Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Sr. GRC Consultant 1
L universo dei rischi I rischi sono classificati in molteplici categorie I processi di gestione sono simili, ma le metodologie di assessment sono diversificate e supportate da tool specializzati L ERM è UNICO in una azienda e rende necessaria una vista olistica e aggregata per poter realmente fornire al management il necessario supporto decisionale, elemento chiave per favorire un vantaggio competitivo FONTE: Gartner - A Risk Hierarchy for Enterprise and IT Risk Managers, 2008 2
Risk Management (GRC) con strumenti puntuali Tool A Effetti collaterali Attività di integrazione ripetute HR SAP Tool B Costi elevati Difficoltà di integrazione fra i tool Cat. Vuln. Cat. Process i Minore VISIBILITA : il reporting è più complesso, se non impossibile Difficile offrire viste aggregate CMDB I silos diventano un fattore di inibizione alla automazione dei Tool C processi GRC Minore efficienza dei processi 3
Risk Management il GRC integrato Benefici Repository informativi integrati una sola volta HR Cat. Vuln. SAP Cat. Processi RIUSO del Contesto di Business, ottimizzazione costi Data Model unico e condiviso Maggiore VISIBILITA, reporting più semplice E facile aggregare i dati (es rischi IT nei rischi di Business) CMDB I processi GRC si possono automatizzare Maggiore efficienza dei processi e COLLABORAZIONE Rafforza l ACCOUNTABILITY 4
5
Gli ecosistemi aziendali e le minacce Lo schema di riferimento BUSINESS Processi, Controlli, Policy, Prodotti, Informazioni Minacce che impattano il business I.T. Applicazioni, Dispositivi, Tecnologie, Storage, Minacce che impattano l Information Technology (e di conseguenza il business ) 6
La nostra visione strategica Livello Strategico Policy Risk BUSINESS Processessi, Controlli, Policy, Prodotti, Informazioni Minacce/ Rischi di Business Business Continuity Enterprise Management Archer egrc Vulnerability Management Compliance Security Operations I.T. Applicazioni., Dispositivi, Tecnolgie, Storage, Minacce/ Rischi IT/InfoSec Fraud Risk Intelligence Identity Governance Livello Tecnologico Advanced SOC/SA Le tecnologie RSA supportano sia il livello strategico sia il livello tecnologico con prodotti integrati che condividono le relative informazioni di contesto 7
8
Gestire il rischio IT: gli approcci L approccio tradizionale al risk management, governato da metodologie e standard quali ISO-27005 e ISO-31000, permette sostanzialmente di individuare rischi potenziali. Questo approccio quanto è compatibile con l attuale livello di dinamicità e complessità del business e del mondo del malware? Quanto è in grado di intercettare i nuovi rischi? Grazie ad Archer egrc, supporta l approccio tradizionale, sia per il Business Risk sia per l IT/InfoSec Risk Supporta anche un approccio pragmatico al risk management, grazie alla stretta integrazione fra i prodotti dello stack tecnologico 9
L approccio RSA per la gestione del rischio IT I possibili punti di intervento per mitigare i rischi Agente di Attacco Vettore di Attacco Vulnerabilità di sicurezza Controlli di sicurezza Impatto Tecnico Impatto sul Business Attacco Vulnerabilità IT Asset Business Asset Attacco Vulnerabilità Controllo Controllo <FAIL> X IT Asset Business Asset Attacco Vulnerabilità IT Asset Business Asset Impatto Tecnico Difficile Possibile Fattibile ed efficace Fattibile ed efficace Si possono individuare 3 macro aree di intervento: Prevenzione delle Minacce Migliorare l efficienza della rilevazione dell attacco Rilevazione degli Attacchi Migliorare l efficienza della risposta all incidente Risposta e Rimedio Modello OWASP (https://www.owasp.org/index.php/top_10_2010-main) 10
La gestione pragmatica del rischio IT Gestione preventiva: mitiga il rischio, riducendo le vulnerabilità rilevate (che rappresentano dei rischi reali, non potenziali) Il rischio è ridotto agendo sulla componente di probabilità della tipica equazione di rischio Gestione della capacità di rilevazione e di risposta: mitiga il rischio migliorando le capacità di rilevare attacchi e l efficienza del processo di risposta agli incidenti Il rischio è ridotto agendo sulla componente di impatto della tipica equazione di rischio Prevenzione delle Minacce Rilevazione degli Attacchi Risposta e Rimedio Archer Vulnerability Risk Management Security Analytics Archer Security Operations Management 11
Archer Vulnerability Risk Management Mitigare i rischi (riduzione probabilità minacce) attraverso una gestione businessoriented delle vulnerabilità Passi Catalogo Asset Scoprire le vulnerabilità Classificare i problemi Indirizzare i problemi Monitoraggio e Reporting SFIDE Mancanza di un catalogo centralizzato (o catalogo parziale) Indirizzato dai fornitori di VulnerabilityScanner (Qualys, McAfee, ) Nessuna relazione fra dati di business e tecnologici Mancanza di un contesto e meccanismi di prioritizzazione Mancanza di automazione e di workflow flessibile Reporting inefficace e lento Vulnerability Management [La soluzione RSA] Risultato Scansioni Contesto di Business + Σ = Vulnerabilità + Prioritizzate Threat Intelligence Workflow KPI Report Scalabilità Velocità Precisione 12
Vantaggio competitivo? Quali i fattori? Automazione dei processi Individuare le aree di criticità (rischi) Rimozione dei Silos Informativi Visibilità: Asset, Report, Dashboard, Prendere decisioni sulla base dei risultati dell analisi del rischio 14