20160415_02_Taiariol_IT audit nel gruppo Benetton

L’IT Audit nel gruppo Benetton
Panoramica sulle attività di controllo condotte
in ambito IT
Trento, 15 aprile 2016
1
Agenda
Il Sistema di Controllo Interno
L’IT Audit nell’ambito del piano di Audit
Scelta del framework di riferimento
Le principali tematiche di IT Audit
Segregation of Duties
Vulnerability Assessment e Penetration Test
15/04/2015
2
Il Sistema di Controllo Interno (1/3)
Un sistema di controllo interno (SCI) ha come obiettivo e priorità il
governo
dell'Azienda
attraverso
l'individuazione,
valutazione,
monitoraggio, misurazione e mitigazione/gestione di tutti i rischi
d'impresa, coerentemente con il livello di rischio scelto/accettato dal
vertice aziendale. Il fine ultimo del SCI è il perseguimento di tutti gli
obiettivi aziendali. (fonte: wikipedia.org)
La Banca d'Italia
l'insieme di:
lo definisce, nelle Istruzioni di Vigilanza, come
Regole. Ruoli e responsabilità: Chi fa, quando e come. La
funzione dei controlli è quella di realizzare i vari ruoli in modo
oggettivo, codificando gli attori di ogni e comportamenti attesi;
Strutture Organizzative o funzioni o sistemi informativi;
Procedure/processi.
15/04/2015
ISACA VENICE Chapter
3
Il Sistema di Controllo Interno (2/3)
I tre livelli di controllo
Nelle organizzazioni normalmente si definiscono tre diversi livelli nelle
attività di controllo:
controlli di primo livello: effettuati in ogni settore operativo, sono
tipicamente finalizzati a coprire singoli rischi o raggruppamenti di rischi
all’interno del settore; anche chiamati controlli “permanenti”
controlli di secondo livello: effettuati da servizi/preposti al controllo
(compliance, risk management, quality manager, ecc.) che per loro
natura hanno indipendenza e autonomia, coprono aree / tematiche del
sistema di controllo interno oppure rischi settoriali a livelli più elevati;
controlli di terzo livello: tipica attività dell’Internal Audit che deve
dare una generale assurance sul corretto funzionamento dell’intero
sistema di controllo interno. “L’ I.A. ha lo scopo di monitorare e
valutare l’efficacia e l’efficienza del Sistema di Controllo Interno e le
necessità di adeguamento, anche attraverso attività di supporto e di
consulenza alle altre funzioni aziendali”
(fonte: Enrico Parretta)
15/04/2015
ISACA VENICE Chapter
4
Il Sistema di Controllo Interno (3/3)
Ripartizione attività di Audit in Benetton Group
15/04/2015
ISACA VENICE Chapter
5
Agenda
Il Sistema di Controllo Interno
L’IT Audit nell’ambito del piano di Audit
Scelta del framework di riferimento
Le principali tematiche di IT Audit
Segregation of Duties
Vulnerability Assessment e Penetration Test
15/04/2015
ISACA VENICE Chapter
6
L’IT Audit nell’ambito del piano di Audit
‘‘IT Auditing consiste in un processo di verifica sistematico e
documentato […] che i sistemi informativi di un'azienda o
organizzazione siano conformi a quanto previsto da norme, regolamenti
o politiche interne’’. (fonte: wikipedia.org)
Effort attività di IT Audit su Piano di Audit Gruppo Benetton: 14%
Principali benefici apportati da un adeguato controllo sui Processi IT:
Salvaguardia delle informazioni aziendali
Integrità dei dati: confidenzialità, integrità e disponibilità dei dati aziendali
Assurance circa l’allineamento tra la governance dei sistemi informativi e
gli obiettivi dell’organizzazione (business, stakeholders, …)
Conferire valore aggiunto
15/04/2015
ISACA VENICE Chapter
7
Agenda
Il Sistema di Controllo Interno
L’IT Audit nell’ambito del piano di Audit
Scelta del framework di riferimento
Le principali tematiche di IT Audit
Segregation of Duties
Vulnerability Assessment e Penetration Test
15/04/2015
ISACA VENICE Chapter
8
Scelta del framework di riferimento (1/2)
Fonte:
http://blog.freshservice.
com/itil-cobit/
15/04/2015
ISACA VENICE Chapter
9
Scelta del framework di riferimento (2/2)
Per poter fornire le informazioni di cui l’impresa ha bisogno per
raggiungere i propri obiettivi, l’azienda deve poter gestire e controllare le
risorse IT utilizzando un insieme strutturato di processi per erogare i
servizi informativi richiesti.
Il Control OBjectives for Information and related Technology (COBIT)
fornisce le cosiddette good practice in un quadro di riferimento fatto di
domini e di processi e presenta le attività in una struttura gestibile e
logica.
COBIT definisce le attività IT in un modello generale di processi
all’interno di quattro domini:
• Pianificazione e Organizzazione;
• Acquisizione e Implementazione;
• Erogazione e Assistenza;
• Monitoraggio e Valutazione.
15/04/2015
ISACA VENICE Chapter
10
Agenda
Il Sistema di Controllo Interno
L’IT Audit nell’ambito del piano di Audit
Scelta del framework di riferimento
Le principali tematiche di IT Audit
Segregation of Duties
Vulnerability Assessment e Penetration Test
15/04/2015
ISACA VENICE Chapter
11
Le principali tematiche di IT Audit
Sicurezza Logica:
Password non in linea con le best practices
Password condivise
Virus / Malware
Attacchi hacker / Phishing / Cross-scipting (audit specifico tramite
Vulnerability Assessment e Penetration Test)
Sicurezza Fisica
Accesso limitato alla sala server (badge, …) e log degli accessi
Segregation of Duties
Suite GRC SAP 10.1:
Moduli Access Risk Analysis e Emergency Access Management
Progetto ACL Analytics per analisi dati e suggerimento azioni correttive
15/04/2015
ISACA VENICE Chapter
12
Agenda
Il Sistema di Controllo Interno
L’IT Audit nell’ambito del piano di Audit
Scelta del framework di riferimento
Le principali tematiche di IT Audit
Segregation of Duties
Vulnerability Assessment e Penetration Test
15/04/2015
ISACA VENICE Chapter
13
Segregation of Duties (1/5)
Definizione SoD
La Segregation of Duties (di seguito SoD) è un controllo interno preventivo, volto a
mitigare il rischio di incorrere in frodi o errori commessi dai dipendenti.
Il principio cardine della SoD è garantire che attività «rischiose» non possano
essere completate da un’unica persona, bensì da più dipendenti in grado di
svolgere ciascuno attività limitate.
Analisi SoD
Obiettivo e tempistiche
L’obiettivo dell’analisi è stato quello di quantificare, analizzare e ridurre i rischi
presenti nel principale mandante SAP di Benetton Group, con riferimento a tutte le
utenze presenti a sistema.
Il progetto si è dilungato per alcuni mesi e ha previsto svariate fasi.
Perimetro
Il lavoro ha avuto come oggetto tutte le società (italiane ed estere) i cui dipendenti
hanno la possibilità di accedere a SAP.
15/04/2015
ISACA VENICE Chapter
14
Segregation of Duties (2/5)
Benetton Group monitora le tematiche di Segregation of Duties utilizzando la Suite
SAP GRC (Governance, Risk & Compliance) e più precisamente, il modulo
denominato «Compliance Calibrator», strumento all’avanguardia in questo ambito.
Il tool permette di evidenziare per ciascuna utenza i dettagli dei rischi, i quali
risultano generati in quanto l’utente ‘‘possiede’’ due transazioni incompatibili.
Utenti che potrebbero
generare un rischio
15/04/2015
Transazioni
in conflitto
ISACA VENICE Chapter
15
Segregation of Duties (3/5)
Concetto di base:
togliendo ad un utente la possibilità di lanciare una determinata transazione (es.
«AB02»), si eliminano istantaneamente tutti i rischi correlati a quella transazione.
Esempio in calce: eliminare la sola transazione «AB02» dall’utenza di un utente,
significherebbe eliminare un totale di sei rischi SoD a sistema.
X
X
X
X
X
X
Tot. 6 Rischi eliminati
15/04/2015
ISACA VENICE Chapter
16
Segregation of Duties (4/5)
15/04/2015
ISACA VENICE Chapter
17
Segregation of Duties (5/5)
Ulteriori punti di miglioramento
Disabilitazione di ulteriori transazioni conflittuali, anche se utilizzate dagli utenti:
l’attività risulterebbe più invasiva e complessa rispetto alla disabilitazione di transazioni mai
lanciate. Tuttavia si disporrà di tutte le informazioni utili, con un altissimo dettaglio
Controllo preventivo prima di abilitare nuove transazioni agli utenti:
il modulo Compliance Calibrator permette di conoscere a priori la quantità di nuovi rischi
che verrebbero generati a fronte di una nuova abilitazione.
Necessario prevedere questo controllo al fine di non abilitare nuove transazioni troppo
rischiose e conflittuali.
Ri-esecuzione periodica dell’attività:
l’ufficio Internal Audit ha approcciato il processo di analisi creando un progetto ACL che è
facilmente ri-eseguibile in forma completamente automatica, senza incorrere in attività
manuali.
Si auspica la ri-esecuzione dell’attività di analisi SoD con cadenza semestrale, al fine di
mantenere sotto controllo il numero di rischi presenti.
15/04/2015
ISACA VENICE Chapter
18
Agenda
Il Sistema di Controllo Interno
L’IT Audit nell’ambito del piano di Audit
Scelta del framework di riferimento
Le principali tematiche di IT Audit
Segregation of Duties
Vulnerability Assessment e Penetration Test
15/04/2015
ISACA VENICE Chapter
19
Vulnerability Assessment e Penetration Test (1/3)
Introduzione
Con cadenza annuale l’ufficio internal audit conduce due attività di Vulnerability
Assessment e Penetration Test, con oggetto i sistemi informativi di Benetton
Group.
Queste due procedure sono volte a verificare il grado di sicurezza dei propri sistemi
informativi aziendali:
Accessi da remoto alle applicazioni (F5/Citrix), servizi e-mail, siti aziendali.
L’obiettivo principale del Vulnerability Assessment (di seguito va) è evidenziare
le debolezze della piattaforma, fornendo il maggior numero di informazioni sulle
vulnerabilità.
Il Penetration Test (di seguito pt) consiste nel simulare un ipotetico attacco da
parte di hacker e può essere condotta sia internamente, sia avvalendosi della
collaborazione di personale esterno all’azienda.
15/04/2015
ISACA VENICE Chapter
20
Vulnerability Assessment e Penetration Test (2/3)
Standard e metodologie
Il Vulnerability Assessment e il Penetration Test Esterno condotti su infrastrutture e
sistemi IT Benetton hanno seguito le metodologie definite dagli standard OSSTMM
(Open Source Security Testing Methodology Manual) considerato uno dei più
completi, affidabili ed efficaci approcci metodologici nell’ambito dei sistemi di
sicurezza informatica e OWASP (Open Web Application Security Project), che
prevede una classificazione di eventuali vulnerabilità applicative.
Sono state inoltre seguite le best practices previste da NIST (National Institute of
Standards and Technology), un’agenzia del governo U.S.A. impegnata nella
definizione di standard tecnologici.
Durante l’esecuzione del Vulnerability Assessment, tra i test effettuati non sono
state incluse le seguenti attività:
Attacco virus
Sovraccarico dei sistemi (Denial of Service)
“Social Engineering”, volto ad ottenere informazioni privilegiate da personale
Benetton (es. community, facebook, ecc.)
15/04/2015
ISACA VENICE Chapter
21
Vulnerability Assessment e Penetration Test (3/3)
Aree di controllo
Area
Control Activity
Gestione accessi da remoto (Citrix)
Gestione accessi da remoto (Big IP F5)
E-Mail: posta elettronica
Applicazioni web (SDS e Portale Clienti)
Vulnerability Assessment
Penetration Test
• Identificare vulnerabilità
infrastrutturali ed applicative a
fronte di analisi black-box (1) e
gray-box (2)
Accesso a cartelle di rete condivise
• Verificare la possibilità di accedere
ad applicazioni non profilate
Siti web istituzionali
• Verificare la possibilità di
effettuare privilege-escalation (3)
Siti web di comunicazione e shop online
(1) black-box: analisi che non presuppone precedente conoscenza dell'infrastruttura/applicazione oggetto di
analisi
(2) gray-box: analisi che è facilitata da alcune sommarie informazioni circa l'infrastruttura/applicazione oggetto
di analisi
(3) privilege-escalation: operare a sistema con privilegi normalmente preclusi a un utente o a un'applicazione
15/04/2015
ISACA VENICE Chapter
22
)
Grazie
15/04/2015
ISACA VENICE Chapter
23