XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti?

Transcript

1 XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti? L innovazione applicata ai controlli: il caso della cybersecurity Tommaso Stranieri Partner di Deloitte ERS Milano, 3 Ottobre 2013

2 Le minacce cyber assumono una sempre maggiore rilevanza e contemporaneamente cresce la consapevolezza del top management Contesto di Cyber Security Esempi di Cyber Security Attack Principali rischi tecnologici percepiti dal Top Management (Global Risk 2012, WEF) I cyber security attack sono sempre più frequenti e sofisticati Gli attori esterni di tali attacchi sono sempre più organizzazioni criminali e, a volte, governi di paesi ostili Il top management assume una sempre maggiore consapevolezza verso i rischi cyber Nel corso del World Economic Forum del 2012 essi sono stati classificati come il principale rischio tecnologico e il quarto in assoluto in termini di probabilità

3 Le organizzazioni devono presidiare il tema della cyber security e l Audit ha anche in quest ambito un ruolo chiave di supporto verso un corretto sviluppo del tema Aree da Approfondire nel Corso di un Cyber Security Audit 1 2 Governo Organizzazione Regolamenti 3 4 Metodologie & Tecnologie 5 Monitoraggio - 2 -

4 - 3 - Un corretto Governo della Cyber Security richiede da parte del Top Management consapevolezza, attività di indirizzo e un coinvolgimento periodico 1 Elementi Base per un Corretto Governo della Cyber Security Elemento Consapevolezza della Problematica Descrizione Il top management aziendale deve essere consapevole delle problematiche macro relative alla cyber security e delle possibili conseguenze di un non mancato presidio Tale consapevolezza deve essere non solo presente ma anche corretta / adeguata al contesto aziendale Top Management Attività di Indirizzo Il top management deve definire gli indirizzi macro che l organizzazione deve seguire in materia di cyber security Tali indirizzi devono essere legati anche agli obiettivi di business che l organizzazione si pone e alla propria strategia Coinvolgimento Periodico sull Andamento della Situazione Il top management deve essere periodicamente coinvolto in una verifica dell andamento del presidio in materia di cyber security Le risultanze di tale verifica devono essere elementi chiave per lo sviluppo del presidio da parte dell organizzazione in materia di cyber security Auditor - 3 -

5 - 4 - A presidio della Cyber Security deve esistere un modello organizzativo adeguato nel disegno 2 Modello Organizzativo a Presidio della Cyber Security Esempi di Elementi Base Organo/i collettivi di Governo e/o Indirizzo Operativo della Cyber Security Unità Organizzative con Presidio Operativo sulla Cyber Security Per un corretto presidio della cyber security è necessario che il soggetto in esame si sia dato un corretto modello organizzativo a presidio Tale modello deve essere adeguato nel suo disegno contettuale ovvero deve : Prevedere organismi collettivi di governo e se necessario anche di indirizzo operativo che assicurino da una parte la piena rappresentanza delle funzioni chiave, dall altra un luogo chiaro ove esercitare coordinamento, prendere decisioni e risolvere eventuali conflitti Garantire una adeguata suddivisione dei ruoli operativi tra le varie funzioni aziendali Assicurare una corretta integrazione con le funzioni deputate a svolgere ruoli affini (es. Presidio della sicurezza delle informazioni) - 4 -

6 - 5 - e nelle risorse (umane e finanziarie) che lo rendono operativo 2 Risorse Umane e Finanziarie in Materia di Cyber Security Risorse Necessarie Risorse umane adeguate in termini di: Un corretto presidio della cyber security richiede la presenza di adeguate risorse sia di natura umana che finanziaria Risorse Umane Numerosità Capability / Esperienze Distribuzione tra le funzioni coinvolte Formazione sviluppo Deve essere evidente una attenzione da parte dell organizzazione su tali aspetti, in particolare: Predisposizione e aggiornamento periodico dello stato delle risorse umane operanti in materia di cyber security Risorse Finanziarie Risorse finanziarie adeguate in termini di: Quantità Distribuzione tra le verie funzioni Assegnazione secondo criteri di priorità Presenza di un budget specifico dedicato alla cyber security Discussione periodica di tali temi presso gli organi di governo della cyber security Presenza di una pianificazione a medio termine sia per quel che riguarda le risorse umana che gli investimenti chiave da effettuare - 5 -

7 - 6 - In materia di cyber security è fondamentale inoltre che siano presenti adeguati legami / scambi informativi sia a livello nazionale che internazionale 2 Information Sharing a Livello Nazionale e Internazionale Modello di Public Private Information Sharing Finanziario Chimica Acqua Energetico Forze di Polizia Nazionali Intelligence Nazionale CERT Nazionale Porti Trasp. Aereo Trasp. Ferroviario Nucleare Salute Telco Information Sharing a Livello Nazionale Altri CERT EU / Internazionali Altri Organi di Law Enforcement Un efficace preparazione e risposta agli incidenti di cyber security richiede la presenza di modalità e sistemi di information sharing con altri operatori privati / organismi sia nazionali che internazionali Ciò è reso necessario dalla natura degli eventi di cyber security oramai sempre più di portata internazionale Inoltre la partecipazione di operatori di infrastrutture critiche o importanti organizzazioni in tali attività di scambio informativo a livello internazionale è anche chiave per definire e attuare quelle regole e modalità di collaborazione necessarie per rendere il cyber spazio maggiormente sicuro Altri Operatori Privati Information Sharing a Livello EU / Internazionale - 6 -

8 - 7 - Va verificata inoltre la presenza e adeguatezza di un corpus regolamentare che disciplini le attività in materia di cyber security 3 Corpus Regolamentare in Materia di Cyber Security Esempio Corpus Regolamentare su Cyber Security Policy Standard / Linee Guida Procedure Operative Istruzioni Operative L organizzazione deve aver previsto un corpurs regolamentare adeguato che disciplini i vari aspetti della cyber security Tale corpus regolamentare deve essere: Completo: ovvero deve coprire a livello macro tutti gli aspetti chiave della cyber security Integrato: ovvero deve presentare tutti quei legami base con altre attività strettamente legate alla cyber security (es. Information security) Adeguatamente dettagliato: ovvero deve disciplinare ciascuna attività ad un livello di dettaglio crescente al crescere dell organizzazione stessa Aggiornato: ovvero deve essere costantemente in linea con l evoluzione dell organizzazione in materia di cyber security Allineato con gli obiettivi e piani di sviluppo della cyber security in azienda - 7 -

9 - 8 - Va verificata la presenza e adeguatezza delle metodologie e tecnologie chiave a supporto della cyber security 4 Metodologie e Tecnologie a Supporto della Cyber Security A Esempio di Metodologie e Tecnologie Cyber Security Risk Management Risk appetite e Risk tolerance Modello di cyber security risk assessment Strategie di gestione rischi chiave L organizzazione deve essersi dotata di una serie di metodologie e tecnologie base a supporto della cyber security B C D E Information and Asset Classification Application Develop. and Maintenance Infrastructure Design and Operations Identity & Access Management Modello di classificazione delle informazioni Strumenti di eforcement policy per la gestione sicura delle informazioni critiche Procedure per lo sviluppo di codice sicuro Strumenti per Secure Code Review Antivirus, Firewall, IDS, IPS, Sistemi di log management, VA tool, Sistemi di back up, ecc. Modello di assegnazione accessi (RBAC, ) Piattaforme di controllo accessi Gli ambiti da presidiare sono molteplici, ad esempio: Deve esistere un approccio alla cyber security basato sui rischi con una classificazione delle informazioni e asset aziendali basate sul valore di questi per l azienda Vanno presidiati gli ambiti relativi alla application security e network security Va assicurata una corretta gestione degli accessi ad applicativi e strumenti aziendali Va assicurata una corretta gestione degli incidenti di cyber security F Cyber Security Incident Management Cyber SOC inclusi sistemi per situational awareness, di gestione eventi, Forensic, ecc

10 - 9 - Infine devono essere presenti meccanismi di monitoraggio con feedback periodici verso gli organi di governo della cyber security 5 Monitoraggio della Cyber Security KPI di Monitoraggio della Cyber Security & Feedback Funzioni Rilevanti in Cyber Security Cyber Security Dashboard Update Periodico Ciascuna delle funzioni operative coinvolte in attività di cyber security deve monitorare l andamento delle proprie attività e le relative performance in termini sia di efficacia che efficienza Devono esistere poi meccanismi di consolidamento delle attività di monitoraggio svolte quali la predisposizione di dashboard in materia di cyber security Risultanze Monitoraggio Cyber Security Feedback Verso Funzioni Operative L andamento delle performance deve in modo sintetico pervenire agli organi di governo della cyber security e questi a loro volta devono, se opportuno, fornire un feedback con eventuali indirizzi utili verso le funzioni operative Organismi di Governo - 9 -

11 Sulla base delle informazioni raccolte l Audit può valutare lo stato di maturità complessivo del sistema di gestione per la cyber security Livello di Maturità in Materia di Cyber Security Esempio Modello di Cyber Security Maturity Model L audit sulla base delle informazioni raccolte può sintetizzare lo stato della cyber security presso l organizzazione con un livello di maturità complessivo Tale modello di maturità può basarsi su vari elementi chiave quali: Best practice Benckmark di settore / su competitor chiave Requisiti normativi da rispettare Tale modello di maturità può costituire per l organizzazione un utile spunto a fronte del quale definire il percorso di evoluzione che si vuole prefiggere

12