Risk Management_Luciano Veronese
Transcript
Risk Management_Luciano Veronese
Un'efficace gestione del rischio per ottenere vantaggi competitivi Luciano Veronese - RSA Sr. GRC Consultant © Copyright 2014 EMC Corporation. All rights reserved. 1 L’universo dei rischi I rischi sono classificati in molteplici categorie I processi di gestione sono simili, ma le metodologie di assessment sono diversificate e supportate da tool specializzati L’ERM è UNICO in una azienda e rende necessaria una vista olistica e aggregata per poter realmente fornire al management il necessario supporto decisionale, elemento chiave per favorire un vantaggio competitivo FONTE: Gartner - A Risk Hierarchy for Enterprise and IT Risk Managers, 2008 © Copyright 2014 EMC Corporation. All rights reserved. 2 Risk Management (GRC) con strumenti puntuali Tool A Effetti “collaterali” Attività di integrazione ripetute Costi elevati SAP HR Tool B Cat. Process i Cat. Vuln. CMDB Tool C © Copyright 2014 EMC Corporation. All rights reserved. Difficoltà di integrazione fra i tool Minore VISIBILITA’: il reporting è più complesso, se non impossibile Difficile offrire viste aggregate I silos diventano un fattore di inibizione alla automazione dei processi GRC Minore efficienza dei processi 3 Risk Management il GRC integrato Benefici • RIUSO del Contesto di Business, ottimizzazione costi SAP HR Repository informativi integrati una sola volta • Data Model unico e condiviso Maggiore VISIBILITA’, reporting più semplice Cat. Processi Cat. Vuln. • E’ facile aggregare i dati (es rischi IT nei rischi di Business) • I processi GRC si possono automatizzare CMDB Maggiore efficienza dei processi e COLLABORAZIONE • © Copyright 2014 EMC Corporation. All rights reserved. Rafforza l’ACCOUNTABILITY 4 © Copyright 2014 EMC Corporation. All rights reserved. 5 Gli ecosistemi aziendali e le minacce Lo schema di riferimento BUSINESS Processi, Controlli, Policy, Prodotti, Informazioni … I.T. Applicazioni, Dispositivi, Tecnologie, Storage, … © Copyright 2014 EMC Corporation. All rights reserved. Minacce che impattano il business Minacce che impattano l’Information Technology (e di conseguenza il business…) 6 La nostra visione strategica Livello Strategico Policy BUSINESS Processessi, Controlli, Policy, Prodotti, Informazioni … Minacce/ Rischi di Business Business Continuity Enterprise Management I.T. Risk Compliance Archer eGRC Security Operations Vulnerability Management Identity Governance Applicazioni., Dispositivi, Tecnolgie, Storage, … Minacce/ Rischi IT/InfoSec Advanced SOC/SA Livello Tecnologico © Copyright 2014 EMC Corporation. All rights reserved. Fraud Risk Intelligence Le tecnologie RSA supportano sia il livello strategico sia il livello tecnologico con prodotti integrati che condividono le relative informazioni di contesto 7 © Copyright 2014 EMC Corporation. All rights reserved. 8 Gestire il rischio IT: gli approcci L’approccio tradizionale al risk management, governato da metodologie e standard quali ISO-27005 e ISO-31000, permette sostanzialmente di individuare “rischi potenziali”. Questo approccio quanto è compatibile con l’attuale livello di dinamicità e complessità del business e del mondo del malware? Quanto è in grado di intercettare i nuovi rischi? Grazie ad Archer eGRC, supporta l’approccio tradizionale, sia per il Business Risk sia per l’IT/InfoSec Risk Supporta anche un “approccio pragmatico” al risk management, grazie alla stretta integrazione fra i prodotti dello stack tecnologico © Copyright 2014 EMC Corporation. All rights reserved. 9 L’approccio RSA per la gestione del rischio IT I possibili punti di intervento per mitigare i rischi Agente di Attacco Vettore di Attacco Vulnerabilità di sicurezza Attacco Vulnerabilità Attacco Vulnerabilità Attacco Vulnerabilità Controlli di sicurezza Controllo Controllo <FAIL> X Impatto Tecnico Impatto sul Business IT Asset Business Business Asset Asset IT Asset Business Asset IT Asset Business Asset Impatto Tecnico Difficile Fattibile ed efficace Possibile Fattibile ed efficace Si possono individuare 3 macro aree di intervento: Prevenzione delle Minacce Migliorare l’efficienza della rilevazione dell’attacco Rilevazione degli Attacchi Migliorare l’efficienza della risposta all’incidente Risposta e Rimedio Modello OWASP (https://www.owasp.org/index.php/Top_10_2010-Main) © Copyright 2014 EMC Corporation. All rights reserved. 10 La “gestione pragmatica” del rischio IT Gestione preventiva: mitiga il rischio, riducendo le vulnerabilità rilevate (che rappresentano dei rischi reali, non potenziali) – Il rischio è ridotto agendo sulla componente di probabilità della tipica equazione di rischio Gestione della capacità di rilevazione e di risposta: mitiga il rischio migliorando le capacità di rilevare attacchi e l’efficienza del processo di risposta agli incidenti – Il rischio è ridotto agendo sulla componente di impatto della tipica equazione di rischio Prevenzione delle Minacce Archer Vulnerability Risk Management © Copyright 2014 EMC Corporation. All rights reserved. Rilevazione degli Attacchi Security Analytics Risposta e Rimedio Archer Security Operations Management 11 Archer Vulnerability Risk Management SFIDE Passi Mitigare i rischi (riduzione probabilità minacce) attraverso una gestione businessoriented delle vulnerabilità Catalogo Asset Mancanza di un catalogo centralizzato (o catalogo parziale) Vulnerability Management [La soluzione RSA] Scoprire le vulnerabilità Classificare i problemi Monitoraggio e Reporting Nessuna relazione fra dati di business e tecnologici Mancanza di un contesto e meccanismi di prioritizzazione Mancanza di automazione e di workflow flessibile Reporting inefficace e lento Indirizzato dai fornitori di Vulnerability Scanner (Qualys, McAfee, …) Risultato Scansioni Contesto + di Σ + Business = Threat Intelligence © Copyright 2014 EMC Corporation. All rights reserved. Indirizzare i problemi Vulnerabilità Prioritizzate Workflow Scalabilità KPI Velocità Report Precisione 12 Vantaggio competitivo? Quali i fattori ? Individuare le aree di criticità (rischi) Automazione dei processi Visibilità: Asset, Report, Dashboard,… Rimozione dei Silos Informativi © Copyright 2014 EMC Corporation. All rights reserved. Prendere decisioni sulla base dei risultati dell’analisi del rischio 14