Un'efficace gestione del rischio per ottenere vantaggi competitivi

Documenti analoghi
Un'efficace gestione del rischio per ottenere vantaggi competitivi

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

Automation Solutions

Internet Security Systems Stefano Volpi

Zerouno IBM IT Maintenance

Sicurezza, Rischio e Business Continuity Quali sinergie?

Business Intelligence Revorg. Roadmap. Revorg Business Intelligence. trasforma i dati operativi quotidiani in informazioni strategiche.

La Governance bancaria e il cruscotto direzionale per la gestione della sicurezza integrata. Gianluigi Ferraris

Il modello di ottimizzazione SAM

ANMIL Progetto Security Bologna 22 ottobre 2014 L ingegneria dei Servizi Integrati di Security a supporto del Security Manager

Modellazione e automazione per una sicurezza attiva e preventiva. Appunti metodologici Mauro Cicognini Clusit

Esperienze di analisi del rischio in proggeti di Information Security

Copyright IKS srl

NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, Roma Tel: , Fax:

INTERNAL AUDITING ROMA, 12 MAGGIO 2005 FORUM PA GIUSEPPE CERASOLI, CIA RESPONSABILE COMITATO PA

CORPORATE GOVERNANCE. Implementare una corporate governance efficace

Progetto Atipico. Partners

Gestire il rischio di processo: una possibile leva di rilancio del modello di business

Smarter Content Summit Roma 4 Aprile

Cloud Computing - Soluzioni IBM per. Giovanni De Paola IBM Senior Consultant 17 Maggio 2010

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

PROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ

1- Corso di IT Strategy

sfide del ventunesimo Secolo

Services Portfolio «Energy Management» Servizi per l implementazione dell Energy Management

ISO family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo

PROFILO AZIENDALE NET STUDIO 2015

Processi e Risk Assessment nel Gruppo Reale Mutua 23/05/2013

consulenza e soluzioni applicative al servizio dei Confidi

CONTRIBUTI IT A VALORE AGGIUNTO E GESTIONE DEI RISCHI

Titolo: La Sicurezza dei Cittadini nelle Aree Metropolitane

V.I.S.A. VoiP Infrastructure Security Assessment

Audit & Sicurezza Informatica. Linee di servizio

dacomat Model View Lo strumento unico brevettato per l integrazione e la documentazione aziendale mediante modelli.

L ERP COME STRUMENTO STRATEGICO DI GESTIONE D AZIENDA

ISO 27001:2005 ISMS Rischi ed Opportunità Nell approccio certificativo. INFOSECURITY - Verona

La gestione della Sicurezza nel Gruppo CRIF. La struttura organizzativa

MEGA INTERNATIONAL MANAGING ENTERPRISE COMPLEXITY

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo

CLOUD LAB. Servizi IT innovativi per le aziende del territorio. Parma, 5 Dicembre 2012

LA SOLUZIONE APPLICATIVA PER UN EFFICIENTE SALES MANAGEMENT

Procedures Management Tool Una consolle Tanti tools Niente caffè

La riforma del servizio di distribuzione del

HR Human Resouces. Lo strumento innovativo e completo per la gestione del personale. ZUCCHETTI CENTRO SISTEMI SPA

Focus Italia: i numeri del fenomeno e le minacce attuali all epoca della digital disruption

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

SICUREZZA SENZA COMPROMESSI PER TUTTI GLI AMBIENTI VIRTUALI. Security for Virtual and Cloud Environments

Gestire l informazione in un ottica innovativa. Enrico Durango Manager of Information Management Software Sales - IBM Italia

LA FORZA DELLA SEMPLICITÀ. Business Suite

Il Security Manager in Banca. Ing. Anthony C. Wright Business Continuity Banca Nazionale del Lavoro

Chi siamo e le nostre aree di competenza

BUSINESS INTELLIGENCE

SysAround S.r.l. L'efficacia delle vendite è l elemento centrale per favorire la crescita complessiva dell azienda.

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

LA TEMATICA. Questa situazione si traduce facilmente:

Agenti Mobili Intelligenti e Sicurezza Informatica Utilizzare un nuovo paradigma applicativo per la realizzazione di sistemi informatici sicuri.

I SISTEMI DI PERFORMANCE MANAGEMENT

La piattaforma di Enterprise Social Network per le organizzazioni

Zerouno Executive Dinner

Scheda. Il CRM per la Gestione del Marketing. Accesso in tempo reale alle Informazioni di rilievo

Sicurezza Aziendale: gestione del rischio IT (Penetration Test )

I tuoi viaggi di lavoro a portata di click

Abstract. Reply e il Cloud Computing: la potenza di internet e un modello di costi a consumo. Il Cloud Computing per Reply

COMUNICAZIONE E CONDIVISIONE PROTETTE. Protezione per server, e collaborazione

La gestione delle relazioni con il mercato

Comprendere il Cloud Computing. Maggio, 2013

Knowledge Management

L IT a supporto della condivisione della conoscenza

La tecnologia cloud computing a supporto della gestione delle risorse umane

25/11/14 ORGANIZZAZIONE AZIENDALE. Tecnologie dell informazione e controllo

La sicurezza in banca: un assicurazione sul business aziendale

OLTRE IL MONITORAGGIO LE ESIGENZE DI ANALISI DEI DATI DEGLI ASSET MANAGER

INFORMAZIONE FORMAZIONE E CONSULENZA. benchmark ingbenchmarking benchmarkingbench marking

Il CRM per la Gestione del Servizio Clienti

Il percorso delle aziende italiane verso l IT Governance. Rossella Macinante Practice Leader

Programma di attività Linee Guida

Sme.UP è artefice del successo insieme alle aziende che desiderano crescere

delle aziende in Italia:

Un unica interfaccia per la gestione della sicurezza. Gentile Cliente,

sviluppa le opportunità, riduce i rischi.

Il processo di sviluppo sicuro. Kimera Via Bistolfi, Milano

work force management

ILMS. Integrated Learning Management System

Economia e gestione delle imprese - 05

Cloud Computing Stato dell arte, Opportunità e rischi

Symantec Protection Suite Small Business Edition Una soluzione semplice, efficace e conveniente progettata per le piccole aziende

Una piattaforma enterprise per gestire e migliorare le iniziative di Governance, Risk e Compliance

EMC Documentum Soluzioni per il settore assicurativo

Asset sotto controllo... in un TAC. Latitudo Total Asset Control

Dalla gestione dell asset ospedaliero alla produttività dell Imaging Riccardo Toma Asset Management Solutions di GE Healthcare

ONEGLOBAL SRL Consulenze Aziendali Integrate DOCUMENTO DI OFFERTA DEL 21 GIUGNO 2012

Product Update - Version 3

Università di Macerata Facoltà di Economia

Grazie a Ipanema, Coopservice assicura le prestazioni delle applicazioni SAP & HR, aumentando la produttivita del 12%

INAIL WICC Welfare Information Capital Center Big Data e Analytics per la gestione dei rischi di infortunio e malattie professionali

L esperienza ICBPI. Mario Monitillo. Direzione Sicurezza e Compliance ICT

La rilevanza del risk management nella gestione d impresa. Giorgia Profumo Università degli Studi di Napoli Parthenope

Sicurezza informatica in azienda: solo un problema di costi?

Transcript:

Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Sr. GRC Consultant 1

L universo dei rischi I rischi sono classificati in molteplici categorie I processi di gestione sono simili, ma le metodologie di assessment sono diversificate e supportate da tool specializzati L ERM è UNICO in una azienda e rende necessaria una vista olistica e aggregata per poter realmente fornire al management il necessario supporto decisionale, elemento chiave per favorire un vantaggio competitivo FONTE: Gartner - A Risk Hierarchy for Enterprise and IT Risk Managers, 2008 2

Risk Management (GRC) con strumenti puntuali Tool A Effetti collaterali Attività di integrazione ripetute HR SAP Tool B Costi elevati Difficoltà di integrazione fra i tool Cat. Vuln. Cat. Process i Minore VISIBILITA : il reporting è più complesso, se non impossibile Difficile offrire viste aggregate CMDB I silos diventano un fattore di inibizione alla automazione dei Tool C processi GRC Minore efficienza dei processi 3

Risk Management il GRC integrato Benefici Repository informativi integrati una sola volta HR Cat. Vuln. SAP Cat. Processi RIUSO del Contesto di Business, ottimizzazione costi Data Model unico e condiviso Maggiore VISIBILITA, reporting più semplice E facile aggregare i dati (es rischi IT nei rischi di Business) CMDB I processi GRC si possono automatizzare Maggiore efficienza dei processi e COLLABORAZIONE Rafforza l ACCOUNTABILITY 4

5

Gli ecosistemi aziendali e le minacce Lo schema di riferimento BUSINESS Processi, Controlli, Policy, Prodotti, Informazioni Minacce che impattano il business I.T. Applicazioni, Dispositivi, Tecnologie, Storage, Minacce che impattano l Information Technology (e di conseguenza il business ) 6

La nostra visione strategica Livello Strategico Policy Risk BUSINESS Processessi, Controlli, Policy, Prodotti, Informazioni Minacce/ Rischi di Business Business Continuity Enterprise Management Archer egrc Vulnerability Management Compliance Security Operations I.T. Applicazioni., Dispositivi, Tecnolgie, Storage, Minacce/ Rischi IT/InfoSec Fraud Risk Intelligence Identity Governance Livello Tecnologico Advanced SOC/SA Le tecnologie RSA supportano sia il livello strategico sia il livello tecnologico con prodotti integrati che condividono le relative informazioni di contesto 7

8

Gestire il rischio IT: gli approcci L approccio tradizionale al risk management, governato da metodologie e standard quali ISO-27005 e ISO-31000, permette sostanzialmente di individuare rischi potenziali. Questo approccio quanto è compatibile con l attuale livello di dinamicità e complessità del business e del mondo del malware? Quanto è in grado di intercettare i nuovi rischi? Grazie ad Archer egrc, supporta l approccio tradizionale, sia per il Business Risk sia per l IT/InfoSec Risk Supporta anche un approccio pragmatico al risk management, grazie alla stretta integrazione fra i prodotti dello stack tecnologico 9

L approccio RSA per la gestione del rischio IT I possibili punti di intervento per mitigare i rischi Agente di Attacco Vettore di Attacco Vulnerabilità di sicurezza Controlli di sicurezza Impatto Tecnico Impatto sul Business Attacco Vulnerabilità IT Asset Business Asset Attacco Vulnerabilità Controllo Controllo <FAIL> X IT Asset Business Asset Attacco Vulnerabilità IT Asset Business Asset Impatto Tecnico Difficile Possibile Fattibile ed efficace Fattibile ed efficace Si possono individuare 3 macro aree di intervento: Prevenzione delle Minacce Migliorare l efficienza della rilevazione dell attacco Rilevazione degli Attacchi Migliorare l efficienza della risposta all incidente Risposta e Rimedio Modello OWASP (https://www.owasp.org/index.php/top_10_2010-main) 10

La gestione pragmatica del rischio IT Gestione preventiva: mitiga il rischio, riducendo le vulnerabilità rilevate (che rappresentano dei rischi reali, non potenziali) Il rischio è ridotto agendo sulla componente di probabilità della tipica equazione di rischio Gestione della capacità di rilevazione e di risposta: mitiga il rischio migliorando le capacità di rilevare attacchi e l efficienza del processo di risposta agli incidenti Il rischio è ridotto agendo sulla componente di impatto della tipica equazione di rischio Prevenzione delle Minacce Rilevazione degli Attacchi Risposta e Rimedio Archer Vulnerability Risk Management Security Analytics Archer Security Operations Management 11

Archer Vulnerability Risk Management Mitigare i rischi (riduzione probabilità minacce) attraverso una gestione businessoriented delle vulnerabilità Passi Catalogo Asset Scoprire le vulnerabilità Classificare i problemi Indirizzare i problemi Monitoraggio e Reporting SFIDE Mancanza di un catalogo centralizzato (o catalogo parziale) Indirizzato dai fornitori di VulnerabilityScanner (Qualys, McAfee, ) Nessuna relazione fra dati di business e tecnologici Mancanza di un contesto e meccanismi di prioritizzazione Mancanza di automazione e di workflow flessibile Reporting inefficace e lento Vulnerability Management [La soluzione RSA] Risultato Scansioni Contesto di Business + Σ = Vulnerabilità + Prioritizzate Threat Intelligence Workflow KPI Report Scalabilità Velocità Precisione 12

Vantaggio competitivo? Quali i fattori? Automazione dei processi Individuare le aree di criticità (rischi) Rimozione dei Silos Informativi Visibilità: Asset, Report, Dashboard, Prendere decisioni sulla base dei risultati dell analisi del rischio 14

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back