La gestione del rischio IT a supporto della tutela del patrimonio informativo

Transcript

1 La gestione del rischio IT a supporto della tutela del patrimonio informativo Corrado Lonati Servizio Sicurezza Informatica Milano, 29 Novembre Agenda 1. Il contesto di riferimento della sicurezza informatica 2. La risposta di Intesa Sanpaolo 3. La gestione del rischio IT come elemento centrale della Sicurezza Informatica 4. Individuazione del corretto approccio per l assessment del rischio IT 5. Conclusioni 2 1

2 Il contesto di riferimento Evoluzione della sicurezza e mutamenti nel contesto ambientale Persone e Valori Risorse informatiche Informazioni Disaster Recovery Processi di Business Evoluzione della sicurezza nel settore bancario Evoluzione dei modelli di business della Banca sicurezza integrata Fonte: rielaborazione su dati IDC/ Bull 2003 Evoluzione dei vincoli esterni 1. Dematerializzazione del patrimonio 2. Tempi più rapidi di risposta al mercato (Time to market) 3. Orientamento alla clientela 4. Consolidamento organizzativo 5. Uso della tecnologia per servizi a distanza Evoluzione delle minacce 1. Diverse regole competitive 2. Crescita delle richieste di attenzione ai controlli da parte degli stakeholder 3. Nuove norme e leggi (Organo di Vigilanza, Legislatore,..) 4. Attenzione da parte dei media 3 Il contesto di riferimento Evoluzione degli obiettivi di sicurezza aziendali Alla Sicurezza la Banca chiede di rispondere ad alcune specifiche domande... Quali sono gli asset più importanti del mio patrimonio? Quali sono i miei processi più a rischio? Qual è l'impatto sul mio business a fronte della perdita delle caratteristiche di sicurezza dei miei asset? Quali sono le infrastrutture che gestiscono il mio patrimonio informativo? e quali sono le relative contromisure attivate per ciascuno di essi? Quali sono i maggiori rischi cui è sottoposto il mio patrimonio?...e quali sono le strategie di rientro? Ho investito e sto investendo dove effettivamente è necessario?..e che ritorni ho avuto? 4 2

3 Il contesto di riferimento Evoluzione della domanda interna di sicurezza informatica...ieri......oggi... Trigger Compliance a singole leggi sono costretto a farlo: la legge me lo impone Comportamenti altri player di settore è meglio che lo faccia: lo fanno anche tutti gli altri... Continuità dei processi aziendali meglio non correre il rischio che succeda qualcosa che mi impedisca di lavorare Efficienza dei processi devo recuperare i margini mediante la sempre maggiore automazione ed il decremento delle perdite operativi Incremento dei costi di compliance devo ottimizzare le sinergie tra le attività di compliance... Domanda di sicurezza accesso ai dati servizi fruibili capacità di problem solving garanzia di riservatezza tutela dell integrità dei dati disponibilità dei servizi prodotti e servizi appealing per il cliente finale governo del rischio contenimento dei costi e delle perdite operativi efficienza sugli interventi di compliance Vincoli da rispettare o rispetto degli SLA o contenimento dei costi o strategie da business enabler o impatto positivo su bilancio aziendale o supporto all evoluzione organizzativa Tipologia di Servizi erogati SERVIZI TECNICO OPERATIVI + SERVIZI DI INDIRIZZO E GOVERNO 5 Il contesto di riferimento Evoluzione della sicurezza in ambito ICT: da sicurezza informatica a sicurezza del patrimonio informativo La sicurezza del patrimonio informativo: è la mitigazione del rischio di perdita di riservatezza,integrità e disponibilità delle informazioni che hanno valore per la banca si realizza tutelando le informazioni e tutti i supporti con cui queste vengono trattate (tutela il contenuto e non solo il contenitore) protegge le informazioni con uguale efficacia in tutte le forme che possono assumere (es. stampate o scritte su carta, elaborate, archiviate o trasmesse elettronicamente, trasmesse via posta, fax oppure condivise oralmente, pubblicate in internet o su stampa, proiettate o mostrate in filmati) è sempre più importante perchè la dematerializzazione dell operatività bancaria comporta che, in fondo, il business della Banca si concretizzi in una corretta gestione di informazioni non si limita alla sicurezza informatica in quanto è una responsabilità del management e non un compito tecnico 6 3

4 Il contesto di riferimento La sicurezza del patrimonio informativo come chiave necessaria per la gestione del rischio IT Rischio = Impatto X Probabilità di accadimento Asset IT Persone Valori Processi Competenze Macrodati Ubicazioni / Locali Valore asset Tipologia minacce Minacce IT Attacchi Denial Of Service Compromissione di chiavi crittografiche / certificati Connessioni rete non autorizzate IP spoofing / Network scanning... Contromisure Contromisure IT Identificazione utente Autenticazione utente Profilazione per l'accesso ai dati Cifratura Mascheramento dati Monitoring... NON IT Applicazioni Infrastruttura IT ambienti / servizi componenti / prodotti infrastrutture di sicurezza Infrastrutture DR/BC NON IT Errori dovuti limitata conoscenza di regole e procedure e normative Eventi catastrofici Intrusione / accessi fisici non autorizzati Mancanza / inadeguatezza inventario... NON IT Norme di utilizzo degli strumenti Ruoli e responsabilità Formazione Sistemi di rilevazione fisica passiva / attiva Sistemi di continuità... 7 Appunti 1. La sicurezza informatica deve tutelare il patrimonio informativo della Banca 8 4

5 Agenda 1. Il contesto di riferimento della sicurezza informatica 2. La risposta di Intesa Sanpaolo 3. La gestione del rischio IT come elemento centrale della Sicurezza Informatica 4. Individuazione del corretto approccio per l assessment del rischio IT 5. Conclusioni 9 La risposta di Intesa Sanpaolo Intesa Sanpaolo ha adottato il modello di sicurezza che, sin dal 2003, aveva portato Banca Intesa a integrare le competenze di sicurezza in una Direzione Centrale autonoma e indipendente dagli Enti realizzatori Mission Definire le politiche, le linee guida e gli standard in materia di sicurezza aziendale [...] Assicurare operativamente la sicurezza fisica ed informatica, la gestione degli standard e delle metodologie specifiche e il presidio dei livelli di rischio e guidare e supportare i progetti di sicurezza aziendale anche attraverso l'analisi del rischio e la definizione dei relativi interventi tecnici di mitigazione Direzioni Centrali 10 5

6 La risposta di Intesa Sanpaolo Intesa Sanpaolo ha attribuito alla Sicurezza Informatica obiettivi di presidio, indirizzo e coordinamento Mission Definisce le policies di sicurezza informatica Gestisce le analisi del rischio IT Gestisce le crisi e gli incidenti di sicurezza IT Sviluppa Sistemi integrati di identity management Gestisce gli accessi logici alle risorse IT Coordina progetti di sicurezza IT Principali attività Sviluppo sicurezza informatica Politiche e Linee Guida di sicurezza del patrimonio informativo Implementazione delle LG di sicurezza patrimonio informativo Analisi del rischio IT Formazione di sicurezza informatica Tableau de Bord Certificazione ISO27001 Progettazione sicurezza informatica design e implementazione delle soluzioni di sicurezza informatica Progettazione e realizzazione infrastrutture di sicurezza I&AM PKI... Prevenzione e gestione crisi di sicurezza Informatica Anti-Phishing Gestione degli incidenti di sicurezza informatica Vulnerabilities and threats management Technical Security assessment IT security monitoring Architetture di sicurezza informatica Definizione delle architetture di sicurezza informatica Supporto alla definizione delle architetture informatiche Gestione operativa di sicurezza informatica Identity management Authorization management Gestione Infrastruttura I&AM e relativo Help Desk Controllo e monitoring accessi logici Gestione del ciclo di vita dei certificati 11 La risposta di Intesa Sanpaolo La sicurezza informatica deve supportare le strutture IT nel rispettare i loro livelli di servizio concordati minacce Sicurezza del patrimonio informativo ICT INTERVENTI PREVENTIVI Riservatezza Integrità informazione Disponibilità ATTIVITÀ DI EARLY DETECTION INTERVENTI CORRETTIVI IMPATTO SUI SERVIZI EROGATI In ambito IT, la sicurezza del patrimonio informativo, mediante un insieme di interventi preventivi e correttivi e di attività di early detection, permette alle strutture competenti di tutelarsi dalle minacce garantendo i livelli di servizio concordati 12 6

7 La risposta di Intesa Sanpaolo Le responsabilità operative di sicurezza informatica devono essere condivise con gli enti realizzatori della Banca Gestisce per la Banca un adeguato sistema di governo della sicurezza, a tutela della riservatezza, l integrità e la disponibilità nei suoi vari formati (elettronico, cartaceo, verbale) implementando soluzioni atte a garantire il controllo nel tempo del livello di sicurezza definito Direzione Sicurezza Enti realizzatori Patrimonio Informativo della Banca Altre Funzioni Garantisce alla Banca la disponibilità di sistemi informativi che tutelano la riservatezza, l integrità e la disponibilità delle informazioni trattate elettronicamente Garantiscono alla Banca la disponibilità delle misure di natura fisica, organizzativa e legale per tutelare le risorse informatiche L obiettivo della Sicurezza del Patrimonio Informativo è una responsabilità da condividere tra le varie funzioni di Intesa Sanpaolo, definendo un approccio comune e saldando modalità operative di collaborazione tra tutti gli attori coinvolti a vario titolo 13 Appunti 1. La sicurezza informatica deve tutelare il patrimonio informativo della Banca 2. La sicurezza informatica non è un problema solo della Sicurezza Informatica 14 7

8 Agenda 1. Il contesto di riferimento della sicurezza informatica 2. La risposta di Intesa Sanpaolo 3. La gestione del rischio IT come elemento centrale della Sicurezza Informatica 4. Individuazione del corretto approccio per l assessment del rischio IT 5. Conclusioni 15 La gestione del rischio IT come elemento centrale della Sicurezza Informatica Gli elementi abilitanti il modello di governo della sicurezza IT devono essere indirizzati correttamente in un ottica di processo continuo nel tempo ELEMENTI ABILITANTI Sistema di governo della sicurezza Gestione del Rischio Soluzioni di sicurezza La Gestione del rischio permette al Governo della sicurezza di indirizzare correttamente le Soluzioni e le infrastrutture di sicurezza FASI DI GOVERNO Pianificazione e indirizzo Analisi e Mitigazione del rischio Esercizio Monitoraggio e controllo Politiche, Pianificazione strategica e operativa Disegno, Analisi e Progettazione Realizzazione, implementazione ed esercizio operativo Monitoraggio, Verifiche e Reportistica Strategia Operativa 16 8

9 La gestione del rischio IT come elemento centrale della Sicurezza Informatica L attuazione del modello di governo della Sicurezza del patrimonio informativo Sistema di governo della sicurezza Gestione del Rischio Soluzioni di sicurezza Pianificazione e indirizzo Impianto normativo Metodologie e strumenti Architetture e Infrastrutture Analisi e Mitigazione del rischio Processi e prevenzione del rischio Analisi del rischio Progetti Esercizio Formazione Trattamento del rischio Implementazione e amministrazione Monitoraggio e controllo Reporting Sistema dei controlli Verifiche 17 La gestione del rischio IT come elemento centrale della Sicurezza Informatica Un modello suggerito per la gestione del rischio IT Fonte: Guasconi Fabio,

10 La gestione del rischio IT come elemento centrale della Sicurezza Informatica La gestione del rischio IT garantisce adeguata tutela del patrimonio informativo in ogni fase del suo ciclo di vita: un esempio sul ciclo di vita dell applicazione Ciclo di vita dell applicazione Disegno Realizzazione Collaudo e rilascio Esercizio rischio Progettazione Realizzazione Verifica e certificazione Monitoraggio e controllo Ciclo di vita della sicurezza Evoluzione Evoluzione 19 Appunti 1. La sicurezza informatica deve tutelare il patrimonio informativo della Banca 2. La sicurezza informatica non è un problema solo della Sicurezza Informatica 3. La sicurezza informatica parte dalla comprensione del rischio IT 20 10

11 Agenda 1. Il contesto di riferimento della sicurezza informatica 2. La risposta di Intesa Sanpaolo 3. La gestione del rischio IT come elemento centrale della Sicurezza Informatica 4. Individuazione del corretto approccio per l assessment del rischio IT 5. Conclusioni 21 Individuazione del corretto approccio per l assessment del rischio IT L analisi del rischio IT deve supportare il raggiungimento di diversi obiettivi aziendali Realizzazione di un sistema di gestione della sicurezza dell informazione (ISMS); valutare i rischi IT derivanti da attività di evoluzione organizzativa ottenere la conformità a leggi o a regolamenti; introdurre nuove tecnologie per il trattamento delle informazioni; supportare la creazione di nuovi servizi, processi o procedure o loro evoluzioni; analizzare potenziali incidenti di sicurezza e annessi interventi migliorativi

12 Individuazione del corretto approccio per l assessment del rischio IT L analisi del rischio IT deve saper offrire risposte adeguate ai propri committenti Più ci si eleva nella gerarchia aziendale più diventano astratti i mal di pancia dei manager:...c è chi non dorme la notte pensando alle vulnerability patches......c è chi non dorme la notte pensando alla disponibilità o alla riservatezza dei dati......c è chi non dorme la notte pensando ai rischi di mercato, di reputazione, di liability,.. Fonte: rielaborazione su dati Gartner Individuazione del corretto approccio per l assessment del rischio IT L analisi del rischio IT deve essere applicata in diverse fasi del governo della sicurezza Prevenzione del rischio Implementazione Linee Guida di sicurezza Definizione requisiti di mitigazione del rischio Trigger Evoluzione organizzativa degli Enti realizzatori Evoluzione organizzativa delle strutture di business Modifiche significative della normativa di sicurezza Nuovi processi ICT Nuovi processi di business Nuovi Progetti ICT Nuove infrastrutture fisiche Verifica adozione linee guida Correzione dei livelli di rischio Analisi del rischio sul patrimonio informativo Technical security assessment Trigger Iniziative in ossequio alla mission Interventi su richiesta di terzi (es. Audit, Autorità di vigilanza,..) Modifiche legislative Incidenti Esercizio di attività con forte impatto sui clienti finali (es. internet Banking,..) Esercizio di attività con forte impatto sui clienti interni (es. rete interna,..) Nuove Minacce su tecnologie esistenti Nuove minacce derivanti da evoluzione tecnologica 24 12

13 Individuazione del corretto approccio per l assessment del rischio IT L analisi del rischio IT deve adottare approcci diversificati per evento e dimensione Eventi di attivazione 1,1 1,2 2,1,a 2,1,b 2,2 2,3 Eventi di attivazione: 1.Eventi pianificabili: 1.1 Progetti a Piano Informatico Piano Annuale di Analisi del Rischio 2 2.Eventi non pianificabili: 2.1.a Nuovi Progetti Business 2.1.b Nuovi Progetti IT Eventi esterni (es. nuove Leggi, nuove minacce, evoluzioni tecnologiche) 2.3 Altri eventi interni (es. evidenze del Security Tableau de Bord, incidenti di sicurezza) Progetti a "Piano informatico" Piano annuale delle AdR Nuovi progetti di business Nuovi Progetti IT Eventi esterni Altri eventi interni Ambito di analisi 1. Pianificabili 2. Non pianificabili 1 Dimensione Organizzativa Struttura Organizzativa 1,1 (Società, Direzione, Servizio,...) 1,2 Processi 1,3 Prodotti / Servizi 2 Dimensione degli asset 2,1 Macrodati 2,2 Applicazioni 2,3 Infrastruttura IT 2,4 Ubicazioni Dimensioni di analisi: L AdR può essere svolta a livello di dimensione organizzativa (strutture, prodotti e servizi, ecc.) e/o di asset del patrimonio informativo (asset tecnologici, informazioni, ecc.): Legenda Punti di ingresso dell Analisi del Rischio L'ingresso dell'analisi sulla dimensione organizzativa porta comunque sempre all'analisi dei relativi "asset" del patrimonio informativo (1) Il Piano Annuale di Analisi del Rischio è definito sulla base di fattori interni ed esterni (processi ed ambiti aziendali prioritari, incidenti di sicurezza, audit, ecc.).. (2) Altre iniziative di governance, non derivanti dal Piano Informatico; inclusi i progetti di outsourcing e utilizzo di service esterni (es. 730 on-line). 25 Individuazione del corretto approccio per l assessment del rischio IT La rilevazione del rischio IT deve sapersi adeguare all eterogeneità del contesto in cui opera oggetto DATO APPLICAZIONE ASSET IT PROCESSO STRUTTURA ORGANIZZATIVA ambito PROGETTO PROCESSO INCIDENTE obiettivo profondità livello di qualità INDIVIDUAZIONE DELLE CONTROMISURE SINGOLE VULNERABILITÀ APPROFONDITO COMPRENSIONE DEL FENOMENO CLASSI DI CONTROMISURE INTUITIVO audience SPECIALISTA IT APPLICATIVI MANAGEMENT formalizzazione FORMALE INFORMALE Quale strumento? Fonte: rielaborazione su dati Gartner

14 Appunti 1. La sicurezza informatica deve tutelare il patrimonio informativo della Banca 2. La sicurezza informatica non è un problema solo della Sicurezza Informatica 3. La sicurezza informatica parte dalla comprensione del rischio IT 4. Realtà complesse e articolate richiedono modalità diverse e distinte di comprensione del rischio 27 Agenda 1. Il contesto di riferimento della sicurezza informatica 2. La risposta di Intesa Sanpaolo 3. La gestione del rischio IT come elemento centrale della Sicurezza Informatica 4. Individuazione del corretto approccio per l assessment del rischio IT 5. Conclusioni 28 14

15 Conclusioni Da un approccio tradizionale ad un approccio maturo alla sicurezza Intesa Sanpaolo, si muove su un percorso che porta all evoluzione dell approccio tradizionale verso una gestione della sicurezza IT coerente e funzionale alla strategia di business della Banca Approccio tradizionale (1) Approccio maturo Periodico Reattivo Autocratico Accademico Technology-Driven Soluzione perfetta Prevenzione dei rischi Programmatico di Processo Collaborativo Pragmatico Business-Driven Soluzione appropriata Governo dei rischi (1) Fonte: rielaborazione su dati Gartner Appunti 1. La sicurezza informatica deve tutelare il patrimonio informativo della Banca 2. La sicurezza informatica non è un problema solo della Sicurezza Informatica 3. La sicurezza informatica parte dalla comprensione del rischio IT 4. Realtà complesse e articolate richiedono modalità diverse e distinte di comprensione del rischio 30 15