AIEA La gestione della strategia di sicurezza novembre 2009

Transcript

1 Advisory Consulting AIEA La gestione della strategia di sicurezza PwC

2 Contenuti 1. Perché disegnare una strategia di sicurezza 2. Approccio PwC all Information Security Strategy 3. Principali strumenti utilizzati 4. Allegati

3 Sezione 1 Perché disegnare una strategia di sicurezza

4 Perché disegnare una strategia di sicurezza Ad un aumento degli investimenti sulla sicurezza delle informazioni non sempre corrisponde un reale miglioramento I CIO sono spesso frustrati per la quantità di risorse, anche finanziarie, destinate a progetti di sicurezza e tecnologia, rispetto ai benefici che ne possono ottenere. Il denominatore comune solitamente è lo stesso: la mancanza di una strategia di sicurezza ben progettata a livello aziendale. Molte organizzazioni mostrano un approccio reattivo ai temi della sicurezza implementando, in maniera non coordinata e sistematica, specifiche soluzioni in risposta a singole minacce o violazioni. Questo approccio, oltre a risultare costoso, si risolve paradossalmente in un patchwork di soluzioni che rendono l organizzazione meno sicura. Fonte: How to Design a Security Strategy (and Why You Must) Slide 4

5 Perché disegnare una strategia di sicurezza È necessaria una strategia di sicurezza che sia onnicomprensiva ed allineata agli obiettivi di business nel medio periodo Il primo passo da compiere è effettuare una valutazione dello stato attuale della sicurezza a 360, utilizzando predeterminati livelli di maturità. Tale esercizio, oltre a fare assumere consapevolezza da parte dell azienda circa lo stato attuale, rivela i principali gap e indica quali sono i più critici, consentendo inoltre di indirizzare i problemi di sicurezza proattivamente. Una volta noto lo stato attuale e definito lo stato desiderato, in funzione degli obiettivi strategici aziendali sarà immediata la definizione della strategia che coinvolga tutti gli aspetti della sicurezza. Senza una soluzione olistica il CIO non sarà in grado di elevare il tema della sicurezza al rango della strategia aziendale, alla quale appartiene per natura. Fonte: How to Design a Security Strategy (and Why You Must) Slide 5

6 Sezione 2 Approccio PwC all Information Security Strategy

7 Approccio PwC all Information Security Strategy L approccio di PwC è orientato ad allineare l IT al Business attraverso la comprensione della catena del valore aziendale Requisiti Obiettivi di Business Attività Primarie Attività di Supporto IDENTIFY (Envision) CREATE (Engineer) Organizzazione Processi aziendali CAPTURE (Operate) SUSTAIN (Respond) M a r g i n e Valore Creazione & Protezione Tecnologie Slide 7

8 Approccio PwC all Information Security Strategy Ogni organizzazione dovrebbe definire ed implementare un proprio disciplinare di sicurezza con il quale autoregolamentarsi L implementazione di standard quali l ISO/IEC può essere molto dispendiosa in termini di tempi e costi. Al fine di definire un modello e una strategia per ridurre l esposizione a rischi di Sicurezza, è importante effettuare un approccio snello e flessibile che garantisca benefici concreti e misurabili. PwC propone di effettuare una valutazione dell attuale livello di maturità di in ambito Sicurezza, creando un proprio disciplinare di sicurezza che faccia riferimento ai più importanti standard in materia di controlli IT e Security (p.e. ISO27000, CObIT, Privacy, ITIL, Basilea II, HIPAA, etc.). Slide 8

9 Approccio PwC all Information Security Strategy Il framework PwC SecurityATLAS TM è lo strumento per assistere il CISO nella definizione della strategia di sicurezza Tale framework propone un approccio strutturato e scalabile per il miglioramento della sicurezza dell informazione. La definizione dei Quick-win, del Piano dei Progetti e del Piano Strategico, consente di aumentare il livello di maturità su tutti i domini della sicurezza, prioritizzando gli interventi in base alla criticità (come ad esempio la conformità a Leggi o gravi debolezze rilevate). In questo modo si riesce ad instaurare un circolo virtuoso (Continual Service Improvement) per il miglioramento della Sicurezza dell Informazione, mediante un progressivo e graduale aumento del livello di maturità che, passo dopo passo, consente di raggiungere gli obiettivi di sicurezza desiderati. L articolo di PwC Advisory How to Design a Security Strategy (and Why You Must) basato sul SecurityATLAS, spiega inoltre come tale strumento permetta di ottenere un adeguato coinvolgimento da parte del top management ( Slide 9

10 Approccio PwC all Information Security Strategy Approccio PwC all Information Security Strategy I Start Up II Assessment III Strategy & Roadmap IV Implementazione B Definizione degli obiettivi di sicurezza dell informazione A Definizione del perimetro < di intervento C Information Security Maturity Assessment E Definizione Strategia & Roadmap F Implementazione Strategia & Roadmap D GAP Analysis Punti di approvazione formale Approccio Proposto Slide 10

11 Approccio PwC all Information Security Strategy L approccio PwC si pone diversi obiettivi, tra cui la valutazione dell attuale livello di maturità in ambito sicurezza I principali obiettivi dell approccio PwC sono i seguenti: definizione del perimetro di intervento (sistemi e processi IT); identificazione, definizione e condivisione degli obiettivi di sicurezza; valutazione dell attuale livello della sicurezza dell informazione; identificazione dei Gap fra la situazione attuale e quella desiderata; identificazione delle azioni da compiere per colmare i gap identificati; definizione di una strategia di approccio comprendente Quick-win*, Piano dei Progetti e relativi costi, Responsabilità e Roadmap di Implementazione. * Quick-win: attività che comportano un effort ridotto e che devono essere eseguite con alta priorità Slide 11

12 Sezione 3 Principali strumenti utilizzati

13 Principali strumenti utilizzati I principali strumenti utilizzati permettono di comunicare chiaramente il valore della Security a tutti i livelli aziendali (1/3) Livello di Maturità attuale: rappresenta l attuale stato della sicurezza dell informazione, per ogni dominio, in termini di livello di maturità, copertura dei controlli e gravità delle criticità. Livello di Maturità desiderato: rappresenta il livello di maturità desiderato per ogni dominio di Sicurezza e i GAP tra lo stato attuale e quello desiderato. 10.BCM 9.ISIM 11.CO 1.SP 5 4,5 4 3,5 3 2,5 2 1,5 1 0,5 0 2.OIS 3.AM 4.HRS 8.ISADM 5.PES 7.AC 6.COM Slide 13

14 Principali strumenti utilizzati I principali strumenti utilizzati permettono di comunicare chiaramente il valore della Security a tutti i livelli aziendali (2/3) Gap Analysis rappresenta l identificazione dei Gap fra la situazione attuale e quella desiderata, individuando le azioni da compiere per colmare i gap identificati. RACI rappresenta la matrice di assegnamento delle responsabilità: Responsible, Accountable, Consulted, Informed. Punti d attenzione, QuickWin e Progetti per ogni dominio Inserire nome dominio (XX) Descrizione: Inserire descrizione. Obiettivi: Inserire obiettivi. Livello di Maturità AS IS: x su 5 (Maturità) Punti di Debolezza Inserire punto di debolezza. Inserire punto di debolezza. Inserire punto di debolezza. Inserire punto di debolezza. QuickWin Inserire QuickWin EXT QW Inserire QuickWin INT Progetti Nome progetto PR 1: Descrizione progetto. Nome progetto PR 2: Descrizione progetto. Nome progetto PR 3: Descrizione progetto. Nome progetto PR 4: Descrizione progetto. Ref Disciplinare: XX.x XX.x Severity: Severity Effort EXT (gg) INT (gg) Capex (K ) Totale QW PR PR PR PR Livello di Maturità TO BE: Maturità Slide 14

15 Principali strumenti utilizzati I principali strumenti utilizzati permettono di comunicare chiaramente il valore della Security a tutti i livelli aziendali (3/3) Piano dei Progetti rappresenta l insieme dei progetti da implementare a breve e medio termine, la stima dell effort per ognuno di essi e la relativa distribuzione temporale. Piano Strategico rappresenta i progetti da implementare a breve, medio e lungo termine per il raggiungimento degli obiettivi strategici di sicurezza. Slide 15

16 Sezione 4 Allegati

17 Allegati Livello di Maturità attuale back Slide 17

18 Allegati Livello di Maturità desiderato 10.BCM 9.ISIM 11.CO 1.SP 5 4,5 4 3,5 3 2,5 2 1,5 1 0,5 0 2.OIS 3.AM 4.HRS 8.ISADM 5.PES 7.AC 6.COM back Slide 18

19 Punti d attenzione, QuickWin e Progetti per ogni dominio Sistemi ed Infrastrutture di Rete (IR) Ref Disciplinare: IR.x IR.x Descrizione: Disegno, realizzazione e manutenzione di infrastrutture di rete sicure (apparati di comunicazione, server, client e sistemi operativi). Obiettivi: La gestione di infrastrutture di rete sicure garantisce l affidabilità nel tempo delle risorse impiegate e la qualità dei dati scambiati. Livello di Maturità AS IS: 2 su 5 (Informal) Severity: Alta Punti di Debolezza Mancanza o mancato aggiornamento di alcune procedure operative per la gestione e il monitoraggio dei sistemi. Non è presente un processo strutturato per il mantenimento e il monitoraggio degli Asset IT. Non è presente un processo strutturato per l aggiornamento dei sistemi. Non vengono svolte periodiche attività di Vulnerability Assessment. Non è stato definito uno specifico processo per gestire e tracciare gli Incidenti di Sicurezza. QuickWin QW. Policy Review Controllo Accessi da remoto Progetti IR A. IT Security Asset Inventory: Predisposizione e aggiornamento periodico dell inventario degli Asset IT, con particolare focus sugli aspetti di sicurezza. IR B. Patch Management: Definizione del processo di aggiornamento dei sistemi critici, che può essere automatizzato o manuale dipendentemente dai sistemi coinvolti. IR C. Vulnerability Assessment: Definizione di un processo di verifica delle vulnerabilità sui sistemi critici. Esecuzione di una prima verifica, analisi dei risultati e Action Plan per le eccezioni riscontrate. IR D. Security Incident Management: Definizione della strategia di Gestione degli Incidenti di Sicurezza e stesura della documentazione a supporto. Effort EXT (gg) INT (gg) Capex (K ) Totale QW IR A IR B IR C * IR D ** * acquisto licenze vulnerability scanner ** acquisto licenze tool di trouble ticketing Livello di Maturità TO BE: Standardized/Monitored back Slide 19

20 Allegati Matrice RACI back Slide 20

21 Allegati Piano dei Progetti back Slide 21

22 back Slide 22

23 La gestione della strategia di sicurezza All rights reserved. refers to the network of member firms of International Limited, each of which is a separate and independent legal entity. *connectedthinking is a trademark of LLP (US). PwC