Secure Information Lifecycle
Transcript
Secure Information Lifecycle
15 Aprile 2016, Trento Secure Information Lifecycle L’evoluzione della sicurezza nella gestione delle informazioni aziendali Relatore: Simone Fortin Agenda Introduzione Contesto di riferimento Approccio Information Driven Esempio: Sicurezza delle Informazioni Destrutturate Benefici Secure Information Lifecycle L’evoluzione della sicurezza nella gestione delle informazioni aziendali. Secure Information Lifecycle Introduzione La nostra Vision Affiancare ogni azienda per sfruttare al massimo le potenzialità dell'innovazione garantendo sempre e comunque la disponibilità e la protezione dei propri asset strategici. Horizon Security, l'elemento di agilità per il business dei nostri clienti. Attività consulenziali volte a soddisfare le esigenze dei Clienti mediante un team di comprovata esperienza e professionalità. Identificazione ed implementazione di soluzioni di Sicurezza all’interno del contesto aziendale del Cliente. Ideazione e sviluppo di prodotti / soluzioni di Sicurezza innovative volte a soddisfare le specifiche esigenze del Mercato. We redefine the Security. Your Business is the driver. Secure Information Lifecycle Introduzione Perchè è necessario un approccio della sicurezza orientato alle informazioni? Cosa significa applicare questo approccio nella vita reale? Quali sono i benefici nell’applicazione di questo approccio? Agenda Introduzione Contesto di riferimento Approccio Information Driven Esempio: Sicurezza delle Informazioni Destrutturate Benefici Secure Information Lifecycle L’evoluzione della sicurezza nella gestione delle informazioni aziendali. Secure Information Lifecycle Contesto di riferimento Le minacce $ 445B 47% Il costo stimato all’anno derivante da attacchi di cyberspionaggio e furto di proprietà intellettuale. (source Mcafee) La percentuale di Data Breach imputabili ad attacchi hacker e di insiders malevoli. (source Ponemon Institute) 80% Oggi l’80% dei partecipanti al black market sono organizzazioni. La dimensione degli investimenti in cyberespionage non è nota. (source RAND) Secure Information Lifecycle Contesto di riferimento La digitalizzazione come fattore “disruptive” 80% Entro il 2020 oltre l’80% dei processi di business fisici verrà completamente digitalizzato. (source Gartner) Cresce la quantità di dati e informazioni da gestire e cresce il perimetro in cui queste si muovono sia tecnologico (es. cloud, mobile, etc.) che di contesto (business, personale). Nuove figure professionali stanno emergendo: Data Privacy Officer (DPO), Chief Data/Digital Officer (CDO). (source Gartner) Secure Information Lifecycle Contesto di riferimento Governo, Rischio e Compliance I requisiti normativi richiedono un maggiore controllo (reale) delle informazioni gestite (es. Direttiva 262, EU Data Privacy, EU Data Breach, etc.). La gestione del rischio aziendale include/richiede sempre più il tema della protezione delle informazioni (es. clienti, corporate). In termini di governance la domanda a cui rispondere oggi è: dove si trovano le informazioni più critiche per la mia azienda? Agenda Introduzione Contesto di riferimento Approccio Information Driven Esempio: Sicurezza delle Informazioni Destrutturate Benefici Secure Information Lifecycle L’evoluzione della sicurezza nella gestione delle informazioni aziendali. Secure Information Lifecycle Approccio information Driven E’ necessario ripartire dalle informazioni, perchè queste sono oggi l’elemento centrico rispetto al business. • La sicurezza non può più essere delegata solo agli elementi su cui I dati sono contenuti Information Security • La sicurezza deve includere anche elementi di contatto con le informazioni Saas, Paas, MultitierApplication Security Outsourcing • La sicurezza è pensata come elementi di difesa perimetrale: “separo il dentro dal fuori” Security Iaas,Infrastructure IoT, Multitier-Outsourcing Secure Information Lifecycle Approccio information Driven L’approccio per essere efficace deve essere integrato e prevedere l’insieme di tutti gli aspetti: Processi, Tecnologie e Persone. Information Protection Framework Technology - Information Protection Tools Information Activity and monitoring Tools Data Security Policy enforcer …... Process - Classification Policy Information Risk Management Information Security Program …... People INFORMATION - Training program Awareness program Behavioral Assessment ... Agenda Introduzione Contesto di riferimento Approccio Information Driven Esempio: Sicurezza delle Informazioni Destrutturate Benefici Secure Information Lifecycle L’evoluzione della sicurezza nella gestione delle informazioni aziendali. Secure Information Lifecycle Esempio: Sicurezza informazioni destrutturate Informazioni aziendali destrutturate: Mail, documenti, video, file, etc. Caratteristiche principali: • Di natura/necessità “mobili” • Differenziate nella tipologia • Cross-Platform • Gestite dagli utenti finali Secure Information Lifecycle Esempio: Sicurezza informazioni destrutturate Oggi è un universo disgiunto di soluzioni per la gestione della sicurezza delle informazioni. Data Usage & Audit Data Loss Prevention Data Classification Encryption Cloud Data Protection Monitoring & Tracking Document Identity Right Management Secure Information Lifecycle Esempio: Sicurezza informazioni destrutturate Ripensare alla protezione delle informazioni secondo quello che è il loro ciclo di vita: Secure Information Lifecycle. CREAZIONE FRUIZIONE CAMBIAMENTO CONDIVISIONE Secure Information Lifecycle DISMISSIONE Secure Information Lifecycle Esempio: Sicurezza informazioni destrutturate La fase di creazione è quella più critica per la sicurezza delle fasi successive. CREAZIONE Identità digitale dell’informazione Classificazione digitale del dato Cifratura delle informazioni Privilegi di accesso all’informazione Secure Information Lifecycle Esempio: Sicurezza informazioni destrutturate Durante queste fasi le informazioni sono altamente esposte dal punto di vista di sicurezza. FRUIZIONE Enforcement delle politiche di sicurezza definite in fase di creazione. CAMBIAMENTO Tracciamento delle attività svolte sui contenuti. Tracciamento nello spazio e nel tempo del movimento delle informazioni e dei contenuti. CONDIVISIONE Secure Information Lifecycle Esempio: Sicurezza informazioni destrutturate E’ fondamentale definire la durata di una informazione o identificare quando questa non è più utile e poter agire su di essa. DISMISSIONE Definire quando una informazione non è più necessaria/valida Revocare i permessi di accesso all’informazione Cancellare le informazioni in maniera programmata e controllata. Secure Information Lifecycle Esempio: Sicurezza informazioni destrutturate Una volta definito l’approccio e i requisiti di sicurezza è possibile costruire e declinare un framework utile a indirizzare tutti i contesti tecnologici in cui le informazioni si “muovono” e in ultima istanza a identificare le tecnologie. Framework Information Protection CREAZIONE FRUIZIONE CAM BIAM ENTO CONDIVISIONE Contesto Tecnologico Tecnologie di Sicurezza • Cloud (aziendale, personale, etc.) • Vendor A DISM ISSIONE • Vendor B PUBLIC INTERNAL SECRET • Data Center • • • • • • Information Right Management Classification Audit Encryption Classification Monitoring & Tracking • • • • • Information Right Management Audit Data Loss Prevention • Monitoring & Tracking Data Loss Prevention • • • • Information Right Management Audit Data Loss Prevention Monitoring & Tracking Data Loss Prevention • • • • • Information Right Management Audit Data Loss Prevention Monitoring & Tracking Data Loss Prevention • • • Information Right Management Audit Data Loss Prevention • Information Discovery • Information Discovery • ….. • Mobile • Vendor Z • Office (laptop, desktop) • IOT • Classification • Nessun requisito • Nessun requisito • Nessun requisito • …. • …. Agenda Introduzione Contesto di riferimento Approccio Information Driven Esempio: Sicurezza delle Informazioni Destrutturate Benefici Secure Information Lifecycle L’evoluzione della sicurezza nella gestione delle informazioni aziendali. Secure Information Lifecycle Benefici Benefici di un approccio della sicurezza information driven: Maggiore governance delle informazioni (visione di insieme) Ottimizzazione degli investimenti di sicurezza Gestione Risk-Based delle informazioni Automazione dei processi di controllo Gestione end-to-end della vita delle informazioni Horizon Security. Grazie per l'attenzione. Simone Fortin +39 347 7228386 [email protected] www.horizonsecurity.it