Aggiungere Valore al Business con la Sicurezza Informatica
SESSIONE DI STUDIO AIEARoma 13 maggio 2003
pwc
AIEA - Roma 13 maggio 2PwC
Contenuti
• I presupposti: da ICT a Business Security
• La protezione delle informazioni
• L’identity management• Il business dell’esclusione e
quello dell’inclusione• L’Enterprice Security
Business ModelTM
AIEA - Roma 13 maggio 3PwC
Prerequisiti
• Buona conoscenza – di un sistema di gestione della
sicurezza: dagli aspetti strategici a quelli tecnici
– dei principali standards di riferimento (ISO 17799, BS7799, CobiT, ISF standard of good practice e simili)
– delle tante attività condotte da un’azienda che raggiungono obiettivi di sicurezza
Tra
inin
g an
d A
war
enes
s P
rogr
am
Information Security Management Structure
Security Vision and Strategy
Security Architecture and Technical Standards
Threats
Sen
ior
Man
agem
ent C
omm
itmen
t Vulnerability & RiskAssessment
Technology Strategy & Usage
Policy
Security Model
Administrative and End-User Guidelines and Procedures
Recovery Processes
EnforcementProcesses
MonitoringProcesses
Business Initiatives & Processes
Metodologia ESA (Enterprise Security Architecture) per la realizzazione del Sistema di Gestione della
Sicurezza
AIEA - Roma 13 maggio 4PwC
Presupposti
• Oggi il ruolo della Security è strettamente correlato ad esigenze di business e deve necessariamente integrare aspetti organizzativi, strategici, tecnici ed operativi.
• Da una funzione confinata alla protezione dei Sistemi Informativi (ICT Security), oggi l’Information Security presenta la necessità di:
– diventare vera e propria ‘parte fidata’(controllo di garanzia) a tutela dell’azienda.
– entrare nel merito e coinvolgersi, con ampia visibilità, sui processi di businesse progetti infrastrutturalidell’organizzazione
– Essere in grado di generare valore
Protezione dei sistemi informativi (the business of esclusion)
pwc
SESSIONE DI STUDIO AIEARoma 13 maggio 2003
AIEA - Roma 13 maggio 6PwC
Introduzione all’Information Security Forum
• un’organizzazione internazionale, indipendente e non-profit
• sostenuta da circa 300 membri fra i principali gruppi di aziende multinazionali
• sviluppa progetti in ambito “Information Security” utilizzando un enorme quantità di esperienze e competenze
• realizza studi e linee guida su argomenti specifici, quali ad esempio: Corporate Governance, Information Risk Management, Internet Security, Security Methodologies & Standards, etc..
• pubblica annualmente l’Information SecurityStatus Survey in cui vengono riportati dati aggiornati di benchmarking sui diversi temi dell’Information Security.
AIEA - Roma 13 maggio 7PwC
ISF 2002 survey results
• Completato gennaio 2003• Questionario da 700 domande• 196 gruppi membri hanno risposto• Metodologia FIRM• Valido per il benchmarking interno
– posizionamento– analisi dei rischi
AIEA - Roma 13 maggio 9PwC
L’analisi dei rischi
L’azienda che ha eseguito un’analisi dei rischi risponde meglio, e più efficacemente ai crescenti requisiti di sicurezza
AIEA - Roma 13 maggio 10PwC
La presenza di una funzione dedicata
Security ratings of enterprises that had an information security function = 2.47
Security ratings of enterprises that had no information security function = 1.78
The presence of an information security functionhad a significant effect on controls
(Scala da 1 a 4)
AIEA - Roma 13 maggio 11PwC
Incidenti e perdite finanziarie
Business impact
Security issueshave a real affecton the business
0% 20% 40% 60%
Delayed deliveries to customers or clients
Unforeseen costs
Breach of operating standards
Reduction in staff morale / productivity
Loss of management control
Loss of tangible assets
Loss of sales, orders or contracts
Increased risk (eg financial or safety)
Embarrassment by negative publicity
Loss of customers or clients
New ventures held up
Penalties / legal liabilities
Loss of competitiveness
Loss of confidence by key institutions
Depressed share price
Injury or death
Any business impact Major business impact
% of enterprises suffering incidents that had an impact on their business
• Circa 200.000 incidenti nell’ultimo anno
• 76% hanno determinato perdite finanziarie
• Il più costoso degli incidenti è costato $61 milioni
• La media è stata di $380.000 per incidente
AIEA - Roma 13 maggio 13PwC
Attuali aree d’intervento in ITALIA
• Maggior livello di consapevolezza dei rischi associati alla Sicurezza Informatica.
• Le principali aziende hanno già, o si apprestano ad adottare, unadeguato sistema di gestione della sicurezza.
• Un numero crescente di imprese richiedono “certificazioni” specifiche quali BS7799 e ISO17799.
• Presenza del legislatore in settori specifici e correlati (Privacy, Firma digitale, IT Audit, Corporate Governance).
• Le aree d’intervento rimangono comunque incentrate sulla PROTEZIONE degli asset informativi.
AIEA - Roma 13 maggio 14PwC
ISF FIRMFundamental Information Risk Management
• Metodologia dinamica di analisi e gestione del rischio
• Basata su scorecards e quindi permette la quantificazione dei rischi.
• Propensa all’impianto sulle normali attività operative
– Implementazione– change management– operatività
• Prevede il monitoraggio continuo (dall’assessment all’analisi degli incidenti)
• Supportato da adeguati web tools
INFORMATION RISK
SCORECARD
INFORMATION INCIDENT
Brief assessment
Un metodo per misurare il raggiungimento degli obiettivi di business
AIEA - Roma 13 maggio 16PwC
Lo scenario del nuovo millenio
• La sopravvivenza dipende oggi dall’abilità dell’impresa di utilizzare efficacemente le nuove tecnologie, per poter interagire con i business partners, fornitori, agenti, clienti e dipendenti.
• La nuova sfida: Modelli di business da “impresa virtuale”, in grado di eliminare i confini, cosicché gli “outsiders” diventino “insiders”
AIEA - Roma 13 maggio 17PwC
La sfida
Nel passato la sfida è stata quella di tenere le “persone sbagliate” lontane dai
propri sistemi.
Oggi l’obiettivo è quello di attirare le “persone giuste” alle diverse nuove
attività di business.
AIEA - Roma 13 maggio 18PwC
Sicurezza più che mai
• L’apertura dei sistemi verso l’esterno espone a nuovi rischi: lasicurezza diventa sempre più un aspetto cruciale per lo sviluppo del business.
• Ogni componente dell’infrastruttura tecnologica (sistemi operativi, database, web server, applicazioni, network, etc…) ha introdotto nuove funzionalità di sicurezza, fornendo tuttavia differenti modalità operative per la gestione delle utenze, per la definizione dei privilegi di accesso alle applicazioni, etc..
• Questo ha comportato un incremento dei costi operativi, una richiesta di competenze specialistiche dei System Administrator e di conseguenza una perdita di produttività dovuta alla complessità nella gestione dei processi di amministrazione dei sistemi informativi
• Un fattore critico di successo per le aziende diventa allora la capacità di gestire in modo efficace ed efficiente la problematica delle utenze.
AIEA - Roma 13 maggio 19PwC
La soluzione
Identity Management (IdM): “Fornire validi accessi alle persone giuste
nel momento giusto”
La Soluzione
IdM è una convergenza di tecnologie e processi di business. Non c’è un singolo approccio poiché la strategia deve riflettere requisiti specifici all’interno del contesto tecnologico e di business di ogni società.
AIEA - Roma 13 maggio 20PwC
Drivers e componenti
Identity Management (IdM), da
PwC
Key Drivers
Riduzione dei Costi
Migliore Sicurezza
Maggiore Conformità
Usability
Gestione Centralizzata
Delegated Management
Successo del progetto
AIEA - Roma 13 maggio 21PwC
Autenticazione
Esempi di Autenticazione:• User name e Passwords• PIN Numbers• Digital Certificates (PKI)• Tokens (SecurID)• Biometrics (Hand Scans, Retinal Scans)• Virtual Smart Cards• Electronic Passports
L’Autenticazione è un meccanismo che consente di
effettuare transazioni di business con diversi livelli di sicurezza sull’identità di una persona (sono veramente
coloro che dicono di essere?)
Key technology vendors in this space:
Key Service Providers in this space :CERTIFICATION AUTHORITIES
AIEA - Roma 13 maggio 22PwC
Controllo degli accessi
Key technology vendors in this space:
Controllo degli accessi. Assicura che gli utenti abbiano accesso
solamente a quelle applicazioni o risorse che sono abilitati ad usare o
vedere. Conosciuto anche come Privilege Management Infrastructure (PMI)
Cosa comporta un Access Control :• Un’infrastruttura comune per l’autenticazione
e l’autorizzazione all’uso di molteplici applicazioni.
• Permette un unico livello di accesso “Single Sign-on” per accedere ad applicazioni web (e altre applicazioni)
• Riduce i costi operativi associati al controllo dell’accesso utenti.
AIEA - Roma 13 maggio 23PwC
La gestione delle utenze
Key technology vendors in this space:
User Management è il termine utilizzato per definire tecnologie che
consentono di gestire un grande numero di utenti. Provisioning è un
altro termine usato per definire quest’ambito.
Cosa comporta un User Management:• Automazione dei processi di ‘workflow’ per creare
‘partecipanti’ e dare loro accesso a tutte le applicazioni di cui necessitano, per svolgere il loro lavoro (provisioning).
• Rimozione automatica dei ‘leavers’ dai multipli sistemi (de-provisioning)
• Self-service e delega delle funzionalità del management.
AIEA - Roma 13 maggio 24PwC
Gli “user directories”
Un directory è un elemento software che immagazzina informazioni (simile ad un
database). Un directory costituisce un archivio per le informazioni degli utenti. L’accesso avviene tramite il Lightweight
Directory Access Protocol (LDAP).
Cosa ci consente di fare un’ Enterprise Directory:
• Archivio centralizzato, flessibile e sicuro per il profilo degli utenti.
• Scalabilità fino a molti milioni di utenti. • Capacità di rilasciare rapide risposte a
centinaia di domande al secondo. • Integrazione basata sugli standard per le
principali applicazioni.
Key technology vendors in this space:
AIEA - Roma 13 maggio 25PwC
Benefici del modello IdM
• Migliora la sicurezza e la protezione delle key applicationaziendali e degli asset informativi attraverso:
– L’applicazione real-time delle policy e delle autorizzazioni – Una continua verifica real-time per individuare e rimuovere rischi di
sicurezza – La possibilità di rimuovere gli utenti terminati e revocare i loro diritti di
accesso facilmente e automaticamente – Una fonte centralizzata e autorevole di informazioni sulle identità, le
regole d’accesso ed i privilegi
• Abbassa i costi di amministrazione e assistenza degli utenti:– Automatizzando task manuali o semi-manuali riguardanti la modifica dei
diritti d’accesso e l’assistenza agli utenti– Eliminando i task duplicati e riducendo il rischio d’errore– Consentendo allo staff di focalizzarsi sulle funzioni core, gestendo
facilmente un numero di utenti in rapida crescita
• Garantisce conformità con le politiche dell’impresa e con normative e regolamenti (es. DPR 318/99)
The business of esclusion and the business of inclusion
pwc
SESSIONE DI STUDIO AIEARoma 13 maggio 2003
AIEA - Roma 13 maggio 27PwC
Due tipologie di sicurezza
The Security of Inclusion The Security of Exclusion
“Enablement” “Protection”
AIEA - Roma 13 maggio 28PwC
Tendenza: integrazione
“Enablement & Protection”
The Security of Inclusion & Exclusion
AIEA - Roma 13 maggio 29PwC
La sfida dell’inclusione ed esclusione
• Aumento di: –Identità –Requisiti di
controllo–Complessità
• Aumento di: –Minacce–Vulnerabilità–Complessità
Il Valore della Sicurezza:Anticipazione del Modello ESBM
di PwC
pwc
SESSIONE DI STUDIO AIEARoma 13 maggio 2003
AIEA - Roma 13 maggio 31PwC
PwC Enterprice Security Business ModelTM
Un modello sviluppato da PwC per fornire comprensione di come l’Information Security
aggiunge valore al business
DAI CONCETTI ALLA DETERMINAZIONE E
MISURAZIONE DEI KPI
AIEA - Roma 13 maggio 32PwC
La catena del valore
SupportCapabilities
Requirements
PrimaryActivities Value
Enablement & Protection
IDENTIFY(Envision)
CREATE(Engineer)
CAPTURE(Operate)
SUSTAIN(Respond)
Firm Processes
Organization
Technology Infrastructure
Business Objectives
Ma
rg
in
AIEA - Roma 13 maggio 33PwC
The Enterprise Security Business Model™La catena del valore della Sicurezza Informatica
BUSINESSOBJECTIVES
Organization
Firm Processes
Technology Infrastructure
ENVISION ENGINEER OPERATE RESPOND
IDENTIFY CREATE CAPTURE SUSTAIN
• Gli obiettivi del business diventano un input alle attività • Le attività si sviluppano tenendo conto
– della reale capacità di supporto dell’azienda (Organizzazione, Processi Stabili e Infrastruttura tecnologica)
– della necessità di gestire sia le attività di esclusione sia quelle di inclusione
AIEA - Roma 13 maggio 34PwC
Requirements:Business Objectives
• Gli obiettivi di business– Devono essere conosciuti e perseguiti durante tutto il processo end-to-end della
sicurezza– Influenzano e governano gli obiettivi della sicurezza dalla strategia all’operatività
giornaliera.
BUSINESSOBJECTIVES
Conform toCorporate Strategy
Reduce Risk Exposure Lower Costs Differentiate Products
Culture IT Usage/DependencyEnable New
Business Opportunities
Collaborate withThird Parties
Suppliers/Vendors Buyers/Customers Markets
Joint Ventures Competitors Collaborators
Govern CorporateSecurity & Privacy
Oversight/Enforcement Internal Mandates
Comply withRegulations
Government Cross-Border Industry
Sarbanes-Oxley
AIEA - Roma 13 maggio 35PwC
Supporting Capabilities: Organization
• L’organizzazione– Consiste di persone, ruoli e responsabilità– Include tutte quelle attività necessarie ad integrare I componenti organizzativi
dell’azienda nei processi di security
BUSINESSOBJECTIVES
Organization
Communication Training Ownership
People Culture Incentives
Responsibilities
AIEA - Roma 13 maggio 36PwC
Supporting Capabilities: Firm Processes
• I processi stabili– Sono quelli essenziali al raggiungimento dei requisiti del business– Dettano quali metodi debbano essere utilizzati per realizzare gli obiettivi
Organization
Firm ProcessesBUSINESSOBJECTIVES
Budgets Government Change Management
Business ActivitiesInterdepartmental
CoordinationPrivacy
Policies & Procedures
AIEA - Roma 13 maggio 37PwC
Supporting Capabilities:Technology Infrastructure
BUSINESSOBJECTIVES
Organization
Firm Processes
Technology Infrastructure
• Le infrastrutture tecnologiche– I componenti fisici che supportano il business– Includono I processi di sicurezza applicati all’intera infrastruttura aziendale
Hardware Software Facilities Management SolutionsSecurity Solutions
AIEA - Roma 13 maggio 38PwC
La catena del valore: Attività principali
PrimaryActivities Value
Enablement & Protection
IDENTIFY(Envision)
CREATE(Engineer)
CAPTURE(Operate)
SUSTAIN(Respond)
Ma
rg
in
AIEA - Roma 13 maggio 39PwC
Primary Activity: Identify ValueEnvision Security
• Envision Security– Determinare tipologie e livelli di sicurezza delle risorse (organizzazione,
processi e infrastrutture tecnologiche) che permettono il raggiungimento degli obiettivi di business.
– Analizzare i costi in termini di sviluppo del business e necessità di protezione– Stabilire le direttive dell’organizzazione e focalizzare le risorse della sicurezza
sulle aree di maggior necessità.
BUSINESSOBJECTIVES
Organization
Firm Processes
Technology Infrastructure
ENVISION
Align
Assess
Strategize
Analyze
AIEA - Roma 13 maggio 40PwC
Primary Activity: Create ValueEngineer Security
• Engineer Security– Trasformare le strategie di sicurezza in tecnologie e processi che permettono
di raggiungere gli obiettivi di business.– Le tecnologie e i processi proteggono i sistemi e i dati permettendo agli utenti
autorizzati di svolgere le loro funzioni.
BUSINESSOBJECTIVES
Organization
Firm Processes
Technology Infrastructure
ENVISION ENGINEER
Deploy
Secure
Control
DevelopAlign
Assess
Strategize
Analyze
AIEA - Roma 13 maggio 41PwC
Primary Activity: Capture Value Operate Security
• Operate Security– La continua gestione della sicurezza e attività di controllo tramite
organizzazione, processi e tecnologie. – Aggiornamento, miglioramento e monitoraggio dell’ambiente tecnologico
mantenendo consapevolezza dei possibili rischi.
BUSINESSOBJECTIVES
Organization
Firm Processes
Technology Infrastructure
ENVISION ENGINEER OPERATE
Maintain
Detect
Prevent
ManageDeploy
Secure
Control
DevelopAlign
Assess
Strategize
Analyze
AIEA - Roma 13 maggio 42PwC
Primary Activity: Sustain Value Incident Response
• Incident Response– Recuperare le attività dopo un incidente o un’emergenza.– Ridurre l’impatto degli incidenti, determinare i danni e ritornare rapidamente
alla normalità.– Re-allineare il processo di sicurezza agli obiettivi di business
BUSINESSOBJECTIVES
Organization
Firm Processes
Technology Infrastructure
ENVISION ENGINEER OPERATE RESPOND
Repair
RecoverStabilize
Investigate
Maintain
Detect
Prevent
ManageDeploy
Secure
Control
DevelopAlign
Assess
Strategize
Analyze
AIEA - Roma 13 maggio 43PwC
Security Value Chain in Motion
• Ogni organizzazione dovrebbe:– Identificare dove si può creare valore– progettare componenti della sicurezza per creare Valore– Gestire (rilevare, mantenere e prevenire) la security continuamente al fine di
catturare Valore.– Rispondere a incidenti e re-allineare il processo agli obiettivi di business, al
fine di sostenere il Valore
RESPONDENVISION ENGINEER OPERATE
BUSINESSOBJECTIVES
Organization
Firm Processes
Technology Infrastructure
Repair
RecoverStabilize
Investigate
Maintain
Detect
Prevent
ManageDeploy
Secure
Control
DevelopAlign
Assess
Strategize
Analyze
SUSTAINIDENTIFY CREATE CAPTURE
Il Valore della Sicurezza:Come si modificano i servizi
pwc
SESSIONE DI STUDIO AIEARoma 13 maggio 2003
AIEA - Roma 13 maggio 45PwC
Management Commitment
Com
plian
ce
Awareness & Training
Procedure
Tech
nical
Stan
dard
s
Policy
Strategy &Governance
•• Strategy Strategy & & GovernanceGovernance
Network Security
Middleware
Data
base
Sec
urity
Intrusion DetectionIncident ResponseO
/S S
ecur
ity
TechnologyPlatforms•• Technology PlatformsTechnology Platforms
CRM Systems
Web Applications
HR S
ystem
s
SCM System
s
Legacy Apps
ERP
Syste
ms
Application Security
•• Application Security Application Security ControlsControls
Gli elementi chiave delmodello ‘end-to-end’ Security (basato sulla metodologia ESA):
•• Identity ManagementIdentity Management
L’attuale modello End to End dei servizi PwC
AIEA - Roma 13 maggio 46PwC
Il futuro modello dei servizi basato su ESBMBusiness ObjectivesEsigenze e direttive che possono influenzare e potenzialmente indicare quello che la società si prefigge di realizzarePrimary Security ActivitiesAttività di sicurezza che permettano di identificare, creare, e realizzare del valore aggiuntoSecurity InvestmentDeterminazione delle attività di supporto: Organizzazione, processi e infrastrutture tecnologicheIntegration PlanningImplementazione, integrazione e manutenzione delle attività identificate
Threat DetectionIdentificazione e isolamento dei rischi in modo da minimizzare l’impatto sulle risorseVulnerability DetectionIdentificazione delle debolezze delle risorse prima che queste possano essere utilizzate per un attaccoThreat & Vulnerability RemediationIsolamento e risoluzione dei problemi di sicurezza identificatiSecurity Information ManagementInterpretare, integrare e presentare l’informazione relativa alla sicurezza da tutte le sue fonti
Business Process ControlsGarantire che sicurezza, tecnologia e controllo dei processi siano allineati agli obiettivi aziendaliTechnology Infrastructure SecurityProteggere le infrastrutture tecnologiche in modo da assicurare che il business ottenga il valore attesoIdentity Management (IdM)Fornire alle persone giuste i giusti accessi al momento giusto
Emergency Responce PlanningAssicurarsi che esistano piani di restoring e recovering e che questi riescano a ripristinare la normale operatività in situazioni di emergenzaIncident HandlingAssicurarsi che la vulnerabilità causa dell’incidente sia sotto controllo e che esistano procedure di gestione ed investigazione del medesimoElectronic DiscoveryDeterminare cosa è successo, come mai è caapitato, quali informazioni ha interessato e che conseguenza ha avuto;Addizionalmente, valutazione delle eventuali azioni legali da intraprendere
AIEA - Roma 13 maggio 48PwC
Conclusioni
• Oggi il ruolo della Security è strettamente correlato ad esigenze di business e deve necessariamente integrare aspetti organizzativi, strategici, tecnici ed operativi.
• Da una funzione confinata alla protezione dei Sistemi Informativi (ICT Security), oggi l’Information Security presenta la necessità di:
– diventare vera e propria ‘parte fidata’(controllo di garanzia) a tutela dell’azienda.
– entrare nel merito e coinvolgersi, con ampia visibilità, sui processi di business e progetti infrastrutturali dell’organizzazione
– essere in grado di generare valore
PwcGlobal Management Solutions
SEBASTIAN D'AMOREDirector Security & Technology
Viale della Liberazione 16/1820124 Milan, Italy
Tel.: +39 02 667201Direct: +39 02 66720.542
Fax: +39 02 66720.501email: [email protected]