Capacità di reazione alle violazioni PANORAMICA

Documenti analoghi
Un'efficace gestione del rischio per ottenere vantaggi competitivi

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

Responsabilità e piano di azione per un nuovo approccio alla Cyber Security

Policy sulla Gestione delle Informazioni

1- Corso di IT Strategy

Symantec Insight e SONAR

Gestire il rischio di processo: una possibile leva di rilancio del modello di business

25/11/14 ORGANIZZAZIONE AZIENDALE. Tecnologie dell informazione e controllo

Associazione Italiana Information Systems Auditors

Titolo: La Sicurezza dei Cittadini nelle Aree Metropolitane

Il modello di ottimizzazione SAM

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo

La Guida per l Organizzazione degli Studi professionali

SysAround S.r.l. L'efficacia delle vendite è l elemento centrale per favorire la crescita complessiva dell azienda.

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti?

MANDATO DI AUDIT DI GRUPPO

COME SVILUPPARE UN EFFICACE PIANO DI INTERNET MARKETING

Associazione Italiana Corporate & Investment Banking. Presentazione Ricerca. Il risk management nelle imprese italiane

Allegato B) PROCEDURA PER LA GESTIONE AZIENDALE DEI CASI DI EVENTI SENTINELLA 1. PREMESSA E INDICAZIONI GENERALI

LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0

Audit & Sicurezza Informatica. Linee di servizio

I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS AV2/07/11 ARTEMIDE.

Protezione integrale per la vostra azienda PROTECTION SERVICE FOR BUSINESS

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

Information Systems Audit and Control Association

CentoCinquanta Change Management

MANDATO INTERNAL AUDIT

LEADERSHIP,KNOWLEDGE,SOLUTIONS, WORLDWIDE SEGI REAL ESTATE

Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali

Effettuare gli audit interni

Symantec Protection Suite Small Business Edition Una soluzione semplice, efficace e conveniente progettata per le piccole aziende

Le difficoltà del passaggio dalla funzione di Ispettorato a Internal Audit Convegno Nazionale AIEA - 19 maggio 2004

La certificazione CISM

Approfondimento. Controllo Interno

Un'efficace gestione del rischio per ottenere vantaggi competitivi

I SISTEMI DI GESTIONE DELLA SICUREZZA

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

COMUNE DI RAVENNA GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI)

Sito web per la presentazione e l accesso ai servizi di Ruven integrato con la piattaforma B2B del pacchetto software ERP Stratega.NET.

Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione

MODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO.

Policy. L Information Management

SCELTA DELL APPROCCIO. A corredo delle linee guida per l autovalutazione e il miglioramento

OSINT, acronimo di Open Source INTelligence, uno dei modi per acquisire dati utili per l intelligence:

Le effettive esigenze della Direzione del Personale nella gestione delle risorse umane in azienda. Andamento dal 2005 ad oggi

Sicurezza Aziendale: gestione del rischio IT (Penetration Test )

GUIDA DI APPROFONDIMENTO IL CONTROLLO DI GESTIONE: IL SISTEMA DI REPORTING

Direzione Centrale Audit e Sicurezza IL SISTEMA DELL INTERNAL AUDIT NELL AGENZIA DELLE ENTRATE

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0

Università di Macerata Facoltà di Economia

IL REPORTING DIREZIONALE

Il processo di sviluppo sicuro. Kimera Via Bistolfi, Milano

ALLINEARSI: IL DRIVER PER UNA INNOVAZIONE DI SUCCESSO!

MANUALE DELLA QUALITÀ Pag. 1 di 6

Requisiti di controllo dei fornitori esterni

Comune di San Martino Buon Albergo

ILSISTEMA INTEGRATO DI PRODUZIONE E MANUTENZIONE

PO 01 Rev. 0. Azienda S.p.A.

Configuration Management

Provincia- Revisione della disciplina delle funzioni

QUESTIONARIO 3: MATURITA ORGANIZZATIVA

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

Monitoraggio dell attuazione della legge 440/97 Analisi di contesto e Gantt delle operazioni

Politica per la Sicurezza

CORSO BUSINESS CONTINUITY AND DISASTER RECOVERY MANAGEMENT LE 10 PROFESSIONAL PRACTICES

Violazione dei dati aziendali

SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI

Capitolo 4 - Teoria della manutenzione: la gestione del personale

5.1.1 Politica per la sicurezza delle informazioni

Il mestiere del security manager. Giorgio Ledda Senior Director Security Oracle Corporation

Gestire le NC, le Azioni Correttive e Preventive, il Miglioramento

Banche e Sicurezza 2015

Il CRM per la Gestione del Servizio Clienti

STANDARD OHSAS 18001:2007 E CORRISPONDENZE CON IL MODELLO ORGANIZZATIVO DEL DECRETO LEGISLATIVO N. 81/2008

Appendice III. Competenza e definizione della competenza

Modello dei controlli di secondo e terzo livello

INDICAZIONI OPERATIVE PER VALUTARE E PROMUOVERE L ORGANIZZAZIONE AZIENDALE DELLA SICUREZZA

Agenti Mobili Intelligenti e Sicurezza Informatica Utilizzare un nuovo paradigma applicativo per la realizzazione di sistemi informatici sicuri.

POLITICA DI COESIONE

MANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA

La tecnologia cloud computing a supporto della gestione delle risorse umane

2 Giornata sul G Cloud Introduzione

Descrizione dettagliata delle attività

visto il trattato sul funzionamento dell Unione europea,

Il modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali. Roma, 6 giugno

L esperienza ICBPI. Mario Monitillo. Direzione Sicurezza e Compliance ICT

NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, Roma Tel: , Fax:

4. GESTIONE DELLE RISORSE

Il Partner di riferimento per i progetti informatici

Il Partner di riferimento per i progetti informatici

Esigenze di stampa del settore delle costruzioni. Collaborazione e tracciatura delle modifiche. Completamento dei lavori secondo le specifiche

4.5 CONTROLLO DEI DOCUMENTI E DEI DATI

ALLEGATO 1 (SCHEDA DI ASSEGNAZIONE OBIETTIVI)

Analisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it

CORSO WET 462 Amministrazione di database SQL Server 2012

COMUNICAZIONE PER IL MANAGEMENT D IMPRESA

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza

Internet Security Systems Stefano Volpi

Business Process Management

THE BENCHMARKING CLUB. Benchmarking Study. La Sicurezza Informatica

Transcript:

E U C A L E L E R COLMA I D À IT C A P A ELLA C I IO Z A L IO V E REAZIOE ALL ITY R U C E S L A D I T APPROFODIME UCIL O C IO T A V O I FOR BUSIESS

PAORAMICA Questo e-book contiene informazioni dettagliate sulla resilienza, sulla risposta e sulla capacità di reazione alle violazioni ottenute da una serie di interviste approfondite con il Security for Business Innovation Council (SBIC) 1. Il SBIC è costituito da un gruppo di dirigenti della sicurezza orientati al futuro provenienti da 1.000 imprese globali, impegnati a migliorare lo stato della sicurezza delle informazioni a livello mondiale attraverso la condivisione di informazioni approfondite tratte dalla propria esperienza personale nel mondo reale. I benchmark sulla capacità di reazione per il settore a livello generale derivano da un survey globale effettuato su 170 professionisti della sicurezza in 30 paesi. Vengono fornite misure nell'ambito delle quattro aree principali di capacità di reazione alle violazioni e risposta agli incidenti: intelligence dei contenuti, indagine e analisi, threat intelligence e risposta agli incidenti. Grazie al confronto e all'analisi delle differenze tra le risposte dei leader di settore e il panorama generale, possiamo fornire suggerimenti su cui basare azioni concrete per realizzare un programma preventivo di risposta e capacità di reazione alle violazioni. 1 Vedere l'appendice per un elenco completo dei responsabili e delle organizzazioni di SBIC 2

RISPOSTA AGLI ICIDETI La risposta agli incidenti è un approccio organizzato per il trattamento degli eventi avversi sospetti o accertati che riguarda la sicurezza delle reti o dei sistemi di computer. I processi efficaci di risposta agli incidenti consentono di gestire gli eventi in modo da limitare i danni e ridurre il costo e il tempo di ripristino. La pianificazione della risposta agli incidenti deve costituire un processo dinamico. Le organizzazioni che non riescono a valutare e migliorare i piani di risposta agli incidenti espongono il proprio business a rischi maggiori. 100% 67% of SBIC members formally use intelligence and key learnings gleaned from security incidents to improve response processes. SBIC 70% 57% of the non-sbic group infrequently or never review or update those plans. At Large Have formal Incident Response plans in place. "Le persone e il processo rivestono un ruolo più cruciale della tecnologia, poiché quest'ultima fa riferimento alla risposta agli incidenti. Innanzitutto, un team che si occupa di sicurezza deve aver definito chiaramente i ruoli e le responsabilità per evitare confusione nei momenti critici. Ma è altrettanto importante disporre della visibilità e di workflow omogenei durante una qualsiasi crisi rilevante per la sicurezza, così da assicurare responsabilità e coerenza e permettere alle organizzazioni di migliorare nel tempo le procedure di risposta." Ben Doyle, Chief Information Security Officer, Thales Australia e uova Zelanda 3

ITELLIGECE DEI COTEUTI L'intelligence dei contenuti è uno stato di situational awareness acquisito attraverso strumenti, tecnologie e processi adottati dalle organizzazioni per identificare e monitorare gli asset critici e diffondere actionable intelligence per l'analisi e la risposta. I membri del SBIC dispongono di team esperti in sicurezza informatica il cui compito è identificare e implementare tecnologie volte ad ampliare l'intelligence dei contenuti. La condivisione delle informazioni è un processo continuo e istituzionalizzato. 100% 45% 92% 60% 90% SBIC At Large 50% "Le organizzazioni devono continuamente affinare il loro approccio alla raccolta delle informazioni. Quanto è opportuno e fattibile tale approccio? È prezioso per il business? Se non venisse attuato, saremmo sommersi da informazioni e perdite virtuali" Tim McKnight, Global Chief Information Security Officer, General Electric Have a security focused log aggregation and correlation solution in place to provide centralized alerting of suspicious activity Utilize asset criticality and/or vulnerability data during daily operations and incident management Identify and reduce false positives 4

IDAGII E AALISI Le indagini riguardano l'acquisizione, la registrazione e l'analisi della rete e dei dati host per rivelare l'origine degli attacchi o di altri incidenti. Le indagini rappresentano una funzionalità chiave per l'identificazione di campagne di attacco e attacchi avanzati e sofisticati. 83% 42% 83% 72% SBIC At Large "È importante utilizzare sia le risorse interne che esterne per il rilevamento e l'analisi del malware. Con l'ausilio di terze parti, le organizzazioni possono capire meglio cosa accade al loro interno e sfruttare queste informazioni per prepararsi contro gli attacchi futuri." Dave Martin, Chief Trust Officer, RSA Have in place a live network forensics capability such as a tool(s) with full packet capture and analysis Have a live host forensics capability 5

THREAT ITELLIGECE La threat intelligence è il processo che mira a raccogliere e sintetizzare i dati sulle minacce esterne e interne per implementare procedure di rilevamento, indagine e risposta a eventi di sicurezza. 100% 60% 100% 83% use this data in daily cyber security operations. 43% SBIC At Large "Le operazioni di sicurezza devono mantenere un determinato livello di flessibilità. A fronte degli eventi zero-day e di altri tipi di attacchi più complessi da capire, i team dedicati alla sicurezza devono essere agili e adattivi. I servizi di sottoscrizione sono una buona soluzione per ampliare il team se le risorse in questo ambito sono limitate." Jerry Geisler, Senior Director, Information Systems Security Operations, Office of the Chief Information Security Officer, Walmart Have an active vulnerability management program to identify, investigate, assess and remediate potential points of breaches. Augment internal Threat Intelligence with data from external sources. 6

ALTRI I T E IM D APPROFO 7

ALTRI APPROFODIMETI GESTIOE E RISPOSTA AGLI ICIDETI Le modalità con cui vengono assegnate la priorità agli incidenti e tracciati gli eventi possono influire notevolmente sull'efficacia della risposta a una violazione. Molte organizzazioni si affidano tuttora a un sistema manuale e decentralizzato per tenere traccia degli incidenti nella sicurezza. In alcuni casi, si tratta per lo più di un foglio di calcolo aggiornato al momento dall'analista della sicurezza. Tale approccio rende difficile assicurare la governance, tenere traccia dei sistemi di risoluzione degli incidenti e offrire informazioni approfondite nel miglioramento del processo nel tempo. Le organizzazioni devono adottare un sistema dedicato basato su workflow che assicuri visibilità completa, dalla raccolta degli alert all'escalation e alla creazione degli incidenti attraverso la mitigazione, il contenimento, l'analisi e la correzione. Tra gli intervistati del SBIC, solo il 58% adotta un sistema di gestione dei rischi e del workflow dedicato per le operazioni di sicurezza volto a monitorare e gestire gli incidenti. Da ultimo, l'esecuzione di test su base periodica aumenta le possibilità che le procedure di risposta agli incidenti siano implementate secondo i programmi quando necessario. Tra i membri del SBIC, solo il 92% dispone di un processo formale in atto per testare il proprio programma di risposta agli incidenti almeno una volta l'anno. Le strategie nella lotta informatica consentono di identificare le aree di miglioramento e assicurare che livelli adeguati di attenzione, staff e budget siano destinati a queste applicazioni di elevato valore e all'infrastruttura di dati vulnerabile. ITELLIGECE DI COTEUTI Istituire un'intelligence di contenuti rappresenta un primo passo cruciale per la creazione di un programma di risposta e capacità di reazione alle violazioni. Le organizzazioni devono utilizzare al meglio le tecnologie di data collection per acquisire una visibilità ampia e approfondita nell'attività in tutto l'ambiente. Deve sussistere la capacità di fornire un rilevamento automatizzato delle anomalie con un team o una risorsa dedicati per analizzare gli incidenti potenziali individuati attraverso la tecnologia. Lo sviluppo dell'intelligence di contenuti è un processo continuo. I membri del SBIC, che attuano protocolli avanzati di risposta e capacità di reazione alle violazioni, esortano al miglioramento continuo. Il 58% dei membri intervistati ha dichiarato che sebbene disponga di un sistema di aggregazione centrale per i dati di sicurezza e l'automazione degli avvisi, risulta comunque difficile assicurare la copertura di tutti gli asset critici. I falsi positivi costituiscono un altro problema. L'analisi degli incidenti di falsi positivi consente l'adattamento dei sistemi di intelligence dei contenuti. Tra i membri del SBIC, il 50% non dispone di un processo formale. Molte aziende non tengono in considerazione l'aspetto dei falsi positivi. Le organizzazioni dovrebbero cercare costantemente di aumentare le fonti di intelligence dei contenuti. Secondo i membri del SBIC, la condivisione dei dati tra i team interni è cruciale sia attraverso comunicazioni out-of-band regolari sia attraverso strumenti di governance, rischi e conformità centralizzati. L'obiettivo è abbattere i silos esistenti. 8

ALTRI APPROFODIMETI IDAGII E AALISI Le indagini e l'analisi delle reti sono essenziali per migliorare le capacità di reazione alle violazioni. Le organizzazioni che si basano sulla sola analisi dei registri presentano molti punti ciechi potenziali. Attraverso la correlazione di pacchetti di rete e altri dati di sicurezza, le organizzazioni possono scoprire l'esistenza di attacchi non rilevati dagli strumenti basati su firma e SIEM incentrati su registri. L'analisi del malware è una tecnica di indagine standard che fa parte della maggior parte delle strategie di risposta e reazione alle violazioni. Grazie alla comprensione delle modalità operative e degli obiettivi del malware, le organizzazioni possono far fronte alle vulnerabilità degli endpoint e della rete per migliorare il rilevamento degli attacchi e i sistemi di difesa. Tuttavia, gli attacker continuano ad affinare le proprie tecniche a fronte di questi strumenti, avanzando molti attacchi che non possono essere rilevati con gli engine di analisi. Gli strumenti di indagine per l'analisi dinamica e statica dell'utilizzo della memoria, delle connessioni di reti aperte, dei processi in esecuzione dei log degli eventi possono dimostrare l'esistenza di intrusioni e attacchi mirati nascosti. L'83% dei membri SIBC intervistati dispone di funzionalità di indagine host in tempo reale, malgrado tali strumenti siano implementati su vari livelli funzionali e non utilizzati da tutti nel processo di indagine. THREAT ITELLIGECE Secondo l'sbic, è necessario estrarre i dati sulle minacce riportati di seguito per migliorare la risposta e capacità di reazione alle violazioni: Dati di vulnerabilità Dati sulle minacce open source Feed di threat intelligence esterni da terze parti Le organizzazioni non dovrebbero tuttavia affidarsi completamente alla threat intelligence. Anche gli attacker sottoscrivono i feed delle minacce, creando attacchi per evitare l'utilizzo di indicatori chiave che possono ridurre l'efficacia contro le campagne sofisticate. I dati di vulnerabilità associati alla determinazione dell'importanza delle risorse di informazioni (ad esempio mission-critical, business-critical) offrono il contesto aziendale che consente alle organizzazioni di assegnare priorità nell'allocazione delle risorse. 9

L'AZIEDA È PROTA A REAGIRE ALLE VIOLAZIOI? Domande fondamentali nel quattro categorie principali di risposta e capacità di reazione alle violazioni Risposta agli incidenti L'organizzazione dispone di un processo di risposta agli incidenti definito formalmente e basato su documenti? Esistono criteri di assunzione definiti e programmi di formazione per sviluppare risorse umane IR efficienti? È disponibile un sistema che consente allo staff di assegnare priorità alle risposte agli incidenti? Se l'organizzazione venisse informata da terze parti, ad esempio dalle autorità giudiziarie, dell'esistenza di una violazione alla sicurezza all'interno della rete aziendale, saprebbe chiaramente quali sono i passaggi di risposta richiesti? Qual è la frequenza con cui vengono testate le funzionalità di risposta agli incidenti? Intelligence dei contenuti L'organizzazione dispone in questo momento di una soluzione di data collection incentrata sulla sicurezza per fornire avvisi centralizzati e avviare indagini su attività sospette? L'organizzazione prevede una funzione/un team dedicato per lo sviluppo e il test di nuovi contenuti per le tecnologie di sicurezza? Esistono misure in atto volte a identificare e ridurre i falsi positivi? L'organizzazione integra i dati di criticità degli asset o altre misurazioni dei rischi per creare un'intelligence di contenuti su cui basare azioni più concrete? Indagini e analisi L'organizzazione ha adottato sistemi di indagine della rete in tempo reale, come strumenti per l'acquisizione e l'analisi completa dei pacchetti? Attualmente l'organizzazione di sicurezza ha una funzione di analisi del malware? Esiste una funzionalità di indagine host "in tempo reale"? Threat intelligence L'organizzazione ha attuato un programma di gestione delle vulnerabilità? Il team addetto alla sicurezza si occupa di esaminare i dati sulle minacce per classificare e assegnare priorità ai dati per l'utilizzo nelle operazioni di routine? Il programma interno di operatività sulla sicurezza utilizza dati di threat intelligence open source per l'utilizzo nelle operazioni di routine? Il programma interno di operatività sulla sicurezza acquista dati di threat intelligence esterni per l'utilizzo nelle operazioni di routine? L'organizzazione analizza su base periodica le "lezioni" apprese a seguito degli incidenti di sicurezza per generare informazioni che confluiscono nuovamente nelle operazioni di sicurezza per un perfezionamento continuo? 10

SECURITY FOR BUSIESS IOVATIO COUCIL Marene Alison* - World Wide VP of Information Security, Johnson & Johnson Anish Bhimani* - Chief Information Officer, Commercial Banking, JP Morgan Chase William Boni - Corporate Information Security Officer (CISO) e Vice President, Enterprise Information Security, T-Mobile USA Roland Cloutier* - Vice President, Chief Security Officer, Automatic Data Processing, Inc. Dr. Martijn Dekker* - Senior Vice President, Chief Information Security Officer, AB Amro Ben Doyle* - Chief Information Security Officer, Thales Australia e uova Zelanda Jerry R. Geisler III* - Office of the Chief Information Security Officer, Walmart Stores, Inc. Malcolm Harkins - Vice President, Chief Security e Privacy Officer, Intel Kenneth Haertling* - Vice President e Chief Security Officer, TELUS Dave Martin*- Former Vice President e Chief Security Officer, EMC Corporation, Chief Trust Officer, RSA Timothy McKnight* - Global Chief Information Security Officer, General Electric Kevin Meehan* - Vice President e Chief Information Security Officer, The Boeing Company Philip Hong Sun, Kim - Executive Vice President e Chief Security Information Officer, Standard Chartered Bank of Korea David Powell - Head of IT Security, ational Australian Bank Robert Rodger - Group Head of Infrastructure Security, HSBC Holdings plc. Ralph Salomon - Vice President Security, Processes & Compliance Office, SAP Cloud and Infrastructure Delivery Vishal Salvi* - Chief Information Security Officer e Senior Vice President, HDFC Bank Limited Denise D. Wood* - Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer, FedEx Corporation *Membri del SBIC che hanno partecipato a questo survey 11

Capacità di reazione alle violazioni EMC2, EMC, il logo EMC, RSA e il logo RSA sono marchi o marchi registrati di EMC Corporation negli Stati Uniti e in altri paesi. Copyright 2015 EMC Corporation. Tutti i diritti riservati. Pubblicato in Italia. 04/15 ebook H14105

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back