L'utilizzo di OCTAVE. XXII Convegno Nazionale di Information Systems Auditing Parma, 5-6- Giugno 2008

Transcript

1 L'utilizzo di OCTAVE XXII Convegno Nazionale di Information Systems Auditing Parma, 5-6- Giugno 2008 Ferdinando Soldan, CISM Consorzio Triveneto S.p.A.

2 Agenda presentazione dell'azienda requisiti per una metodologia di analisi del rischio le motivazioni della scelta di OCTAVE panoramica della metodologia sintesi dei risultati ottenuti Parma - XXII Convegno Nazionale AIEA 2

3 Consorzio Triveneto - profilo & missione Società a totale partecipazione bancaria MISSIONE Studiare, Realizzare e Gestire Servizi Innovativi Sistemi di Pagamento OBIETTIVI COOPERAZIONE tra banche su servizi telematici alla clientela MONETICA quale settore strategico QUALITÀ nei servizi OTTIMIZZAZIONE Investimenti e Costi ECONOMIE di scala FLESSIBILITÀ delle soluzioni e delle strutture operative (outsourcing) Parma - XXII Convegno Nazionale AIEA 3

4 Risultati Conseguiti Certificazione ai nuovi standard di sicurezza Payment Card Industry Data Security Standard (PCIDSS) Standard di sicurezza cui aderiscono i principali circuiti internazionali, tra cui Amex,, JCB, MasterCard e Visa,, che stabilisce i requisiti che devono essere soddisfatti per la gestione delle transazioni con carte di pagamento. Funzionalità aggiuntive anche con la telefonia mobile di terza generazione Rapida ascesa e consenso dellʹutenza sul Corporate Banking WEB Nuovi sistemi di pagamento per la mobilità veicolare ed il Road Pricing Nuovi sistemi di pagamento wireless e contactless Collaborazione nazionale ed internazionale sulle tecnologie più innovative (Stolpan( Stolpan) Parma - XXII Convegno Nazionale AIEA 4

5 Attivita' & Servizi I Principali servizi erogati sono Configurati e Personalizzati in relazione alle specificità delle Banche aderenti Servizi di Monetica Area Pos Corporate e Internet Banking Know-How Servizi di Monetica Area E-Commerce Sistemi Innovativi di Pagamento Parma - XXII Convegno Nazionale AIEA 5

6 I numeri del Consorzio Riferiti al 2007: 50 Dipendenti - 24 milioni di Euro di ricavi POS: Circa terminali gestiti sull intero territorio nazionale -> N Acquisti: 204 milioni -> Importo Acquisti : milioni di CBI: Oltre aziende utenti dei servizi di Corporate Banking Oltre 20 milioni di disposizioni di pagamento/incasso, per un flusso finanziario pari a 60 miliardi E-Commerce: Più di utenti E-Commerce Oltre 2 milioni e 800 mila transazioni di E-Commerce gestite, per un totale di oltre 500 milioni di Parma - XXII Convegno Nazionale AIEA 6

7 Perché fare l'analisi dei rischi? Una periodica analisi del rischio rivolta ai servizi erogati dal Consorzio Triveneto si rende necessaria a fronte di esigenze e requisiti diversi: ottenere una valutazione del rischio ai fini di una corretta gestione del business aziendale; ottemperare a norme e regolamenti (d.lgs. 196/03, PCI-DSS); seguire le "best practice" di sicurezza, in particolare con riferimento agli standard ISO 27001/27002 Parma - XXII Convegno Nazionale AIEA 7

8 Come Nella scelta della metodologia cerchiamo di rispondere ai desideri: del Security Manager: governare il processo e non essere dipendente dal consulente esterno ottenere risposte utilizzabili rendere minimo l'impegno delle risorse aziendali da intervistare ed effettuare l'analisi in tempi brevi della Direzione: focus sui costi leggere i risultati evitare la dipendenza dal fornitore Parma - XXII Convegno Nazionale AIEA 8

9 I requisiti La nostra lista dei requisiti per la metodologia: analisi del rischio di veloce esecuzione costi contenuti (anche per le risorse interne impiegate) strutturata ma semplice, con un livello di approfondimento concettuale risultati sintetici, comprensibili e utilizzabili dal management metodologia nota, diffusa e accreditata che consenta di acquisire e mantenere il know-how in azienda semplice da ripetere sui risultati dell'analisi precedente approccio iterativo, che permetta l'approfondimento della conoscenza nelle ripetizioni successive Parma - XXII Convegno Nazionale AIEA 9

10 OCTAVE OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) è una metodologia pubblica di analisi del rischio emessa dal Software Engineering Institute di Carnegie Mellon University L enfasi a differenza di molte altre metodologie non è principalmente tecnologica, ma si concentra su aspetti organizzativi e di processo La metodologia è disponibile in 3 versioni: - OCTAVE (prima versione, rilasciata nel 1999) - OCTAVE-S (derivazione di OCTAVE indirizzata alle Small Organizations, fino a 100 persone, disponibile dal 2003) - OCTAVE Allegro - rilasciata a giugno 2007 È stata utilizzata la versione OCTAVE-S Parma - XXII Convegno Nazionale AIEA 10

11 Differenze tra metodologie OCTAVE Valutazione organizzativa Focalizzata su security practice Considerazioni strategiche Auto condotta Altre metodologie Valutazione infrastrutturale Focalizzata sulla tecnologia Considerazioni tattiche Guidata da esperti Parma - XXII Convegno Nazionale AIEA 11

12 Perché OCTAVE Match tra requisiti e caratteristiche: focus non principalmente tecnologico l' auto-conduzione dell'analisi è una caratteristica prevista da OCTAVE metodologia pubblica, documentata e guidata in modo dettagliato di veloce esecuzione know-how esistente Parma - XXII Convegno Nazionale AIEA 12

13 Le fasi di OCTAVE FASE 1 FASE 2 Fase preliminare: identificazione degli asset, della postura di sicurezza aziendale secondo le pratiche di sicurezza, costituzione dei profili di minaccia Identificazione delle vulnerabilità dell'infrastruttura (stima qualitativa degli effetti delle minacce) FASE 3 Valutazione dei rischi, sviluppo della strategia di sicurezza e del piano di mitigazione Parma - XXII Convegno Nazionale AIEA 13

14 Il metodo Le tre fasi sono guidate da una documentazione procedurale molto dettagliata, esempio: Step Description Worksheet Activity Pages Step 4 After completing Steps 3a and 3b, assign a stoplight status (red, green, yellow) to each security practice area. The stoplight status should reflect how well you believe your organization is performing in each area. Security Practices Phase 1 Process S1 S1.3 Evaluate Organizational Security Practices Le informazioni raccolte vengono riportate in fogli "spreadsheet" Parma - XXII Convegno Nazionale AIEA 14

15 Worksheet: : esempio 1 Parma - XXII Convegno Nazionale AIEA 15

16 Worksheet: : esempio 2 Parma - XXII Convegno Nazionale AIEA 16

17 Elementi di OCTAVE: asset L asset rappresenta un bene aziendale OCTAVE-S prevede i seguenti tipi di asset classici : System Application Data People Nel nostro caso il servizio analizzato è composto da un insieme complesso di asset: Sistemi (web/application/db server, ecc.) Più applicazioni Dati (vari asset informativi) Parma - XXII Convegno Nazionale AIEA 17

18 Elementi di OCTAVE: rischio Il rischio indica la possibilità di subire danni o perdite Composto da: un evento la minaccia incertezza misurato da una probabilità una conseguenza impatto della minaccia Parma - XXII Convegno Nazionale AIEA 18

19 Elementi di OCTAVE: minaccia La minaccia indica un potenziale evento avverso (nei confronti dell organizzazione, del business, ecc.) Si riferisce ad una delle situazioni seguenti: a) una persona può compiere un azione indesiderabile es.: attacco informatico b) vi è l occorrenza di un evento naturale es.: incendio, crash di sistema Parma - XXII Convegno Nazionale AIEA 19

20 Elementi di OCTAVE: probabilità La probabilità misura quanto si ritiene possibile che un evento si verifichi OCTAVE la misura utilizzando criteri qualitativi La taratura della scala impiegata è stata effettuata considerando le tipologie degli eventi tipici bassa probabilità < 1 evento / anno media probabilità da 1 a 3 eventi / anno alta probabilità > 3 eventi / anno Parma - XXII Convegno Nazionale AIEA 20

21 Elementi di OCTAVE: impatto L impatto descrive le conseguenze di una minaccia nei confronti di perdita di confidenzialità di un asset perdita di integrità di un asset perdita/distruzione di un asset interruzione di un asset (R) (I) (D) (D) Secondo i canonici requisiti di sicurezza: (R)iservatezza (I)ntegrità (D)isponibilità Parma - XXII Convegno Nazionale AIEA 21

22 Classificazione degli impatti Gli impatti sono suddivisi per tipologie. Quelle identificate sono: Reputazione es.: perdita d immagine, perdita di clienti Finanziari es.: incremento dei costi, perdita di fatturato Produttività es.: incremento di costi del personale Multe, spese giudiziarie es.: cause e risarcimenti Parma - XXII Convegno Nazionale AIEA 22

23 Criteri di valutazione degli impatti Per ciascuna tipologia sono state identificate le diverse conseguenze causabili dalle minacce. Ad es., per gli Impatti Finanziari: - incremento dei costi operativi - perdita di fatturato - perdita finanziaria una tantum La valutazione dell impatto è qualitativa (basso, medio, alto impatto) Parma - XXII Convegno Nazionale AIEA 23

24 Criteri di valutazione degli impatti Esempio di criteri qualitativi di misurazione degli impatti Parma - XXII Convegno Nazionale AIEA 24

25 Integrazioni Riutilizzo di informazioni acquisite da attività indipendenti svolte in precedenza (*) - penetration test - indicazioni da vuln. Assessment e audit PCI-DSS In questo modo si è ottenuta una rilevante copertura anche dal punto di vista più strettamente tecnologico ed infrastrutturale, ben al di là dei livelli richiesti dalla metodologia Si è così acquisita una maggiore sensibilità e precisione nella definizione e stima di minacce informatiche classiche (attacchi deliberati) Parma - XXII Convegno Nazionale AIEA 25

26 Rilevazione delle Security Practice L obiettivo è la misurazione dello stato di salute dell organizzazione nei confronti di un insieme di security practice che descrivono globalmente gli aspetti di sicurezza OCTAVE impiega una propria classificazione Presenta lo svantaggio di una minore riusabilità Si è ritenuto opportuno utilizzare una classificazione diversa, basata sullo standard ISO Parma - XXII Convegno Nazionale AIEA 26

27 Catalogazione delle Security Practice Le security practice scelte (coincidono con le famiglie di controlli ISO 27002): Security Policy Organization of Information Security Asset Management Human Resources Security Physical and Environmental Security Communications and Operations Management Access Control Information Systems Acquisition, Development and Maintenance Information Security Incident Management Business Continuity Management Compliance Parma - XXII Convegno Nazionale AIEA 27

28 Profili di Minaccia Esempio Tipo di profilo Tipo ed origine della minaccia Impatto sui requisiti Entità dell impatto Stima di probabilità Asset Punti di intervento Approccio di gestione Parma - XXII Convegno Nazionale AIEA 28

29 Profili di Minaccia Esempio Impatto sui requisiti Attori Tipo di minaccia Occorrenze passate sset Movente Parma - XXII Convegno Nazionale AIEA 29

30 Output e risultati L'analisi del rischio ha prodotto: 1. Valutazione delle Security Practice è un indicazione dello stato di salute aziendale, con una propria validità ed utilizzabilità (di fatto, un leggero assessment iso27001) 2. Indicazioni di Rischio rischi, associati ad impatti, probabilità ed attori 3. Piano di Mitigazione come ridurre i rischi che non risultano accettabili Parma - XXII Convegno Nazionale AIEA 30

31 Il semaforo delle Security Practice (es.) Security Practice Stato Security Policy Organization of Information Security Asset Management Human Resources Security Physical and Environmental Security Communications and Operations Management Access Control Information Systems Acquisition, Development and Maintenance Information Security Incident Management Business Continuity Management Compliance Parma - XXII Convegno Nazionale AIEA 31

32 Rappresentazione sintetica dei rischi I fogli generali (worksheet) che comprendono tutte le rilevazioni raccolte, sono direttamente utilizzabili per gestire il rischio definendo un piano d'azione Per avere però una visione d'insieme su cui definire in modo più bilanciato un piano d'azione, oltre che per effettuare un efficace reporting dei risultati, è stata ricavata una tabella riassuntiva, che riporta il numero di minacce per ciascun livello di rischio Parma - XXII Convegno Nazionale AIEA 32

33 Rappresentazione sintetica dei rischi Probabilità Gestione del rischio Impatto Bassa Media Alta Business as usual Basso Richiede analisi Interventi non prioritari Medio Richiede analisi Interventi prioritari Alto Azione immediata Esempio semplificato di approccio alla gestione del rischio. Le celle nella tabella a sx. sono popolate con le tipologie di minacce probabili Parma - XXII Convegno Nazionale AIEA 33

34 Le modifiche sul campo Nello svolgimento dell'attività abbiamo integrato la metodologia Octave-S in un paio di punti: Sostituzione delle practices Octave con le practice ISO Chiusura dell'analisi con una reportistica di sintesi diretta alla direzione, integrata da tabelle che riassumono gli eventi tracciati Va poi sottolineata l'elevata adattabilità della metodologia al contesto: Definizioni di asset, probabiltà, impatti. Parma - XXII Convegno Nazionale AIEA 34

35 Conclusioni In sintesi... sono state confermate le motivazioni della scelta - analisi efficace con risultati comprensibili e utilizzabili, - tempi brevi, - configurabilità del metodo Parma - XXII Convegno Nazionale AIEA 35

36 Parma - XXII Convegno Nazionale AIEA 36