Upload
phunganh
View
218
Download
0
Embed Size (px)
Citation preview
Approccio Enel ai Cyber Risks
Workshop ISCOMRoma, 25 ottobre 2013
ing. Francesco CeccarelliResp. Security Governance and Business Intelligence
GBS / Security
Agenda
2
Cyber Risks ed Energy Company
Il contesto Enel
L’approccio Enel
Workshop ISCOM
Il processo ISRM
Conclusioni
GBS / Security
Cyber Risks ed Energy CompanyI fattori critici
Workshop ISCOM
3
Le recenti trasformazioni del mercato dell’energia che hanno avuto impatti rilevanti sotto il profilo della sicurezza:
Liberalizzazione del mercato della produzione e vendita di energia, con conseguente scenario competitivo
Avvento delle reti elettriche intelligenti (smart-grids)
Interconnessione con reti pubblichedelle reti di controllo della distribuzione e produzione di energia
GBS / Security
• Centrali elettriche• Stazioni elettriche• Centri di controllo• Tecnologie e sistemi di
gestione e trading di energia
• Linee e stazioni ad Alta Tensione
• Centri di controllo e dispacciamento
• Sistemi di controllo remoto
• Pipelines• Navi e moli• Nastri e depositi
carbone• Serbatoi combustibile
Key Assets
Major Impacts
• Blocco o ritardodell’operatività
• Ritardoapprovvigionamentomaterie prime
• Safety• Danneggiamento e/o
malfunzionamento degliimpianti
• Perdita di governo e o operatività degliimpianti
• Accesso informazioniriservate
• Condizionamento BorsaEnergia
• Rischio blackout
• Safety• Danneggiamento e/o
malfunzionamentodella rete
• Perdita di governo e operatività delle reti
• Accesso informazioniriservate
• Discontinuità del servizio elettrico e rischio blackout
• Linee e stazioni di Media e Bassa tensione
• Centri di controllo remoto
• Sistemi di misura dei consumi
• Sistemi IT • Dati sensibili
(commerciali e dei clienti)
• Sottrazione di dati edinformazioni riservate
• Perdita di vantaggiocompetitivo
• Frodi commerciali
Generazione Trasmissione Distribuzione Vendita e CCLogistica
Cyber Risks ed Energy CompanyGli impatti sulla catena del valore
• Safety• Danneggiamento e/o
malfunzionamentodella rete
• Perdita di governo e operatività delle reti
• Accesso informazioniriservate
• Discontinuità del servizio elettrico e rischio blackout
• Frodi sulla misura
Workshop ISCOM
4
GBS / Security
Agenda
5
Cyber Risks ed Energy Company
Il contesto Enel
L’approccio Enel
Workshop ISCOM
Il processo ISRM
Conclusioni
GBS / Security
Generation
Potential gas reservesSales to final customers
Il contesto EnelDimensione geografica
Workshop ISCOM
6
GBS / Security 7
Security Governance and Business Intelligence
To monitor security risks concerning Group operations and businessdevelopment activities, through open sources analysis, damaging eventscollection, counterparties analysis coordination, aim to provide guidelines toSecurity operations in order to orient prevention and mitigation actions;
To define Group policies and standard for people, assets and businessprotection, promoting necessary actions of awareness in agreement withSecurity Operations. Defines the Global Security Master Plan and monitors theprocess indicators, coordinating Security Operation contributions collection;
To supervise efficacy of company information security management system,defining security strategies related to business targets, validating the policycompliance of the solutions adopted to protect business applications andindustrial automation systems, performing vulnerability assessment andpenetration test, managing computer forensic analysis and, according toGlobal ICT, critical security incidents.
Security Governance and Business Intelligence
To monitor security risks concerning Group operations and businessdevelopment activities, through open sources analysis, damaging eventscollection, counterparties analysis coordination, aim to provide guidelines toSecurity operations in order to orient prevention and mitigation actions;
To define Group policies and standard for people, assets and businessprotection, promoting necessary actions of awareness in agreement withSecurity Operations. Defines the Global Security Master Plan and monitors theprocess indicators, coordinating Security Operation contributions collection;
To supervise efficacy of company information security management system,defining security strategies related to business targets, validating the policycompliance of the solutions adopted to protect business applications andindustrial automation systems, performing vulnerability assessment andpenetration test, managing computer forensic analysis and, according toGlobal ICT, critical security incidents.
‒ Security Europe, North and Central America, Rest of the world (Row)‒ Security Iberia‒ Security Italy‒ Security Latam
To assess fraud threats and security risks for people and infrastructures, toguarantee the identification and implementation of technical, organizationaland management solutions in order to mitigate and contrast them, to supportGlobal Security Master Plan definition and to measure process indicators;
to define local security procedures according to Group policy and to follow thecrisis management process, ensuring the reporting and management ofdamaging events;
to manage relationships with local authorities and ensure the country lawsfulfillments for critical infrastructures protection and homeland security andState secret protection where Enel runs its operations.
‒ Security Europe, North and Central America, Rest of the world (Row)‒ Security Iberia‒ Security Italy‒ Security Latam
To assess fraud threats and security risks for people and infrastructures, toguarantee the identification and implementation of technical, organizationaland management solutions in order to mitigate and contrast them, to supportGlobal Security Master Plan definition and to measure process indicators;
to define local security procedures according to Group policy and to follow thecrisis management process, ensuring the reporting and management ofdamaging events;
to manage relationships with local authorities and ensure the country lawsfulfillments for critical infrastructures protection and homeland security andState secret protection where Enel runs its operations.
Il contesto EnelOrganizzazione Security
Workshop ISCOM
GBS / Security
Il contesto EnelLe sfide attuali
8
Infrastruttura IT e servizi globali
Semplificazione di processi e procedure
Cyber threats espressione di più ampie forme di aggressione (es. causa ambientalista)
Attacchi mirati ad interrompere il funzionamento di infrastrutture critiche informatizzate (teleconduzioneimpianti di produzione e telecontrollo rete di distribuzione)
Esterne Nuove forme di minacce informatiche (“slow and low”
threats) non rilevate dai sistemi di difesa convenzionali
Ottimizzazione degli investimenti
Workshop ISCOM
Efficienza
Proattività
Interne
GBS / Security
Il contesto EnelL’approccio strategico
9
Priorità di sicurezza tarate sugli obiettivi di business
Unico modello di governo della sicurezza all’interno del Gruppo
Intelligence integrata nel processo di gestione dei cyber risks
Partecipazione attiva ai tavoli di standardizzazione ed allo studio di nuove soluzioni architetturali e tecnologiche
Modello di misura e monitoraggio degli obiettivi tramite specifici KPI
Workshop ISCOM
I fattori chiave
GBS / Security
Agenda
10
Cyber Risks ed Energy Company
Il contesto Enel
L’approccio Enel
Workshop ISCOM
Il processo ISRM
Conclusioni
GBS / Security
L’approccio EnelIl Processo ISRM (Information Security Risk Management)
11
Business Intelligence
Risk Assessment
Impact estimation
RiskAssurance
Risk Monitoring
Coordination and Communication
Process mapping
Risk Evaluation
Risk Treatment
ImplementationPlanning
Workshop ISCOM
Per far fronte alla complessità e dinamicità dello scenario di minaccia ed alla sfida
dell’internazionalizzazione è stato definito un unico processo di riferimento, sostenuto da un set di Policy e Procedure globali
Information Security Risk Management
GBS / Security
Agenda
12
Cyber Risks ed Energy Company
Il contesto Enel
L’approccio Enel
Workshop ISCOM
Il processo ISRM
Conclusioni
GBS / Security
Il processo ISRMLa Business Intelligence
13
L’intelligence è divenuta una fondamentale componente del processo di security risk management
Assume sempre più rilievo nell’ambito dei rischi di sicurezza IT, per intercettare le minacce interne ed esterne emergenti e sostenere lo sviluppo di capacità “proattive”, in luogo di un approccio “reattivo”, che risulta
sempre meno efficace o comunque non sufficiente
Workshop ISCOMBusiness
Intelligence
Risk AssessmentRisk Assessment
Impact estimation
Impact estimation
RiskAssurance
RiskAssurance
Risk MonitoringRisk Monitoring
Coordination and CommunicationCoordination and Communication
Process mappingProcess mapping
Risk Evaluation
Risk Evaluation
Risk TreatmentRisk Treatment
ImplementationImplementationPlanningPlanning
Web site
Social
Stampa
Blogs
Forum Scouting & Acquisition
SemanticEngines
Data Mining
Fonti esterne
Incident reporting
Anagrafiche
Cruscotto KPI
..altro
Fonti interne
Per garantire un’efficace attività di Business Intelligence sono necessari competenze interne e strumenti di supporto (to make the best use of
knowledge)
Brand Reputation
Fraud
Supplier Reputation
Travel risks
IT Attacks
Tanto più si vuole essere proattivi, tanto maggiore è il bisogno di strumenti di analisi e previsione
GBS / Security
Il processo ISRMLa Business Impact Analysis (BIA)
14
Identificazione dei processi, dei sotto-processi, delle informazioni gestite e scambiate, fino ad identificare le applicazioni informatiche a supporto.
2 . 1 F i n a n c i a l I m p a c t £ 0 0 0 ' s ( p l e a s e i n d i c a t e & d e s c r i b e b e l o w ) 1 h o u r ½ d a y 1 d a y 3 d a y s 5 d a y sT r e a s u r y
£ 0 £ 0 £ 0 £ 0 £ 0L o s t R e v e n u e
£ 0 £ 0 £ 0 £ 0 £ 0D e l a y e d P r o c e s s i n g
£ 0 £ 0 £ 0 £ 0 £ 0R e g u l a t o r y /C o n t r a c t u a l / L e g a l £ 0 £ 0 £ 0 £ 0 £ 0A d d i t i o n a l E x p e n s e
£ 0 £ 0 £ 0 £ 0 £ 0T o t a l : £ 0 £ 0 £ 0 £ 0 £ 0
2 . 2 O p e r a t i o n a l I m p a c t ( p l e a s e i n d i c a t e b e l o w ) : 1 - m i n i m a l ; 2 - s i g n i f i c a n t ; 3 - v e r y s i g n i f i c a n t 1 h o u r ½ d a y 1 d a y 3 d a y s 5 d a y sS e r v i c e t o c u s t o m e r
0 0 0 0 0M a n a g e m e n tC a p a b i l i t y 0 0 0 0 0I m a g e
0 0 0 0 0R e g u l a t o r y A g e n c i e s /L e g a l 0 0 0 0 0I n t e r - D e p e n d e n c i e s
0 0 0 0 02 . 3 L i s t a l t e r n a t i v e p r o c e d u r e s t o p e r f o r m b u s i n e s s f u n c t i o n s w i t h o u t e x i s t i n g r e s o u r c e s
2 . 1 F i n a n c i a l I m p a c t £ 0 0 0 ' s ( p l e a s e i n d i c a t e & d e s c r i b e b e l o w ) 1 h o u r ½ d a y 1 d a y 3 d a y s 5 d a y sT r e a s u r y
£ 0 £ 0 £ 0 £ 0 £ 0L o s t R e v e n u e
£ 0 £ 0 £ 0 £ 0 £ 0D e l a y e d P r o c e s s i n g
£ 0 £ 0 £ 0 £ 0 £ 0R e g u l a t o r y /C o n t r a c t u a l / L e g a l £ 0 £ 0 £ 0 £ 0 £ 0A d d i t i o n a l E x p e n s e
£ 0 £ 0 £ 0 £ 0 £ 0T o t a l : £ 0 £ 0 £ 0 £ 0 £ 0
2 . 2 O p e r a t i o n a l I m p a c t ( p l e a s e i n d i c a t e b e l o w ) : 1 - m i n i m a l ; 2 - s i g n i f i c a n t ; 3 - v e r y s i g n i f i c a n t 1 h o u r ½ d a y 1 d a y 3 d a y s 5 d a y sS e r v i c e t o c u s t o m e r
0 0 0 0 0M a n a g e m e n tC a p a b i l i t y 0 0 0 0 0I m a g e
0 0 0 0 0R e g u l a t o r y A g e n c i e s /L e g a l 0 0 0 0 0I n t e r - D e p e n d e n c i e s
0 0 0 0 02 . 3 L i s t a l t e r n a t i v e p r o c e d u r e s t o p e r f o r m b u s i n e s s f u n c t i o n s w i t h o u t e x i s t i n g r e s o u r c e s
2 . 1 F i n a n c i a l I m p a c t £ 0 0 0 ' s ( p l e a s e i n d i c a t e & d e s c r i b e b e l o w ) 1 h o u r ½ d a y 1 d a y 3 d a y s 5 d a y sT r e a s u r y
£ 0 £ 0 £ 0 £ 0 £ 0L o s t R e v e n u e
£ 0 £ 0 £ 0 £ 0 £ 0D e l a y e d P r o c e s s i n g
£ 0 £ 0 £ 0 £ 0 £ 0R e g u l a t o r y /C o n t r a c t u a l / L e g a l £ 0 £ 0 £ 0 £ 0 £ 0A d d i t i o n a l E x p e n s e
£ 0 £ 0 £ 0 £ 0 £ 0T o t a l : £ 0 £ 0 £ 0 £ 0 £ 0
2 . 2 O p e r a t i o n a l I m p a c t ( p l e a s e i n d i c a t e b e l o w ) : 1 - m i n i m a l ; 2 - s i g n i f i c a n t ; 3 - v e r y s i g n i f i c a n t 1 h o u r ½ d a y 1 d a y 3 d a y s 5 d a y sS e r v i c e t o c u s t o m e r
0 0 0 0 0M a n a g e m e n tC a p a b i l i t y 0 0 0 0 0I m a g e
0 0 0 0 0R e g u l a t o r y A g e n c i e s /L e g a l 0 0 0 0 0I n t e r - D e p e n d e n c i e s
0 0 0 0 02 . 3 L i s t a l t e r n a t i v e p r o c e d u r e s t o p e r f o r m b u s i n e s s f u n c t i o n s w i t h o u t e x i s t i n g r e s o u r c e s
Availability Impact Insignificant Minor Moderate Major Catastrophic
Total Impact = Financial Impact Score +
Maximum Non Quantifiable Impact1 2 3 4 5
Integrity Impact Insignificant Minor Moderate Major Catastrophic
Sensible Data X
Proprietary Information X
Unique Information X
Confidentiality Impact Insignificant Minor Moderate Major Catastrophic
Sensible Data XProprietary Information X
Unique Information X
Applicazione 1
Applicazione 2
Business Impact
Catastrophic
Minor
Availability Integrity Confidentiality
Major tInsignificant
Major Minor
Stima degli impatti sui processi di business (economici, di immagine, conseguenze legali, safety…) secondo i diversi aspetti di disponibilità, integrità e riservatezza.
Individuazione del livello di impatto massimoper ogni applicazione secondo una metrica standard.
Workshop ISCOMBusiness
Intelligence
Risk Assessment
Impact estimation
RiskAssurance
Risk Monitoring
Coordination and Communication
Process mapping
Risk Evaluation
Risk Treatment
ImplementationPlanning
La BIA assicura che le misure a protezione delle minacce, siano in linea con la mission, gli obiettivi, gli obblighi di legge per l’ambito definito.Consente di concentrare le risorse aziendali sui processi di business maggiormente critici.
1°step
2°step
3°step
GBS / Security
L’attività di IT Security Risk Assessment è finalizzata all’individuazione del realelivello di esposizione al rischio ed alla conseguente identificazione dei controllinecessari per la sua mitigazione.
Il processo ISRMLa valutazione e gestione dei rischi
15
Rischio
Impatto
Minaccia Vulnerabilità
Workshop ISCOMBusiness
Intelligence
Risk Assessment
Impact estimation
RiskAssurance
Risk Monitoring
Coordination and Communication
Process mapping
Risk Evaluation
Risk Treatment
ImplementationPlanning
Sistemi Gestionali Sistemi di Processo
Organizzativi -
Linee guida per la progettazione e realizzazione di applicazioni
informatiche gestionali (riferimenti: NIST, ISO2700X)
Linee guida per la progettazione e realizzazione dei sistemi di
automazione industriale (riferimenti: ISA 99, IEC62351)
Controlli di base Baseline Baseline
Matrice minacce/controlli Matrice minacce/controlli
Controlli applicativi non standard Controlli applicativi non standard
TecniciControlli avanzati
Tipologia Interventi
Sono presi in esame: i risultati della BIA le minacce possibili ed i controlli idonei a contrastarle il gap tra i controlli necessari e quelli presenti
GBS / Security
Individuati nell’ambito di un’iniziativa congiunta Enel – GCSEC (Global Cyber Security Center) Ispirati ai principali standards mondiali (NERC, IEC, EURACOM, ISO, NIST, SANDIA, etc.) Organizzati secondo il modello ISO 27001
Il processo ISRMFocus sui controlli per i sistemi di processo (1/2)
16
Security Program Organization of security Security Policy Risk Management Asset Management Human Resources Security Physical and Environmental Security Business Continuity Management Security Incident Management Compliance and improvements
Malicious software protection Cryptography & Key Management Capacity Management Software control Host Access Control
Network Architecture Firewall Specific network services Data transmission security Wireless security Network Access Control
800 controlli e requisiti di sicurezza
identificati e classificati
Workshop ISCOM
Governance
Requirements
HostRequirements
NetworkRequirements
Business Intelligence
Risk Assessment
Impact estimation
RiskAssurance
Risk Monitoring
Coordination and Communication
Process mapping
Risk Evaluation
Risk Treatment
ImplementationPlanning
GBS / Security
Verifica periodica applicazione policy e procedure Controllo politiche di accesso e rispetto principi di Segregation of Duties (SOD) Piano annuale di Vulnerability Assessment Penetration test periodici e spot
Sistemi gestionali
Il processo ISRMAssurance
17
Workshop ISCOMBusiness
Intelligence
Risk Assessment
Impact estimation
RiskAssurance
Risk Monitoring
Coordination and Communication
Process mapping
Risk Evaluation
Risk Treatment
ImplementationPlanning
Test di policy (per. es patching, firewall rules) Confronto di diverse architetture Verifica di standard (e.g. protocolli) Simulazione di attacchi e test di prodotti di mercato (3 analisi
condotte nel 2012)
Sistemi di processo
Laboratorio Cyber Security SCADA
Attack Vendor 01 Vendor 02 Vendor 03
Port scan detection Negative Negative Positive
MS06-040 Positive Negative Positive
MS08-067 Negative Negative Positive
MS12-020 Negative Negative NegativeObfuscated executable Trojan Positive Negative Negative
Obfuscated dll Trojan Positive Negative NegativeAdobe util.print - buffer overflow Positive Negative Negative
GBS / Security
Il processo ISRMMonitoring
18
Strumento di reporting strategico finalizzato a:‒ monitorare il
raggiungimento degli obiettivi di sicurezza per Security
‒ comunicare agli stakeholder aziendali i livelli di sicurezza rilevati
‒ individuare le esigenze di sicurezza prioritarie per l’azienda
Consente viste sintetiche per:‒ obiettivi della sicurezza ‒ domini ‒ altro
Strutturazione gerarchica (obiettivi, FCS, KPI) con logiche di drill down fino al singolo indicatore
Possibile bacino di indicatori per altre funzioni (es. Sicurezza IT)
Obiettivo
Dominio del framework
Business continuity
Analisi e monitoraggio
VISTE
Cruscotto Security
Report Direzionali SOC
Sistemi Operazionali (controllo applicazioni operative)
Target Consuntivo ∆
KPI 1
KPI 2
KPI 3
Workshop ISCOMBusiness
Intelligence
Risk Assessment
Impact estimation
RiskAssurance
Risk Monitoring
Coordination and Communication
Process mapping
Risk Evaluation
Risk Treatment
ImplementationPlanning
FCS 1
FCS 5FCS 6
FCS 2 FCS 3
FCS 4
GBS / Security
Il processo ISRM Formazione e Comunicazione
19
Security alert (via posta elettronica)
Community Web
Corsi di formazione a distanza
Corsi in aula
Codice etico
Diffusione e mantenimento della consapevolezza sui rischidi sicurezza
Affermazione di “etica della sicurezza”
Workshop ISCOMBusiness
Intelligence
Risk Assessment
Impact estimation
RiskAssurance
Risk Monitoring
Coordination and Communication
Process mapping
Risk Evaluation
Risk Treatment
ImplementationPlanning
ObiettiviObiettivi
StrumentiStrumenti
L’attività di informazione, formazione e sensibilizzazionesulla sicurezza deve essere costante
GBS / Security
Cooperazioni in essere
20
Workshop ISCOM
Convenzione con Polizia delle Comunicazioni
Protocollo Nazionale di legalità tra Enel e Ministero dell’Interno
Osservatorio sui furti di rame
Protocolli territoriali
GBS / Security
Agenda
21
Cyber Risks ed Energy Company
Il contesto Enel
L’approccio Enel
Workshop ISCOM
Il processo ISRM
Conclusioni
GBS / Security
L’evoluzione da un approccio “reattivo” ad un approccio “proattivo” è fondamentale per reggere alle sfide attuali e per garantire un adeguato livello
di controllo dei rischi
La Business Intelligence, la Business Impact Analysis e la capacità di indirizzare standard e soluzioni tecnologiche, sono tra i principali fattori
abilitanti per questo processo di cambiamento
Un sistema complesso, quale quello di una grande azienda, è proattivo quando fornisce risposte forti a segnali deboli
Conclusioni
22
Workshop ISCOM
GBS / Security
Q&A
23
?
Workshop ISCOM