Secure Information Lifecycle

Transcript

15 Aprile 2016, Trento
L’evoluzione della sicurezza nella gestione
delle informazioni aziendali
Relatore: Simone Fortin
Agenda
Introduzione
Contesto di riferimento
Approccio Information Driven
Esempio: Sicurezza delle Informazioni
Destrutturate
Benefici
Secure Information
Lifecycle
L’evoluzione della
sicurezza nella gestione
delle informazioni aziendali.
Introduzione
La nostra Vision
Affiancare ogni azienda per sfruttare al massimo le potenzialità dell'innovazione garantendo
sempre e comunque la disponibilità e la protezione dei propri asset strategici.
Horizon Security, l'elemento di agilità per il business dei nostri clienti.
Attività consulenziali volte a soddisfare
le esigenze dei Clienti mediante un
team di comprovata esperienza e
professionalità.
Identificazione ed implementazione di
soluzioni di Sicurezza all’interno del
contesto aziendale del Cliente.
Ideazione e sviluppo di prodotti /
soluzioni di Sicurezza innovative volte a
soddisfare le specifiche esigenze del
Mercato.
We redefine the Security. Your Business is the driver.
Introduzione
Perchè è necessario un approccio della
sicurezza orientato alle informazioni?
Cosa significa applicare questo
approccio nella vita reale?
Quali sono i benefici nell’applicazione
di questo approccio?
Agenda
Introduzione
Destrutturate
Benefici
Secure Information
Lifecycle
Le minacce
$
445B
47%
Il costo stimato all’anno derivante da attacchi di cyberspionaggio e furto di proprietà intellettuale.
(source Mcafee)
La percentuale di Data Breach imputabili ad attacchi hacker e
di insiders malevoli.
(source Ponemon Institute)
80%
Oggi l’80% dei partecipanti al black market sono
organizzazioni. La dimensione degli investimenti in cyberespionage non è nota.
(source RAND)
La digitalizzazione come fattore “disruptive”
80%
Entro il 2020 oltre l’80% dei processi di business fisici verrà
completamente digitalizzato.
(source Gartner)
Cresce la quantità di dati e informazioni da gestire e cresce il
perimetro in cui queste si muovono sia tecnologico (es.
cloud, mobile, etc.) che di contesto (business, personale).
Nuove figure professionali stanno emergendo: Data Privacy
Officer (DPO), Chief Data/Digital Officer (CDO).
(source Gartner)
Governo, Rischio e Compliance
I requisiti normativi richiedono un maggiore controllo (reale)
delle informazioni gestite (es. Direttiva 262, EU Data Privacy,
EU Data Breach, etc.).
La gestione del rischio aziendale include/richiede sempre più
il tema della protezione delle informazioni (es. clienti,
corporate).
In termini di governance la domanda a cui rispondere oggi è:
dove si trovano le informazioni più critiche per la mia
azienda?
Agenda
Introduzione
Destrutturate
Benefici
Secure Information
Lifecycle
Approccio information Driven
E’ necessario ripartire dalle informazioni, perchè queste
sono oggi l’elemento centrico rispetto al business.
• La sicurezza non può più essere
delegata solo agli elementi su cui
I dati sono contenuti
Information
Security
• La sicurezza deve includere
anche elementi di contatto con le
informazioni
Saas, Paas, MultitierApplication Security
Outsourcing
• La sicurezza è pensata come
elementi di difesa perimetrale:
“separo il dentro dal fuori”
Security
Iaas,Infrastructure
IoT, Multitier-Outsourcing
Approccio information Driven
L’approccio per essere efficace deve essere integrato e
prevedere l’insieme di tutti gli aspetti: Processi, Tecnologie
e Persone.
Information Protection Framework
Technology
-
Information Protection Tools
Information Activity and
monitoring Tools
Data Security Policy enforcer
…...
Process
-
Classification Policy
Information Risk
Management
Information Security Program
…...
People
INFORMATION
-
Training program
Awareness program
Behavioral Assessment
...
Agenda
Introduzione
Destrutturate
Benefici
Secure Information
Lifecycle
Esempio: Sicurezza
informazioni destrutturate
Informazioni aziendali destrutturate: Mail, documenti,
video, file, etc.
Caratteristiche principali:
• Di natura/necessità “mobili”
• Differenziate nella tipologia
• Cross-Platform
• Gestite dagli utenti finali
Esempio: Sicurezza
Oggi è un universo disgiunto di soluzioni per la gestione
della sicurezza delle informazioni.
Data Usage &
Audit
Data Loss
Prevention
Data Classification
Encryption
Cloud Data
Protection
Monitoring &
Tracking
Document Identity
Right Management
Esempio: Sicurezza
Ripensare alla protezione delle informazioni secondo quello
che è il loro ciclo di vita: Secure Information Lifecycle.
CREAZIONE
FRUIZIONE
CAMBIAMENTO
CONDIVISIONE
DISMISSIONE
Esempio: Sicurezza
La fase di creazione è quella più critica per
la sicurezza delle fasi successive.
CREAZIONE
Identità digitale dell’informazione
Classificazione digitale del dato
Cifratura delle informazioni
Privilegi di accesso all’informazione
Esempio: Sicurezza
Durante queste fasi le informazioni sono
altamente esposte dal punto di vista di
sicurezza.
FRUIZIONE
Enforcement delle politiche di
sicurezza definite in fase di creazione.
CAMBIAMENTO
Tracciamento delle attività svolte sui
contenuti.
Tracciamento nello spazio e nel tempo
del movimento delle informazioni e dei
contenuti.
CONDIVISIONE
Esempio: Sicurezza
E’ fondamentale definire la durata di una
informazione o identificare quando questa
non è più utile e poter agire su di essa.
DISMISSIONE
Definire quando una informazione non è più
necessaria/valida
Revocare i permessi di accesso
all’informazione
Cancellare le informazioni in maniera
programmata e controllata.
Esempio: Sicurezza
Una volta definito l’approccio e i requisiti di sicurezza è possibile
costruire e declinare un framework utile a indirizzare tutti i contesti
tecnologici in cui le informazioni si “muovono” e in ultima istanza a
identificare le tecnologie.
Framework Information Protection
CREAZIONE
FRUIZIONE
CAM BIAM ENTO
CONDIVISIONE
Contesto Tecnologico
Tecnologie di Sicurezza
• Cloud (aziendale,
personale, etc.)
• Vendor A
DISM ISSIONE
• Vendor B
PUBLIC
INTERNAL
SECRET
• Data Center
•
•
•
•
•
•
Information Right
Management
Classification
Audit
Encryption
Classification
Monitoring &
Tracking
•
•
•
•
•
Information Right
Management
Audit
Data Loss
Prevention
•
Monitoring &
Tracking
Data Loss
Prevention
•
•
•
•
Information Right
Management
Audit
Data Loss
Prevention
Monitoring &
Tracking
Data Loss
Prevention
•
•
•
•
•
Information Right
Management
Audit
Data Loss
Prevention
Monitoring &
Tracking
Data Loss
Prevention
•
•
•
Information Right
Management
Audit
Data Loss
Prevention
•
Information
Discovery
•
Information
Discovery
• …..
• Mobile
• Vendor Z
• Office (laptop,
desktop)
• IOT
•
Classification
•
Nessun requisito
•
Nessun requisito
•
Nessun requisito
• ….
• ….
Agenda
Introduzione
Destrutturate
Benefici
Secure Information
Lifecycle
Benefici
Benefici di un approccio della sicurezza information driven:
Maggiore governance delle
informazioni (visione di insieme)
Ottimizzazione degli investimenti di
sicurezza
Gestione Risk-Based delle informazioni
Automazione dei processi di controllo
Gestione end-to-end della vita delle
informazioni
Horizon Security. Grazie per l'attenzione.
Simone Fortin
+39 347 7228386
[email protected]
www.horizonsecurity.it

Secure Information Lifecycle

Transcript

Documenti analoghi

Comunità intelligenti: l`Unione in "Secure" piano da 21 milioni

La VPN SSL di Juniper in 6 slide

Scarica PDF - Popolari Udeur

Secure File Transfer and Secure File Storage Are Coming to CA

L`offerta alle Imprese ed alla PA di BT Italia come Operatore

Sicurezza nelle web application

Sicurezza carta di credito