La gestione del rischio IT a supporto della tutela del patrimonio
Transcript
La gestione del rischio IT a supporto della tutela del patrimonio
La gestione del rischio IT a supporto della tutela del patrimonio informativo Corrado Lonati Direzione Sicurezza Servizio Sicurezza Informatica Milano, 29 Novembre 2007 Direzione Sicurezza 1 Agenda 1. Il contesto di riferimento della sicurezza informatica 2. La risposta di Intesa Sanpaolo 3. La gestione del rischio IT come elemento centrale della Sicurezza Informatica 4. Individuazione del corretto approccio per l’assessment del rischio IT 5. Conclusioni Direzione Sicurezza 2 1 Il contesto di riferimento Evoluzione della sicurezza e mutamenti nel contesto ambientale 1970 1980 Persone e Valori 1990 Risorse informatiche Evoluzione della sicurezza nel settore bancario Informazioni 2000 Dematerializzazione del patrimonio 2. Tempi più rapidi di risposta al mercato (Time to market) 3. Orientamento alla clientela 4. Consolidamento organizzativo 5. Uso della tecnologia per servizi a distanza Processi di Business Disaster Recovery sicurezza integrata Fonte: rielaborazione su dati IDC/ Bull 2003 Evoluzione dei modelli di business della Banca 1. 2010 Evoluzione dei vincoli esterni Evoluzione delle minacce 1. Diverse regole competitive 2. Crescita delle richieste di attenzione ai controlli da parte degli stakeholder 3. Nuove norme e leggi (Organo di Vigilanza, Legislatore, ..) 4. Attenzione da parte dei media Direzione Sicurezza 3 Il contesto di riferimento Evoluzione degli obiettivi di sicurezza aziendali Alla Sicurezza la Banca chiede di rispondere ad alcune specifiche domande... Quali sono gli asset più importanti del mio patrimonio? Quali sono i miei processi più a rischio? Qual è l'impatto sul mio business a fronte della perdita delle caratteristiche di sicurezza dei miei asset? Quali sono le infrastrutture che gestiscono il mio patrimonio informativo? e quali sono le relative contromisure attivate per ciascuno di essi? Quali sono i maggiori rischi cui è sottoposto il mio patrimonio? ...e quali sono le strategie di rientro? Ho investito e sto investendo dove effettivamente è necessario? ..e che ritorni ho avuto? Direzione Sicurezza 4 2 Il contesto di riferimento Evoluzione della domanda interna di sicurezza informatica ...oggi... Trigger ...ieri... Domanda di sicurezza Vincoli da rispettare Compliance a singole leggi “sono costretto a farlo: la legge me lo impone” Comportamenti altri player di settore “è meglio che lo faccia: lo fanno anche tutti gli altri....” Continuità dei processi aziendali servizi fruibili capacità di problem solving garanzia di riservatezza tutela dell’integrità dei dati prodotti e servizi “appealing” per il cliente finale Efficienza dei processi “devo recuperare i margini mediante la sempre maggiore automazione ed il decremento delle perdite operativi accesso ai dati disponibilità dei servizi “meglio non correre il rischio che succeda qualcosa che mi impedisca di lavorare” Incremento dei costi di compliance “devo ottimizzare le sinergie tra le attività di compliance....” Tipologia di Servizi erogati governo del rischio contenimento dei costi e delle perdite operativi efficienza sugli interventi di compliance o rispetto degli SLA o contenimento dei costi SERVIZI TECNICO OPERATIVI o strategie da business enabler o impatto positivo su bilancio aziendale o supporto all’evoluzione organizzativa + SERVIZI DI INDIRIZZO E GOVERNO Direzione Sicurezza 5 Il contesto di riferimento Evoluzione della sicurezza in ambito ICT: da sicurezza informatica a sicurezza del patrimonio informativo La sicurezza del patrimonio informativo: • è la mitigazione del rischio di perdita di riservatezza,integrità e disponibilità delle informazioni che hanno valore per la banca • si realizza tutelando le informazioni e tutti i supporti con cui queste vengono trattate (tutela il contenuto e non solo il contenitore) • protegge le informazioni con uguale efficacia in tutte le forme che possono assumere (es. stampate o scritte su carta, elaborate, archiviate o trasmesse elettronicamente, trasmesse via posta, fax oppure condivise oralmente, pubblicate in internet o su stampa, proiettate o mostrate in filmati) • è sempre più importante perchè la dematerializzazione dell’operatività bancaria comporta che, in fondo, il business della Banca si concretizzi in una “corretta” gestione di informazioni • non si limita alla sicurezza informatica in quanto è una responsabilità del management e non un compito tecnico Direzione Sicurezza 6 3 Il contesto di riferimento La sicurezza del patrimonio informativo come chiave necessaria per la gestione del rischio IT Rischio = Impatto X Probabilità di accadimento Tipologia minacce Valore asset Contromisure Asset Minacce Contromisure IT IT IT Persone Valori Processi Competenze Macrodati Ubicazioni / Locali NON IT Applicazioni Infrastruttura IT ambienti / servizi componenti / prodotti infrastrutture di sicurezza Infrastrutture DR/BC Attacchi Denial Of Service Compromissione di chiavi crittografiche / certificati Connessioni rete non autorizzate IP spoofing / Network scanning ..... NON IT Errori dovuti limitata conoscenza di regole e procedure e normative Eventi catastrofici Intrusione / accessi fisici non autorizzati Mancanza / inadeguatezza inventario .... Identificazione utente Autenticazione utente Profilazione per l'accesso ai dati Cifratura Mascheramento dati Monitoring .... NON IT Norme di utilizzo degli strumenti Ruoli e responsabilità Formazione Sistemi di rilevazione fisica passiva / attiva Sistemi di continuità ... Direzione Sicurezza 7 Appunti 1. “La sicurezza informatica deve tutelare il patrimonio informativo della Banca” Direzione Sicurezza 8 4 Agenda 1. Il contesto di riferimento della sicurezza informatica 2. La risposta di Intesa Sanpaolo 3. La gestione del rischio IT come elemento centrale della Sicurezza Informatica 4. Individuazione del corretto approccio per l’assessment del rischio IT 5. Conclusioni 9 Direzione Sicurezza La risposta di Intesa Sanpaolo Intesa Sanpaolo ha adottato il modello di sicurezza che, sin dal 2003, aveva portato Banca Intesa a integrare le competenze di sicurezza in una Direzione Centrale autonoma e indipendente dagli Enti realizzatori Direzioni Centrali Mission Definire le politiche, le linee guida e gli standard in materia di sicurezza aziendale [...] Assicurare operativamente la sicurezza fisica ed informatica, la gestione degli standard e delle metodologie specifiche e il presidio dei livelli di rischio e guidare e supportare i progetti di sicurezza aziendale anche attraverso l'analisi del rischio e la definizione dei relativi interventi tecnici di mitigazione Direzione Sicurezza 10 5 La risposta di Intesa Sanpaolo Mission Intesa Sanpaolo ha attribuito alla Sicurezza Informatica obiettivi di presidio, indirizzo e coordinamento Definisce le policies di sicurezza informatica Gestisce le analisi del rischio IT Gestisce le crisi e gli incidenti di sicurezza IT Sviluppa Sistemi integrati di identity management Gestisce gli accessi logici alle risorse IT Coordina progetti di sicurezza IT Sviluppo sicurezza informatica Principali attività Prevenzione e gestione crisi di sicurezza Informatica Anti-Phishing Politiche e Linee Guida di sicurezza del patrimonio Gestione degli incidenti di sicurezza informatica informativo Vulnerabilities and threats management Implementazione delle LG di sicurezza patrimonio Technical Security assessment informativo IT security monitoring Analisi del rischio IT Formazione di sicurezza informatica Architetture di sicurezza informatica Tableau de Bord Definizione delle architetture di sicurezza informatica Certificazione ISO27001 Supporto alla definizione delle architetture informatiche Progettazione sicurezza informatica Gestione operativa di sicurezza informatica design e implementazione delle soluzioni di sicurezza informatica Progettazione e realizzazione infrastrutture di sicurezza •I&AM •PKI •... Identity management Authorization management Gestione Infrastruttura I&AM e relativo Help Desk Controllo e monitoring accessi logici Gestione del ciclo di vita dei certificati 11 Direzione Sicurezza La risposta di Intesa Sanpaolo La sicurezza informatica deve supportare le strutture IT nel rispettare i loro livelli di servizio concordati tà ili ni b po D is ATTIVITÀ DI EARLY DETECTION ICT INTERVENTI CORRETTIVI ez er va t it à gr INTERVENTI PREVENTIVI informazione te In za Sicurezza del patrimonio informativo R is minacce IMPATTO SUI SERVIZI EROGATI In ambito IT, la sicurezza del patrimonio informativo, mediante un insieme di interventi preventivi e correttivi e di attività di early detection, permette alle strutture competenti di tutelarsi dalle minacce garantendo i livelli di servizio concordati Direzione Sicurezza 12 6 La risposta di Intesa Sanpaolo Le responsabilità operative di sicurezza informatica devono essere condivise con gli enti realizzatori della Banca Garantisce alla Banca la disponibilità di sistemi informativi che tutelano la riservatezza, l’integrità e la disponibilità delle informazioni trattate elettronicamente Enti realizzatori Gestisce per la Banca un adeguato sistema di governo della sicurezza, a tutela della riservatezza, l’integrità e la disponibilità nei suoi vari formati (elettronico, cartaceo, verbale) implementando soluzioni atte a garantire il controllo nel tempo del livello di sicurezza definito Direzione Sicurezza Patrimonio Informativo della Banca Altre Funzioni Garantiscono alla Banca la disponibilità delle misure di natura fisica, organizzativa e legale per tutelare le risorse informatiche L’obiettivo della Sicurezza del Patrimonio Informativo è una responsabilità da condividere tra le varie funzioni di Intesa Sanpaolo, definendo un approccio comune e saldando modalità operative di collaborazione tra tutti gli attori coinvolti a vario titolo Direzione Sicurezza 13 Appunti 1. “La sicurezza informatica deve tutelare il patrimonio informativo della Banca” 2. “La sicurezza informatica non è un problema solo della Sicurezza Informatica” Direzione Sicurezza 14 7 Agenda 1. Il contesto di riferimento della sicurezza informatica 2. La risposta di Intesa Sanpaolo 3. La gestione del rischio IT come elemento centrale della Sicurezza Informatica 4. Individuazione del corretto approccio per l’assessment del rischio IT 5. Conclusioni 15 Direzione Sicurezza La gestione del rischio IT come elemento centrale della Sicurezza Informatica Gli elementi abilitanti il modello di governo della sicurezza IT devono essere indirizzati correttamente in un’ottica di processo continuo nel tempo ELEMENTI ABILITANTI Sistema di governo della sicurezza Gestione del Rischio Soluzioni di sicurezza La Gestione del rischio permette al Governo della sicurezza di indirizzare correttamente le Soluzioni e le infrastrutture di sicurezza FASI DI GOVERNO Pianificazione e indirizzo Politiche, Pianificazione strategica e operativa Analisi e Mitigazione del rischio Disegno, Analisi e Progettazione Esercizio Realizzazione, implementazione ed esercizio operativo Monitoraggio e controllo Monitoraggio, Verifiche e Reportistica Direzione Sicurezza Strategia Operativa 16 8 La gestione del rischio IT come elemento centrale della Sicurezza Informatica L’attuazione del modello di governo della Sicurezza del patrimonio informativo Pianificazione e indirizzo Analisi e Mitigazione del rischio Esercizio Monitoraggio e controllo Sistema di governo della sicurezza Gestione del Rischio Soluzioni di sicurezza Impianto normativo Metodologie e strumenti Architetture e Infrastrutture Analisi del rischio Progetti Trattamento del rischio Implementazione e amministrazione Sistema dei controlli Verifiche Processi e prevenzione del rischio Formazione Reporting Direzione Sicurezza 17 La gestione del rischio IT come elemento centrale della Sicurezza Informatica Un modello suggerito per la gestione del rischio IT Fonte: Guasconi Fabio, 2007 Direzione Sicurezza 18 9 La gestione del rischio IT come elemento centrale della Sicurezza Informatica Disegno Progettazione Realizzazione Realizzazione Collaudo e rilascio rischio Verifica e certificazione Esercizio Monitoraggio e controllo Evoluzione Evoluzione Ciclo di vita della sicurezza Ciclo di vita dell’applicazione La gestione del rischio IT garantisce adeguata tutela del patrimonio informativo in ogni fase del suo ciclo di vita: un esempio sul ciclo di vita dell’applicazione Direzione Sicurezza 19 Appunti 1. “La sicurezza informatica deve tutelare il patrimonio informativo della Banca” 2. “La sicurezza informatica non è un problema solo della Sicurezza Informatica” 3. “La sicurezza informatica parte dalla comprensione del rischio IT” Direzione Sicurezza 20 10 Agenda 1. Il contesto di riferimento della sicurezza informatica 2. La risposta di Intesa Sanpaolo 3. La gestione del rischio IT come elemento centrale della Sicurezza Informatica 4. Individuazione del corretto approccio per l’assessment del rischio IT 5. Conclusioni Direzione Sicurezza 21 Individuazione del corretto approccio per l’assessment del rischio IT L’analisi del rischio IT deve supportare il raggiungimento di diversi obiettivi aziendali Realizzazione di un sistema di gestione della sicurezza dell’informazione (ISMS); valutare i rischi IT derivanti da attività di evoluzione organizzativa ottenere la conformità a leggi o a regolamenti; introdurre nuove tecnologie per il trattamento delle informazioni; supportare la creazione di nuovi servizi, processi o procedure o loro evoluzioni; analizzare potenziali incidenti di sicurezza e annessi interventi migliorativi. Direzione Sicurezza 22 11 Individuazione del corretto approccio per l’assessment del rischio IT L’analisi del rischio IT deve saper offrire risposte adeguate ai propri committenti Più ci si eleva nella gerarchia aziendale più diventano astratti i “mal di pancia” dei manager: ...c’è chi non dorme la notte pensando alle vulnerability patches... ...c’è chi non dorme la notte pensando alla disponibilità o alla riservatezza dei dati... ...c’è chi non dorme la notte pensando ai rischi di mercato, di reputazione, di liability, .. Fonte: rielaborazione su dati Gartner 2007 23 Direzione Sicurezza Individuazione del corretto approccio per l’assessment del rischio IT L’analisi del rischio IT deve essere applicata in diverse fasi del governo della sicurezza Implementazione Linee Guida di sicurezza Definizione requisiti di mitigazione del rischio Prevenzione del rischio Trigger Evoluzione Evoluzione organizzativa organizzativa degli Enti delle strutture realizzatori di business Modifiche significative della normativa di sicurezza Correzione dei livelli di rischio Trigger Iniziative in ossequio alla mission Interventi su richiesta di terzi (es. Audit, Autorità di vigilanza, ..) Nuovi processi ICT Nuovi processi di business Nuove Nuovi Progetti infrastrutture ICT fisiche Verifica adozione linee guida Analisi del rischio sul patrimonio informativo Technical security assessment Modifiche legislative Direzione Sicurezza Incidenti Esercizio di attività con forte impatto sui clienti finali (es. internet Banking, ..) Esercizio di attività con forte impatto sui clienti interni (es. rete interna, ..) Nuove Minacce su tecnologie esistenti Nuove minacce derivanti da evoluzione tecnologica 24 12 Individuazione del corretto approccio per l’assessment del rischio IT L’analisi del rischio IT deve adottare approcci diversificati per evento e dimensione 1.Eventi pianificabili: 1. Pianificabili 1.1 Progetti a Piano Informatico1 1.2 Piano Annuale di Analisi del Rischio2 Eventi esterni 2,3 Altri eventi 2,2 Ambito di analisi interni 2,1,b business 2,1,a Nuovi progetti di delle AdR Piano annuale informatico" "Piano Progetti a Eventi di attivazione: 1,2 Nuovi Progetti IT Eventi di attivazione 1,1 2. Non pianificabili 1 2.Eventi non pianificabili: 2.1.a Nuovi Progetti Business 2.1.b Nuovi Progetti IT1-2 2.2 Eventi esterni (es. nuove 2.3 Altri eventi interni (es. evidenze del Security Tableau de Bord, incidenti di sicurezza) Struttura Organizzativa 1,2 Processi 1,3 Prodotti / Servizi 1,1 2 Leggi, nuove minacce, evoluzioni tecnologiche) Dimensione Organizzativa (Società, Direzione, Servizio, ...) Dimensione degli asset 2,1 2,2 Applicazioni 2,3 Infrastruttura IT 2,4 Ubicazioni Macrodati Dimensioni di analisi: L’AdR può essere svolta a livello di “dimensione organizzativa” (strutture, prodotti e servizi, ecc.) e/o di “asset del patrimonio informativo” (asset tecnologici, informazioni, ecc.): Legenda Punti di ingresso dell’Analisi del Rischio L'ingresso dell'analisi sulla dimensione organizzativa porta comunque sempre all'analisi dei relativi "asset" del patrimonio informativo (1) Il Piano Annuale di Analisi del Rischio è definito sulla base di fattori interni ed esterni (processi ed ambiti aziendali prioritari, incidenti di sicurezza, audit, ecc.).. (2) Altre iniziative di “governance”, non derivanti dal Piano Informatico; inclusi i progetti di outsourcing e utilizzo di service esterni (es. 730 on-line). 25 Direzione Sicurezza Individuazione del corretto approccio per l’assessment del rischio IT La rilevazione del rischio IT deve sapersi adeguare all’eterogeneità del contesto in cui opera oggetto ambito DATO APPLICAZIONE PROGETTO INDIVIDUAZIONE DELLE CONTROMISURE obiettivo ASSET IT PROCESSO PROCESSO STRUTTURA ORGANIZZATIVA INCIDENTE COMPRENSIONE DEL FENOMENO profondità profondità SINGOLE VULNERABILITÀ CLASSI DI CONTROMISURE livello di qualità qualità APPROFONDITO INTUITIVO audience SPECIALISTA IT formalizzazione APPLICATIVI FORMALE MANAGEMENT INFORMALE Quale strumento? Fonte: rielaborazione su dati Gartner 2007 Direzione Sicurezza 26 13 Appunti 1. “La sicurezza informatica deve tutelare il patrimonio informativo della Banca” 2. “La sicurezza informatica non è un problema solo della Sicurezza Informatica” 3. “La sicurezza informatica parte dalla comprensione del rischio IT” 4. “Realtà complesse e articolate richiedono modalità diverse e distinte di comprensione del rischio” Direzione Sicurezza 27 Agenda 1. Il contesto di riferimento della sicurezza informatica 2. La risposta di Intesa Sanpaolo 3. La gestione del rischio IT come elemento centrale della Sicurezza Informatica 4. Individuazione del corretto approccio per l’assessment del rischio IT 5. Conclusioni Direzione Sicurezza 28 14 Conclusioni Da un approccio tradizionale ad un approccio maturo alla sicurezza Intesa Sanpaolo, si muove su un percorso che porta all’evoluzione dell’approccio tradizionale verso una gestione della sicurezza IT coerente e funzionale alla strategia di business della Banca Approccio tradizionale(1) Approccio maturo Periodico Programmatico Reattivo di Processo Autocratico Collaborativo Accademico Pragmatico Technology-Driven Business-Driven Soluzione perfetta Prevenzione dei rischi (1) Soluzione appropriata Governo dei rischi Fonte: rielaborazione su dati Gartner 2006 Direzione Sicurezza 29 Appunti 1. “La sicurezza informatica deve tutelare il patrimonio informativo della Banca” 2. “La sicurezza informatica non è un problema solo della Sicurezza Informatica” 3. “La sicurezza informatica parte dalla comprensione del rischio IT” 4. “Realtà complesse e articolate richiedono modalità diverse e distinte di comprensione del rischio” Direzione Sicurezza 30 15