Risk Management Richard Zoni Business Unit Manager ICT Security

Transcript

1 Risk Management Richard Zoni Business Unit Manager ICT Security ver 2.1

2 Agenda > Introduzione > Obiettivi e prospettive operative > Risk Analysis > Gap Analysis > Risk Management > Il prodotto: SkyboxView Suite > Case Study: Progetto di gestione della Sicurezza delle Informazioni per il Gruppo Hera > Presentazione di Business-e

3 Introduzione > Le aziende hanno la necessità di ridurre l esposizione al rischio dei propri asset (materiali e immateriali) > Per tutelare i fattori-chiave del proprio business, le aziende devono non solo reagire ai danni che subiscono ma prevenirli attraverso politiche adeguate di Analisi e Gestione del Rischio. > La percentuale di rischi accettati dipende dagli asset da proteggere e dall impatto delle eventuali contromisure > L onerosità di queste attività spinge le aziende ad esternalizzare queste attività presso outsourcer qualificati e specializzati (in termini metodologici, tecnologici ed organizzativi)

4 Obiettivi Obiettivi Tattici Proteggere le proprie risorse (umane, IT, dati, processi, immagine) dal ripetersi di danni; Adeguarsi a normative (Privacy, Telecomunicazioni, etc.); Tutelare i vincoli contrattuali con i clienti Obiettivi Strategici Prevenire danni alle risorse; Ottimizzare i processi rispetto agli obiettivi di business; Aumentare la competitività (in termini di immagine, sicurezza, soddisfazione del cliente) Procedure Operative Progetti di censimento e classificazione (dati, processi IT, architetture IT) Progetti di Analisi dei Rischi (metodologia e supporto all utilizzo del tool CRAMM) Progetti di Gestione dei Rischi - Piani di Sicurezza - Documenti Programmatici sulla Sicurezza - Piani di adeguamento Privacy - Piani di Business Continuity e Disaster Recovery - Assistenza alla implementazione - Supporto post-implementazione

5 Risk Assessment > La metodologia di Risk Analysis adottata fa riferimento alle Best Practices e gli standard internazionali in materia (ITSEC, ISO17799, CRAMM) > Le attività previste sono: > Rilevazione dello Scenario Informativo > Classificazione dello Scenario Informativo > Analisi del Rischio (Risk Analysis) > Analisi del Rischio residuo (Gap Analysis) > Gestione del Rischio (Risk Management)

6 Risk Assessment Risk Assessment secondo la metodologia ed CRAMM (Computer Risk Analysis and Management Method) che risulta essere conforme allo standard ISO/IEC ANALISI DEI RISCHI FASE 1: Identificazione e valutazione asset Identificazione Asset Asset Modeling Valutazione Asset FASE 2: Analisi Minacce e Vulnerabilità e Misurazione del Rischio Rilevazione vulnerabilità e minacce Calcolo esposizione al Rischio GESTIONE DEI RISCHI FASE 3: Generazione Contromisure Identificazione Contromisure FASE 4: Gap Analisys Calcolo del Rischio Residuo FASE 5: Piano degli interventi Piano degli interventi

7 Risk Management DEFINIZIONE DELLE SPECIFICHE FUNZIONALI > Questa attività ha lo scopo di individuare per ogni contromisura residua i fattori costitutivi: > Livello di copertura della rispettiva funzione di Sicurezza > Benefici attesi > Costi previsti (investimento, manutenzione, tasso di obsolescenza) > Impatti stimati (impegno risorse umane, performances, qualità del servizio e degli output)

8 Risk Management PIANO DEGLI INTERVENTI > Definite le specifiche di alto e basso livello si deve procedere allo sviluppo di un Piano degli Interventi di Sicurezza. > Il Piano deve individuare gli interventi necessari per mitigare i rischi residui sulla base di: > Analisi dei costi e dei benefici dell intervento > Valutazione delle interrelazioni nascenti da più interventi > Classificazione degli interventi per tipologia ed impatto organizzativo > Classificazione degli inteventi per priorità (per ragioni di criticità, costo, etc.)

9 Risk Management PIANO DEGLI INTERVENTI: ANALISI COSTI/BENEFICI > Singoli interventi del Piano devono essere analizzati sulla base di: > Benefici tecnici attesi in termini di funzionalità, sicurezza e performances > Benefici economici > Costi in termini di impegno delle risorse, funzionalità e performances > Costi economici

10 Risk Management PIANO DEGLI INTERVENTI: CLASSIFICAZIONE PER TIPOLOGIA > I singoli interventi del Piano devono essere classificati sulla base della propria tipologia: > Interventi architetturali che impattano sull architettura del Sistema Informativo (soluzioni topologiche) > Interventi tecnologici che impattano sugli asset IT (hardware, piattaforme, applicazioni di mercato o proprietarie, apparati di rete, etc.) > Interventi organizzativi che impattano sulla struttura aziendale (ruoli, responsabilità, procedure) > Interventi di esternalizzazione del rischio (contratti di outsourcing, contratti assicurativi)

11 Risk Management PIANO DEGLI INTERVENTI: CLASSIFICAZIONE PER PRIORITA > I singoli interventi del Piano devono essere classificati sulla base della priorità attribuita. > Questa attribuzione di priorità può essere distribuita su scale di diversa granularità ma deve comunque considerare alcuni fattori-chiave: > Impatto sul business dei rischi oggetto d intervento > Probabilità di accadimento dei rischi oggetto d intervento > Ragioni di tempistica rispetto al calendario aziendale > Rispetto di prescrizioni normative > Impatto dei costi dell intervento rispetto alle capacità di spesa/investimento dell azienda in un dato momento

12 Risk Management: SkyboxView Suite / IT & Exposure Risk management Con l aumento esponenziale della complessità delle infrastrutture tecnologiche a supporto dei processi di business, valutare correttamente ed in tempi brevi la minaccia di impatti tecnologici, riducendo il tempo di esposizione è un attività spesso ingestibile senza gli strumenti corretti. Vulnerability Risk Management Business Impact Analysis and Mitigation Patch Remediation Planning Firewall Auditing & Compliance Change Management Network Policy Compliance & Assurance

13 Risk Management: SkyboxView Suite / Risk Compliance

14 Risk Management: SkyboxView Suite / Steps to Security / Steps to Security / STEP 1 Model your environment / STEP 2 Analyze your Security / STEP 4 STEP 3 Reporting / Analyze your Compliance /

15 Model your environment / Model your environment / STEP 1 Risk Management: SkyboxView Suite / Vulnerability Assessment Network Configuration Threat Origins Business Assets

16 Analyze your Compliance / Analyze your Compliance / STEP 3 Risk Management: SkyboxView Suite / Network Compliance Device Compliance FW Change Management What if Modeling

17 STEP 4 Reporting / Reporting / Risk Management: SkyboxView Suite / Pdf Reporting Dashboard Auditors Reporting Automated Process

18 Risk Management: SkyboxView Suite / Skybox Skybox Architecture Architecture /

19 CASE STUDY Progetto di gestione della Sicurezza delle Informazioni per il Gruppo Hera

20 Obiettivo del progetto - Analizzare i rischi alla sicurezza delle informazioni critiche del sistema informativo del Gruppo Hera SpA - Individuare strategie e contromisure di sicurezza per ridurre o eliminare i rischi seguendo le indicazioni della Norma ISO 27001: Fornire indicazioni operative atte a realizzare le contromisure selezionate al fine di dare avvio ad un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) idoneo a proteggere l'integrità, la riservatezza e la disponibilità delle informazioni

21 Principali Attività - Definizione del processo di gestione della sicurezza delle informazioni secondo lo standard ISO/IEC 27001: Definizione della Politica Generale per la Sicurezza delle Informazioni - Risk Assessment - Gap analysis a norma ISO/IEC 27001: Vulnerability Assessment - Definizione del Piano di Implementazione

22 IL PROCESSO DI GESTIONE DELLA SICUREZZA IN OTTICA ISO/IEC 27001:2005 Il Processo di Gestione della Sicurezza è stato definito sulla base del modello proposto dal ISO/IEC 27001:2005 al fine di consentire il governo di tutte le attività necessarie alla Pianificazione, all Implementazione, al Controllo ed al Miglioramento delle misure di sicurezza fisiche, logiche ed organizzative. Parti interessate Ciclo di sviluppo, manutenzione e miglioramento Plan Definizione del ISMS Parti interessate Requisiti e aspettative di Information Security Do Implementazione e messa in opera del ISMS Manutenzione e miglioramento del ISMS Act Gestione della Information Security Monitoraggio e revisione del ISMS Check

23 POLITICA GENERALE PER LA SICUREZZA DELLE INFORMAZIONI La Politica Generale per la Sicurezza delle Informazioni definisce le linee guida ed i principi generali a cui l Organizzazione deve attenersi per garantire la sicurezza delle informazioni. Di seguito si riporta l indice della Politica emessa: 1 INTRODUZIONE 1.1 Destinatari 1.2 Riferimenti 2 LA POLITICA DI SICUREZZA DELLE INFORMAZIONI 3 SICUREZZA FISICA 3.1 Ruoli e Responsabilità 3.2 Controlli Ambientali 3.3 Protezione Degli Asset 4 SICUREZZA LOGICA 4.1 Ruoli e Responsabilità 4.2 Identificazione E Autenticazione 4.3 Riservatezza 4.4 Tracciamento 4.5 Integrità 4.6 Disponibilità 5 SICUREZZA ORGANIZZATIVA 5.1 Ruoli E Responsabilità 5.2 Gestione Delle Conformità Nei Confronti Del Quadro Normativo Vigente 5.3 Analisi E Gestione Del Rischio 5.4 Audit 5.5. Business Continuity E Disaster Recovery 5.6 Gestione Del Personale Interno E Di Terze Parti 5.7 Normative Comportamentali 6 PROVVEDIMENTI \

24 Risk Assessment L attività di Risk Assessment è stata condotta utilizzando la metodologia ed il tool software messo a disposizione da CRAMM (Computer Risk Analysis and Management Method) che risulta essere conforme allo standard ISO/IEC 27001:2005. Di seguito si riportano le fasi principali dell attività: Risk Assesment CRAMM FASE 1: Identificazione e valutazione asset Identificazione Asset Asset Modeling Valutazione Asset Identificazione e Valutazione Asset FASE 2: Analisi Minacce e Vulnerabilità e Misurazione del Rischio Rilevazione vulnerabilità e minacce Calcolo esposizione al Rischio Livello Minacce Vulnerabilità e Grado di esposizione al Rischio FASE 3: Generazione Contromisure Identificazione Contromisure Gestione del Rischio FASE 4: Piano degli interventi Piano degli interventi Piano degli Intereventi Gap Analysis ISO 27001:2005 Vulnerability Assessment

25 Risk Assessment Principali Step Fase 1 : Identificazione e Valutazione degli asset 1. Identificazione degli asset Censimento di tutti i beni che costituiscono il patrimonio informativo del Gruppo HERA 2. Asset Modeling Creazione un modello che schematizza le relazioni che intercorrono fra Processi, Macrodati, Software, Hardware e Location Ad ogni coppia MACRODATO/PROCESSO sono stati associati gli asset che supportano i macrodati del processo, secondo il seguente schema che, a titolo esemplificativo, si riporta di seguito: PROCESSO MACRODATO SOFTWARE HARDWARE LOCATION Amministrazione, Finanza e Controllo Amministrazione Finanza Operativa Finanza Strutturata Archidoc Lotus Notes Microsoft Office SAP Archidoc Lotus Notes Microsoft Office SAP Archidoc Lotus Notes Microsoft Office SAP HW_Archidoc HW_PdL_BO_Berti Pichat HW_File_Server_Berti Pichat HW_SAP HW_Archidoc HW_PdL_BO_Berti Pichat HW_File_Server_Berti Pichat HW_SAP HW_Archidoc HW_PdL_BO_Berti Pichat HW_File_Server_Berti Pichat HW_SAP IMOLA - Data Center Bologna CED Berti Pichat IMOLA Data Center IMOLA - Data Center Bologna CED Berti Pichat IMOLA Data Center IMOLA - Data Center Bologna CED Berti Pichat IMOLA Data Center Controllo di Gestione Archidoc Lotus Notes Microsoft Office REMA HW_Archidoc HW_PdL_BO_Berti Pichat HW_File_Server_Berti Pichat HW_REMA IMOLA - Data Center CED Berti Pichat IMOLA Data Center

26 Risk Assessment Principali Step Fase 1 : Identificazione e Valutazione degli asset 3. Valutazione degli Asset Per ogni processo è stato determinato il potenziale IMPATTO derivante dalla perdita intenzionale o casuale della riservatezza, integrità o disponibilità delle informazioni trattate. Di seguito si riporta un esempio dei grafici di sintesi ottenuti il cui obiettivo è quello di evidenziare i dati più critici. Processo: Amministrazione, Finanza e Controllo indisp 1g indisp 2g indisp 1s indisp 2s indis... indis... mod pp mod gp mod int inser fm rip mit rip des non cons replic er inst mon traf div int div fs div est dis tot Amministrazione Controllo di Gestione Finanza Operativa Finanza Strutturata Deliverable > Identificazione e Valutazione Asset >.

27 Principali Step Risk Assessment Fase 2 : Analisi Minacce e Vulnerabilità e Misurazione del Rischio 1. Rilevazione grado di vulnerabilità e livello della minaccia In questa fase sono state valutate le potenziali Minacce che potrebbero causare gli Impatti, determinati nella fase precedente e le Vulnerabilità del sistema nei confronti di tali Minacce. I livelli di Minaccia e Vulnerabilità sono stati valutati sulla base dei valori indicati da CRAMM: Valore della Minaccia VERY LOW: Ci si aspetta un incidente una volta ogni 10 anni LOW: Ci si aspetta un incidente una volta ogni 3 anni MEDIUM: Ci si aspetta un incidente una volta all anno HIGH: Ci si aspetta un incidente una volta ogni 4 mesi VERY HIGH: Ci si aspetta un incidente una volta al mese Valori Vulnerabilità LOW: In caso di incidente c è meno del 33% di probabilità che si realizzi il peggior scenario MEDIUM: In caso di incidente c è tra il 33% e il 66% di probabilità che si realizzi il peggior scenario HIGH: In caso di incidente c è più del 66% di probabilità che si realizzi il peggior scenario

28 Principali Step Risk Assessment Fase 2 : Identificazione e Valutazione degli asset 2. Calcolo Esposizione al Rischio I valori della misura del rischio sono stati calcolati su una scala da 1 a 7, in cui 1 indica un rischio quasi trascurabile e 7 il massimo della criticità, calcolati sulla base degli Impatti e dei livelli di Minaccia e Vulnerabilità valutati nelle fasi precedenti, attraverso la seguente matrice di valutazione ricavata dal modello CRAMM: Deliverable > Livello Minacce - Vulnerabilità e Grado di esposizione al Rischio >.

29 Deliverable Risk Assessment : Fase 3 - Generazione delle Contromisure IDENTIFICAZIONE DELLE CONTROMISURE Sono state identificate le contromisure di natura organizzativa, logica e fisica che devono essere adottate per contrastare le minacce e le vulnerabilità e il rischio definiti. Per ogni contromisura è stata definita la priorità di attuazione (HIGH; MEDIUM; LOW) È stato poi, eseguito un confronto tra le contromisure suggerite e quelle esistenti al fina di identificare puntualmente i progetti di sicurezza da riportare nel Piano degli Interventi > Gestione dei Rischi >. Risk Assessment : Fase 4 - Piano degli Interventi DEFINIZIONE DEL PIANO DEGLI INTERVENTI Il Piano degli Interventi costituisce le indicazioni progettuali che dovrebbero essere implementate al fine di contrastare i rischi emersi nel corso delle precedenti attività di analisi e costituisce il Report di conclusione a seguito delle attività di Risk Assessment e Gap Analysis. Deliverable > Piano degli Interventi >.

30 Il Gruppo Itway Ravenna Milano Roma Bergamo Vicenza Massa Parigi Madrid Barcellona Lisbona Atene

31 La Forza dell integrazione La forza del Gruppo Itway è data dall'approccio integrato con il quale si propone sul mercato. Le aziende del Gruppo sono in grado di rispondere a tutte le esigenze dei clienti proponendosi come partner affidabili nell'offerta di soluzioni ICT ad alto valore P R O D O T T I E-BUSINESS & SECURITY CONSULENZA & SERVIZI BUSINESS-E aggiunto. ITWAY VAD ITWAY ACADEMY ASSISTENZA & FORMAZIONE

32 Il Profilo Business-e costituisce l'area Strategica d'affari (ASA Enterprise) del Gruppo Itway (società quotata al TechStar di Borsa Italiana) e opera nel mercato dei Servizi ICT per l azienda estesa. Business-e vanta una posizione di rilievo nazionale nei settori della sicurezza informatica, dell e-business e dell'integrazione dei sistemi aziendali. Le nostre sedi > Ravenna, Roma, Milano, Curno, Massa Milano Massa Curno Ravenna Le nostre dimensioni Roma > Addetti: 180 professionisti > Fatturato 2005: 19,5 M

33 La Mission >Drive your e-success: insieme per volare verso il successo >La nostra missione è quella di fornire il più valido supporto tecnologico ai nostri clienti per lo sviluppo della loro redditività e del loro business, migliorandone al contempo la competitività e la sicurezza. >Ottimizziamo i processi aziendali attraverso soluzioni concrete, aiutando i clienti a governare e a proteggere la crescita dei loro affari, per noi una missione ed al tempo stesso uno stimolo per un costante miglioramento.

34 Business-e Excellence Areas SECURITY CONSULTING SECURITY AND TECHNOLOGY SOLUTIONS BUSINESS SOLUTIONS OUTSOURCING

35 SECURITY CONSULTING Security Governance Compliance Consulting (SOX, ISO27001, Dlgs. 196.) Security Audit and assessment Pro-active Security Vulnerabilty Assessment & Ethical Hacking Web Application Security Risk assessment Security solution design

36 Business-e Excellence Areas Security Governance Pro-active Security Ethical Hacking SECURITY CONSULTING Web Application Security Compliance Consulting SECURITY AND TECHNOLOGY SOLUTIONS Network and Applications Security Content Security End Point Security Identity and Access Management Data Protection and Retention IT Infrastructure Physical security BUSINESS SOLUTIONS Document Management E-Commerce e Portali CRM e Multicanalità Progetti Custom Oracle Advanced Services Security Management Infrastructure Management Desktop Fleet Management OUTSOURCING Application Management Help Desk Presidi Reperibilità

37 Security Consulting L offerta di Business-e si distingue perché mira apertamente ad affiancare il management di PMI ed Enterprises nella Corporate Security Governance, attraverso un modello originale che tiene conto di COBIT e ISO > Consulenza Organizzativa e Metodologica Security Governance, Policy Management, Risk Assessment, Risk Management, Contenimento e Protezione dei Dati, Business Continuity, Security Assurance, Formazione Evolution of Data Security Data Level Protection > Consulenza Tecnica e per la sicurezza pro-attiva Web Applications Security, Code Review, Vulnerability Assessment,Penetration Testing Exposure VPN F/W IPS > Consulenza per la conformità a Standard e Normativa Protezione Dati Personali (D.Lgs 196), Misure Minime, Firma Digitale, Conservazione Sostitutiva, Responsabilità Amministrativa. Compliance ISO27001(BS7799), SOX, Basel II A/V Time Source: Morgan Stanley Research

38 Riferimenti RAVENNA Viale della Lirica, 35 Tel ROMA Via Valentino Mazzola, 66 Tel MILANO P.zza Martiri di Via Fani, 19 - Sesto S. Giovanni (Mi) - Tel BERGAMO Via Dalmine 10/a 35 Curno - Tel MASSA Via degli Oliveti, 110 Tel