ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati 1 Alessandro Da Re, CRISC

ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati 1

Alessandro Da Re, CRISC Chief Executive Officer

RISCHIO INFORMATICO E CONTINUOUS AUDITING:

Monitorare in continuo i livelli di sicurezza: quali implicazioni?

ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati Pag.2

• Cosa significa “Monitorare continuamente i livelli di sicurezza” ?

• Come definire in maniera accettabile la descrizione olistica(1)

di “Livello o indice di sicurezza”?

• Cosa misuro? Le infrastrutture IT gli “apparati di sicurezza”? I Processi e le procedure di Security Governance? Il grado di affidabilità del software?

• Quali le metriche? Qualitative? Quantitative? O altro? • Chi certifica che la misurazione effettuata è efficace ?

Quesiti

1- Relativamente a ciò che può essere chiamato "olistico", per definizione, la sommatoria funzionale delle parti è sempre maggiore/differente della somma delle prestazioni delle parti prese singolarmente.


Security Index? Ma per favore…


Proviamo ad immaginare…

Quanto si può prevenire? Quali indicatori? Premonizioni Cognitive?


Casi reali

Oltre ai parametri operativi consentiti …non sempre va come auspico. Il caso “Bud Hollands”


• Consapevolezza e immediatezza di informazioni sui rischi; se mancano sono il primo vero rischio per il business.

• Quindi, va da se, l’esigenza del controllo è evidente perché si sa, prevenire è meglio (che curare).

• Security Marketing! Rappresentare efficacemente i rischi al management è un driver

• I Framework di riferimento forniscono i “parametri operativi” e gli ambiti di controllo (CobIT, ValIT, RiskIT, ISO 27001 etc.).

• Risk Management e “Valore del Business”: fondamenti per la strategia di BC

Da queste sintetiche ma fondamentali considerazioni è nata, nel 2000, l’idea di pensare ad un tool che fosse in grado di recepire diversi indicatori dall’ambiente, di “misurare” un “indice di sicurezza” e di relazionarlo a KPI recepite da “indicatori di Business” (Business Intelligence).

GENESI


E’ il concetto di base nella gestione delle situazioni complesse, e consente di avere “il polso” della situazione, agire con efficacia ed efficienza, evitare situazioni di panico, prevenire. In sintesi: mantenere il controllo e la consapevolezza in qualsiasi condizione

Situational Awareness


Concetto mutuato dalla cultura militare:

• Individuare le minacce prima di essere alla loro portata;

• Gestire in maniera proattiva la propria infrastruttura

• Prevenire gli incidenti e agire in maniera coordinata

• Avere la visione completa dello scenario

Early Warning

http://upload.wikimedia.org/wikipedia/commons/d/d0/Usaf.e3sentry.750pix.jpg


Significa:

• Conoscere l’ambiente ed il suo valore (scenario)

• Scegliere uno o più framework di riferimento e confrontarlo “il più spesso possibile”

• Sintesi efficace delle informazioni che ritengo strategiche

• Accorgersi per tempo che “qualcosa non va” rispetto alle policy

• Individuarne la causa e decidere sul rimedio nel minor tempo possibile.

Definiamo; Monitorare

Il termine monitoraggio deriva dal latino monitor – oris, derivato di monere, con il significato di ammonire, avvisare, informare, consigliare.Il termine ha origine in ambiente industriale, per indicare la vigilanza continua di una macchina in funzione, mediante appositi strumenti che ne misurano le grandezze caratteristiche (velocità, consumo, produzione, ecc.).Il significato originario si è ampliato: dalla macchina all'intero processo, a tutta una struttura operativa, includendo in essa anche le risorse umane

http://it.wikipedia.org/wiki/Processo


Una BIA consente di valutare l’impatto sul Business che potrebbe avere un “Rischio” non correttamente gestito.

Il Risk Management, evidenzia i rischi a cui sono esposti gli Asset strategici (scope) con l’obiettivo di mitigarli.

MONITORARE: Determino il grado di rischio, in funzione della criticità e natura dell’asset, della probabilità e della tipologia e numero di vulnerabilità del sistema che lo ospita o dei processi che sottende…

In breve: Misurare quindi in modo oggettivo (Best Practice) un ambiente soggettivo (scope)

Monitorare; paradigmi


Le tecniche di Audit tradizionali, prevedono dei controlli “manuali” effettuati in istanti diversi, a campione (ISO 19011)

Può accadere che nel lasso di tempo che intercorre tra l’attività di controllo effettuata nell’istante T e la successiva dell’istante T1, avvengano dei fatti – ad esempio la rilevazione di una vulnerabilità in un sistema - tali per cui il livello di sicurezza si abbassa, esponendo l’infrastruttura a dei reali rischi di attacco.

“Computer Security Audit”, rappresenta quel segmento di processi organizzativi e strumenti tecnologici atti a rilevare lo “stato di salute” di un sistema informativo.

Misurare il livello di sicurezza di una infrastruttura IT è da sempre stata una sfida importante, tanto più complessa quanto più esteso è l’ambiente d’analisi.

Monitorare Continuamente?


Continuous auditing has been defined as a methodology or framework that enables auditors (external and internal) to provide written results on the subject matter using one or a series of reports issued simultaneously. The ability to report on events in a real-time or near real-time environment can provide significant benefits to the users of audit reports

“Continuous Audit” (CA) consente, se associato alle opportune attività di applicazione delle contromisure, di ridurre drasticamente il rischio di violazione dei sistemi e mantenere il livello di sicurezza vicino al target di riferimento.

ISACA in un articolo apparso nella rivista “Information Systems Control Journal, Volume 5, 2002” dichiara:

Continuous Auditing: Is It Fantasy or Reality?

Monitorare Continuamente!


Rappresenta una sfida complessa in quanto occorre:

• Mantenere una ricognizione continua delle vulnerabilità sulle situazioni esistenti (Early Warning);

• Controllare attivamente tutte le nuove situazioni che possano rappresentare un rischio;

• Realizzare adeguate metriche per ricavare il Livello di Sicurezza complessivo, da rappresentare in modo intuitivo e immediato e in forma sia sintetica che analitica.

Continuous Auditing


• Non esistono standard (de facto o meno) che suggeriscano la “metrica” per definire un IT Security Index.

• Tuttavia; tutto ciò che esiste è misurabile (o no?)

• Allora: perché è difficile o utopico parlare di IT Security Index?

• Viene spontaneo il quantum “Qualitativo”, ancorché “Quantitativo”

• Presupposto 1: In presenza di Vulnerabilità, aumenta il rischio di violazione, diminuisce l’indice di sicurezza.

• Presupposto 2: Audit significa evidenziare per tempo vulnerabilità (di varia natura), che possano compromettere i requisiti di sicurezza e, di conseguenza, il business.

IT Security Index??? (ma per favore 2!!!)


I rischi IT indotti dalle minacce e dalle vulnerabilità non gestite sono molteplici

e di diversa natura.

Misurarli tutti significa trovarsi con una plancia di comando traboccante di

strumentazione ed indicatori; in caso di emergenza, l’attenzione è rivolta solo

agli strumenti più importanti e facilmente visibili.

Schema di un abitacolo del Mikoyan-Gurevich MIG-23BN

un unico indicatore, pur

mantenendo il dettaglio

dell’informazione, rende efficace

l’intervento di remediations.

Una metrica adeguata pondera i

singoli rischi ricavandone un unico

indice, per orientare correttamente

attenzione ed investimenti sui punti

realmente più critici.

Misure: Le metriche - esperienza

http://upload.wikimedia.org/wikipedia/it/8/89/Abitacolo.jpg


Security Metrics Contributo %

M1 Numero totale di vulnerabilità di tipo HIGH 25,0 19,2

M2 Numero di vulnerabilità per tipologia diverse di tipo HIGH 25,0 19,2

M3 Numero di vulnerabilità di tipo MID 17,5 9,3

M4 Numero di vulnerabilità diverse di tipo MID 17,5 9,3

M5 Numero di vulnerabilità di tipo LOW 7,5 3,5

M6 Numero di vulnerabilità diverse di tipo LOW 7,5 3,5

M7 Disponibilità dei singoli servizi 0 18,0

M8 Disponibilità di processo “A” (p.es. Ciclo Attivo) 0 18,0

Totale contributo sul calcolo del Security Index 100,0 100,0

Analisi Quali – Quantitativa per uniformare il monitoraggio dei Rischi IT, su infrastrutture tecnologiche complesse. In queste metriche di esempio, vengono inseriti nel calcolo dell’indice di sicurezza i fattori di rischio relativi alle vulnerabilità dei sistemi, e alla disponibilità di un “processo” associato ad una Applicazione critica.

Il ”set” di metriche può essere esteso in modo significativo, assegnando di volta in volta il “peso” con il quale ognuna di essa influisce per il calcolo del livello di sicurezza in quello specifico ambiente.

Metriche


Il rischio di violazione dei sistemi aumenta considerevolmente nel caso si fosse in presenza di più vulnerabilità di diverso tipo in più host, dando quindi più possibilità di successo nell’ottenere un accesso non autorizzato ai sistemi.

La metriche rendono il calcolo del SL(Security

Level) indipendente dall’ambiente

e dalle dimensioni

dell’organizzazione

Metriche


ISACA Tools:

Altre security Metrics?


L’esperienza e le esigenze di mercato, ha portato a ragionare e sviluppare un prodotto

d’ausilio al monitoraggio continuo del Rischio, cercando di realizzare ciò che in letteratura è

considerata una sfida.

L’azienda, completando un percorso iniziato nel 2002, ha voluto investire risorse per lo

sviluppo del prodotto, portandolo a brevetto Italiano:

Qhawax: “El que observa o vigila con astucia”


Qhawax: L’architettura


Qhawax: L’architettura di monitoraggio


MO

DELLO

AR

CH

ITET

TU

RA

LE Q

HA

WA

X

SICUREZZAINFRASTRUTTURA

APPLICAZIONE

Asset Inventory

Classificazione delle vulnerabilità

Security Index per ogni singolo sistema

Network Security Index

Analisi automatica delle vulnerabilità e trend SI

Security Server

Metriche diSicurezza

Sonde distribuite

Calcolo dell’indice globale di sicurezza

Valutazione dei dati raccolti per indicatore

Raccolta e archiviazione dati di analisi

Analisi

Ambito

tecnologico

GSI: Reti, Sistemi, Servizi IT e OrganizzazioneLIVELLO

DI CONTROLLO

Cruscotto Real-Time Reports,

documentazione e Allarmi

Qhawax: Schema Logico modulo VA


La dashboard propone un Security Level complessivo.In questo esempio, il sistema evidenzia l’aggregazione della metrica “vulnerabilità di sistema”, con la possibilità di drill-down nel singolo dettaglio.

Dashboard


Dashboard


Dashboard


Early Warning

RSSFeed

E-mail SMS

Quali sono i giusti sistemi di allerta?

Vengono presi correttamente in

considerazione?

L’infrastruttura organizzativa è in grado di

sostenere e garantire un adeguato livello di

sicurezza agli utenti?

I Sistemi di allerta


La Business Impact Analysis, punto di partenza valutare l’impatto che una errata gestione del rischio, può comportare.

Individuare i processi “core” dell’impresa, e valuta l’impatto economico / organizzativo del loro ripristino, in caso di emergenza, in funzione del tempo (Recovery Time Objective) e della relativa perdita economica.

L’idea di integrare IT Risk con la Business Intelligence consiste, in breve, nell’ottenere indicatori relativi al “valore” del processo, e porlo in relazione con i rischi rilevati e valutare:

• Costi di ripristino;• RTO massimo consentito dal business;• Scenari di impatto (what if).

La sensibilizzazione verso l’IT Security, avviene attraverso parametri di conto economico e di immagine (perdita / guadagno) in funzione del Rischio.

Business Intelligence


Integrazione


Abbiamo voluto premiare l’iniziativa e l’effort di questi anni, decidendo di brevettare la soluzione.

Qhawax è quindi registrato dal 2008 come brevetto n° TO2008A000217 “Metodo , Apparecchio e sistema per calcolare in modo completamente automatico il livello di sicurezza di un sistema informatico”.

L’analisi di applicabilità, la stesura della documentazione e la presentazione della domanda di brevetto, è stata affidata allo Studio Torta di Torino

Da Idea a brevetto


Ci auguriamo che il metodo proposto possa diventare oggetto di studio e di critica proattiva da parte dei colleghi: L’obiettivo è di ampliare i concetti di monitoraggio e valutazione della sicurezza, anche e soprattutto attraverso l’aggregazione di competenze.

La rappresentazione grafica dell’indice di sicurezza (Security Marketing) sarà quindi “solo” il risultato di approfondimenti e considerazioni di professionisti dell’ IT Security & Audit e della Business Intelligence.

Conclusioni


CHI E’ LOGICAL SECURITY

Presente nel mercato della sicurezza logica dal 2002, base su Treviso.

Alcune referenze:

• SAVE Aeroporti di Venezia

• MAE - Unità di Crisi

• Gruppo De’ Longhi

• Università Cattolica S. Cuore- Roma

• Crediveneto - BCC

• Replay Fashion Box

• Autovie Venete

• GGP Italy

• Gruppo Stefanel

• Gruppo Despar

• Gruppo Unicomm (Famila)

• Gruppo Supermercati Alì

• T-Systems Italia

• YKK


CHI E’ LOGICAL SECURITY

c

Security Operation

Center

c

IT SecurityTechnology

Applications

Expertise

IT Governance

&Security

Access Control

Business Continuity

IAM

Recovery Backup

Antivirus Firewall

Dipartimentale

Networking

Compliance Audit

Business Process Management

IT Strategy

PKI

VPN (IPSEC/SSL)

Measuring

Management

Mainframe Z/OS

Business Intelligence

Collaborazione Elettronica - EDI

LOGICAL SECURITY PORTFOLIO

Business ImpactAnalisys

Assessment

Cost Reduction

Un gruppo di professionisti fortemente orientati alle sviluppo di competenze dei suoi consulenti e del cliente.

Cloud


Alessandro Da Re, CRISC Chief Executive Officer

RISCHIO INFORMATICO E CONTINUOUS AUDITING:

Monitorare in continuo i livelli di sicurezza: quali implicazioni?

Grazie per l’attenzione !

Documents

ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati 1 Alessandro Da Re, CRISC