Security Convergence: lo stato dell arte dall inizio del secolo Milano, 14 dicembre 2011 Chairman of the ASIS International Security Convergence Subcommittee
Contenuto della presentazione Agenda Cosa si intende per Security Convergence Definizione di Security Convergence Evoluzione in ambito internazionale Fattori trainanti in ambienti complessi Cosa è e cosa non è la Security Convergence Le competenze richieste Uno studio su aziende del settore Gas-Oil-Energy Risultati preliminari del recente survey ASIS International Conclusioni Domande?
Cosa si intende per Security Convergence Con Security Convergence si intende un insieme di processi che avvicinano le diverse sfere della sicurezza rivolte alla protezione di persone, informazioni, beni sia materiali che immateriali Le organizzazioni sono sempre più vulnerabili a minacce di tipo multiforme nei confronti di persone, informazioni, beni materiali ed immateriali La Convergenza, quindi, prima ancora di essere una modalità innovativa di fare Security, è una caratteristica insita nei rischi, nelle minacce e nel modus operandi siadi coloro che in modo intenzionale intendano condurre una aggressione sia nei vari eventi dolosi o naturali capaci di arrecare un danno
Definizione di Security Convergence La Security Convergencepuò essere definita come un insieme di processi dedicati alla protezione degli assetaziendali od appartenenti ad un organizzazione, che uniti in una singola realtà organizzativa possono migliorare le performance in termini di efficienza ed efficacia di quelle funzioni deputate alla salvaguardia del patrimonio (tangibile ed intangibile)
Cosa ne deriva? Diventa importante saper assegnare a tutti i rischi la loro giusta priorità, per poter rispondere agli attacchi in modo tempestivo ed efficace, indipendentemente dal fatto che le minacce siano di tipo fisico o di tipo informatico La consapevolezza che i vari soggetti aggressori siano capaci di sfruttare la tecnologia a proprio vantaggio (a scapito di altri) sta portando i leader dell'information Security a unire le proprie forze con i professionisti della sicurezza più tradizionale per sviluppare le opportune strategie in grado di contrastare questi attacchi: ecco un esempio concreto di ciò che intendiamo per convergenza
Cosa è accaduto nella realtà internazionale Una disciplina ormai matura, in particolare in ambienti complessi, che si è affermata come Enterprise Risk Management (ERM) ha generato una sottospecie conosciuta come Enterprise Security Risk Management (ESRM) a cui han cominciato a far riferimento sia i professionisti con competenze Physical Security, sia coloro che hanno competenze di IT Security Nel 2004 è stata costituita in Nord America un alleanza, Alliance Enterprise Security Risk Management (AESRM), fra tre ben affermate associazioni internazionali: ASIS International (focalizzata sugli aspetti di Security Management), ISSA (focalizzata su aspetti di IT Security) e ISACA (focalizzata su aspetti di IT Security Auditing)
Quali sono i driversa sostegno della Security Convergence Il trend Tecnologico: dispositivi IP sempre più diffusi, il cloud computing, i social media, la virtualizzazione del mondo IT, la trasformazione del mondo IT (proliferazione dei dispositivi in rete), l evoluzione industriale (smart grid, le nanotecnologie, i dispositivi mission critical in rete), l incremento della complessità (sistemi SCADA) Il trend Security: il crimine organizzato, la persistenza di minacce evolute, gli attacchi zero-day, i crimini informatici, le minacce dall interno delle organizzazioni, la necessità di proteggere le infrastrutture critiche, la progressiva scarsità di risorse disponibili per lo staff Security, la costante concorrenza
Cosa non è e cos è la Security Convergence Non é Non è una nuova piattaforma tecnologica Non è una integrazione di prodotti tecnologici Non è una nuova disciplina della Security Non è una nuova moda che viene da chi sa dove Invece é Un modo olistico di pianificare e gestire la Security Una metodologia con approccio pluridisciplinare Una modalità innovativa che richiede un management innovativo Un processo ancor più trasversale che richiede un team in grado di esprimere tutte le competenze richieste
Convergenza delle minacce e dei rischi
Quali sono le competenze principali richieste al CSO Da Security Manager tradizionale a team leader Da lavorare nel buio ad un executive con alta visibilità Da funzione che dice solo no a quella di facilitatore Da manager guidato da regole a leader guidato dalle necessità del business Da esecutore tradizionale a pianificatore capace di impostare obiettivi stimolanti Avere conoscenze/attitudini multiculturali Conoscere molto bene le necessità dell azienda Saper comunicare verso l alto, verso il basso e con i pari Essere in grado di stabilire priorità in base alle esigenze di business
Surveysu alcune aziende del settore Gas Oil Energy Le prime cento aziende del mondo occidentale che operano nel settore Gas Oil Energy sono state intervistate da The Security Faculty UK La scelta è caduta su aziende del settore energetico perché sono state le prime ad adottare delle soluzioni Converged Le interviste sono state condotte da accademici che hanno personalmente contattato i vertici aziendali ed i CSO Pur mantenendo l anonimato lo studio ha permesso di distinguere le aggregazioni geografiche Hanno partecipato anche due aziende Italiane
A chi riporta il CSO? Fonte: The Security Faculty UK
Le aziende hanno un team Security Converged? Fonte: The Security Faculty UK
La Convergencedi alcune funzioni Fonte: The Security Faculty UK
La Convergencedi specifiche attività Technology Operations Resource Plan Reporting Strategy Fonte: The Security Faculty UK
Perché Convergence? Quali sono i drivers? Fonte: The Security Faculty UK
Security Convergence. Quali sono le difficoltà? Fonte: The Security Faculty UK
ASIS European Security Convergence Survey Il 30 settembre si è conclusa una surveyorganizzata da ASIS in Europa a cui hanno risposto 216 realtà fra Physicale IT security (CSO, CISO,CRO, CIO, etc) Il 39% di coloro che hanno risposto affermano che le due funzioni collaborano fra di loro in modo informale Il 16% di coloro che hanno risposto affermano che la loro azienda ha adottato una vera soluzione Converged Nel 21% dei casi le due funzioni fanno capo ad uno stesso organo decisionale (Steering Committe o Comitato esecutivo) Nel 24% dei casi le due funzioni sono totalmente separate e non hanno occasioni di lavorare congiuntamente
ASIS European Security Convergence Survey Fonte: ASIS International Europe
ASIS European Security Convergence Survey by industry sector
Conclusioni su Security Convergence Il vertice aziendale esprime un parere molto positivo su l adozione di modelli organizzativi di Security integrata Non sempre le competenze sono adeguate per affrontare il ambiamento organizzativo Le aziende che hanno già adottato un modello di Security Convergence confermano di trarne vantaggio e di avere iniziato un processo simile anche in altri settori Le modalità per arrivare ad una organizzazione integrata sono molteplici (dallo Czar della Security ai comitati integrati) E essenziale che per primo sia convinto il vertice aziendale, senza il quale è difficile avviare un processo di integrazione
Il futuro del movimento di Convergence In Nord Europa sta prendendo campo il concetto di Business Service Functions(tutte le funzioni non direttamente impegnate nella produzione di fatturato/corebusiness) Pur nella completa e separata responsabilità delle varie funzioni aziendali deputate al funzionamento dei processi di supporto, si sta configurando una sorta di federazione fra le funzioni di servizio Cresce l attenzione in ambito Europeo nel creare valore aggiunto anche attraverso le sinergie fra funzioni indirette
Domande?
Grazie per l attenzione, alessandro_lega@tin.it alessandro.lega@asisitaly.org