ERP Operational Security Evaluate, Build, Monitor



Documenti analoghi
Politica per la Sicurezza

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Configuration Management

Audit & Sicurezza Informatica. Linee di servizio

Sicurezza informatica in azienda: solo un problema di costi?

MANDATO DI AUDIT DI GRUPPO

Il modello di ottimizzazione SAM

Associazione Italiana Information Systems Auditors

MANUALE DELLA QUALITÀ Pag. 1 di 6

IT OP-SEC Operation Security. Evaluate, Build, Monitor

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

HP TECHNICAL SERVICES. Energy Card SALES & OPERATION GUIDE

VULNERABILITY ASSESSMENT E PENETRATION TEST

Università di Macerata Facoltà di Economia

La certificazione dei sistemi di gestione della sicurezza ISO e BS 7799

NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, Roma Tel: , Fax:

I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS AV2/07/11 ARTEMIDE.

penetration test (ipotesi di sviluppo)

Obiettivi generali del revisore

Le Soluzioni Tango/04 per adempiere alla normativa sugli amministratori di sistema

V.I.S.A. VoiP Infrastructure Security Assessment

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

Esperienze di analisi del rischio in proggeti di Information Security

QUESTIONARIO 3: MATURITA ORGANIZZATIVA

Sicurezza Aziendale: gestione del rischio IT (Penetration Test )

VALUTAZIONE DEL LIVELLO DI SICUREZZA

Vulnerability Assessment relativo al sistema Telecom Italia di autenticazione e autorizzazione basato sul protocollo Radius

Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali

I SISTEMI DI GESTIONE DELLA SICUREZZA

Requisiti di controllo dei fornitori esterni

della manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

14 giugno 2013 COMPETENZE E QUALIFICHE DELL INSTALLATORE DI SISTEMI DI SICUREZZA. Ing. Antonio Avolio Consigliere AIPS All right reserved

Monitorare la superficie di attacco. Dott. Antonio Capobianco (Founder and CEO Fata Informatica)

Gestire il rischio di processo: una possibile leva di rilancio del modello di business

Sicurezza, Rischio e Business Continuity Quali sinergie?

CAPITOLO CAPIT Tecnologie dell ecnologie dell info inf rmazione e controllo

Ciclo di vita dimensionale

L obiettivo che si pone è di operare nei molteplici campi dell informatica aziendale, ponendosi come partner di riferimento per l utenza aziendale.

Il catalogo MARKET. Mk6 Il sell out e il trade marketing: tecniche, logiche e strumenti

La certificazione CISM

25/11/14 ORGANIZZAZIONE AZIENDALE. Tecnologie dell informazione e controllo

SVILUPPO SOFTWARE. dai una nuova energia ai tuoi piani di sviluppo software SVILUPPO SOFTWARE

Sistemi informativi secondo prospettive combinate

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl

Gestire le NC, le Azioni Correttive e Preventive, il Miglioramento

4.5 CONTROLLO DEI DOCUMENTI E DEI DATI

Si applica a: Windows Server 2008

INTRODUZIONE AL RISK MANAGEMENT. Copyright CER.TO. S.r.l. 1

UNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso

ALYFA.NET (Company profile)

Barcode Inventory System

Figura Professionale codice FP175 RESPONSABILE QUALITA'

CERTIQUALITY. Gli standard ISO per il RiskManagement ed ISO per la certificazione dei Sistemi di Gestione della Business Continuity

La gestione dei rapporti con i fornitori è un tema cruciale per le grandi Aziende nello scenario attuale del mercato e delle sue logiche di sviluppo.

Sicurezza delle utenze privilegiate

Norme per l organizzazione - ISO serie 9000

1 La politica aziendale

LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0

La Certificazione di qualità in accordo alla norma UNI EN ISO 9001:2000

OFFERTE EURES NELL INFORMATICA

DIPARTIMENTO INFORMATIVO e TECNOLOGICO

PROXYMA Contrà San Silvestro, Vicenza Tel Fax

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

I dati in cassaforte 1

Presentazione Piemme Sistemi ICT CLUB Ferrara Maggio 2014

SVILUPPO, CERTIFICAZIONE E MIGLIORAMENTO DEL SISTEMA DI GESTIONE PER LA SICUREZZA SECONDO LA NORMA BS OHSAS 18001:2007

Situation AWare Security Operations Center (SAWSOC) Topic SEC Convergence of physical and cyber security. Relatore: Alberto Bianchi

Sito web per la presentazione e l accesso ai servizi di Ruven integrato con la piattaforma B2B del pacchetto software ERP Stratega.NET.

SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO

IDENTITÀ GIOVANE. Nata nel 2006 con l intento di diventare leader nel settore IT, Easytech cresce con una solida competenza in tre divisioni:

Information technology e sicurezza aziendale. Como, 22 Novembre 2013

EVOLUZIONE DELLE INIZIATIVE PER LA QUALITA : L APPROCCIO SIX SIGMA

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza

IT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma

BILANCIARSI - Formazione e Consulenza per la legalità e la sostenibilità delle Organizzazioni

La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità

LIFE09ENVIT EnvironmentalCOoperation model for Cluster - Acronimo: ECO-CLUSTER

VIDEOSORVEGLIANZA E CERTIFICAZIONE

Security & Compliance Governance

Modello dei controlli di secondo e terzo livello

La sicurezza in banca: un assicurazione sul business aziendale

La riforma del servizio di distribuzione del

CERTIQUALITY. La Gestione della Business Continuity : gli standard ISO ed ISO P e r u n a m i g l i o r e q u a l i t à d e l l a v i t a

ADDETTA E ADDETTO ALLA COMUNICAZIONE INTERNA D IMPRESA

Diventa fondamentale che si verifichi una vera e propria rivoluzione copernicana, al fine di porre al centro il cliente e la sua piena soddisfazione.

MANUALE DELLA QUALITÀ SIF CAPITOLO 08 (ED. 01) MISURAZIONI, ANALISI E MIGLIORAMENTO

PROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ

COMUNE DI RAVENNA GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI)

IL PARTNER IDEALE. Consulenza IT & Soluzioni HR

MANUALE DELLA QUALITÀ Pag. 1 di 12

Migrazione delle soluzioni SAP. a Linux? I tre passaggi per una strategia di successo. Indice dei contenuti

IL CASO DELL AZIENDA. Perché SAP.

Progetto di Information Security

PROFILO FORMATIVO Profilo professionale e percorso formativo

Direzione Centrale Sistemi Informativi

Architetture Informatiche. Dal Mainframe al Personal Computer

Architetture Informatiche. Dal Mainframe al Personal Computer

Transcript:

<Insert Picture Here> ERP Operational Security Evaluate, Build, Monitor Pasquale Vinci

Agenda La sicurezza negli ERP I cyber-criminali L area grigia: metodi e contromisure Approccio KPMG Italy Evaluate Build Monitor L infrastruttura a supporto dei principali ERP

La sicurezza negli ERP La sicurezza sugli ERP è da sempre sinonimo di Segregation of Duties La sicurezza degli ERP è esclusivamente intesa e limitata alla sicurezza sui privilegi di accesso. Questo tipo di analisi si è concentrata prevalentemente in analisi delle autorizzazioni utenti con lo scopo di rilevare e di ridurre i privilegi incompatibili che potrebbero causare frodi aziendali. Questo tipo di valutazione è obbligatoria per molte aziende a causa di normative quali Sarbanes-Oxley (SOX), L. 262/2005, L. 231/2001, etc. Segregation of Duties Previene attacchi o errori accidentali da parte degli utenti (business ed IT) Soluzione: GRC o K-SOD Review del Codice di programmazione Previene attacchi o errori accidentali da parte degli utenti IT Soluzione: Audit del Codice Sicurezza della piattaforma applicativa Previene l accesso non autorizzato sia dall interno che dall esterno della rete Soluzione: IT OP-SEC Se da un lato la revisione delle autorizzazioni e la Segregation of Duties (SoD) è importante, è altrettanto significativa un altra area della sicurezza degli ERP: la sicurezza tecnica, o "area grigia". Quest'area coinvolge tutti gli aspetti tecnici e i componenti che costituiscono il quadro di base per l'esecuzione dei moduli di business ed è fondamentale per la sicurezza della piattaforma: una violazione in molti di questi componenti potrebbe comportare la possibilità di effettuare attacchi come spionaggio, sabotaggio e frodi, anche se il sistema autorizzativo è sicuro.

Numero di Patch Numero di Patch Numero di Patch Numero di Patch La sicurezza negli ERP I principali ERP rilasciano continuamente aggiornamenti di sicurezza il cui numero è aumentato vertiginosamente negli ultimi anni. Oracle 500 450 400 350 300 250 200 150 100 50 0 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 SAP 900 800 700 600 500 400 300 200 100 0 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 450 400 350 300 250 200 150 100 50 0 180 160 140 120 100 80 60 40 20 0 Dati aggiornati al 01/07/2013 Windows Linux 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013

I cyber-criminali Sebbene le frodi siano commesse perlopiù da dipendenti interni che hanno accesso ed una vasta conoscenza delle informazioni disponibili all interno dell organizzazione, coloro che commettono crimini informatici sono spesso le stesse persone che potrebbero sfruttare esposizioni di tipo fisico, anche se le competenze necessarie per sfruttare quelle di tipo logico sono più specialistiche e complesse. Le categorie dei possibili autori di crimini includono: Hacker persone con ampie competenze tecniche che hanno tempi e modi per dimostrare la loro abilità nel superare gli ostacoli. Script kiddies persone che usano script e programmi scritti da altri per compiere le loro intrusioni, spesso incapaci di sfruttare vulnerabilità perché non competenti. Dipendenti (autorizzati e non) affiliati all azienda che, avendo accesso ai sistemi in base alle responsabilità operative, potrebbero causare danni significativi all azienda. Personale IT queste persone hanno il più facile accesso a informazioni perché ne sono i custodi. Ex dipendenti occorre essere diffidenti nei riguardi di ex dipendenti che hanno lasciato l azienda in cattivi rapporti poiché potrebbero conservare delle facoltà di accesso alle informazioni se queste non fossero state immediatamente rimosse al momento dell uscita del dipendente Esterni, personale part-time o con contratto a termine personale che ha accesso logico e fisico non sono sempre formati sul rispetto della sicurezza e quindi possono inconsapevolmente perpetrare una violazione.

L area grigia: metodi e contromisure L idea di base per la messa in sicurezza di questa area grigia può essere derivato dal processo di OPSEC 1, il quale si propone di identificare, controllare e proteggere informazioni non classificate mettendo in atto misure (passive e/o attive) con lo scopo di eliminare o ridurre tracce di informazioni ad un potenziale nemico. È un processo sistemico e collaudato che consente di guardare sé stessi dal punto di vista dell'avversario. L IT Operation Security è quindi una metodologia per analizzare efficacemente il livello di sicurezza dei sistemi informativi aziendali utilizzati a supporto degli ERP. Identificazione delle debolezze della infrastruttura tecnologica degli ERP Tale metodologia può essere applicata sia come Assessment di IT Security (in integrazione dei GITC o svolto come attività a se stante) sia simulando un potenziale attacco informatico. Queste tipologie di valutazioni forniscono una prospettiva unica rispetto allo stato di sicurezza corrente della piattaforma tecnologica a supporto degli ERP. Finora, i sistemi ERP erano solitamente non inclusi in questo tipo di progetti: paura di interrompere il servizio e mancanza di conoscenza impediva ai responsabili di sicurezza di testare questa infrastruttura "Mission Critical". La conseguenza è che molte implementazioni di ERP non sono sicure e risultano continuamente esposte a diversi tipi di attacchi. 1. http://www.fas.org/irp/doddir/dod/jp3_13_3.pdf

Approccio KPMG KPMG propone un piano di lavoro suddiviso in tre stadi: Evalute: valutazione dell AS-IS Build: identificazione di contromisure Monitor: strumenti di controllo E Evaluate Valutazione dello stato del sistema ERP e dell infrastruttura che lo supporta. Monitor M B Build Monitoraggio delle criticità dei sistemi e della catena tecnologica di supporto Identificazione delle contromisure tecniche per limitare/azzerare le vulnerabilità riscontrate

Approccio KPMG: Evaluate E Il processo di valutazione è volto ad identificare gli anelli deboli della catena tecnologica degli ERP, cioè l'insieme delle vulnerabilità che potrebbero insistere su tutti i sistemi e i supporti che contengono e gestiscono i dati di business. KPMG propone tre differenti approcci di valutazione: Double Grey Box Penetration Test Vulnerability Environment Layer Module Attack Surface

Approccio KPMG: Evaluate Double Grey Box - Penetration Test Si esegue un tentativo di intrusione delle infrastrutture tecnologiche nel perimetro del sistema ERP (application server, database server, router, etc.) con l obiettivo di raggiungere i più alti privilegi possibili sul sistema di produzione. Vulnerability Environment Layer - Assessment Identificati tutti gli asset o le risorse che gestiscono o contengono i dati gestiti nello ERP, si esegue una valutazione al fine di identificare le vulnerabilità o minacce potenziali per ciascun asset o risorsa. L analisi delle vulnerabilità si concentra sia sulla conseguenze per l asset stesso che sulle conseguenze primarie e secondarie per l'ambiente IT circostante. Module Attack Surface Assessment (sull intera popolazione o a campione) Identificazione di backdoor nel codice, spesso dovute alla mancanza di conoscenza degli standard di programmazione, che possono compromettere il sistema ERP. Queste backdoor sono tipicamente funzioni nascoste che richiamano metodi Kernel, chiamate Kernel o chiamate di Sistema.

Approccio KPMG: Build B KPMG ITA attraverso le proprie metodologie, può supportare i clienti nell identificazione di solidi controlli che contribuiscono l abbattimento delle vulnerabilità identificate durante la precedente fase di valutazione del sistema ERP. L attività non riguarda esclusivamente la parte tecnica ma anche policy, procedure, linee guida e standard di sicurezza e controlli da adottare. Nasce quindi l esigenza di introdurre regole di hardening, cioè il rafforzamento e l evoluzione delle sicurezza delle piattaforme installate a supporto dei principali ERP di mercato. La costruzione delle procedure di hardening sono distribuite in quattro step: Identification Assessment Design Implementation

Approccio KPMG: Build Identification Identificazione degli obiettivi di sicurezza che il management della società intende raggiungere il sistema ERP adottato. Il fine ultimo di questa attività è la definizione del responsabile di amministrazione, i servizi minimi per garantire la continuità operativa IT, accessi e privilegi, logistica di base etc. Assessment Questa operazione viene effettuata dopo quella di identificazione e contiene i riferimenti per verificare la corrispondenza tra i criteri di implementazione attuale e quelli oggettivamente riconosciuti dallo standard di programmazione o da politiche più stringenti. Design Definire i requisiti di dettaglio in ordine a cinque differenti aree di intervento: networking, software di sistema, file system, utenti e sicurezza fisica. Ogni area è esaminata considerando differenti punti di rischio. Il risultato è un elenco delle procedure di cui si ha bisogno realmente di implementare. Implementation Qui si tratta del vero e proprio atto pratico. Le operazioni sono eseguite secondo l approccio Multiple Time Hardening.

Approccio KPMG: Monitor M La lista delle security patch IT è in continuo aggiornamento. Negli ultimi anni è in costante crescita il rilascio di note di sicurezza ed i sistemi che supportano i principali ERP di mercato non son da meno. L elenco dei controlli da predisporre dovrebbe essere completo, accurato e valido. Il processo di monitoraggio dei sistemi a supporto degli ERP prevede: Policy e Procedure Il continuo aggiornamento e l applicazione delle policy e procedure IT, che delineano la struttura e le linee guida per il mantenimento della correttezza delle operazioni e dei controlli, assicurano che l esposizione a criticità identificate siano correttamente trattate e gestite. Promuovere la coscienza della sicurezza Una sicurezza efficace, inoltre, sarà sempre dipendente dalle persone. Ne risulta che la sicurezza può essere effettiva solo se i collaboratori sanno che cosa ci si aspetta da loro e quali sono le loro responsabilità. Accessi logici definire e rivedere gli standard di sicurezza per gli accessi logici al fine di accertare che siano in linea con gli obiettivi aziendali in merito alla separazione dei compiti, prevengano le frodi o gli errori e soddisfino i requisiti delle policy al fine di minimizzare il rischio di accessi non autorizzativi

Approccio KPMG: Monitor Altrettanto importante, da definire dopo la fase di evaluate, è una security baseline: un piano di sicurezza di base da utilizzare come framework di controllo per le successive valutazioni della sicurezza degli ERP. Il piano dovrebbe prevedere: un inventario dell ambiente (sviluppo, test/certificazione/qualità, produzione e relativi sistemi a supporto) una policy per la gestione e la messa in sicurezza delle password (sia a livello di sistema operativo che applicative) un processo definito ed in continuo aggiornamento per l implementazione di patch di sicurezza (Support package, Security Update di OS/kernel/libraries, Critical Patch o Security Alerts per i database, etc.) revisione dei servizi minimi disponibili sui sistemi revisione continua e valutazione delle vulnerabilità 0-day pubblicate (notes, CVE, CERT, Secunia, etc.)

L infrastruttura a supporto dei principali ERP I principali ERP sono installabili su sistemi informativi e database secondo la seguente Product Availability Matrix: Windows HP-UX Oracle Solaris Linux IA32 IA64 x64 IBM AIX PA-RISC IA64 SPARC x64 IA32 IA64 x86_64 IBM Power IBM System Z OS/400 I5/OS Oracle X X X X X X X X X X X X - - Microsoft SQL Server IBM DB2 for Linux, Unix & Microsoft X X X - - - - - - - - - - - X X X X X X X - X X X X - - MAXDB X X X X X X X X X X X X - - IBM DB2 for i5/os X - X - - - - - - - - X - X IBM DB2 for z/os X - X X - - - - - - X - X - KPMG ITA offre supporto per le attività di Evaluate, Build e Monitor per i sistemi operativi e database che supportano i principali ERP.

Thank You! Luca Boselli Information Risk Management Associate Partner, Milano T: +39 02 6763 E: lboselli@kpmg.it Pasquale Vinci Information Risk Management Project Leader, Torino T:+39 011 836036 E: pvinci@kpmg.it

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back