Un'efficace gestione del rischio per ottenere vantaggi competitivi

Похожие документы
Un'efficace gestione del rischio per ottenere vantaggi competitivi

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

1- Corso di IT Strategy

Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali

Sicurezza, Rischio e Business Continuity Quali sinergie?

Economia e gestione delle imprese - 05

Automation Solutions

Associazione Italiana Information Systems Auditors

Il modello ERM come strumento trasversale per la gestione dei rischi e le sue implicazioni operative e gestionali. Roma, 6 giugno

Gestire il rischio di processo: una possibile leva di rilancio del modello di business

Cloud Computing - Soluzioni IBM per. Giovanni De Paola IBM Senior Consultant 17 Maggio 2010

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

ISO family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo

Il modello di ottimizzazione SAM

Symantec / ZeroUno Executive lunch IT Security & Risk Management. Riccardo Zanchi - Partner NetConsulting

Esternalizzazione della Funzione Compliance

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti?

IT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma

La Governance bancaria e il cruscotto direzionale per la gestione della sicurezza integrata. Gianluigi Ferraris

La certificazione CISM

Audit & Sicurezza Informatica. Linee di servizio

Il processo di sviluppo sicuro. Kimera Via Bistolfi, Milano

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Sicurezza informatica in azienda: solo un problema di costi?

La certificazione dei sistemi di gestione della sicurezza ISO e BS 7799

IT Governance: scelte e soluzioni. Cesare Gallotti, Indipendent Consultant Roma, 18 novembre 2010

L esperienza ICBPI. Mario Monitillo. Direzione Sicurezza e Compliance ICT

HR Human Resouces. Lo strumento innovativo e completo per la gestione del personale. ZUCCHETTI CENTRO SISTEMI SPA

Analisi e gestione del rischio. ing. Daniele Perucchini Fondazione Ugo Bordoni dperucchini@fub.it

Progetto Atipico. Partners

Corso di Amministrazione di Sistema Parte I ITIL 1

PROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ

Progetto AURELIA: la via verso il miglioramento dei processi IT

Sicurezza Aziendale: gestione del rischio IT (Penetration Test )

Situation AWare Security Operations Center (SAWSOC) Topic SEC Convergence of physical and cyber security. Relatore: Alberto Bianchi

Information technology e sicurezza aziendale. Como, 22 Novembre 2013

Fraud Management assicurativo: processi e modelli operativi

Politica per la Sicurezza

MANAGEMENT DELLA SICUREZZA E GOVERNANCE PUBBLICA - MASGOP

IL RUOLO E LE COMPETENZE DEL SERVICE MANAGER

Esperienze di analisi del rischio in proggeti di Information Security

I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS AV2/07/11 ARTEMIDE.

L integrazione dei sistemi qualità, sicurezza, ambiente

Iniziativa : "Sessione di Studio" a Roma

Corso di Specializzazione in Gestione dei Servizi IT Motivazioni, contenuti, obiettivi

IT GOVERNANCE, Risk & Security

Cos è la UNI EN ISO 9001?

Direzione Centrale Sistemi Informativi

Modello dei controlli di secondo e terzo livello

La tecnologia cloud computing a supporto della gestione delle risorse umane

PARTNER DI PROGETTO. Università degli Studi di Palermo Dipartimento di Ingegneria Industriale

L IT Governance e la gestione del rischio

Banche e Sicurezza 2015

IL SISTEMA DI DELEGHE E PROCURE una tutela per la società e i suoi amministratori. Milano 18 novembre A cura di: Luca Ghisletti

IL SISTEMA DI CONTROLLO INTERNO

Procedures Management Tool Una consolle Tanti tools Niente caffè

Identità ed Accessi Logici un nuovo modello di governo

XXVII Convegno Nazionale AIEA

La Formazione: elemento chiave nello Sviluppo del Talento. Enzo De Palma Business Development Director

Progetto di Information Security

Business Intelligence Revorg. Roadmap. Revorg Business Intelligence. trasforma i dati operativi quotidiani in informazioni strategiche.

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

SURVEY DI itsmf SULLO STATO DELL IT SERVICE MANAGEMENT IN ITALIA Sintesi a cura di Francesco Castellana, consultant HSPI

L approccio alla gestione integrata dei processi e dei controlli in BPB

CORSO: Auditor interni di servizi per l apprendimento relativi all istruzione ed alla formazione non formale

Milano, 21 marzo Azioni ambientali di UBI BANCA e CDP

Piani integrati per lo sviluppo locale. Progetti di marketing territoriale. Progettazione e start-up di Sistemi Turistici Locali

LA TEMATICA. Questa situazione si traduce facilmente:

Le difficoltà del passaggio dalla funzione di Ispettorato a Internal Audit Convegno Nazionale AIEA - 19 maggio 2004

Infrastruttura di produzione INFN-GRID

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

Progetto Crescita e Sviluppo

La sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione

COMUNE DI RAVENNA GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI)

ILSISTEMA INTEGRATO DI PRODUZIONE E MANUTENZIONE

ANMIL Progetto Security Bologna 22 ottobre 2014 L ingegneria dei Servizi Integrati di Security a supporto del Security Manager

MANDATO DI AUDIT DI GRUPPO

consulenza e soluzioni applicative al servizio dei Confidi

Assessorato allo Sviluppo Economico Direzione Cultura Turismo e Sport Servizio Promozione Economica e Turistica

G.Pietro Trovesi Sistema di gestione per la Sicurezza delle Informazioni

Sicurezza Informatica in Italia. Danilo Bruschi Dip. di Informatica e Comunicazione Università degli Studi di Milano

Catalogo corsi di formazione

ALLINEARSI: IL DRIVER PER UNA INNOVAZIONE DI SUCCESSO!

VIDEOSORVEGLIANZA E CERTIFICAZIONE

NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, Roma Tel: , Fax:

Company profile. Nihil difficile volenti Nulla è arduo per colui che vuole. Environment, Safety & Enterprise Risk Management more or less

Operational Risk Management & Business Continuity Fonti Informative e punti di contatto

SIMULWARE. Datawarehouse e sistemi di BI Dati in qualità, decisioni rapide ed efficaci

Il Risk Management Integrato in eni

Università di Macerata Facoltà di Economia

Транскрипт:

Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant 1

Obiettivi della presentazione Dimostrare come una efficace gestione dei rischi aziendali può contribuire al vantaggio competitivo di una organizzazione. Illustrare come la visione e le tecnologie di RSA sono in grado di gestire in modo efficace sia i rischi di business sia i rischi legati alla tecnologia considerandone le relazioni. 2

Vantaggio competitivo? Quali i fattori? Automazione dei processi Individuare le aree di criticità (rischi) Rimozione dei Silos Informativi Visibilità: Asset, Report, Dashboard, Prendere decisioni sulla base dei risultati dell analisi del rischio 3

Qualche definizione Business: insieme dei processi, politiche, controlli, governance, [ ] che caratterizzano una organizzazione, l ambito in cui opera IT: l insieme delle tecnologie a supporto delle attività del Business Rischio Business IT/InfoSec Rischio = f (Probabilità evento, Impatto creato) Rischio = f (Valore asset, Probabilità minaccia, Vulnerabilità dell asset, Impatto) Note Evento=Minaccia che si manifesta (es. sfrutta la vulnerabilità di un asset) Un rischio esiste nella misura in cui esiste una minaccia! 4

L universo dei rischi I rischi sono classificati in molteplici categorie come Enterprise Risk, Operational Risk, IT-Risk, InfoSec Risk I processi di gestione sono simili, ma le metodologie di assessment sono spesso specializzate I rischi IT sono solitamente classificati come parte degli Operational Risk e a loro volta classificati in Rischi di Infrastruttura Rischi IT Confidenzialità Integrità Disponibilità Sicurezza delle Informazioni Rischi Progetto Sviluppi Applicativi Rischi Investimento (spesa) 5

La continuità operativa Riguarda un particolare tipo di rischi: quelli caratterizzati da eventi a bassa frequenza ed alto impatto Possono determinare la chiusura di un organizzazione per l incapacità di raggiungere i propri obiettivi (di produzione, di servizi, ecc.) I piani sono le azioni di remediation associate ai rischi individuati e per i processi critici individuati In una visione globale dei rischi aziendali, essi fanno parte dei rischi operativi 6

Quali minacce (o sfide)? Minacce che impattano il Business Pressione normativa, inefficienza, costi Sfide a livello di sistema paese Processi manuali (scarsa automazione) Silos informativi (difficoltà di comunicazione) Scarsa visibilità: difficoltà decisionale Minacce che impattano l IT Advanced Threats Frodi Denial of Service Indisponibilità di sistemi In generale, anche la mancanza di allineamento fra IT e Business è una minaccia per la competitività! 7

Quali impatti? InfoSec: perdita di Confidenzialità, Integrità, Disponibilità Immagine aziendale e reputazione Perdite economiche Impatti sulla sicurezza del sistema paese (ad es. perdita di informazioni sensibili) Furti di proprietà intellettuale (ad es. perdita diretta di competitività) Mancata erogazione di servizi essenziali 8

Come affrontare gli scenari di rischio indotti dalle minacce 9

Gli ecosistemi aziendali e le minacce Lo schema di riferimento BUSINESS Processi, Controlli, Policy, Prodotti, Informazioni Minacce che impattano il business I.T. Applicazioni, Dispositivi, Tecnologie, Storage, Minacce che impattano l Information Technology (e di conseguenza il business ) 10

La nostra visione strategica Livello Strategico Policy Risk BUSINESS Processessi, Controlli, Policy, Prodotti, Informazioni Minacce/ Rischi di Business Business Continuity Enterprise Management Archer egrc Vulnerability Management Compliance Security Operations I.T. Applicazioni., Dispositivi, Tecnolgie, Storage, Livello Tecnologico Minacce/ Rischi IT/InfoSec Advanced SOC/SA Fraud Risk Intelligence Identity Governance Le tecnologie RSA supportano sia il livello strategico sia il livello tecnologico con prodotti altamente integrati che condividono le relative informazioni di contesto 11

Rischio di Business e IT Vantaggio Competitivo Minacce sul Business Impatti sul Business Rischi di Business Supporta l analisi di Creano Integrati in Minacce IT/InfoSec Impatti sull IT Rischi IT/InfoSec Supporta l analisi tradizionale e 12

Diversi modi di affrontare le minacce Si possono individuare diversi approcci nell affrontare le sfide indotte dalle minacce nel corso del tempo o sulla base del livello di maturità aziendale. Livello 1 Difesa Perimetrale Focus su controlli puntuali Approccio molto TATTICO Livello 2 Difesa orientata alla Compliance Controlli determinati in base ai requisiti di compliance Mentalità delle checklist Livello 3 Difesa sulla base del rischio IT/InfoSec Controlli determinati dai processi di IT/ InfoSec Risk Management Livello 4 Difesa sulla base del rischio di Business E considerata la relazione fra Business Risk e IT Risk Approccio molto STRATEGICO La visione di RSA abilita l approccio che caratterizza il massimo livello di maturità 13

Gestire il rischio IT: gli approcci L approccio tradizionale al risk management, governato da metodologie e standard quali ISO-27005 e ISO-31000, permette sostanzialmente di individuare rischi potenziali : il fine è l allocazione dei controlli! Grazie ad Archer egrc, supporta l approccio tradizionale, sia per il Business Risk sia per l IT/InfoSec Risk Supporta anche un approccio pragmatico al risk management, grazie alla stretta integrazione fra i prodotti dello stack tecnologico NOTA: le minacce tecnologiche, come le Advanced Threats, possono creare un impatto sugli asset tecnologici (e quindi sul business) SOLO se esiste una vulnerabilità che può essere da loro sfruttata! 14

L approccio RSA per la gestione del rischio IT I possibili punti di intervento per mitigare i rischi Agente di Attacco Vettore di Attacco Vulnerabilità di sicurezza Controlli di sicurezza Impatto Tecnico Impatto sul Business Attacco Vulnerabilità IT Asset Business Asset Attacco Vulnerabilità Controllo Controllo IT Asset Business Asset Attacco Vulnerabilità IT Asset Business Asset Impatto Tecnico Difficile Possibile Fattibile ed efficace Fattibile ed efficace Si possono individuare 3 macro aree di intervento: Migliorare l efficienza della rilevazione dell attacco Migliorare l efficienza della risposta all incidente Prevenzione delle Minacce Rilevazione degli Attacchi Modello OWASP (https://www.owasp.org/index.php/top_10_2010-main) Risposta e Rimedio 15

La gestione pragmatica del rischio IT Gestione preventiva: mitiga il rischio, riducendo le vulnerabilità rilevate (che rappresentano dei rischi reali, non potenziali) Il rischio è ridotto agendo sulla componente di probabilità della tipica equazione di rischio Gestione della capacità di rilevazione e di risposta: mitiga il rischio migliorando le capacità di rilevare attacchi e l efficienza del processo di risposta agli incidenti Il rischio è ridotto agendo sulla componente di impatto della tipica equazione di rischio Prevenzione delle Minacce Rilevazione degli Attacchi Risposta e Rimedio Archer Vulnerability Risk Management Security Analytics Archer Security Operations Management 16

Archer Vulnerability Risk Management Mitigare i rischi (riduzione probabilità minacce) attraverso una gestione businessoriented delle vulnerabilità Passi Catalogo Asset Scoprire le vulnerabilità Classificare i problemi Indirizzare i problemi Monitoraggio e Repor;ng SFIDE Mancanza di un catalogo centralizzato (o catalogo parziale) Indirizzato dai fornitori di Vulnerability Scanner (Qualys, McAfee, ) Nessuna relazione fra da; di business e tecnologici Mancanza di un contesto e meccanismi di priori;zzazione Mancanza di automazione e di workflow flessibile Repor;ng inefficace e lento Vulnerability Management [La soluzione RSA] Risultato Scansioni Contesto di Σ Business Threat Intelligence = Vulnerabilità Priori;zzate ü Workflow ü KPI ü Report ü Scalabilità ü Velocità ü Precisione 17

Archer SecOps (Security Operations Management) Mitigare i rischi (impatto delle minacce) rendendo più efficace il processo di risposta agli incidenti Ruoli (User Personas) SecOps Analista di Threat Intelligence Analista L1 Analista L2 Analisti del SOC Responsabile CISO/CSO del SOC Gestione del SOC Orchestrare & Gestire Team Inter-Funzione CIO Resp. di Business Resp. Privacy Conformità Legale Resp. Personale Soluzione costruita attorno al concetto di User Persona 18

Misurare il rischio IT in tempo reale Gli approcci tradizionali al Risk Management utilizzano tecniche di assessment condotte 1 o 2 volte l anno I rischi sono rilevati con una bassa frequenza che spesso non è compatibile con la dinamicità sempre maggiore delle organizzazioni Grazie alla integrazione tra le diverse tecnologie, il nostro approccio consente di rappresentare metriche (KRI) che abilitano scenari di gestione dei rischi in tempo reale RSA IT Security Risk Management Prevenzione Vulnerability Risk Risultati delle scansioni Flussi di mitigazione Correlazione delle minacce Scalabilità Indicatori e Metriche RSA Archer GRC Security Operations Incidenti & Investigazioni Gestione dei Breach Gestione delle Crisi Gestione del SOC Risposta 19

L approccio IT Security Risk Management per legare il Rischio di Business al Rischio IT Advanced SOC IT- SRM Governance Risk Compliance Security Analy;cs Servizi Advanced Cyber Defense ECAT Data Loss Preven;on Security Opera/ons Management (SecOps) Vulnerability Risk Management (VRM) Conformità norma;va Rischi Opera;vi Rischi di terze par; Con;nuità Opera;va Audit 20

Conclusioni 1 Vantaggio competitivo? = Saper prendere le giuste decisioni! 5 Rischio Business <-> Rischio IT: Allineamento costante grazie ad una integrazione che prevede lo scambio di informazioni di contesto Supporto di un processo decisionale in tempo reale che è uno degli abilitatori primari per ottenere un vantaggio competitivo 2 Individuare le aree critiche = Identificare i rischi di Business 3 Considerare anche i rischi IT indotti da minacce come le Advanced Threat, integrandoli nei rischi di Business 4 La nostra visione e le nostre tecnologie supportano la gestione sia del rischio di Business, sia dei rischi IT 21

DEMO Esempio di implementazione di un workflow di processo nell ambito Risk Management con il coinvolgimento di diversi attori (quali Risk Manager e Risk Owner), ognuno con una propria vista dedicata. 22

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back