La Sicurezza, il Controllo e la Gestione dei Progetti IT

Transcript

La Sicurezza, il Controllo e
la Gestione dei Progetti IT
Andrea Pasquinucci
A. Pasquinucci -- Gestione Progetti -- 21/04/2010 -- Pag. 1
Indice:

Sicurezza e Controllo

Sicurezza IT

Dai Controlli ai Progetti

Gestione di un Progetto IT e Sicurezza

Conclusioni
Dirigenti IT ritengono:
83% : policy
sicurezza sono
allineate al
business ma
75% : fiducia
nella sicurezza
dei partners ma
83% : convinto
della solidità
delle pratiche di
sicurezza ma
57% : nessun
monitoraggio
della
conformità
72% : nessun
controllo su
terze parti
44% : non sa
spiegare gli
incidenti
Indagine 2008 The Global State of Information Security, CIO, CSO, PwC
Dirigenti IT ritengono:
73%: convinto
della solidità
delle pratiche di
sicurezza
63%: ha
MA:
politiche attive di
monitoraggio e
intervento
41% : non sa
quanti
incidenti negli
ultimi 24 mesi
47% : non sa
che tipo di
incidenti sono
avvenuti
45% : non
conosce la
fonte degli
incidenti
Indagine 2009 The Global State of Information Security, CIO, CSO, PwC
Sicurezza e Controlli

Sicurezza IT:
gestione quotidiana dei sistemi IT e della
loro “sicurezza”
Audit e Controlli IT:




verifica da parte di terzi della Sicurezza IT
Audit e Sicurezza IT devono lavorare insieme,
anche se con finalità diverse, in un unico ciclo
procedurale
Sicurezza IT

Non solo nel significato tecnico che include
Confidenzialità
 Integrità
 Disponibilità
 (Autenticità)
Ma anche più in generale come



Affidabilità
“Capacità di un componente di assolvere alle funzioni
per cui è stato progettato”
Sicurezza IT 10 Anni Fa...
Con alcune eccezioni
(es. mondo Mainframe):

Mancanza skill
professionali

Ad Hoc

Disorganizzata




Non strutturata
Mancanza di
procedure


Mancanza di
coscienza del
Management
Limitatezza delle
tecnologie
Mancanza di prodotti
e supporto
...
Sicurezza IT Oggi...
Presenza di:




Professioni e skill
professionali
Standard e
certificazioni di
persone e prodotti
Approcci aziendali
strutturati, organici e
organizzati




Coscienza del
Management
Tecnologie
appropriate
Prodotti e supporto
per la grande, media
e piccola azienda
...
Procedure
Sicurezza IT ?
Perché allora oggi la Sicurezza
IT è sempre più un Problema ?
Facciamo un Audit..
✔ Documentazione
✔ Antivirus, antispam
✔ Procedure
✔ Proxy web
✔ Organigramma del
✔ Firewall
personale
✔ Qualifiche del
personale
✔ Aggiornamento del
personale
✔ Audit periodici
✔ Accessi sicuri
(biometria, OTP ...)
✔ Segmentazione rete
✔ Cifratura dati e
comunicazioni
✔ ...
Audit OK!
Dov'è il problema ?
Affrontiamolo non dal punto di vista del
controllo ma del “fare”: dall'esigenza
aziendale, al fornitore, al servizio
Azienda Piccola o Media

Mancanza di competenze interne


Affidamento al fornitore
Fornitore

Non conosce/capisce le esigenze dell'azienda

Vende soluzione standard, meglio se HW

Se la soluzione non è appropriata, convince il
cliente all'acquisto di un'altra soluzione per un
supposto altro problema
Azienda Grande

Ogni modifica necessaria per soddisfare una
nuova esigenza aziendale può essere
realizzata solo tramite un Progetto:



“Uno sforzo temporaneo e progressivo intrapreso
per creare un prodotto o servizio unico”
Si distingue dalla Gestione (Ordinaria - Operations)
Ogni progetto va Gestito formalmente e
verificato, a partire da un Change Request (CR)
sino ai Test di Accettazione (UAT)

Nasce il Project Manager (PM) e la disciplina del
Project Management
PM del PM del PM ...
Azienda =>
Outsourcer =>
Fornitore =>
Appaltatore
PMO
PMO
PM
PMO
PM
PM
PM
Work
Da una Esigenza ...
➔
Da una esigenza dell'Azienda
➔
All'interpretazione dell'Outsourcer
➔
Ai prodotti del Fornitore
➔
Alle competenze dell'Appaltatore
Esempio
➔
SQL Injection applicazioni Web
➔
Sicurezza query su DB SQL
➔
Appliance Firewall SQL
➔
Quali filtri ? ........ “lasciamo il default”
Probabilmente la vera soluzione era un bugfixing delle applicazioni Web...
Perché ?




E' più facile comprare una scatola che gestire
un processo di analisi e sviluppo
E' più conveniente comprare una scatola che
gestire un processo di analisi e sviluppo
E' meno rischioso comprare una scatola che
gestire un processo di analisi e sviluppo
E' più semplice fare un progetto a 360o che
risolvere un singolo problema in profondità
Gestire un Progetto IT

Esistono

Metodologie

Tecniche

Professionalità
per gestire i progetti (IT e non IT)

Ma come incorporare la “Sicurezza” ?
Progetti e Sicurezza

Acquisto Hardware


Procedure del Personale


Funzionalità di “Sicurezza” non implementabili a
posteriori
Difficile far cambiare le abitudini alle persone
Architettura Applicativa

Criteri: costo minimo, funzionalità minime =>
spesso aggiungere qualche cosa richiede rifare
tutto
Progetti di Sicurezza

Pochissimi i veri Progetti di Sicurezza IT a se
stanti


Rete, crittografia, SSO ...
Spesso è invece la Messa in Sicurezza di un
Sistema IT con problemi



Il tipico Cerotto: se il Sistema fosse stato progettato
e implementato bene non avrebbe bisogno di cerotti
Il Cerotto ha sempre una funzionalità limitata e
temporanea
Tipico esempio: Firewall Applicativi
Sicurezza nei Progetti



La Sicurezza è pervasiva, non è una
componente aggiuntiva
Dovrebbe essere una delle caratteristiche
principali della Qualità di un Progetto e del
suo risultato (prodotto o servizio)
Chi gestisce un Progetto dovrebbe assicurarsi
che gli elementi che garantiscono la Sicurezza
siano presenti in tutte le fasi del Progetto:

HW, SW, Procedure, Controlli ...
Gestione di un Progetto
Il Triangolo del PM:

Per raggiungere gli Scopi ed Obiettivi del
progetto vi sono 3 vincoli principali connessi tra
loro:

Qualità

Tempi

Costi
Gestione di un Progetto

In pratica, purtroppo, pur di ottenere qualche
risultato si è obbligati ad ordinarli come segue:
1. Costi
2. Tempi
3. Scopi ed Obiettivi
4. Qualità delle funzionalità di base
5. Qualità delle funzionalità avanzate e Sicurezza
Auditor

Se coinvolto nel Progetto



Verifica che Sicurezza e Qualità siano pervasive ed
al primo posto nell'agenda del Progetto
In alcuni casi è meglio che il Progetto sia cancellato
piuttosto che si rinunci troppo in Sicurezza
Nell'attività di Audit



Chiede che i problemi siano risolti in profondità
Non accetta i Cerotti se non come misure
straordinarie e temporanee
Cerca di diffondere la cultura della Sicurezza e del
Controllo a 360o
Conclusioni

Il problema è umano, quindi difficile

La tecnica (HW e SW) da sola ci aiuta poco



Dobbiamo imparare a coniugare la Sicurezza
sin dal principio
Dobbiamo imparare a vedere la Sicurezza in
ogni attività e componente
Dobbiamo imparare e non usare i Cerotti ma
nel caso rifare tutto da capo
SOGNO ?
Copyright e Licenza
Queste slide sono copyright © Andrea Pasquinucci
Queste slide sono distribuite sotto la licenza Creative
Commons by-nc-nd 2.5: attribuzione, non-commerciale,
non-opere-derivate
http://creativecommons.org/licenses/by-nc-nd/2.5/
Grazie
Andrea Pasquinucci
pasquinucci-At-ucci.it www.ucci.it

La Sicurezza, il Controllo e la Gestione dei Progetti IT

Transcript

Documenti analoghi

comune di forte dei marmi comune di forte dei marmi

DIRETTIVA BOLKESTEIN Il futuro del commercio su aree pubbliche

8 settembre 2010 Il Gazzettino di Treviso

questionario di soddisfazione dei clienti

pag. 01 20 Ottobre 2016 - La Gazzetta dello Sport (ed

www.sofiasabatti.it geode (o pallone da calcio) pag. 1 di 1

I casi di lavoratori caduti dai grattacieli scatenano il dibattito sui diritti

Catalogo per - creato il 13-08-2016 Viglietta Guido

informa tica - Genova Laser

Gennaio 2006 - Fondazione Marazza

Vada Volaterrana