Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Technology Consultant Marco Casazza - RSA Technology Consultant @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 1 Obiettivi della presentazione Dimostrare come una efficace gestione dei rischi aziendali può contribuire al vantaggio competitivo di una organizzazione. Illustrare come la visione e le tecnologie di RSA sono in grado di gestire in modo efficace sia i rischi di business sia i rischi legati alla tecnologia considerandone le relazioni. @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 2 Vantaggio competitivo? Quali i fattori ? Individuare le aree di criticità (rischi) Automazione dei processi Visibilità: Asset, Report, Dashboard,… Prendere decisioni sulla base dei risultati dell’analisi del rischio Rimozione dei Silos Informativi @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 3 Qualche definizione… Business: insieme dei processi, politiche, controlli, governance, […] che caratterizzano una organizzazione, l’ambito in cui opera IT: l’insieme delle tecnologie a supporto delle attività del Business Business Rischio = f (Probabilità evento, Impatto creato) IT/InfoSec Rischio = f (Valore asset, Probabilità minaccia, Rischio Vulnerabilità dell’asset, Impatto) Note • Evento=Minaccia che si manifesta (es. sfrutta la vulnerabilità di un asset) • Un rischio esiste nella misura in cui esiste una minaccia! @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 4 L’universo dei rischi I rischi sono classificati in molteplici categorie come Enterprise Risk, Operational Risk, IT-Risk, InfoSec Risk I processi di gestione sono simili, ma le metodologie di assessment sono spesso specializzate I rischi IT sono solitamente classificati come parte degli Operational Risk e a loro volta classificati in Rischi di Infrastruttura Confidenzialità Integrità Disponibilità Rischi IT Sicurezza delle Informazioni Rischi Progetto Sviluppi Applicativi Rischi Investimento (spesa) @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 5 La continuità operativa Riguarda un particolare tipo di rischi: quelli caratterizzati da eventi a bassa frequenza ed alto impatto – Possono determinare la chiusura di un’organizzazione per l’incapacità di raggiungere i propri obiettivi (di produzione, di servizi, ecc.) I piani sono le azioni di remediation associate ai rischi individuati e per i processi critici individuati In una visione globale dei rischi aziendali, essi fanno parte dei rischi operativi @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 6 Quali minacce (o sfide) ? Minacce che impattano il Business • • • • • Pressione normativa, inefficienza, costi Sfide a livello di sistema paese Processi manuali (scarsa automazione) Silos informativi (difficoltà di comunicazione) Scarsa visibilità: difficoltà decisionale Minacce che impattano l’IT • • • • Advanced Threats Frodi Denial of Service Indisponibilità di sistemi In generale, anche la mancanza di allineamento fra IT e Business è una minaccia per la competitività ! @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 7 Quali impatti? InfoSec: perdita di Confidenzialità, Integrità, Disponibilità Immagine aziendale e reputazione Perdite economiche Impatti sulla sicurezza del sistema paese (ad es. perdita di informazioni sensibili) Furti di proprietà intellettuale (ad es. perdita diretta di competitività) Mancata erogazione di servizi essenziali … @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 8 Come affrontare gli scenari di rischio indotti dalle minacce @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 9 Gli ecosistemi aziendali e le minacce Lo schema di riferimento BUSINESS Minacce che impattano il business I.T. Minacce che impattano l’Information Technology Processi, Controlli, Policy, Prodotti, Informazioni … Applicazioni, Dispositivi, Tecnologie, Storage, … (e di conseguenza il business…) @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 10 La nostra visione strategica Livello Strategico Policy BUSINESS Processessi, Controlli, Policy, Prodotti, Informazioni … Minacce/ Rischi di Business Business Continuity Enterprise Management I.T. Applicazioni., Dispositivi, Tecnolgie, Storage, … Minacce/ Rischi IT/InfoSec Livello Tecnologico Advanced SOC/SA Risk Compliance Archer eGRC Security Operations Vulnerability Management Identity Governance Fraud Risk Intelligence Le tecnologie RSA supportano sia il livello strategico sia il livello tecnologico con prodotti altamente integrati che condividono le relative informazioni di contesto @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 11 Rischio di Business e IT Impatti sul Business Rischi di Business Creano Minacce sul Business Minacce IT/InfoSec Impatti sull’IT Vantaggio Competitivo Supporta l’analisi di… Integrati in… Rischi IT/InfoSec Supporta l’analisi tradizionale e… @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 12 Diversi modi di affrontare le minacce Si possono individuare diversi approcci nell’affrontare le sfide indotte dalle minacce nel corso del tempo o sulla base del livello di maturità aziendale. Livello 4 Difesa sulla base del rischio di Business Livello 2 Difesa orientata alla Compliance Livello 1 Difesa Perimetrale • Focus su controlli puntuali • Approccio molto TATTICO Livello 3 Difesa sulla base del • E’ considerata la rischio IT/InfoSec relazione fra Business Risk e IT • Controlli determinati Risk dai processi di IT/ • Approccio molto InfoSec Risk STRATEGICO Management • Controlli determinati in base ai requisiti di compliance • Mentalità delle checklist La visione di RSA abilita l’approccio che caratterizza il massimo livello di maturità @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 13 Gestire il rischio IT: gli approcci L’approccio tradizionale al risk management, governato da metodologie e standard quali ISO-27005 e ISO-31000, permette sostanzialmente di individuare “rischi potenziali”: il fine è l’allocazione dei controlli! Grazie ad Archer eGRC, supporta l’approccio tradizionale, sia per il Business Risk sia per l’IT/InfoSec Risk Supporta anche un approccio “pragmatico” al risk management, grazie alla stretta integrazione fra i prodotti dello stack tecnologico NOTA: le minacce tecnologiche, come le Advanced Threats, possono creare un impatto sugli asset tecnologici (e quindi sul business) SOLO se esiste una vulnerabilità che può essere da loro sfruttata! @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 14 L’approccio RSA per la gestione del rischio IT I possibili punti di intervento per mitigare i rischi Agente di Attacco Vettore di Attacco Vulnerabilità di sicurezza Attacco Vulnerabilità Attacco Vulnerabilità Attacco Vulnerabilità Controlli di sicurezza Controllo Controllo Impatto Tecnico Impatto sul Business IT Asset Business Business Asset IT Asset Business Asset IT Asset Business Asset Impatto Tecnico Difficile Fattibile ed efficace Possibile Fattibile ed efficace Si possono individuare 3 macro aree di intervento: Prevenzione delle Minacce Migliorare l’efficienza della rilevazione dell’attacco Rilevazione degli Attacchi Migliorare l’efficienza della risposta all’incidente Risposta e Rimedio @RSAItalia Modello OWASP (https://www.owasp.org/index.php/Top_10_2010-Main) © Copyright 2014 EMC Corporation. All rights reserved. 15 La “gestione pragmatica” del rischio IT Gestione preventiva: mitiga il rischio, riducendo le vulnerabilità rilevate (che rappresentano dei rischi reali, non potenziali) – Il rischio è ridotto agendo sulla componente di probabilità della tipica equazione di rischio Gestione della capacità di rilevazione e di risposta: mitiga il rischio migliorando le capacità di rilevare attacchi e l’efficienza del processo di risposta agli incidenti – Il rischio è ridotto agendo sulla componente di impatto della tipica equazione di rischio Prevenzione delle Minacce Archer Vulnerability Risk Management Rilevazione degli Attacchi Security Analytics Risposta e Rimedio Archer Security Operations Management @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 16 Archer Vulnerability Risk Management SFIDE Passi Mitigare i rischi (riduzione probabilità minacce) attraverso una gestione businessoriented delle vulnerabilità Catalogo Asset Mancanza di un catalogo centralizzato (o catalogo parziale) Vulnerability Management [La soluzione RSA] Scoprire le vulnerabilità Classificare i problemi Indirizzare i problemi Monitoraggio e Repor;ng Nessuna relazione fra da; di business e tecnologici Mancanza di un contesto e meccanismi di priori;zzazione Mancanza di automazione e di workflow flessibile Repor;ng inefficace e lento Indirizzato dai fornitori di Vulnerability Scanner (Qualys, McAfee, …) Risultato Scansioni Contesto di Σ Business = Threat Intelligence Vulnerabilità Priori;zzate ü Workflow ü Scalabilità ü KPI ü Velocità ü Report ü Precisione @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 17 Archer SecOps (Security Operations Management) Analista di Threat Intelligence Ruoli (User Personas) Mitigare i rischi (impatto delle minacce) rendendo più efficace il processo di risposta agli incidenti Responsabile del SOC CISO/CSO Gestione del SOC Analista L1 Analista L2 SecOps Analisti del SOC Orchestrare & Gestire CIO Resp. di Business Resp. Privacy Conformità Legale Resp. Personale Team Inter-Funzione Soluzione costruita attorno al concetto di “User Persona” @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 18 Misurare il rischio IT in tempo reale Gli approcci tradizionali al Risk Management utilizzano tecniche di assessment condotte 1 o 2 volte l’anno • • I rischi sono rilevati con una bassa frequenza… … che spesso non è compatibile con la dinamicità sempre maggiore delle organizzazioni Vulnerability Risk Risultati delle scansioni Indicatori e Metriche Security Operations Incidenti & Investigazioni Flussi di mitigazione Gestione dei Breach Correlazione delle minacce Gestione delle Crisi Scalabilità RSA Archer GRC Risposta Prevenzione Grazie alla integrazione tra le diverse tecnologie, il nostro approccio consente di rappresentare metriche (KRI) che abilitano scenari di gestione dei rischi in tempo reale RSA IT Security Risk Management Gestione del SOC @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 19 L’approccio IT Security Risk Management per legare il Rischio di Business al Rischio IT IT-‐SRM Governance Risk Compliance Advanced SOC • Security Analy;cs • Servizi Advanced Cyber Defense • ECAT • Data Loss Preven;on • Security Opera/ons Management (SecOps) • Vulnerability Risk Management (VRM) • • • • • Conformità norma;va Rischi Opera;vi Rischi di terze par; Con;nuità Opera;va Audit @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 20 Conclusioni 1 Vantaggio competitivo? = Saper prendere le giuste decisioni ! 5 Rischio Business <-> Rischio IT: • Allineamento costante grazie ad una integrazione che prevede lo scambio di informazioni di contesto • Supporto di un processo decisionale in tempo reale che è uno degli abilitatori primari per ottenere un vantaggio competitivo 2 Individuare le aree critiche = Identificare i rischi di Business 4 3 Considerare anche i rischi IT indotti da minacce come le Advanced Threat, integrandoli nei rischi di Business La nostra visione e le nostre tecnologie supportano la gestione sia del rischio di Business, sia dei rischi IT @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 21 DEMO Esempio di implementazione di un workflow di processo nell’ambito “Risk Management” con il coinvolgimento di diversi attori (quali Risk Manager e Risk Owner), ognuno con una propria vista dedicata. @RSAItalia © Copyright 2014 EMC Corporation. All rights reserved. 22
© Copyright 2024 ExpyDoc