Aggiungere Valore al Business con la Sicurezza · PDF file · 2015-03-07Aggiungere Valore al Business con la Sicurezza Informatica SESSIONE DI STUDIO AIEA Roma 13 maggio 2003 pwc

Aggiungere Valore al Business con la Sicurezza Informatica

SESSIONE DI STUDIO AIEARoma 13 maggio 2003

pwc

AIEA - Roma 13 maggio 2PwC

Contenuti

• I presupposti: da ICT a Business Security

• La protezione delle informazioni

• L’identity management• Il business dell’esclusione e

quello dell’inclusione• L’Enterprice Security

Business ModelTM


Prerequisiti

• Buona conoscenza – di un sistema di gestione della

sicurezza: dagli aspetti strategici a quelli tecnici

– dei principali standards di riferimento (ISO 17799, BS7799, CobiT, ISF standard of good practice e simili)

– delle tante attività condotte da un’azienda che raggiungono obiettivi di sicurezza

Tra

inin

g an

d A

war

enes

s P

rogr

am

Information Security Management Structure

Security Vision and Strategy

Security Architecture and Technical Standards

Threats

Sen

ior

Man

agem

ent C

omm

itmen

t Vulnerability & RiskAssessment

Technology Strategy & Usage

Policy

Security Model

Administrative and End-User Guidelines and Procedures

Recovery Processes

EnforcementProcesses

MonitoringProcesses

Business Initiatives & Processes

Metodologia ESA (Enterprise Security Architecture) per la realizzazione del Sistema di Gestione della

Sicurezza


Presupposti

• Oggi il ruolo della Security è strettamente correlato ad esigenze di business e deve necessariamente integrare aspetti organizzativi, strategici, tecnici ed operativi.

• Da una funzione confinata alla protezione dei Sistemi Informativi (ICT Security), oggi l’Information Security presenta la necessità di:

– diventare vera e propria ‘parte fidata’(controllo di garanzia) a tutela dell’azienda.

– entrare nel merito e coinvolgersi, con ampia visibilità, sui processi di businesse progetti infrastrutturalidell’organizzazione

– Essere in grado di generare valore

Protezione dei sistemi informativi (the business of esclusion)

pwc



Introduzione all’Information Security Forum

• un’organizzazione internazionale, indipendente e non-profit

• sostenuta da circa 300 membri fra i principali gruppi di aziende multinazionali

• sviluppa progetti in ambito “Information Security” utilizzando un enorme quantità di esperienze e competenze

• realizza studi e linee guida su argomenti specifici, quali ad esempio: Corporate Governance, Information Risk Management, Internet Security, Security Methodologies & Standards, etc..

• pubblica annualmente l’Information SecurityStatus Survey in cui vengono riportati dati aggiornati di benchmarking sui diversi temi dell’Information Security.


ISF 2002 survey results

• Completato gennaio 2003• Questionario da 700 domande• 196 gruppi membri hanno risposto• Metodologia FIRM• Valido per il benchmarking interno

– posizionamento– analisi dei rischi


La complessità aumenta il rischio


L’analisi dei rischi

L’azienda che ha eseguito un’analisi dei rischi risponde meglio, e più efficacemente ai crescenti requisiti di sicurezza


La presenza di una funzione dedicata

Security ratings of enterprises that had an information security function = 2.47

Security ratings of enterprises that had no information security function = 1.78

The presence of an information security functionhad a significant effect on controls

(Scala da 1 a 4)


Incidenti e perdite finanziarie

Business impact

Security issueshave a real affecton the business

0% 20% 40% 60%

Delayed deliveries to customers or clients

Unforeseen costs

Breach of operating standards

Reduction in staff morale / productivity

Loss of management control

Loss of tangible assets

Loss of sales, orders or contracts

Increased risk (eg financial or safety)

Embarrassment by negative publicity

Loss of customers or clients

New ventures held up

Penalties / legal liabilities

Loss of competitiveness

Loss of confidence by key institutions

Depressed share price

Injury or death

Any business impact Major business impact

% of enterprises suffering incidents that had an impact on their business

• Circa 200.000 incidenti nell’ultimo anno

• 76% hanno determinato perdite finanziarie

• Il più costoso degli incidenti è costato $61 milioni

• La media è stata di $380.000 per incidente


Investimenti ed incidenti


Attuali aree d’intervento in ITALIA

• Maggior livello di consapevolezza dei rischi associati alla Sicurezza Informatica.

• Le principali aziende hanno già, o si apprestano ad adottare, unadeguato sistema di gestione della sicurezza.

• Un numero crescente di imprese richiedono “certificazioni” specifiche quali BS7799 e ISO17799.

• Presenza del legislatore in settori specifici e correlati (Privacy, Firma digitale, IT Audit, Corporate Governance).

• Le aree d’intervento rimangono comunque incentrate sulla PROTEZIONE degli asset informativi.


ISF FIRMFundamental Information Risk Management

• Metodologia dinamica di analisi e gestione del rischio

• Basata su scorecards e quindi permette la quantificazione dei rischi.

• Propensa all’impianto sulle normali attività operative

– Implementazione– change management– operatività

• Prevede il monitoraggio continuo (dall’assessment all’analisi degli incidenti)

• Supportato da adeguati web tools

INFORMATION RISK

SCORECARD

INFORMATION INCIDENT

Brief assessment

Un metodo per misurare il raggiungimento degli obiettivi di business

Identity Management(The business of inclusion)

pwc



Lo scenario del nuovo millenio

• La sopravvivenza dipende oggi dall’abilità dell’impresa di utilizzare efficacemente le nuove tecnologie, per poter interagire con i business partners, fornitori, agenti, clienti e dipendenti.

• La nuova sfida: Modelli di business da “impresa virtuale”, in grado di eliminare i confini, cosicché gli “outsiders” diventino “insiders”


La sfida

Nel passato la sfida è stata quella di tenere le “persone sbagliate” lontane dai

propri sistemi.

Oggi l’obiettivo è quello di attirare le “persone giuste” alle diverse nuove

attività di business.


Sicurezza più che mai

• L’apertura dei sistemi verso l’esterno espone a nuovi rischi: lasicurezza diventa sempre più un aspetto cruciale per lo sviluppo del business.

• Ogni componente dell’infrastruttura tecnologica (sistemi operativi, database, web server, applicazioni, network, etc…) ha introdotto nuove funzionalità di sicurezza, fornendo tuttavia differenti modalità operative per la gestione delle utenze, per la definizione dei privilegi di accesso alle applicazioni, etc..

• Questo ha comportato un incremento dei costi operativi, una richiesta di competenze specialistiche dei System Administrator e di conseguenza una perdita di produttività dovuta alla complessità nella gestione dei processi di amministrazione dei sistemi informativi

• Un fattore critico di successo per le aziende diventa allora la capacità di gestire in modo efficace ed efficiente la problematica delle utenze.


La soluzione

Identity Management (IdM): “Fornire validi accessi alle persone giuste

nel momento giusto”

La Soluzione

IdM è una convergenza di tecnologie e processi di business. Non c’è un singolo approccio poiché la strategia deve riflettere requisiti specifici all’interno del contesto tecnologico e di business di ogni società.


Drivers e componenti

Identity Management (IdM), da

PwC

Key Drivers

Riduzione dei Costi

Migliore Sicurezza

Maggiore Conformità

Usability

Gestione Centralizzata

Delegated Management

Successo del progetto


Autenticazione

Esempi di Autenticazione:• User name e Passwords• PIN Numbers• Digital Certificates (PKI)• Tokens (SecurID)• Biometrics (Hand Scans, Retinal Scans)• Virtual Smart Cards• Electronic Passports

L’Autenticazione è un meccanismo che consente di

effettuare transazioni di business con diversi livelli di sicurezza sull’identità di una persona (sono veramente

coloro che dicono di essere?)

Key technology vendors in this space:

Key Service Providers in this space :CERTIFICATION AUTHORITIES


Controllo degli accessi


Controllo degli accessi. Assicura che gli utenti abbiano accesso

solamente a quelle applicazioni o risorse che sono abilitati ad usare o

vedere. Conosciuto anche come Privilege Management Infrastructure (PMI)

Cosa comporta un Access Control :• Un’infrastruttura comune per l’autenticazione

e l’autorizzazione all’uso di molteplici applicazioni.

• Permette un unico livello di accesso “Single Sign-on” per accedere ad applicazioni web (e altre applicazioni)

• Riduce i costi operativi associati al controllo dell’accesso utenti.


La gestione delle utenze


User Management è il termine utilizzato per definire tecnologie che

consentono di gestire un grande numero di utenti. Provisioning è un

altro termine usato per definire quest’ambito.

Cosa comporta un User Management:• Automazione dei processi di ‘workflow’ per creare

‘partecipanti’ e dare loro accesso a tutte le applicazioni di cui necessitano, per svolgere il loro lavoro (provisioning).

• Rimozione automatica dei ‘leavers’ dai multipli sistemi (de-provisioning)

• Self-service e delega delle funzionalità del management.


Gli “user directories”

Un directory è un elemento software che immagazzina informazioni (simile ad un

database). Un directory costituisce un archivio per le informazioni degli utenti. L’accesso avviene tramite il Lightweight

Directory Access Protocol (LDAP).

Cosa ci consente di fare un’ Enterprise Directory:

• Archivio centralizzato, flessibile e sicuro per il profilo degli utenti.

• Scalabilità fino a molti milioni di utenti. • Capacità di rilasciare rapide risposte a

centinaia di domande al secondo. • Integrazione basata sugli standard per le

principali applicazioni.



Benefici del modello IdM

• Migliora la sicurezza e la protezione delle key applicationaziendali e degli asset informativi attraverso:

– L’applicazione real-time delle policy e delle autorizzazioni – Una continua verifica real-time per individuare e rimuovere rischi di

sicurezza – La possibilità di rimuovere gli utenti terminati e revocare i loro diritti di

accesso facilmente e automaticamente – Una fonte centralizzata e autorevole di informazioni sulle identità, le

regole d’accesso ed i privilegi

• Abbassa i costi di amministrazione e assistenza degli utenti:– Automatizzando task manuali o semi-manuali riguardanti la modifica dei

diritti d’accesso e l’assistenza agli utenti– Eliminando i task duplicati e riducendo il rischio d’errore– Consentendo allo staff di focalizzarsi sulle funzioni core, gestendo

facilmente un numero di utenti in rapida crescita

• Garantisce conformità con le politiche dell’impresa e con normative e regolamenti (es. DPR 318/99)

The business of esclusion and the business of inclusion

pwc



Due tipologie di sicurezza

The Security of Inclusion The Security of Exclusion

“Enablement” “Protection”


Tendenza: integrazione

“Enablement & Protection”

The Security of Inclusion & Exclusion


La sfida dell’inclusione ed esclusione

• Aumento di: –Identità –Requisiti di

controllo–Complessità

• Aumento di: –Minacce–Vulnerabilità–Complessità

Il Valore della Sicurezza:Anticipazione del Modello ESBM

di PwC

pwc



PwC Enterprice Security Business ModelTM

Un modello sviluppato da PwC per fornire comprensione di come l’Information Security

aggiunge valore al business

DAI CONCETTI ALLA DETERMINAZIONE E

MISURAZIONE DEI KPI


La catena del valore

SupportCapabilities

Requirements

PrimaryActivities Value

Enablement & Protection

IDENTIFY(Envision)

CREATE(Engineer)

CAPTURE(Operate)

SUSTAIN(Respond)

Firm Processes

Organization

Technology Infrastructure

Business Objectives

Ma

rg

in


The Enterprise Security Business Model™La catena del valore della Sicurezza Informatica

BUSINESSOBJECTIVES

Organization

Firm Processes


ENVISION ENGINEER OPERATE RESPOND

IDENTIFY CREATE CAPTURE SUSTAIN

• Gli obiettivi del business diventano un input alle attività • Le attività si sviluppano tenendo conto

– della reale capacità di supporto dell’azienda (Organizzazione, Processi Stabili e Infrastruttura tecnologica)

– della necessità di gestire sia le attività di esclusione sia quelle di inclusione


Requirements:Business Objectives

• Gli obiettivi di business– Devono essere conosciuti e perseguiti durante tutto il processo end-to-end della

sicurezza– Influenzano e governano gli obiettivi della sicurezza dalla strategia all’operatività

giornaliera.

BUSINESSOBJECTIVES

Conform toCorporate Strategy

Reduce Risk Exposure Lower Costs Differentiate Products

Culture IT Usage/DependencyEnable New

Business Opportunities

Collaborate withThird Parties

Suppliers/Vendors Buyers/Customers Markets

Joint Ventures Competitors Collaborators

Govern CorporateSecurity & Privacy

Oversight/Enforcement Internal Mandates

Comply withRegulations

Government Cross-Border Industry

Sarbanes-Oxley


Supporting Capabilities: Organization

• L’organizzazione– Consiste di persone, ruoli e responsabilità– Include tutte quelle attività necessarie ad integrare I componenti organizzativi

dell’azienda nei processi di security

BUSINESSOBJECTIVES

Organization

Communication Training Ownership

People Culture Incentives

Responsibilities


Supporting Capabilities: Firm Processes

• I processi stabili– Sono quelli essenziali al raggiungimento dei requisiti del business– Dettano quali metodi debbano essere utilizzati per realizzare gli obiettivi

Organization

Firm ProcessesBUSINESSOBJECTIVES

Budgets Government Change Management

Business ActivitiesInterdepartmental

CoordinationPrivacy

Policies & Procedures


Supporting Capabilities:Technology Infrastructure

BUSINESSOBJECTIVES

Organization

Firm Processes


• Le infrastrutture tecnologiche– I componenti fisici che supportano il business– Includono I processi di sicurezza applicati all’intera infrastruttura aziendale

Hardware Software Facilities Management SolutionsSecurity Solutions


La catena del valore: Attività principali

PrimaryActivities Value

Enablement & Protection

IDENTIFY(Envision)

CREATE(Engineer)

CAPTURE(Operate)

SUSTAIN(Respond)

Ma

rg

in


Primary Activity: Identify ValueEnvision Security

• Envision Security– Determinare tipologie e livelli di sicurezza delle risorse (organizzazione,

processi e infrastrutture tecnologiche) che permettono il raggiungimento degli obiettivi di business.

– Analizzare i costi in termini di sviluppo del business e necessità di protezione– Stabilire le direttive dell’organizzazione e focalizzare le risorse della sicurezza

sulle aree di maggior necessità.

BUSINESSOBJECTIVES

Organization

Firm Processes


ENVISION

Align

Assess

Strategize

Analyze


Primary Activity: Create ValueEngineer Security

• Engineer Security– Trasformare le strategie di sicurezza in tecnologie e processi che permettono

di raggiungere gli obiettivi di business.– Le tecnologie e i processi proteggono i sistemi e i dati permettendo agli utenti

autorizzati di svolgere le loro funzioni.

BUSINESSOBJECTIVES

Organization

Firm Processes


ENVISION ENGINEER

Deploy

Secure

Control

DevelopAlign

Assess

Strategize

Analyze


Primary Activity: Capture Value Operate Security

• Operate Security– La continua gestione della sicurezza e attività di controllo tramite

organizzazione, processi e tecnologie. – Aggiornamento, miglioramento e monitoraggio dell’ambiente tecnologico

mantenendo consapevolezza dei possibili rischi.

BUSINESSOBJECTIVES

Organization

Firm Processes


ENVISION ENGINEER OPERATE

Maintain

Detect

Prevent

ManageDeploy

Secure

Control

DevelopAlign

Assess

Strategize

Analyze


Primary Activity: Sustain Value Incident Response

• Incident Response– Recuperare le attività dopo un incidente o un’emergenza.– Ridurre l’impatto degli incidenti, determinare i danni e ritornare rapidamente

alla normalità.– Re-allineare il processo di sicurezza agli obiettivi di business

BUSINESSOBJECTIVES

Organization

Firm Processes


ENVISION ENGINEER OPERATE RESPOND

Repair

RecoverStabilize

Investigate

Maintain

Detect

Prevent

ManageDeploy

Secure

Control

DevelopAlign

Assess

Strategize

Analyze


Security Value Chain in Motion

• Ogni organizzazione dovrebbe:– Identificare dove si può creare valore– progettare componenti della sicurezza per creare Valore– Gestire (rilevare, mantenere e prevenire) la security continuamente al fine di

catturare Valore.– Rispondere a incidenti e re-allineare il processo agli obiettivi di business, al

fine di sostenere il Valore

RESPONDENVISION ENGINEER OPERATE

BUSINESSOBJECTIVES

Organization

Firm Processes


Repair

RecoverStabilize

Investigate

Maintain

Detect

Prevent

ManageDeploy

Secure

Control

DevelopAlign

Assess

Strategize

Analyze

SUSTAINIDENTIFY CREATE CAPTURE

Il Valore della Sicurezza:Come si modificano i servizi

pwc



Management Commitment

Com

plian

ce

Awareness & Training

Procedure

Tech

nical

Stan

dard

s

Policy

Strategy &Governance

•• Strategy Strategy & & GovernanceGovernance

Network Security

Middleware

Data

base

Sec

urity

Intrusion DetectionIncident ResponseO

/S S

ecur

ity

TechnologyPlatforms•• Technology PlatformsTechnology Platforms

CRM Systems

Web Applications

HR S

ystem

s

SCM System

s

Legacy Apps

ERP

Syste

ms

Application Security

•• Application Security Application Security ControlsControls

Gli elementi chiave delmodello ‘end-to-end’ Security (basato sulla metodologia ESA):

•• Identity ManagementIdentity Management

L’attuale modello End to End dei servizi PwC


Il futuro modello dei servizi basato su ESBMBusiness ObjectivesEsigenze e direttive che possono influenzare e potenzialmente indicare quello che la società si prefigge di realizzarePrimary Security ActivitiesAttività di sicurezza che permettano di identificare, creare, e realizzare del valore aggiuntoSecurity InvestmentDeterminazione delle attività di supporto: Organizzazione, processi e infrastrutture tecnologicheIntegration PlanningImplementazione, integrazione e manutenzione delle attività identificate

Threat DetectionIdentificazione e isolamento dei rischi in modo da minimizzare l’impatto sulle risorseVulnerability DetectionIdentificazione delle debolezze delle risorse prima che queste possano essere utilizzate per un attaccoThreat & Vulnerability RemediationIsolamento e risoluzione dei problemi di sicurezza identificatiSecurity Information ManagementInterpretare, integrare e presentare l’informazione relativa alla sicurezza da tutte le sue fonti

Business Process ControlsGarantire che sicurezza, tecnologia e controllo dei processi siano allineati agli obiettivi aziendaliTechnology Infrastructure SecurityProteggere le infrastrutture tecnologiche in modo da assicurare che il business ottenga il valore attesoIdentity Management (IdM)Fornire alle persone giuste i giusti accessi al momento giusto

Emergency Responce PlanningAssicurarsi che esistano piani di restoring e recovering e che questi riescano a ripristinare la normale operatività in situazioni di emergenzaIncident HandlingAssicurarsi che la vulnerabilità causa dell’incidente sia sotto controllo e che esistano procedure di gestione ed investigazione del medesimoElectronic DiscoveryDeterminare cosa è successo, come mai è caapitato, quali informazioni ha interessato e che conseguenza ha avuto;Addizionalmente, valutazione delle eventuali azioni legali da intraprendere

CONCLUSIONI

pwc



Conclusioni

• Oggi il ruolo della Security è strettamente correlato ad esigenze di business e deve necessariamente integrare aspetti organizzativi, strategici, tecnici ed operativi.

• Da una funzione confinata alla protezione dei Sistemi Informativi (ICT Security), oggi l’Information Security presenta la necessità di:

– diventare vera e propria ‘parte fidata’(controllo di garanzia) a tutela dell’azienda.

– entrare nel merito e coinvolgersi, con ampia visibilità, sui processi di business e progetti infrastrutturali dell’organizzazione

– essere in grado di generare valore

PwcGlobal Management Solutions

SEBASTIAN D'AMOREDirector Security & Technology

Viale della Liberazione 16/1820124 Milan, Italy

Tel.: +39 02 667201Direct: +39 02 66720.542

Fax: +39 02 66720.501email: [email protected]

Documents

Aggiungere Valore al Business con la Sicurezza · PDF file · 2015-03-07Aggiungere Valore al Business con la Sicurezza Informatica SESSIONE DI STUDIO AIEA Roma 13 maggio 2003 pwc