Il rischio informatico: quali approcci, quali soluzioni Ing. Andrea Agosti, Senior Manager VP Tech Seminario di studio Anssaif Roma, 26 Gennaio 2006 Gli interrogativi del seminario Come stimare la probabilità di accadimento di una determinata minaccia sui sistemi e processi ICT? Se esistesse una stima oggettiva delle probabilità di accadimento di eventi causali, le Aziende potrebbero trarne dei vantaggi? Chi è responsabile di calcolare la vulnerabilità dell ICT? Sono chiare le relazioni fra ICT Analysis, ORM e Business Continuity Management? Ha senso ipotizzare un ICT Analysis Manager? Se sì, dove collocarlo? E vero che esistono anche soluzioni di mitigazione del rischio ICT a basso costo? Ad esempio, quali? 1 1
Contenuti del documento ICT, rischi e business continuity La gestione dei rischi ICT Uno strumento low cost: ICT Analysis Tool Uno strumento evoluto: il Tableau de Bord per la misurazione dei rischi ICT 2 management, ICT Analysis e Business Continuity contribuiscono sinergicamente alla protezione del business Fornisce e aggiorna la mappa dei rischi ai quali l azienda è esposta e che richiedono contromisure di varia natura all interno dell organizzazione Enterprise Management ICT Analysis Protezione del business aziendale Business continuity Fornisce il legame tra i rischi aziendali e le minacce alla tutela del patrimonio informativo ed alla disponibilità del sistema informativo Fornisce le soluzioni per garantire la continuità dei processi di business a seguito di eventi di natura straordinaria e/o catastrofici L obiettivo congiunto di Management, ICT Analysis e Business Continuity è quello di guidare l azienda attraverso i rischi di natura non competitiva verso gli obiettivi di business (patrimoniali, reddituali e di creazione del valore) stabiliti dai vertici aziendali 3 2
Il rischio ICT costituisce un tassello all interno di una mappa più estesa dei rischi aziendali Sono rischi d azienda (business risks) ad alto livello direttamente determinati dall incertezza associa-ta ad ogni attività imprenditoriale Credit the default (or failure to fulfil obligations in a timely manner) of a borrower or a counterparts Market unexpected changes in market prices or rates (e.g. equity, commodity, interest, foreign exchange) Operational Strategic inadequate or failed internal processes, people, and systems or from external events unexpected changes in the competitive environment or trends that damage operating economics Sono rischi operativi (operational risks) determinati dalle scelte effet-tuate circa le modalità operative di gestione e conduzione del business Process People Events System ineffective or inefficient business processes staff constrains, people incompetence, dishonesty or corporate culture catastrophic single events (e.g natural or system unavailability, undercapacity, unau- man-made disasters, thorized access and internal or external use and integrity loss frauds) Sono rischi di sistema (system risks) associati alla tecnologia adottata per l automazione di determina-ti processi di business IT Security Capacity Management violations of integrity, availability and confidentiality of data and IT services inadequate capacity inadequate planning process for management IT operational operations of IT systems system 4 Il rischio ICT dovrebbe essere indirizzato da un comitato aziendale ad hoc che riunisce le principali direzioni aziendali Stakeholder Azionisti Enti normativi e regolatori Ruolo Finalità Ruolo Finalità Ruolo Finalità - Consiglio di Amministrazione - Armonizza le esigenze degli stakeholder - Verifica i risultati - Amministratore Delegato - Sicurezza di Gruppo - Fornisce visibilità e committment - Definisce il modello - Valuta le attività - Fornisce lo strumento - Comunica i risultati - Monitora i risultati - Comitato di Business Unit - Identifica le aree di criticità dei processi di business - Valuta gli impatti derivanti dalle criticità - Comitato di IS Provider - Identifica i requisiti di sicurezza - Progetta soluzioni applicative e infrastrutturali di sicurezzaù - Monitora le prestazioni delle soluzioni di sicurezza La gestione del rischio IT è un processo condiviso tra tutte le strutture aziendali e integrato all interno dei processi aziendali, in accordo ad una visione di governo dall alto (CEO e Corporate Security) e di esecu-zione dal basso (Business Unit e internal/external IS Provider) 5 3
Contenuti del documento ICT, rischi e business continuity La gestione dei rischi ICT Uno strumento low cost: ICT Analysis Tool Uno strumento evoluto: il Tableau de Bord per la misurazione dei rischi ICT 6 Il modello per la valutazione dei rischi ICT è ormai ben noto all interno delle organizzazioni medio/grandi pubbliche e private Rischio IT Fattori determinanti Minacce Vulnerabilità Impatti Tecnologia Processi/ organizzazione Risorse umane Brand Competitività Operatività Sanzioni Elementi caratteristici Gli elementi caratteristici relativi alle minacce ed alle vulnerabilità dei servizi IT sono specifici del rischio IT Tecnologia Processi/ organizzazione Risorse umane Gli elementi caratteristici relativi agli impatti sono da ricondursi ad una analisi preventiva dei rischi di business dell organizzazione 7 4
La gestione del rischio non deve essere occasionale ma deve essere inserita all interno di un processo aziendale Fasi Obiettivi Assessment Attività - Classificazione delle aree di rischio Accertamento e analisi Analysis - Valutazione delle minacce Management - Modello di propensione al rischio Gestione e controllo Monitoring - Identificare le aree di - Svolgere una analisi - Effettuare le scelte più - Monitorare lo stato dei rischio e di incertezza per il business che hanno impatto sulle tematiche di IT Security dettagliata delle cause, delle conseguenze e delle dinamiche che caratterizzano il rischio IT Security adeguate per determinare un profilo di rischio IT Security adeguato alle caratteristiche dell organizzazione rischi in esame al fine di identificare precocemente eventuali deviazioni - Definizione di Key Indicator METODOLOGIA VPTECH Mastering - Identificazione dei rischi specifici - Analisi delle vulnerabilità - Identificazione delle contromisure - Definizione di Key Security Performace Ind. - Prioritizzazione dei rischi identificati - Stima degli impatti verso il business - Piano di azione - Costruzione del Tableau de Bord Tempi di esecuzione - Tempistiche legate alla - Tempistiche legate allo - Tempistiche legate alle - Tempistiche legate pianificazione strategica (generalmente 1-3 anni) sviluppo di nuovi progetti tecnologici (generalmente inferiore all anno) dinamiche di evoluzione di minacce, vulnerabilità e impatti all identificazione precoce di deviazioni dalla norma, generalmente real-time o near real-time 8 A parte i rischi trasferibili ed eliminabili, il vero problema consiste nella convivenza con i rischi residui accettati La gestione del rischio tecnologico si deve ricondurre all interno di un framework che consenta di ricondurre i rischi individuati all interno di un sistema di supporto alle decisioni caratterizzato da quattro criteri: accettare, ridurre, trasferire oppure eliminare Effetto sorpresa : devono essere esternalizzati a società assicuratrici specializzate per la corretta gestione economica Alta Trasferisci Elimina Effetto bombardamento : devono essere eliminati dalla gestione aziendale gli elementi tecnologici che ne contribuiscono Severità dell impatto Accetta Riduci Effetto fastidio : costituiscono un fenomeno accettabile in quanto non pregiudicano il conseguimento degli obiettivi prestabiliti Bassa Effetto tarlo : devono essere opportunamente ridotti in modo da limitarne la frequenza di accadimento Bassa Frequenza di accadimento Alta 9 5
Contenuti del documento ICT, rischi e business continuity La gestione dei rischi ICT Uno strumento low cost: ICT Analysis Tool Uno strumento evoluto: il Tableau de Bord per la misurazione dei rischi ICT 10 La fase di accertamento e analisi dei rischi di IT Security: la metodologia online di VP Technologies STRUMENTO VPTECH 11 6
I benefici dello srtumento di analisi del rischio di sicurezza informatica adottata da VP Technologies Benefici Orientamento ai processi di business Metodologia - Consente di attivare ed eseguire un piano di gestione dei rischi informatici in una logica coerente con i processi di business aziendali Tecnologia na Coerenza con la Business Continuity - Consente di agganciarsi alla fase di Business Impact Analsysis di un piano preesistente di Business Continuity - Consente il porting delle informazioni di mappatura dei processi aziendali e dei risultati della Business Impact Analysis Apertura dei modelli e della tecnologia - Consente di personalizzare e tarare il modello di calcolo del rischio sulla base di esigenze, caratteristiche e obiettivi specifici del business dell organizzazione cliente - Consente di utilizzare tecnologie aperte e standard in modo da semplificare le fasi di sviluppo e manutenzione evolutiva dello strumento informatico Flessibilità di adattamento ad esigenze specifiche Approccio collaborativo - Consente di introdurre all interno della fasi della metodologia nuovi domini, contromisure, minacce, vulnerabilità e asset specifici per l organizzazione del cliente - Consente di utilizzare le conoscenze presenti all interno dell organizzazione per la costruzione di un modello del rischio condiviso e aderente alla realtà effettiva - Consente di estendere rapidamente lo strumento informatico al fine di integrare le porzioni relative alle specificità da introdurre per il cliente - Consente di semplificare la partecipazione e la collaborazione tra i diversi attori sparsi all interno dell organizzazione utilizzando tecnologie client-server basate su Web Integrazione all interno dell organizzazione - Consente di integrare l attività di analisi e gestione del rischio all interno dei processi di business dell organizzazione cliente - Consente di integrare lo strumento informatico con le tecnologie informatiche già utilizzate all interno dei processi di business dell azienda cliente 12 Le possibili evoluzioni dello strumento di base all interno delle organizzazioni più complesse IT Asset Inventory - Integrazione con gli inventory aziendali delle risorse di Information Technology (sedi, locali, reti, sistemi, applicazioni) e delle basi di dati - Realizzazione di un inventory della IT Security collegato agli altri inventory aziendali Management Interface - Definizione dei ruoli e dei diritti di accesso (role-based access) al sistema di risk management in accordo alle responsabilità in azienda - Interfaccia web-based per gestire in collaborazione e distribuzione il processo di risk management IT Management System Vulnerability Monitoring - Sistema automatico distribuito di analisi della vulnerabilità tecnologiche di reti, sistemi ed applicazioni - Analisi multidimensionale delle vulnerabilità di ogni singolo componente delle infrastruttura tecnologiche Knowledge - Base dati delle contromisure di IT security strategiche sull azienda, tecnologiche sulle infrastrutture informatiche e organizzative sulle politiche, procedure e standard di sicurezza - Base dati delle minacce interne ed esterne sulle risorse IT Una soluzione di Information Management scalabile, flessibile, enterprise-wide in grado di raccogliere e distribuire le informazioni corrette alle persone di riferimento al momento opportuno, in modalità sicura 13 7
Contenuti del documento ICT, rischi e business continuity La gestione dei rischi ICT Uno strumento low cost: ICT Analysis Tool Uno strumento evoluto: il Tableau de Bord per la misurazione dei rischi ICT 14 La gestione dei rischi ICT ha l obiettivo ultimo di creare valore per il business dell azienda Fase Monitorare i rischi originati dall utilizzo dell IT per informare il Top Management sui rischi d impresa e suggerire le eventuali misure da adottare Obiettivi Controllare i sistemi, i processi e le risorse allocate ai servizi di IT al fine di identificare tempestivamente e preventivamente i potenziali elementi in grado di determinare una situazione di rischio per il conseguimento degli obiettivi di business dell impresa Riportare al top management (e.g. board of director, audit committee) le informazioni necessarie e sufficienti affinché possano essere prese le decisioni ottimali per una corretta corporate governance e tutela degli interessi degli shareholder e degli stakeholder Consigliare sia il top management che gli executive/line managers sulle adeguate misure da intraprendere al fine di riportare i rischi di Information Technology all interno di una logica di gestione positiva del rischio Business s Dalla formalizzazione dei rischi di non conseguire gli obiettivi di business dell impresa IT s alla derivazione dei rischi determinati dall utilizzo delle tecnologie IT nei processi di business Key Indicator all identificazione delle variabili chiave da misurare al fine di quantificare i livelli di rischio Targets e confrontarli costantemente con gli obiettivi prestazionali stabiliti in sede di pianificazione Actions al fine di intraprendere le azioni correttive opportune per ricondursi ai target pianificati 15 8
Le componenti non quantificabili dei rischi ICT debbono essere costantemente monitorate con i Key Indicator Business s Brand Competitività Rischio di perdita di immagine Rischio di perdita presso le differenti categorie competitivo del vantaggio di stakeholder all interno della propria industry Sanzioni Rischio di inadempimenti ad obblighi statutari, legali e/o regolamentatori Perdite Rischio di perdite finanziarie dirette e/o compromissione della posizione finanziaria ESEMPLIFICATIVO Operatività Rischio di rallentamento dei processi di business e di creazione del valore Information Technology s Misconfiguration Virus Rischio di presenza di configurazioni non sicure sui sistemi e sulle applicazioni Rischio di diffusione di virus sui server e sulle postazioni di lavoro Sniffing Rischio di intercettazione del traffico sulla rete aziendale Intrusion Rischio di accesso non autorizzato ai sistemi aziendali Staff Shortage Rischio di blocco dei sistemi per assenza di personale specializzato di supporto IT Key Indicator (IT KRI) Antivirus % postazioni di lavoro con SW antivirus aggiornato Awarness % di personale neoassunto che ha ricevuto una formazione di base sulla sicurezza Esterni % esterni che soggiornano presso le sedi aziendali al di fuori del normale orario di lavoro Etica Livello di percezione del brand PosteItaliane presso la comunità Internet Servizi % di servizi insicuri presenti sui sistemi di produzione 16 all interno di un Tableau de Bord direzionale con livelli di sintesi differenti per i vari livelli aziendali SECURITY TABLEAU DE BORD EXECUTIVE SUMMARY Gen Feb Mar Apr Mag Giu Lug Ago Set Ott Nov Dic 2004 RISERVATEZZA LA RISERVATEZZA DELLE INFORMAZIONI HA SUPERATO LA SOGLIA DI NORMALITA 40 60 100 20 80 INTEGRITA 24 0 100 40 60 0 100 LUG AGO SET OTT NOV DIC GEN FEB MAR 20 80 DISPONIBILITA L INTEGRITA DELLE INFOR- MAZIONI RICHIEDE UNA ADEGUATA ATTENZIONE 48 0 100 0 LUG AGO SET OTT NOV DIC GEN FEB MAR 100 Allarme Criticità Attenzione Anomalia Normalità 0 LUG AGO SET OTT NOV DIC GEN FEB MAR 17 9
Il tableau de bord degli indicatori di rischio deve essere costruito a partire da un knowledge management della sicurezza Dalla pianificazione delle soluzioni di sicurezza basata sull analisi del rischio al controllo dei risultati basato sulla misurazione degli indicatori di rischio (KRI) e di prestazione (KPI) Livello 1 Identificazione degli obiettivi e misurazione dei risultati in termini di rischio IT Aree di Criticità aziendale Key Indicators 2 Analizzare le dinamiche e gestire l evoluzione del rischio IT Analisi e gestione del Rischio 3 Identificare i requisiti di sicurezza e misurare i risultati in termini di prestazioni Requisiti di sicurezza Key Performance Indicators 4 Progettare le soluzioni di sicurezza e il sistema di Security Knowledge Management Soluzioni di sicurezza Security Knowledge Management 18 Grazie per l attenzione! 19 10