. attacchi dall interno/dall esterno, ostili e non, strutturati e non). La professionalità di chi esegue l assessment consentirà di adattare le metriche del modello scelto alle particolari esigenze dell ambiente dove viene svolta l attività.

30 > Risk Assessment: Applicazione del Modello di Valutazione del Rischio In funzione del particolare modello usato si otterranno indicazioni del livello di rischio a cui è soggetto ogni asset stimato; Dai risultati emergono in genere indicazioni sulle vulnerabilità/minaccie maggiormente significative e sul livello di protezione medio di ogni asset.

31 > Risk Assessment: Applicazione del Modello di Valutazione del Rischio Risultati: ACME inc. Rischio Massimo Rischio Medio Valore dell'asset Personale Alto Normale Molto Alto Gestione Clienti Alto Basso Alto Archivio Progetti Medio Normale Medio Gestione Fax Medio Normale Medio Gestione Networking Molto Alto Alte Alto

32 > Risk Assessment: Applicazione del Modello di Valutazione del Rischio Rischio Massimo e Rischio Medio 7,00 6,00 5,00 4,00 3,00 2,00 1,00 0,00 Asset 1 Asset 2 Asset n

33 > Modulo 1: Risk Assessment Il modulo di Risk Assessment si compone delle seguenti attività: Individuazione degli asset Classificazione degli asset Analisi delle vulnerabilità Applicazione del modello di valutazione del rischio Interpretazione dei risultati

34 > Risk Assessment: Interpretazione dei risultati Gli investimenti per aumentare la sicurezza devono tenere conto che ci sarà sempre un rischio residuo da gestire. Investimento Costo degli eventi dannosi

35 > Modulo 2: Risk Management Obiettivo di questo modulo è quello di portare il rischio ad un livello accettabile e di tenerlo sotto controllo definendo processi stabili e ripetibili nel tempo. E basato sulla gestione del ciclo di vita del Piano di Sicurezza dell organizzazione.

36 > Modulo 2: Risk Management Requisiti di Business Primo Risk Assessment Politiche di Sicurezza + Basi Minime Miglioramento delle Politiche Feed-back Immediati Risk Assessment Revisione Report e log vari Applicazione Attivazione Politiche ed introduzione contromisure

37 > Modulo 2: Risk Management Possiamo identificare nel ciclo di vita del Piano di Sicurezza aziendale le seguenti attività: Definizione delle Politiche di Sicurezza Basi Minime di Sicurezza (MSB) Applicazione delle Politiche di Sicurezza -> Contromisure Revisione Miglioramento delle Politiche di Sicurezza

38 > Modulo 2: Risk Management Requisiti di Business Primo Risk Assessment Politiche di Sicurezza + Basi Minime Miglioramento delle Politiche Feed-back Immediati Risk Assessment Revisione Report e log vari Applicazione Attivazione Politiche ed introduzione contromisure

39 > Risk Management: Politiche di Sicurezza Politiche di Sicurezza: è l insieme di decisioni che determina il posizionamento della organizzazione nei confronti della sicurezza (W. R. Cheswick, S. M. Bellovin).

40 > Risk Management: Politiche di Sicurezza Le Politiche di Sicurezza in una generica organizzazione si articolano solitamente nei seguenti punti: Linee Guida Policy Organizzative Regolamento dell organizzazione Architettura della Sicurezza IT

41 > Risk Management: Politiche di Sicurezza Policy Organizzative: Ruoli e Responsabilità Enterprise Security Officer Enterprise Security Manager Enterprise Security Administrator Coordinamento Comitato Direttivo Comitato di Controllo

42 > Risk Management: Politiche di Sicurezza Regolamento dell Organizzazione: Policy a livello persone Policy a livello informazioni Policy a livello sistemi Policy a livello utilizzo asset Policy a livello gestione utenti Policy a livello autenticazione Policy a livello controllo

43 > Risk Management: Politiche di Sicurezza Architettura della Sicurezza IT: Enterprise Security Management Sistema di Autenticazione Sistema di Antiintrusione Protezione Applicativa Protezione dei Dati Continuità del Servizio Sistema di Controllo Sicurezza Fisica

44 > Modulo 2: Risk Management Requisiti di Business Primo Risk Assessment Politiche di Sicurezza + Basi Minime Miglioramento delle Politiche Feed-back Immediati Risk Assessment Revisione Report e log vari Applicazione Attivazione Politiche ed introduzione contromisure

45 > Risk Management: Basi Minime di Sicurezza Una Base Minima di Sicurezza (MSB), è una guida pratica (how-to) per supportare le esigenze immediate dell organizzazione in termini di sicurezza. Con le MSB si vanno a coprire quelle esigenze che a fronte del Risk Assessment, risulta che possono/devono essere affrontate immediatamente, senza aspettare la redazione delle Politiche di Sicurezza.

46 > Risk Management: Basi Minime di Sicurezza Possono riguardare la configurazione di sistemi operativi e database, la realizzazione di semplici Continuity Plan, la struttura delle password. Una MSB non andrà mai in contrasto con la Politica di Sicurezza, ma costituirà uno strumento per implementarne le idee e raggiungerne gli obiettivi, favorendo il coinvolgimento del personale.

47 > Modulo 2: Risk Management Requisiti di Business Primo Risk Assessment Politiche di Sicurezza + Basi Minime Miglioramento delle Politiche Feed-back Immediati Risk Assessment Revisione Report e log vari Applicazione Attivazione Politiche ed introduzione contromisure

48 > Risk Management: Applicazione-Contromisure Difesa perimetrale Firewall / Intrusion Detection System (IDS) Antivirus Strumenti di Identificazione delle Vulnerabilità Gestione dell Identità e degli Accessi Public Key Infrastructure, Single Sign On Gestione e Controllo della Protezione Consolle Centralizzata di gestione degli strumenti Formazione continua del personale Soluzioni di alta affidabilità per Server e Storage

49 > Modulo 2: Risk Management Requisiti di Business Primo Risk Assessment Politiche di Sicurezza + Basi Minime Miglioramento delle Politiche Feed-back Immediati Risk Assessment Revisione Report e log vari Applicazione Attivazione Politiche ed introduzione contromisure

50 > Risk management: Revisione e Miglioramento delle Politiche Deve essere sempre prevista l effettuazione di Revisioni periodiche da parte del Comitato di Controllo Utilizzando il modello stabilito deve essere regolarmente monitorato il livello di rischio Le Politiche, sopratutto quelle a livello di Regolamento dell Organizzazione e di Architettura della Sicurezza IT, potranno subire interventi migliorativi

51 > Conclusioni Abbiamo risposto alle domande in apertura? Cosa può succedere se il nostro business non è protetto? Abbiamo valutato le informazioni aziendali in funzione dei requisiti normativi, di riservatezza, di continuità di servizio ed integrità dei contenuti. Siamo in grado di capire dove siamo più a rischio e cosa potrebbe accadere se una vulnerabilità venisse sfruttata.

52 > Conclusioni Ma abbiamo già i Firewall e gli Antivirus, non è abbastanza? Bisogna avere un approccio olistico alla sicurezza, facendo si che questa divenga un aspetto significativo in ogni elemento dell organizzazione; I Firewall sono strumenti necessari ma non sufficienti e comunque devono essere monitorati; Un software di antivirus svolgerà bene il suo compito solo in presenza di una precisa politica di uso della .

53 > Conclusioni E un lavoro complesso, chi se ne deve incaricare al nostro interno? Le politiche di sicurezza riguardano e coinvolgono tutti. Il top-management ha comunque un ruolo cruciale e deve interagire direttamente con una figura responsabile della sicurezza (Security Officer).

54 > Conclusioni Quali sono gli obblighi legali? Devono essere considerati di primaria importanza e come tali, inglobati nel modello di classificazione dei beni dell organizzazione e nelle procedure operative. I temi fondamentali sono la privacy, la tutela della proprietà intellettuale, il trasferimento dei dati all estero.

55 > Conclusioni Quali tecnologie sono coinvolte? Abbiamo visto che le tecnologie sono molte ed alcune ampiamente consolidate. L importante è realizzare un infrastruttura idonea e non assemblare pezzi di protezione.

56 > Riservatezza Copyright 2000, 2002 Visionest S.p.A., tutti i diritti sono riservati, all rights reserved Nessuna parte di questo documento può essere riprodotta o trasmessa, in tutto o in parte, senza autorizzazione scritta di Visionest S.p.A., a persone fisiche o giuridiche che non siano l azienda indicata in intestazione. I contenuti del documento non possono altresì essere copiati, donati o venduti a terze parti senza autorizzazione scritta di Visionest S.p.A., né i suoi contenuti possono essere rivelati a persone fisiche o giuridiche che non siano indicati in intestazione senza autorizzazione scritta di Visionest S.p.A.. No part of this document may be reproduced or transmitted in any form or by any means, electronic or mechanical, for any purpose, without the express written permission of Visionest S.p.A., to persons, physical or legal that are not part of the company indicated in the document heading. The information contained in this document can neither be copied, given or sold to third parties without the express written permission of Visionest S.p.A., nor can the this document be revealed to persons, physical or legal or that are not part of the company indicated in the document heading without the express written permission of Visionest S.p.A. Visionest S.p.A Via Porciglia, Padova, Italy - tel. +39 (049) info@visionest.com

57 Per ricevere ulteriore documentazione: Per contattare il relatore:

58 visionest.com