L esperienza ICBPI Mario Monitillo Direzione Sicurezza e Compliance ICT
Presentazione Mario Monitillo Information Security Manager G O V E R N A N C E G O V E R N A N C E B CLUSIT 2012 - L'esperienza ICBPI - Mario Monitillo 2 B U S I N E S S B U S I N E S S Operatore di mercato, leader nella monetica e nei pagamenti e Banca di Sistema, a supporto della crescita e del consolidamento delle Istituzioni Finanziarie
Le principali sfide Validare la conformità dei firewall e dell infrastruttura di sicurezza allo standard PCI-DSS Verificare le richieste di modifica prima del passaggio in produzione Supporto nella fase di troubleshooting Velocizzare l analisi preventiva per indirizzare le azioni di contenimento Facilitare l integrazione di reti di società acquisite Controllo della configurazione su sistemi gestiti in outsourcing Preparare l inserimento di ulteriori tecnologie per indirizzare il rischio informatico complessivo CLUSIT 2012 - L'esperienza ICBPI - Mario Monitillo 3
La situazione preesistente Grosso effort manuale per il processo di analisi Tempi lunghi per avere i risultati Costi, sia interni sia esterni, significativi e ricorrenti Veloce obsolescenza dei risultati L organizzazione di sicurezza si sentiva poco efficace nei confronti delle strutture interne responsabili delle azioni di contenimento dei rischi, in particolare: Competence Center Applicativi ICT Operation Architetture CLUSIT 2012 - L'esperienza ICBPI - Mario Monitillo 4
Mission Impossible CLUSIT 2012 - L'esperienza ICBPI - Mario Monitillo 5
Il piano di lavoro - Deliverables Ottenere rapidamente un analisi della configurazione dei firewall Uno status report quotidiano che potesse dare la visione della configurazione reale Ottimizzazione delle regole dei firewall Efficientamento delle operations Analisi della reale topologia della rete, sui perimetri gestiti internamente e in outsourcing Report di compliance PCI-DSS CLUSIT 2012 - L'esperienza ICBPI - Mario Monitillo 6
La metodologia Scelta di una tecnologia di modellazione e simulazione Raccolta di tutti i dati di configurazione e di log Costruzione del modello della rete Utilizzo del modello nella pratica quotidiana per le analisi ed i report CLUSIT 2012 - L'esperienza ICBPI - Mario Monitillo 7
Risultati ottenuti Report automatici quotidiani per varie sezioni PCI- DSS Danno la visione della configurazione reale Le regole sui firewall sono più efficienti e più facili da gestire Efficientamento delle risorse hardware Governance sull infrastruttura di rete Possibilità di fare analisi what-if sulle modifiche previste Facilitazione degli audit interni ed esterni Si arriva in certificazione con una struttura informativa e report già strutturati Questo facilita in modo sostanziale la dimostrazione del processo di miglioramento continuo nei confronti dei QSA CLUSIT 2012 - L'esperienza ICBPI - Mario Monitillo 8
Lessons learned (1) L esistenza di strumenti automatici consente di cambiare in modo radicale la propria visione Permettono di focalizzarsi principalmente sia da un punto di vista di costi sia da un punto di vista di tempi sulla parte a valore Questo perché la parte di analisi prima era pesantissima e rubava risorse alla parte di effettivo intervento sui problemi rilevati Questo permette alla funzione di sicurezza, in quanto struttura di controllo, di indirizzare gli interventi di remediation mediante: una base informativa più ricca e più aggiornata una visione nel tempo del miglioramento cosa che è centrale nei processi di certificazione CLUSIT 2012 - L'esperienza ICBPI - Mario Monitillo 9
Lessons learned (2) Le strutture di governance della sicurezza hanno spesso obiettivi che sembrano divergenti da quelli strutture operative queste ultime hanno necessità di time to market che a volte vanno in conflitto con necessità di controllo e di qualità l implementazione di queste metodologie ha facilitato la convergenza di questi obiettivi perché: Nella fase di analisi, la funzione di governance non ha più bisogno dell intermediazione delle funzioni operative, non pesa più su di esse ed ottiene risultati più tempestivamente si allineano i tempi della governance a quelli del mercato Nella fase di implementazione, facilitano le strutture operative focalizzandone l azione sugli oggetti più esposti e critici. CLUSIT 2012 - L'esperienza ICBPI - Mario Monitillo 10
Piani per il futuro Miglioramento dell interoperabilità con le strutture dei Competence Center applicativi Inserimento del modello all interno del processo di Change Management per diretta simulazione prima del passaggio in produzione del change stesso Rendere l analisi del Rischio tecnologico un processo ricorrente, basato sempre su elementi, interni ed esterni all organizzazione, aggiornati e reali CLUSIT 2012 - L'esperienza ICBPI - Mario Monitillo 11
Domande CLUSIT 2012 - L'esperienza ICBPI - Mario Monitillo 12
Grazie! Mario Monitillo <mario.monitillo@icbpi.it> CLUSIT 2012 - L'esperienza ICBPI - Mario Monitillo 13