La gestione del rischio IT a supporto della tutela del patrimonio

Transcript

La gestione del rischio IT a supporto
della tutela del patrimonio
informativo
Corrado Lonati
Direzione Sicurezza
Servizio Sicurezza Informatica
Milano, 29 Novembre 2007
Direzione Sicurezza
1
Agenda
1. Il contesto di riferimento della sicurezza informatica
2. La risposta di Intesa Sanpaolo
3. La gestione del rischio IT come elemento centrale della
Sicurezza Informatica
4. Individuazione del corretto approccio per l’assessment del
rischio IT
5. Conclusioni
Direzione Sicurezza
2
1
Il contesto di riferimento
Evoluzione della sicurezza e mutamenti nel contesto ambientale
1970
1980
Persone
e
Valori
1990
Risorse
informatiche
Evoluzione della
sicurezza nel settore bancario
Informazioni
2000
Dematerializzazione del
patrimonio
2.
Tempi più rapidi di risposta
al mercato (Time to market)
3.
Orientamento alla clientela
4.
Consolidamento
organizzativo
5.
Uso della tecnologia per
servizi a distanza
Processi
di
Business
Disaster
Recovery
sicurezza
integrata
Fonte: rielaborazione su dati IDC/ Bull 2003
Evoluzione dei modelli
di business della Banca
1.
2010
Evoluzione
dei vincoli esterni
Evoluzione
delle minacce
1.
Diverse regole competitive
2.
Crescita delle richieste di
attenzione ai controlli da
parte degli stakeholder
3.
Nuove norme e leggi (Organo
di Vigilanza, Legislatore, ..)
4.
Attenzione da parte dei
media
Direzione Sicurezza
3
Evoluzione degli obiettivi di sicurezza aziendali
Alla Sicurezza la Banca chiede di rispondere ad alcune specifiche domande...
Quali sono gli asset più importanti del mio patrimonio?
Quali sono i miei processi più a rischio? Qual è l'impatto sul mio business
a fronte della perdita delle caratteristiche di sicurezza dei miei asset?
Quali sono le infrastrutture che gestiscono il mio patrimonio informativo?
e quali sono le relative contromisure attivate per ciascuno di essi?
Quali sono i maggiori rischi cui è sottoposto il mio patrimonio?
...e quali sono le strategie di rientro?
Ho investito e sto investendo dove effettivamente è necessario?
..e che ritorni ho avuto?
Direzione Sicurezza
4
2
Evoluzione della domanda interna di sicurezza informatica
...oggi... Trigger
...ieri...
Domanda di sicurezza
Vincoli da rispettare
Compliance a singole leggi
“sono costretto a farlo: la legge me lo
impone”
Comportamenti altri player di
settore
“è meglio che lo faccia: lo fanno
anche tutti gli altri....”
Continuità dei processi
aziendali
servizi fruibili
capacità di problem
solving
garanzia di riservatezza
tutela dell’integrità dei
dati
prodotti e servizi
“appealing” per il cliente
finale
Efficienza dei processi
“devo recuperare i margini mediante
la sempre maggiore automazione ed
il decremento delle perdite operativi
accesso ai dati
disponibilità dei servizi
“meglio non correre il rischio che
succeda qualcosa che mi impedisca
di lavorare”
Incremento dei costi di
compliance
“devo ottimizzare le sinergie tra le
attività di compliance....”
Tipologia di Servizi
erogati
governo del rischio
contenimento dei costi e
delle perdite operativi
efficienza sugli interventi
di compliance
o rispetto degli
SLA
o contenimento
dei costi
SERVIZI TECNICO
OPERATIVI
o strategie da
business
enabler
o impatto
positivo su
bilancio
aziendale
o supporto
all’evoluzione
organizzativa
+
SERVIZI DI
INDIRIZZO E
GOVERNO
Direzione Sicurezza
5
Evoluzione della sicurezza in ambito ICT: da sicurezza informatica a
sicurezza del patrimonio informativo
La sicurezza del patrimonio informativo:
•
è la mitigazione del rischio di perdita di
riservatezza,integrità e disponibilità delle
informazioni che hanno valore per la banca
•
si realizza tutelando le informazioni e tutti i
supporti con cui queste vengono trattate
(tutela il contenuto e non solo il contenitore)
•
protegge le informazioni con uguale efficacia
in tutte le forme che possono assumere (es.
stampate o scritte su carta, elaborate, archiviate o
trasmesse elettronicamente, trasmesse via posta, fax
oppure condivise oralmente, pubblicate in internet o su
stampa, proiettate o mostrate in filmati)
•
è sempre più importante perchè la
dematerializzazione dell’operatività bancaria
comporta che, in fondo, il business della
Banca si concretizzi in una “corretta”
gestione di informazioni
•
non si limita alla sicurezza informatica in quanto
è una responsabilità del management e non
un compito tecnico
Direzione Sicurezza
6
3
La sicurezza del patrimonio informativo come chiave necessaria per la
gestione del rischio IT
Rischio
=
Impatto
X
Probabilità di
accadimento
Tipologia
minacce
Valore asset
Contromisure
Asset
Minacce
Contromisure
IT
IT
IT
Persone
Valori
Processi
Competenze
Macrodati
Ubicazioni / Locali
NON IT
Applicazioni
Infrastruttura IT
ambienti / servizi
componenti / prodotti
infrastrutture di
sicurezza
Infrastrutture DR/BC
Attacchi Denial Of Service
Compromissione di chiavi
crittografiche / certificati
Connessioni rete non autorizzate
IP spoofing / Network scanning
.....
NON IT
Errori dovuti limitata conoscenza di
regole e procedure e normative
Eventi catastrofici
Intrusione / accessi fisici non
autorizzati
Mancanza / inadeguatezza inventario
....
Identificazione utente
Autenticazione utente
Profilazione per l'accesso ai dati
Cifratura
Mascheramento dati
Monitoring ....
NON IT
Norme di utilizzo degli strumenti
Ruoli e responsabilità
Formazione
Sistemi di rilevazione fisica
passiva / attiva
Sistemi di continuità
...
Direzione Sicurezza
7
Appunti
1. “La sicurezza informatica deve tutelare il patrimonio
informativo della Banca”
Direzione Sicurezza
8
4
Agenda
rischio IT
5. Conclusioni
9
Direzione Sicurezza
La risposta di Intesa Sanpaolo
Intesa Sanpaolo ha adottato il modello di sicurezza che, sin dal 2003, aveva
portato Banca Intesa a integrare le competenze di sicurezza in una Direzione
Centrale autonoma e indipendente dagli Enti realizzatori
Direzioni
Centrali
Mission
Definire le politiche, le linee guida e
gli standard in materia di sicurezza
aziendale [...]
Assicurare operativamente la
sicurezza fisica ed informatica, la
gestione degli standard e delle
metodologie specifiche e il presidio
dei livelli di rischio e guidare e
supportare i progetti di sicurezza
aziendale anche attraverso l'analisi
del rischio e la definizione dei relativi
interventi tecnici di mitigazione
Direzione Sicurezza
10
5
Mission
Intesa Sanpaolo ha attribuito alla Sicurezza Informatica obiettivi di presidio,
indirizzo e coordinamento
Definisce le policies di sicurezza informatica
Gestisce le analisi del rischio IT
Gestisce le crisi e gli incidenti di sicurezza IT
Sviluppa Sistemi integrati di identity management
Gestisce gli accessi logici alle risorse IT
Coordina progetti di sicurezza IT
Sviluppo sicurezza informatica
Principali attività
Prevenzione e gestione crisi di sicurezza Informatica
Anti-Phishing
Politiche e Linee Guida di sicurezza del patrimonio
Gestione degli incidenti di sicurezza informatica
informativo
Vulnerabilities and threats management
Implementazione delle LG di sicurezza patrimonio
Technical Security assessment
informativo
IT security monitoring
Analisi del rischio IT
Formazione di sicurezza informatica
Architetture di sicurezza informatica
Tableau de Bord
Definizione delle architetture di sicurezza informatica
Certificazione ISO27001
Supporto alla definizione delle architetture informatiche
Progettazione sicurezza informatica
Gestione operativa di sicurezza informatica
design e implementazione delle soluzioni di
sicurezza informatica
Progettazione e realizzazione infrastrutture di
sicurezza
•I&AM
•PKI
•...
Identity management
Authorization management
Gestione Infrastruttura I&AM e relativo Help Desk
Controllo e monitoring accessi logici
Gestione del ciclo di vita dei certificati
11
Direzione Sicurezza
La sicurezza informatica deve supportare le strutture IT nel rispettare i loro
livelli di servizio concordati
tà
ili
ni
b
po
D
is
ATTIVITÀ DI EARLY DETECTION
ICT
INTERVENTI CORRETTIVI
ez
er
va
t
it à
gr
INTERVENTI PREVENTIVI
informazione
te
In
za
Sicurezza del patrimonio informativo
R
is
minacce
IMPATTO
SUI SERVIZI EROGATI
In ambito IT, la sicurezza del patrimonio informativo,
mediante un insieme di interventi preventivi e correttivi e
di attività di early detection, permette alle strutture
competenti di tutelarsi dalle minacce garantendo i livelli di
servizio concordati
Direzione Sicurezza
12
6
Le responsabilità operative di sicurezza informatica devono essere
condivise con gli enti realizzatori della Banca
Garantisce alla Banca la
disponibilità di sistemi
informativi che tutelano la
riservatezza, l’integrità e la
disponibilità delle
informazioni trattate
elettronicamente
Enti realizzatori
Gestisce per la Banca un
adeguato sistema di
governo della sicurezza,
a tutela della riservatezza,
l’integrità e la disponibilità
nei suoi vari formati
(elettronico, cartaceo,
verbale) implementando
soluzioni atte a garantire il
controllo nel tempo del
livello di sicurezza definito
Direzione
Sicurezza
Patrimonio
Informativo della
Banca
Altre
Funzioni
Garantiscono alla
Banca la disponibilità
delle misure di natura
fisica, organizzativa e
legale per tutelare le
risorse informatiche
L’obiettivo della Sicurezza del Patrimonio Informativo è una responsabilità da condividere tra le varie
funzioni di Intesa Sanpaolo, definendo un approccio comune e saldando modalità operative di
collaborazione tra tutti gli attori coinvolti a vario titolo
Direzione Sicurezza
13
Appunti
2. “La sicurezza informatica non è un problema solo della
Sicurezza Informatica”
Direzione Sicurezza
14
7
Agenda
rischio IT
5. Conclusioni
15
Direzione Sicurezza
La gestione del rischio IT come elemento centrale della Sicurezza Informatica
Gli elementi abilitanti il modello di governo della sicurezza IT devono essere
indirizzati correttamente in un’ottica di processo continuo nel tempo
ELEMENTI ABILITANTI
Sistema di governo
della sicurezza
Gestione del Rischio
Soluzioni di sicurezza
La Gestione del rischio permette al Governo della sicurezza di indirizzare
correttamente le Soluzioni e le infrastrutture di sicurezza
FASI DI GOVERNO
Pianificazione e
indirizzo
Politiche, Pianificazione
strategica e operativa
Analisi e Mitigazione
del rischio
Disegno, Analisi e
Progettazione
Esercizio
Realizzazione, implementazione
ed esercizio operativo
Monitoraggio e
controllo
Monitoraggio, Verifiche e
Reportistica
Direzione Sicurezza
Strategia
Operativa
16
8
L’attuazione del modello di governo della Sicurezza del patrimonio
informativo
Pianificazione e
indirizzo
Analisi e
Mitigazione
del rischio
Esercizio
Monitoraggio
e controllo
Sistema di governo della
sicurezza
Gestione del Rischio
Soluzioni di sicurezza
Impianto normativo
Metodologie e
strumenti
Architetture e
Infrastrutture
Analisi del rischio
Progetti
Trattamento
del rischio
Implementazione e
amministrazione
Sistema
dei controlli
Verifiche
Processi e
prevenzione del
rischio
Formazione
Reporting
Direzione Sicurezza
17
Un modello suggerito per la gestione del rischio IT
Fonte: Guasconi Fabio, 2007
Direzione Sicurezza
18
9
Disegno
Progettazione
Realizzazione
Realizzazione
Collaudo e
rilascio
rischio
Verifica e
certificazione
Esercizio
Monitoraggio
e controllo
Evoluzione
Evoluzione
Ciclo di vita della sicurezza
Ciclo di vita dell’applicazione
La gestione del rischio IT garantisce adeguata tutela del patrimonio
informativo in ogni fase del suo ciclo di vita: un esempio sul ciclo di
vita dell’applicazione
Direzione Sicurezza
19
Appunti
3. “La sicurezza informatica parte dalla comprensione del
rischio IT”
Direzione Sicurezza
20
10
Agenda
rischio IT
5. Conclusioni
Direzione Sicurezza
21
Individuazione del corretto approccio per l’assessment del rischio IT
L’analisi del rischio IT deve supportare il raggiungimento di diversi
obiettivi aziendali
Realizzazione di un sistema di gestione della sicurezza
dell’informazione (ISMS);
valutare i rischi IT derivanti da attività di evoluzione
organizzativa
ottenere la conformità a leggi o a regolamenti;
introdurre nuove tecnologie per il trattamento delle
informazioni;
supportare la creazione di nuovi servizi, processi o procedure
o loro evoluzioni;
analizzare potenziali incidenti di sicurezza e annessi
interventi migliorativi.
Direzione Sicurezza
22
11
L’analisi del rischio IT deve saper offrire risposte adeguate ai propri
committenti
Più ci si eleva nella gerarchia aziendale più diventano
astratti i “mal di pancia” dei manager:
...c’è chi non dorme la notte pensando alle
vulnerability patches...
...c’è chi non dorme la notte pensando alla
disponibilità o alla riservatezza dei dati...
...c’è chi non dorme la notte pensando ai rischi di
mercato, di reputazione, di liability, ..
Fonte: rielaborazione su dati Gartner 2007
23
Direzione Sicurezza
L’analisi del rischio IT deve essere applicata in diverse fasi del governo della
sicurezza
Implementazione Linee Guida di sicurezza
Definizione requisiti di mitigazione del rischio
Prevenzione del rischio
Trigger
Evoluzione
Evoluzione
organizzativa organizzativa
degli Enti
delle strutture
realizzatori
di business
Modifiche
significative
della
normativa di
sicurezza
Correzione dei livelli di rischio
Trigger
Iniziative in
ossequio
alla mission
Interventi su
richiesta di
terzi
(es. Audit,
Autorità di
vigilanza, ..)
Nuovi
processi ICT
Nuovi
processi di
business
Nuove
Nuovi Progetti
infrastrutture
ICT
fisiche
Verifica adozione linee guida
Analisi del rischio sul patrimonio informativo
Technical security assessment
Modifiche
legislative
Direzione Sicurezza
Incidenti
Esercizio di
attività con
forte impatto
sui clienti
finali
(es. internet
Banking, ..)
Esercizio di
attività con
forte impatto
sui clienti
interni
(es. rete
interna, ..)
Nuove
Minacce su
tecnologie
esistenti
Nuove
minacce
derivanti da
evoluzione
tecnologica
24
12
L’analisi del rischio IT deve adottare approcci diversificati per evento e
dimensione
1.Eventi pianificabili:
1. Pianificabili
1.1 Progetti a Piano
Informatico1
1.2 Piano Annuale di Analisi
del Rischio2
Eventi esterni
2,3
Altri eventi
2,2
Ambito di analisi
interni
2,1,b
business
2,1,a
Nuovi progetti di
delle AdR
Piano annuale
informatico"
"Piano
Progetti a
Eventi di attivazione:
1,2
Nuovi Progetti IT
Eventi di attivazione
1,1
2. Non pianificabili
1
2.Eventi non pianificabili:
2.1.a Nuovi Progetti Business
2.1.b Nuovi Progetti IT1-2
2.2 Eventi esterni (es. nuove
2.3 Altri eventi interni (es.
evidenze del Security Tableau de
Bord, incidenti di sicurezza)
Struttura Organizzativa
1,2
Processi
1,3
Prodotti / Servizi
1,1
2
Leggi, nuove minacce, evoluzioni
tecnologiche)
Dimensione Organizzativa
(Società, Direzione, Servizio, ...)
Dimensione degli asset
2,1
2,2
Applicazioni
2,3
Infrastruttura IT
2,4
Ubicazioni
Macrodati
Dimensioni di analisi:
L’AdR può essere svolta a livello di “dimensione organizzativa” (strutture,
prodotti e servizi, ecc.) e/o di “asset del patrimonio informativo” (asset tecnologici,
informazioni, ecc.):
Legenda
Punti di ingresso dell’Analisi del Rischio
L'ingresso dell'analisi sulla dimensione organizzativa porta comunque sempre all'analisi dei relativi
"asset" del patrimonio informativo
(1) Il Piano Annuale di Analisi del Rischio è definito sulla
base di fattori interni ed esterni (processi ed ambiti
aziendali prioritari, incidenti di sicurezza, audit, ecc.)..
(2) Altre iniziative di “governance”, non derivanti dal Piano
Informatico; inclusi i progetti di outsourcing e utilizzo di
service esterni (es. 730 on-line).
25
Direzione Sicurezza
La rilevazione del rischio IT deve sapersi adeguare all’eterogeneità
del contesto in cui opera
oggetto
ambito
DATO
APPLICAZIONE
PROGETTO
INDIVIDUAZIONE DELLE
CONTROMISURE
obiettivo
ASSET IT
PROCESSO
PROCESSO
STRUTTURA
ORGANIZZATIVA
INCIDENTE
COMPRENSIONE DEL FENOMENO
profondità
profondità
SINGOLE
VULNERABILITÀ
CLASSI DI
CONTROMISURE
livello di qualità
qualità
APPROFONDITO
INTUITIVO
audience
SPECIALISTA IT
formalizzazione
APPLICATIVI
FORMALE
MANAGEMENT
INFORMALE
Quale strumento?
Direzione Sicurezza
26
13
Appunti
rischio IT”
4. “Realtà complesse e articolate richiedono modalità diverse e
distinte di comprensione del rischio”
Direzione Sicurezza
27
Agenda
rischio IT
5. Conclusioni
Direzione Sicurezza
28
14
Conclusioni
Da un approccio tradizionale ad un approccio maturo alla sicurezza
Intesa Sanpaolo, si muove su un percorso che porta all’evoluzione dell’approccio
tradizionale verso una gestione della sicurezza IT coerente e funzionale alla
strategia di business della Banca
Approccio
tradizionale(1)
Approccio maturo
Periodico
Programmatico
Reattivo
di Processo
Autocratico
Collaborativo
Accademico
Pragmatico
Technology-Driven
Business-Driven
Soluzione perfetta
Prevenzione dei
rischi
(1)
Soluzione
appropriata
Governo dei rischi
Direzione Sicurezza
29
Appunti
rischio IT”
4. “Realtà complesse e articolate richiedono modalità diverse e
distinte di comprensione del rischio”
Direzione Sicurezza
30
15

La gestione del rischio IT a supporto della tutela del patrimonio

Transcript

Documenti analoghi

Numero di accessi per giorno della settimana e

Buono sconto - San Paolo Store

19/12/2008 1 OGGETTO: prestito obbligazionario “Istituto Bancario

il consiglio di amministrazione delibera la scelta dell`italia quale

Finanziamento di operazioni di esportazione, importazione e

Paolo CarreraCV

SCARICA LA PRESENTAZIONE di Servizio Informatica

giovanni costa - Intesa Sanpaolo

documento di offerta

tifa per l`italia che ami. vota il tuo luogo del cuore.