L IT Audit nel gruppo Benetton

Transcript

1 L IT Audit nel gruppo Benetton Panoramica sulle attività di controllo condotte in ambito IT Trento, 15 aprile

2 Agenda Il Sistema di Controllo Interno L IT Audit nell ambito del piano di Audit Scelta del framework di riferimento Le principali tematiche di IT Audit Segregation of Duties Vulnerability Assessment e Penetration Test 2

3 Il Sistema di Controllo Interno (1/3) Un sistema di controllo interno (SCI) ha come obiettivo e priorità il governo dell'azienda attraverso l'individuazione, valutazione, monitoraggio, misurazione e mitigazione/gestione di tutti i rischi d'impresa, coerentemente con il livello di rischio scelto/accettato dal vertice aziendale. Il fine ultimo del SCI è il perseguimento di tutti gli obiettivi aziendali. (fonte: wikipedia.org) La Banca d'italia l'insieme di: lo definisce, nelle Istruzioni di Vigilanza, come Regole. Ruoli e responsabilità: Chi fa, quando e come. La funzione dei controlli è quella di realizzare i vari ruoli in modo oggettivo, codificando gli attori di ogni e comportamenti attesi; Strutture Organizzative o funzioni o sistemi informativi; Procedure/processi. 3

4 Il Sistema di Controllo Interno (2/3) I tre livelli di controllo Nelle organizzazioni normalmente si definiscono tre diversi livelli nelle attività di controllo: controlli di primo livello: effettuati in ogni settore operativo, sono tipicamente finalizzati a coprire singoli rischi o raggruppamenti di rischi all interno del settore; anche chiamati controlli permanenti controlli di secondo livello: effettuati da servizi/preposti al controllo (compliance, risk management, quality manager, ecc.) che per loro natura hanno indipendenza e autonomia, coprono aree / tematiche del sistema di controllo interno oppure rischi settoriali a livelli più elevati; controlli di terzo livello: tipica attività dell Internal Audit che deve dare una generale assurance sul corretto funzionamento dell intero sistema di controllo interno. L I.A. ha lo scopo di monitorare e valutare l efficacia e l efficienza del Sistema di Controllo Interno e le necessità di adeguamento, anche attraverso attività di supporto e di consulenza alle altre funzioni aziendali (fonte: Enrico Parretta) 4

5 Il Sistema di Controllo Interno (3/3) Ripartizione attività di Audit in Benetton Group 5

6 Agenda Il Sistema di Controllo Interno L IT Audit nell ambito del piano di Audit Scelta del framework di riferimento Le principali tematiche di IT Audit Segregation of Duties Vulnerability Assessment e Penetration Test 6

7 L IT Audit nell ambito del piano di Audit IT Auditing consiste in un processo di verifica sistematico e documentato [ ] che i sistemi informativi di un'azienda o organizzazione siano conformi a quanto previsto da norme, regolamenti o politiche interne. (fonte: wikipedia.org) Effort attività di IT Audit su Piano di Audit Gruppo Benetton: 14% Principali benefici apportati da un adeguato controllo sui Processi IT: Salvaguardia delle informazioni aziendali Integrità dei dati: confidenzialità, integrità e disponibilità dei dati aziendali Assurance circa l allineamento tra la governance dei sistemi informativi e gli obiettivi dell organizzazione (business, stakeholders, ) Conferire valore aggiunto 7

8 Agenda Il Sistema di Controllo Interno L IT Audit nell ambito del piano di Audit Scelta del framework di riferimento Le principali tematiche di IT Audit Segregation of Duties Vulnerability Assessment e Penetration Test 8

9 Scelta del framework di riferimento (1/2) Fonte: com/itil-cobit/ 9

10 Scelta del framework di riferimento (2/2) Per poter fornire le informazioni di cui l impresa ha bisogno per raggiungere i propri obiettivi, l azienda deve poter gestire e controllare le risorse IT utilizzando un insieme strutturato di processi per erogare i servizi informativi richiesti. Il Control OBjectives for Information and related Technology (COBIT) fornisce le cosiddette good practice in un quadro di riferimento fatto di domini e di processi e presenta le attività in una struttura gestibile e logica. COBIT definisce le attività IT in un modello generale di processi all interno di quattro domini: Pianificazione e Organizzazione; Acquisizione e Implementazione; Erogazione e Assistenza; Monitoraggio e Valutazione. 10

11 Agenda Il Sistema di Controllo Interno L IT Audit nell ambito del piano di Audit Scelta del framework di riferimento Le principali tematiche di IT Audit Segregation of Duties Vulnerability Assessment e Penetration Test 11

12 Le principali tematiche di IT Audit Sicurezza Logica: Password non in linea con le best practices Password condivise Virus / Malware Attacchi hacker / Phishing / Cross-scipting (audit specifico tramite Vulnerability Assessment e Penetration Test) Sicurezza Fisica Accesso limitato alla sala server (badge, ) e log degli accessi Segregation of Duties Suite GRC SAP 10.1: Moduli Access Risk Analysis e Emergency Access Management Progetto ACL Analytics per analisi dati e suggerimento azioni correttive 12

13 Agenda Il Sistema di Controllo Interno L IT Audit nell ambito del piano di Audit Scelta del framework di riferimento Le principali tematiche di IT Audit Segregation of Duties Vulnerability Assessment e Penetration Test 13

14 Segregation of Duties (1/5) Definizione SoD La Segregation of Duties (di seguito SoD) è un controllo interno preventivo, volto a mitigare il rischio di incorrere in frodi o errori commessi dai dipendenti. Il principio cardine della SoD è garantire che attività «rischiose» non possano essere completate da un unica persona, bensì da più dipendenti in grado di svolgere ciascuno attività limitate. Analisi SoD Obiettivo e tempistiche L obiettivo dell analisi è stato quello di quantificare, analizzare e ridurre i rischi presenti nel principale mandante SAP di Benetton Group, con riferimento a tutte le utenze presenti a sistema. Il progetto si è dilungato per alcuni mesi e ha previsto svariate fasi. Perimetro Il lavoro ha avuto come oggetto tutte le società (italiane ed estere) i cui dipendenti hanno la possibilità di accedere a SAP. 14

15 Segregation of Duties (2/5) Benetton Group monitora le tematiche di Segregation of Duties utilizzando la Suite SAP GRC (Governance, Risk & Compliance) e più precisamente, il modulo denominato «Compliance Calibrator», strumento all avanguardia in questo ambito. Il tool permette di evidenziare per ciascuna utenza i dettagli dei rischi, i quali risultano generati in quanto l utente possiede due transazioni incompatibili. Utenti che potrebbero generare un rischio Transazioni in conflitto 15

16 Segregation of Duties (3/5) Concetto di base: togliendo ad un utente la possibilità di lanciare una determinata transazione (es. «AB02»), si eliminano istantaneamente tutti i rischi correlati a quella transazione. Esempio in calce: eliminare la sola transazione «AB02» dall utenza di un utente, significherebbe eliminare un totale di sei rischi SoD a sistema. X X X X X Tot. 6 Rischi eliminati 16

17 Segregation of Duties (4/5) 17

18 Segregation of Duties (5/5) Ulteriori punti di miglioramento Disabilitazione di ulteriori transazioni conflittuali, anche se utilizzate dagli utenti: l attività risulterebbe più invasiva e complessa rispetto alla disabilitazione di transazioni mai lanciate. Tuttavia si disporrà di tutte le informazioni utili, con un altissimo dettaglio Controllo preventivo prima di abilitare nuove transazioni agli utenti: il modulo Compliance Calibrator permette di conoscere a priori la quantità di nuovi rischi che verrebbero generati a fronte di una nuova abilitazione. Necessario prevedere questo controllo al fine di non abilitare nuove transazioni troppo rischiose e conflittuali. Ri-esecuzione periodica dell attività: l ufficio Internal Audit ha approcciato il processo di analisi creando un progetto ACL che è facilmente ri-eseguibile in forma completamente automatica, senza incorrere in attività manuali. Si auspica la ri-esecuzione dell attività di analisi SoD con cadenza semestrale, al fine di mantenere sotto controllo il numero di rischi presenti. 18

19 Agenda Il Sistema di Controllo Interno L IT Audit nell ambito del piano di Audit Scelta del framework di riferimento Le principali tematiche di IT Audit Segregation of Duties Vulnerability Assessment e Penetration Test 19

20 Vulnerability Assessment e Penetration Test (1/3) Introduzione Con cadenza annuale l ufficio internal audit conduce due attività di Vulnerability Assessment e Penetration Test, con oggetto i sistemi informativi di Benetton Group. Queste due procedure sono volte a verificare il grado di sicurezza dei propri sistemi informativi aziendali: Accessi da remoto alle applicazioni (F5/Citrix), servizi , siti aziendali. L obiettivo principale del Vulnerability Assessment (di seguito va) è evidenziare le debolezze della piattaforma, fornendo il maggior numero di informazioni sulle vulnerabilità. Il Penetration Test (di seguito pt) consiste nel simulare un ipotetico attacco da parte di hacker e può essere condotta sia internamente, sia avvalendosi della collaborazione di personale esterno all azienda. 20

21 Vulnerability Assessment e Penetration Test (2/3) Standard e metodologie Il Vulnerability Assessment e il Penetration Test Esterno condotti su infrastrutture e sistemi IT Benetton hanno seguito le metodologie definite dagli standard OSSTMM (Open Source Security Testing Methodology Manual) considerato uno dei più completi, affidabili ed efficaci approcci metodologici nell ambito dei sistemi di sicurezza informatica e OWASP (Open Web Application Security Project), che prevede una classificazione di eventuali vulnerabilità applicative. Sono state inoltre seguite le best practices previste da NIST (National Institute of Standards and Technology), un agenzia del governo U.S.A. impegnata nella definizione di standard tecnologici. Durante l esecuzione del Vulnerability Assessment, tra i test effettuati non sono state incluse le seguenti attività: Attacco virus Sovraccarico dei sistemi (Denial of Service) Social Engineering, volto ad ottenere informazioni privilegiate da personale Benetton (es. community, facebook, ecc.) 21

22 Vulnerability Assessment e Penetration Test (3/3) Aree di controllo Area Gestione accessi da remoto (Citrix) Gestione accessi da remoto (Big IP F5) posta elettronica Applicazioni web (SDS e Portale Clienti) Accesso a cartelle di rete condivise Siti web istituzionali Siti web di comunicazione e shop online Control Activity Vulnerability Assessment Penetration Test Identificare vulnerabilità infrastrutturali ed applicative a fronte di analisi black-box (1) e gray-box (2) Verificare la possibilità di accedere ad applicazioni non profilate Verificare la possibilità di effettuare privilege-escalation (3) (1) black-box: analisi che non presuppone precedente conoscenza dell'infrastruttura/applicazione oggetto di analisi (2) gray-box: analisi che è facilitata da alcune sommarie informazioni circa l'infrastruttura/applicazione oggetto di analisi (3) privilege-escalation: operare a sistema con privilegi normalmente preclusi a un utente o a un'applicazione 22

23 ) Grazie 23