La Sicurezza, il Controllo e la Gestione dei Progetti IT
Transcript
La Sicurezza, il Controllo e la Gestione dei Progetti IT
La Sicurezza, il Controllo e la Gestione dei Progetti IT Andrea Pasquinucci A. Pasquinucci -- Gestione Progetti -- 21/04/2010 -- Pag. 1 Indice: Sicurezza e Controllo Sicurezza IT Dai Controlli ai Progetti Gestione di un Progetto IT e Sicurezza Conclusioni A. Pasquinucci -- Gestione Progetti -- 21/04/2010 -- Pag. 2 Sicurezza e Controllo Dirigenti IT ritengono: 83% : policy sicurezza sono allineate al business ma 75% : fiducia nella sicurezza dei partners ma 83% : convinto della solidità delle pratiche di sicurezza ma 57% : nessun monitoraggio della conformità 72% : nessun controllo su terze parti 44% : non sa spiegare gli incidenti Indagine 2008 The Global State of Information Security, CIO, CSO, PwC A. Pasquinucci -- Gestione Progetti -- 21/04/2010 -- Pag. 3 Sicurezza e Controllo Dirigenti IT ritengono: 73%: convinto della solidità delle pratiche di sicurezza 63%: ha MA: politiche attive di monitoraggio e intervento 41% : non sa quanti incidenti negli ultimi 24 mesi 47% : non sa che tipo di incidenti sono avvenuti 45% : non conosce la fonte degli incidenti Indagine 2009 The Global State of Information Security, CIO, CSO, PwC A. Pasquinucci -- Gestione Progetti -- 21/04/2010 -- Pag. 4 Sicurezza e Controlli Sicurezza IT: gestione quotidiana dei sistemi IT e della loro “sicurezza” Audit e Controlli IT: verifica da parte di terzi della Sicurezza IT Audit e Sicurezza IT devono lavorare insieme, anche se con finalità diverse, in un unico ciclo procedurale A. Pasquinucci -- Gestione Progetti -- 21/04/2010 -- Pag. 5 Sicurezza IT Non solo nel significato tecnico che include Confidenzialità Integrità Disponibilità (Autenticità) Ma anche più in generale come Affidabilità “Capacità di un componente di assolvere alle funzioni per cui è stato progettato” A. Pasquinucci -- Gestione Progetti -- 21/04/2010 -- Pag. 6 Sicurezza IT 10 Anni Fa... Con alcune eccezioni (es. mondo Mainframe): Mancanza skill professionali Ad Hoc Disorganizzata Non strutturata Mancanza di procedure Mancanza di coscienza del Management Limitatezza delle tecnologie Mancanza di prodotti e supporto ... A. Pasquinucci -- Gestione Progetti -- 21/04/2010 -- Pag. 7 Sicurezza IT Oggi... Presenza di: Professioni e skill professionali Standard e certificazioni di persone e prodotti Approcci aziendali strutturati, organici e organizzati Coscienza del Management Tecnologie appropriate Prodotti e supporto per la grande, media e piccola azienda ... Procedure A. Pasquinucci -- Gestione Progetti -- 21/04/2010 -- Pag. 8 Sicurezza IT ? Perché allora oggi la Sicurezza IT è sempre più un Problema ? A. Pasquinucci -- Gestione Progetti -- 21/04/2010 -- Pag. 9 Facciamo un Audit.. ✔ Documentazione ✔ Antivirus, antispam ✔ Procedure ✔ Proxy web ✔ Organigramma del ✔ Firewall personale ✔ Qualifiche del personale ✔ Aggiornamento del personale ✔ Audit periodici ✔ Accessi sicuri (biometria, OTP ...) ✔ Segmentazione rete ✔ Cifratura dati e comunicazioni ✔ ... A. Pasquinucci -- Gestione Progetti -- 21/04/2010 -- Pag. 10 Audit OK! Dov'è il problema ? Affrontiamolo non dal punto di vista del controllo ma del “fare”: dall'esigenza aziendale, al fornitore, al servizio A. Pasquinucci -- Gestione Progetti -- 21/04/2010 -- Pag. 11 Azienda Piccola o Media Mancanza di competenze interne Affidamento al fornitore Fornitore Non conosce/capisce le esigenze dell'azienda Vende soluzione standard, meglio se HW Se la soluzione non è appropriata, convince il cliente all'acquisto di un'altra soluzione per un supposto altro problema A. Pasquinucci -- Gestione Progetti -- 21/04/2010 -- Pag. 12 Azienda Grande Ogni modifica necessaria per soddisfare una nuova esigenza aziendale può essere realizzata solo tramite un Progetto: “Uno sforzo temporaneo e progressivo intrapreso per creare un prodotto o servizio unico” Si distingue dalla Gestione (Ordinaria - Operations) Ogni progetto va Gestito formalmente e verificato, a partire da un Change Request (CR) sino ai Test di Accettazione (UAT) Nasce il Project Manager (PM) e la disciplina del Project Management A. Pasquinucci -- Gestione Progetti -- 21/04/2010 -- Pag. 13 PM del PM del PM ... Azienda => Outsourcer => Fornitore => Appaltatore PMO PMO PM PMO PM PM PM Work A. Pasquinucci -- Gestione Progetti -- 21/04/2010 -- Pag. 14 Da una Esigenza ... ➔ Da una esigenza dell'Azienda ➔ All'interpretazione dell'Outsourcer ➔ Ai prodotti del Fornitore ➔ Alle competenze dell'Appaltatore A. Pasquinucci -- Gestione Progetti -- 21/04/2010 -- Pag. 15 Esempio ➔ SQL Injection applicazioni Web ➔ Sicurezza query su DB SQL ➔ Appliance Firewall SQL ➔ Quali filtri ? ........ “lasciamo il default” Probabilmente la vera soluzione era un bugfixing delle applicazioni Web... A. Pasquinucci -- Gestione Progetti -- 21/04/2010 -- Pag. 16 Perché ? E' più facile comprare una scatola che gestire un processo di analisi e sviluppo E' più conveniente comprare una scatola che gestire un processo di analisi e sviluppo E' meno rischioso comprare una scatola che gestire un processo di analisi e sviluppo E' più semplice fare un progetto a 360o che risolvere un singolo problema in profondità A. Pasquinucci -- Gestione Progetti -- 21/04/2010 -- Pag. 17 Gestire un Progetto IT Esistono Metodologie Tecniche Professionalità per gestire i progetti (IT e non IT) Ma come incorporare la “Sicurezza” ? A. Pasquinucci -- Gestione Progetti -- 21/04/2010 -- Pag. 18 Progetti e Sicurezza Acquisto Hardware Procedure del Personale Funzionalità di “Sicurezza” non implementabili a posteriori Difficile far cambiare le abitudini alle persone Architettura Applicativa Criteri: costo minimo, funzionalità minime => spesso aggiungere qualche cosa richiede rifare tutto A. Pasquinucci -- Gestione Progetti -- 21/04/2010 -- Pag. 19 Progetti di Sicurezza Pochissimi i veri Progetti di Sicurezza IT a se stanti Rete, crittografia, SSO ... Spesso è invece la Messa in Sicurezza di un Sistema IT con problemi Il tipico Cerotto: se il Sistema fosse stato progettato e implementato bene non avrebbe bisogno di cerotti Il Cerotto ha sempre una funzionalità limitata e temporanea Tipico esempio: Firewall Applicativi A. Pasquinucci -- Gestione Progetti -- 21/04/2010 -- Pag. 20 Sicurezza nei Progetti La Sicurezza è pervasiva, non è una componente aggiuntiva Dovrebbe essere una delle caratteristiche principali della Qualità di un Progetto e del suo risultato (prodotto o servizio) Chi gestisce un Progetto dovrebbe assicurarsi che gli elementi che garantiscono la Sicurezza siano presenti in tutte le fasi del Progetto: HW, SW, Procedure, Controlli ... A. Pasquinucci -- Gestione Progetti -- 21/04/2010 -- Pag. 21 Gestione di un Progetto Il Triangolo del PM: Per raggiungere gli Scopi ed Obiettivi del progetto vi sono 3 vincoli principali connessi tra loro: Qualità Tempi Costi A. Pasquinucci -- Gestione Progetti -- 21/04/2010 -- Pag. 22 Gestione di un Progetto In pratica, purtroppo, pur di ottenere qualche risultato si è obbligati ad ordinarli come segue: 1. Costi 2. Tempi 3. Scopi ed Obiettivi 4. Qualità delle funzionalità di base 5. Qualità delle funzionalità avanzate e Sicurezza A. Pasquinucci -- Gestione Progetti -- 21/04/2010 -- Pag. 23 Auditor Se coinvolto nel Progetto Verifica che Sicurezza e Qualità siano pervasive ed al primo posto nell'agenda del Progetto In alcuni casi è meglio che il Progetto sia cancellato piuttosto che si rinunci troppo in Sicurezza Nell'attività di Audit Chiede che i problemi siano risolti in profondità Non accetta i Cerotti se non come misure straordinarie e temporanee Cerca di diffondere la cultura della Sicurezza e del Controllo a 360o A. Pasquinucci -- Gestione Progetti -- 21/04/2010 -- Pag. 24 Conclusioni Il problema è umano, quindi difficile La tecnica (HW e SW) da sola ci aiuta poco Dobbiamo imparare a coniugare la Sicurezza sin dal principio Dobbiamo imparare a vedere la Sicurezza in ogni attività e componente Dobbiamo imparare e non usare i Cerotti ma nel caso rifare tutto da capo SOGNO ? A. Pasquinucci -- Gestione Progetti -- 21/04/2010 -- Pag. 25 Copyright e Licenza Queste slide sono copyright © Andrea Pasquinucci Queste slide sono distribuite sotto la licenza Creative Commons by-nc-nd 2.5: attribuzione, non-commerciale, non-opere-derivate http://creativecommons.org/licenses/by-nc-nd/2.5/ A. Pasquinucci -- Gestione Progetti -- 21/04/2010 -- Pag. 26 Grazie Andrea Pasquinucci pasquinucci-At-ucci.it www.ucci.it A. Pasquinucci -- Gestione Progetti -- 21/04/2010 -- Pag. 27