PricewaterhouseCoopers Advisory Consulting · Al fine di definire un modello e una strategia per ridurre l’esposizione a rischi ... I Start Up II Assessment III Strategy & Roadmap

PwC

AIEA

La gestione della strategia di sicurezza

novembre 2009

PricewaterhouseCoopers Advisory

Consulting

Contenuti

1. Perché disegnare una strategia di sicurezza

2. Approccio PwC all’Information Security Strategy

3. Principali strumenti utilizzati

4. Allegati

Sezione 1

Perché disegnare una strategia di sicurezza

PricewaterhouseCoopers

novembre 2009

Slide 4


Ad un aumento degli investimenti sulla sicurezza delle

informazioni non sempre corrisponde un reale miglioramento

I CIO sono spesso frustrati per la quantità di risorse, anche finanziarie,

destinate a progetti di sicurezza e tecnologia, rispetto ai benefici che ne

possono ottenere.

Il denominatore comune solitamente è lo stesso: la mancanza di una strategia

di sicurezza ben progettata a livello aziendale.

Molte organizzazioni mostrano un approccio reattivo ai temi della sicurezza

implementando, in maniera non coordinata e sistematica, specifiche soluzioni

in risposta a singole minacce o violazioni.

Questo approccio, oltre a risultare costoso, si risolve paradossalmente in un

“patchwork” di soluzioni che rendono l’organizzazione meno sicura.

Fonte: “How to Design a Security Strategy (and Why You Must)” – http://www.cio.com/article/482446


novembre 2009

Slide 5


È necessaria una strategia di sicurezza che sia onnicomprensiva

ed allineata agli obiettivi di business nel medio periodo

Il primo passo da compiere è effettuare una valutazione dello stato attuale

della sicurezza a 360°, utilizzando predeterminati livelli di maturità.

Tale esercizio, oltre a fare assumere consapevolezza da parte dell’azienda

circa lo stato attuale, rivela i principali gap e indica quali sono i più critici,

consentendo inoltre di indirizzare i problemi di sicurezza proattivamente.

Una volta noto lo stato attuale e definito lo stato desiderato, in funzione degli

obiettivi strategici aziendali sarà immediata la definizione della strategia che

coinvolga tutti gli aspetti della sicurezza.

Senza una soluzione olistica il CIO non sarà in grado di elevare il tema della

sicurezza al rango della strategia aziendale, alla quale appartiene per natura.

Fonte: “How to Design a Security Strategy (and Why You Must)” – http://www.cio.com/article/482446

Sezione 2

Approccio PwC all’Information Security Strategy


novembre 2009

Slide 7

L’approccio di PwC è orientato ad allineare l’IT al Business

attraverso la comprensione della catena del valore aziendale

Attività di

Supporto

Requisiti

Attività

Primarie Valore

Creazione &

Protezione

IDENTIFY

(Envision)

CREATE

(Engineer)

CAPTURE

(Operate)

SUSTAIN

(Respond)

Processi aziendali

Organizzazione

Tecnologie

Obiettivi di Business

M

ar

g

i

n


e


novembre 2009

Slide 8

Ogni organizzazione dovrebbe definire ed implementare un

proprio disciplinare di sicurezza con il quale autoregolamentarsi

L’implementazione di standard quali l’ISO/IEC 27000 può essere molto

dispendiosa in termini di tempi e costi.

Al fine di definire un modello e una strategia per ridurre l’esposizione a rischi

di Sicurezza, è importante effettuare un approccio snello e flessibile che

garantisca benefici concreti e misurabili.

PwC propone di effettuare una valutazione dell’attuale livello di maturità di in

ambito Sicurezza, creando un proprio disciplinare di sicurezza che faccia

riferimento ai più importanti standard in materia di controlli IT e Security (p.e.

ISO27000, CObIT, Privacy, ITIL, Basilea II, HIPAA, etc.).



novembre 2009

Slide 9

Il framework PwC “SecurityATLASTM” è lo strumento per

assistere il CISO nella definizione della strategia di sicurezza

Tale framework propone un approccio strutturato e scalabile per il

miglioramento della sicurezza dell’informazione. La definizione dei Quick-win,

del Piano dei Progetti e del Piano Strategico, consente di aumentare il livello

di maturità su tutti i domini della sicurezza, prioritizzando gli interventi in base

alla criticità (come ad esempio la conformità a Leggi o gravi debolezze

rilevate).

In questo modo si riesce ad instaurare un circolo virtuoso (Continual Service

Improvement) per il miglioramento della Sicurezza dell’Informazione, mediante

un progressivo e graduale aumento del livello di maturità che, passo dopo

passo, consente di raggiungere gli obiettivi di sicurezza desiderati.

L’articolo di PwC Advisory “How to Design a Security Strategy (and Why You

Must)” basato sul SecurityATLAS, spiega inoltre come tale strumento

permetta di ottenere un adeguato coinvolgimento da parte del top

management (http://www.cio.com/article/482446).



novembre 2009

Slide 10

F

Implementazione

Strategia &

Roadmap

<


I Start Up II Assessment III Strategy & Roadmap IV Implementazione

Punti di approvazione formale

A

Definizione del

perimetro di

intervento

B

Definizione degli

obiettivi di sicurezza

dell’informazione

C

Information Security

Maturity

Assessment

“Approccio Proposto”

E

Definizione

Strategia &

Roadmap

D

GAP Analysis



novembre 2009

Slide 11

L’approccio PwC si pone diversi obiettivi, tra cui la valutazione

dell’attuale livello di maturità in ambito sicurezza

I principali obiettivi dell’approccio PwC sono i seguenti:

• definizione del perimetro di intervento (sistemi e processi IT);

• identificazione, definizione e condivisione degli obiettivi di sicurezza;

• valutazione dell’attuale livello della sicurezza dell’informazione;

• identificazione dei Gap fra la situazione attuale e quella desiderata;

• identificazione delle azioni da compiere per colmare i gap identificati;

• definizione di una strategia di approccio comprendente Quick-win*, Piano

dei Progetti e relativi costi, Responsabilità e Roadmap di

Implementazione.


* Quick-win: attività che comportano un effort ridotto e che devono essere eseguite con alta priorità

Sezione 3

Principali strumenti utilizzati


novembre 2009

Slide 13

I principali strumenti utilizzati permettono di comunicare

chiaramente il valore della Security a tutti i livelli aziendali (1/3)

Livello di Maturità attuale:

rappresenta l’attuale stato della

sicurezza dell’informazione, per

ogni dominio, in termini di livello

di maturità, copertura dei controlli

e gravità delle criticità.

Livello di Maturità desiderato:

rappresenta il livello di maturità

desiderato per ogni dominio di

Sicurezza e i GAP tra lo stato

attuale e quello desiderato.


00,5

11,5

22,5

33,5

44,5

5

1.SP

2.OIS

3.AM

4.HRS

5.PES

6.COM7.AC

8.ISADM

9.ISIM

10.BCM

11.CO


novembre 2009

Slide 14



Gap Analysis

rappresenta l’identificazione dei

Gap fra la situazione attuale e

quella desiderata, individuando le

azioni da compiere per colmare i

gap identificati.

RACI

rappresenta la matrice di

assegnamento delle

responsabilità: Responsible,

Accountable, Consulted,

Informed.


Punti d’attenzione, QuickWin e Progetti per ogni dominioInserire nome dominio (XX) Ref Disciplinare: XX.x – XX.x

Descrizione: Inserire descrizione.

Obiettivi: Inserire obiettivi.

Livello di Maturità AS IS: x su 5 (Maturità) Severity: Severity

Effort

EXT (gg) INT (gg) Capex (K€)

QW 0 0 0

PR 1 0 0 0

PR 2 0 0 0

PR 3 0 0 0

PR 4 0 0 0

Punti di Debolezza• Inserire punto di debolezza.

• Inserire punto di debolezza.



Totale 0 0 0

Progetti

Nome progetto PR 1: Descrizione progetto.




Livello di Maturità TO BE:Maturità

QuickWin

Inserire QuickWin EXT QW

Inserire QuickWin INT


novembre 2009

Slide 15



Piano dei Progetti

rappresenta l’insieme dei progetti

da implementare a breve e medio

termine, la stima dell’effort per

ognuno di essi e la relativa

distribuzione temporale.

Piano Strategico

rappresenta i progetti da

implementare a breve, medio e

lungo termine per il

raggiungimento degli obiettivi

strategici di sicurezza.


Sezione 4

Allegati


novembre 2009

Slide 17back

Livello di Maturità attuale

Allegati


novembre 2009

Slide 18back

Livello di Maturità desiderato

00,5

11,5

22,5

33,5

44,5

5

1.SP

2.OIS

3.AM

4.HRS

5.PES

6.COM7.AC

8.ISADM

9.ISIM

10.BCM

11.CO

Allegati


novembre 2009

Slide 19back

Punti d’attenzione, QuickWin e Progetti per ogni dominioSistemi ed Infrastrutture di Rete (IR) Ref Disciplinare: IR.x – IR.x

Descrizione: Disegno, realizzazione e manutenzione di infrastrutture di rete sicure (apparati di comunicazione, server, client e

sistemi operativi).

Obiettivi: La gestione di infrastrutture di rete sicure garantisce l’affidabilità nel tempo delle risorse impiegate e la qualità dei dati

scambiati.

Livello di Maturità AS IS: 2 su 5 (Informal) Severity: Alta

Effort

EXT (gg) INT (gg) Capex (K€)

QW 15 8 0

IR A 10 5 0

IR B 30 15 0

IR C 15 5 5*

IR D 18 7 100**

Punti di Debolezza• Mancanza o mancato aggiornamento di alcune procedure operative per la gestione e il monitoraggio dei sistemi.

• Non è presente un processo strutturato per il mantenimento e il monitoraggio degli Asset IT.

• Non è presente un processo strutturato per l’aggiornamento dei sistemi.

• Non vengono svolte periodiche attività di Vulnerability Assessment.

• Non è stato definito uno specifico processo per gestire e tracciare gli Incidenti di Sicurezza.

Totale 88 40 105

Progetti

IR A. IT Security Asset Inventory: Predisposizione e aggiornamento

periodico dell‘inventario degli Asset IT, con particolare focus sugli

aspetti di sicurezza.

IR B. Patch Management: Definizione del processo di

aggiornamento dei sistemi critici, che può essere automatizzato o

manuale dipendentemente dai sistemi coinvolti.

IR C. Vulnerability Assessment: Definizione di un processo di

verifica delle vulnerabilità sui sistemi critici. Esecuzione di una prima

verifica, analisi dei risultati e Action Plan per le eccezioni riscontrate.

IR D. Security Incident Management: Definizione della strategia di

Gestione degli Incidenti di Sicurezza e stesura della documentazione

a supporto.

Livello di Maturità TO BE:Standardized/Monitored

* acquisto licenze vulnerability scanner

** acquisto licenze tool di trouble ticketing

QuickWin

QW. Policy Review

Controllo Accessi da remoto


novembre 2009

Slide 20back

Matrice RACI

Allegati


novembre 2009

Slide 21back

Piano dei Progetti

Allegati


novembre 2009

Slide 22back

© 2009 PricewaterhouseCoopers. All rights reserved. “PricewaterhouseCoopers” refers to the network

of member firms of PricewaterhouseCoopers International Limited, each of which is a separate and independent

legal entity. *connectedthinking is a trademark of PricewaterhouseCoopers LLP (US).PwC

La gestione della strategia di sicurezza

Documents

PricewaterhouseCoopers Advisory Consulting · Al fine di definire un modello e una strategia per ridurre l’esposizione a rischi ... I Start Up II Assessment III Strategy & Roadmap