Un'efficace gestione del rischio per ottenere vantaggi competitivi

Transcript

1 Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant 1

2 Obiettivi della presentazione Dimostrare come una efficace gestione dei rischi aziendali può contribuire al vantaggio competitivo di una organizzazione. Illustrare come la visione e le tecnologie di RSA sono in grado di gestire in modo efficace sia i rischi di business sia i rischi legati alla tecnologia considerandone le relazioni. 2

3 Vantaggio competitivo? Quali i fattori? Automazione dei processi Individuare le aree di criticità (rischi) Rimozione dei Silos Informativi Visibilità: Asset, Report, Dashboard, Prendere decisioni sulla base dei risultati dell analisi del rischio 3

4 Qualche definizione Business: insieme dei processi, politiche, controlli, governance, [ ] che caratterizzano una organizzazione, l ambito in cui opera IT: l insieme delle tecnologie a supporto delle attività del Business Rischio Business IT/InfoSec Rischio = f (Probabilità evento, Impatto creato) Rischio = f (Valore asset, Probabilità minaccia, Vulnerabilità dell asset, Impatto) Note Evento=Minaccia che si manifesta (es. sfrutta la vulnerabilità di un asset) Un rischio esiste nella misura in cui esiste una minaccia! 4

5 L universo dei rischi I rischi sono classificati in molteplici categorie come Enterprise Risk, Operational Risk, IT-Risk, InfoSec Risk I processi di gestione sono simili, ma le metodologie di assessment sono spesso specializzate I rischi IT sono solitamente classificati come parte degli Operational Risk e a loro volta classificati in Rischi di Infrastruttura Rischi IT Confidenzialità Integrità Disponibilità Sicurezza delle Informazioni Rischi Progetto Sviluppi Applicativi Rischi Investimento (spesa) 5

6 La continuità operativa Riguarda un particolare tipo di rischi: quelli caratterizzati da eventi a bassa frequenza ed alto impatto Possono determinare la chiusura di un organizzazione per l incapacità di raggiungere i propri obiettivi (di produzione, di servizi, ecc.) I piani sono le azioni di remediation associate ai rischi individuati e per i processi critici individuati In una visione globale dei rischi aziendali, essi fanno parte dei rischi operativi 6

7 Quali minacce (o sfide)? Minacce che impattano il Business Pressione normativa, inefficienza, costi Sfide a livello di sistema paese Processi manuali (scarsa automazione) Silos informativi (difficoltà di comunicazione) Scarsa visibilità: difficoltà decisionale Minacce che impattano l IT Advanced Threats Frodi Denial of Service Indisponibilità di sistemi In generale, anche la mancanza di allineamento fra IT e Business è una minaccia per la competitività! 7

8 Quali impatti? InfoSec: perdita di Confidenzialità, Integrità, Disponibilità Immagine aziendale e reputazione Perdite economiche Impatti sulla sicurezza del sistema paese (ad es. perdita di informazioni sensibili) Furti di proprietà intellettuale (ad es. perdita diretta di competitività) Mancata erogazione di servizi essenziali 8

9 Come affrontare gli scenari di rischio indotti dalle minacce 9

10 Gli ecosistemi aziendali e le minacce Lo schema di riferimento BUSINESS Processi, Controlli, Policy, Prodotti, Informazioni Minacce che impattano il business I.T. Applicazioni, Dispositivi, Tecnologie, Storage, Minacce che impattano l Information Technology (e di conseguenza il business ) 10

11 La nostra visione strategica Livello Strategico Policy Risk BUSINESS Processessi, Controlli, Policy, Prodotti, Informazioni Minacce/ Rischi di Business Business Continuity Enterprise Management Archer egrc Vulnerability Management Compliance Security Operations I.T. Applicazioni., Dispositivi, Tecnolgie, Storage, Livello Tecnologico Minacce/ Rischi IT/InfoSec Advanced SOC/SA Fraud Risk Intelligence Identity Governance Le tecnologie RSA supportano sia il livello strategico sia il livello tecnologico con prodotti altamente integrati che condividono le relative informazioni di contesto 11

12 Rischio di Business e IT Vantaggio Competitivo Minacce sul Business Impatti sul Business Rischi di Business Supporta l analisi di Creano Integrati in Minacce IT/InfoSec Impatti sull IT Rischi IT/InfoSec Supporta l analisi tradizionale e 12

13 Diversi modi di affrontare le minacce Si possono individuare diversi approcci nell affrontare le sfide indotte dalle minacce nel corso del tempo o sulla base del livello di maturità aziendale. Livello 1 Difesa Perimetrale Focus su controlli puntuali Approccio molto TATTICO Livello 2 Difesa orientata alla Compliance Controlli determinati in base ai requisiti di compliance Mentalità delle checklist Livello 3 Difesa sulla base del rischio IT/InfoSec Controlli determinati dai processi di IT/ InfoSec Risk Management Livello 4 Difesa sulla base del rischio di Business E considerata la relazione fra Business Risk e IT Risk Approccio molto STRATEGICO La visione di RSA abilita l approccio che caratterizza il massimo livello di maturità 13

14 Gestire il rischio IT: gli approcci L approccio tradizionale al risk management, governato da metodologie e standard quali ISO e ISO-31000, permette sostanzialmente di individuare rischi potenziali : il fine è l allocazione dei controlli! Grazie ad Archer egrc, supporta l approccio tradizionale, sia per il Business Risk sia per l IT/InfoSec Risk Supporta anche un approccio pragmatico al risk management, grazie alla stretta integrazione fra i prodotti dello stack tecnologico NOTA: le minacce tecnologiche, come le Advanced Threats, possono creare un impatto sugli asset tecnologici (e quindi sul business) SOLO se esiste una vulnerabilità che può essere da loro sfruttata! 14

15 L approccio RSA per la gestione del rischio IT I possibili punti di intervento per mitigare i rischi Agente di Attacco Vettore di Attacco Vulnerabilità di sicurezza Controlli di sicurezza Impatto Tecnico Impatto sul Business Attacco Vulnerabilità IT Asset Business Asset Attacco Vulnerabilità Controllo Controllo IT Asset Business Asset Attacco Vulnerabilità IT Asset Business Asset Impatto Tecnico Difficile Possibile Fattibile ed efficace Fattibile ed efficace Si possono individuare 3 macro aree di intervento: Migliorare l efficienza della rilevazione dell attacco Migliorare l efficienza della risposta all incidente Prevenzione delle Minacce Rilevazione degli Attacchi Modello OWASP ( Risposta e Rimedio 15

16 La gestione pragmatica del rischio IT Gestione preventiva: mitiga il rischio, riducendo le vulnerabilità rilevate (che rappresentano dei rischi reali, non potenziali) Il rischio è ridotto agendo sulla componente di probabilità della tipica equazione di rischio Gestione della capacità di rilevazione e di risposta: mitiga il rischio migliorando le capacità di rilevare attacchi e l efficienza del processo di risposta agli incidenti Il rischio è ridotto agendo sulla componente di impatto della tipica equazione di rischio Prevenzione delle Minacce Rilevazione degli Attacchi Risposta e Rimedio Archer Vulnerability Risk Management Security Analytics Archer Security Operations Management 16

17 Archer Vulnerability Risk Management Mitigare i rischi (riduzione probabilità minacce) attraverso una gestione businessoriented delle vulnerabilità Passi Catalogo Asset Scoprire le vulnerabilità Classificare i problemi Indirizzare i problemi Monitoraggio e Repor;ng SFIDE Mancanza di un catalogo centralizzato (o catalogo parziale) Indirizzato dai fornitori di Vulnerability Scanner (Qualys, McAfee, ) Nessuna relazione fra da; di business e tecnologici Mancanza di un contesto e meccanismi di priori;zzazione Mancanza di automazione e di workflow flessibile Repor;ng inefficace e lento Vulnerability Management [La soluzione RSA] Risultato Scansioni Contesto di Σ Business Threat Intelligence = Vulnerabilità Priori;zzate ü Workflow ü KPI ü Report ü Scalabilità ü Velocità ü Precisione 17

18 Archer SecOps (Security Operations Management) Mitigare i rischi (impatto delle minacce) rendendo più efficace il processo di risposta agli incidenti Ruoli (User Personas) SecOps Analista di Threat Intelligence Analista L1 Analista L2 Analisti del SOC Responsabile CISO/CSO del SOC Gestione del SOC Orchestrare & Gestire Team Inter-Funzione CIO Resp. di Business Resp. Privacy Conformità Legale Resp. Personale Soluzione costruita attorno al concetto di User Persona 18

19 Misurare il rischio IT in tempo reale Gli approcci tradizionali al Risk Management utilizzano tecniche di assessment condotte 1 o 2 volte l anno I rischi sono rilevati con una bassa frequenza che spesso non è compatibile con la dinamicità sempre maggiore delle organizzazioni Grazie alla integrazione tra le diverse tecnologie, il nostro approccio consente di rappresentare metriche (KRI) che abilitano scenari di gestione dei rischi in tempo reale RSA IT Security Risk Management Prevenzione Vulnerability Risk Risultati delle scansioni Flussi di mitigazione Correlazione delle minacce Scalabilità Indicatori e Metriche RSA Archer GRC Security Operations Incidenti & Investigazioni Gestione dei Breach Gestione delle Crisi Gestione del SOC Risposta 19

20 L approccio IT Security Risk Management per legare il Rischio di Business al Rischio IT Advanced SOC IT- SRM Governance Risk Compliance Security Analy;cs Servizi Advanced Cyber Defense ECAT Data Loss Preven;on Security Opera/ons Management (SecOps) Vulnerability Risk Management (VRM) Conformità norma;va Rischi Opera;vi Rischi di terze par; Con;nuità Opera;va Audit 20

21 Conclusioni 1 Vantaggio competitivo? = Saper prendere le giuste decisioni! 5 Rischio Business <-> Rischio IT: Allineamento costante grazie ad una integrazione che prevede lo scambio di informazioni di contesto Supporto di un processo decisionale in tempo reale che è uno degli abilitatori primari per ottenere un vantaggio competitivo 2 Individuare le aree critiche = Identificare i rischi di Business 3 Considerare anche i rischi IT indotti da minacce come le Advanced Threat, integrandoli nei rischi di Business 4 La nostra visione e le nostre tecnologie supportano la gestione sia del rischio di Business, sia dei rischi IT 21

22 DEMO Esempio di implementazione di un workflow di processo nell ambito Risk Management con il coinvolgimento di diversi attori (quali Risk Manager e Risk Owner), ognuno con una propria vista dedicata. 22

23