Risk Management_Luciano Veronese

Transcript

Un'efficace gestione del
rischio per ottenere
vantaggi competitivi
Luciano Veronese - RSA Sr. GRC Consultant
© Copyright 2014 EMC Corporation. All rights reserved.
1
L’universo dei rischi
I rischi sono classificati in
molteplici categorie
I processi di gestione sono simili,
ma le metodologie di assessment
sono diversificate e supportate da
tool specializzati
L’ERM è UNICO in una azienda e
rende necessaria una vista olistica
e aggregata per poter realmente
fornire al management il
necessario supporto decisionale,
elemento chiave per favorire un
vantaggio competitivo
FONTE: Gartner - A Risk Hierarchy for
Enterprise and IT Risk Managers, 2008
2
Risk Management (GRC) con strumenti puntuali
Tool A
Effetti “collaterali”
Attività di integrazione ripetute
Costi elevati
SAP
HR
Tool B
Cat.
Process
i
Cat.
Vuln.
CMDB
Tool C
Difficoltà di integrazione fra i tool
Minore VISIBILITA’: il reporting è
più complesso, se non impossibile
Difficile offrire viste aggregate
I silos diventano un fattore di
inibizione alla automazione dei
processi GRC
Minore efficienza dei processi
3
Risk Management il GRC integrato
Benefici
•
RIUSO del Contesto di Business,
ottimizzazione costi
SAP
HR
Repository informativi integrati una sola volta
•
Data Model unico e condiviso
Maggiore VISIBILITA’, reporting più semplice
Cat.
Processi
Cat.
Vuln.
•
E’ facile aggregare i dati (es rischi IT nei rischi
di Business)
•
I processi GRC si possono automatizzare
CMDB
Maggiore efficienza dei processi e
COLLABORAZIONE
•
Rafforza l’ACCOUNTABILITY
4
5
Gli ecosistemi aziendali e le minacce
Lo schema di riferimento
BUSINESS
Processi, Controlli,
Policy, Prodotti,
Informazioni …
I.T.
Applicazioni,
Dispositivi,
Tecnologie, Storage,
…
Minacce che impattano il
business
Minacce che impattano
l’Information Technology
(e di conseguenza il business…)
6
La nostra visione strategica
Livello
Strategico
Policy
BUSINESS
Processessi, Controlli,
Policy, Prodotti,
Informazioni …
Minacce/
Rischi di Business
Business
Continuity
Enterprise
Management
I.T.
Risk
Compliance
Archer
eGRC
Security
Operations
Vulnerability
Management
Identity
Governance
Applicazioni.,
Dispositivi,
Tecnolgie, Storage, …
Minacce/
Rischi IT/InfoSec
Advanced
SOC/SA
Livello
Tecnologico
Fraud Risk
Intelligence
Le tecnologie RSA supportano sia il
livello strategico sia il livello tecnologico
con prodotti integrati che condividono le
relative informazioni di contesto
7
8
Gestire il rischio IT: gli approcci
L’approccio tradizionale al risk management, governato da metodologie
e standard quali ISO-27005 e ISO-31000, permette sostanzialmente di
individuare “rischi potenziali”.
Questo approccio quanto è compatibile con l’attuale livello di
dinamicità e complessità del business e del mondo del
malware? Quanto è in grado di intercettare i nuovi rischi?
Grazie ad Archer eGRC, supporta l’approccio tradizionale, sia per il
Business Risk sia per l’IT/InfoSec Risk
Supporta anche un “approccio pragmatico” al risk management,
grazie alla stretta integrazione fra i prodotti dello stack tecnologico
9
L’approccio RSA per la gestione del rischio IT
I possibili punti di intervento per mitigare i rischi
Agente di
Attacco
Vettore di
Attacco
Vulnerabilità di
sicurezza
Attacco
Vulnerabilità
Attacco
Vulnerabilità
Attacco
Vulnerabilità
Controlli di
sicurezza
Controllo
Controllo
<FAIL>
X
Impatto
Tecnico
Impatto sul
Business
IT Asset
Business
Business
Asset
Asset
IT Asset
Business
Asset
IT Asset
Business
Asset
Impatto
Tecnico
Difficile
Fattibile ed
efficace
Possibile
Fattibile ed
efficace
Si possono individuare 3 macro aree di intervento:
Prevenzione delle Minacce
Migliorare l’efficienza
della rilevazione
dell’attacco
Rilevazione
degli Attacchi
Migliorare
l’efficienza della
risposta all’incidente
Risposta e
Rimedio
Modello OWASP (https://www.owasp.org/index.php/Top_10_2010-Main)
10
La “gestione pragmatica” del rischio IT
Gestione preventiva: mitiga il rischio, riducendo le vulnerabilità rilevate
(che rappresentano dei rischi reali, non potenziali)
– Il rischio è ridotto agendo sulla componente di probabilità della tipica equazione di rischio
Gestione della capacità di rilevazione e di risposta: mitiga il rischio
migliorando le capacità di rilevare attacchi e l’efficienza del processo di
risposta agli incidenti
– Il rischio è ridotto agendo sulla componente di impatto della tipica equazione di rischio
Prevenzione
delle Minacce
Archer Vulnerability Risk
Management
Rilevazione degli
Attacchi
Security
Analytics
Risposta e
Rimedio
Archer Security
Operations
Management
11
Archer Vulnerability Risk Management
SFIDE
Passi
Mitigare i rischi (riduzione probabilità minacce) attraverso una gestione businessoriented delle vulnerabilità
Catalogo
Asset
Mancanza di un
catalogo centralizzato
(o catalogo parziale)
Vulnerability
Management
[La soluzione RSA]
Scoprire le
vulnerabilità
Classificare i
problemi
Monitoraggio
e Reporting
Nessuna relazione fra dati di business e tecnologici
Mancanza di un contesto e meccanismi di prioritizzazione
Mancanza di automazione e di workflow flessibile
Reporting inefficace e lento
Indirizzato
dai fornitori di
Vulnerability Scanner
(Qualys, McAfee, …)
Risultato Scansioni
Contesto
+
di
Σ
+
Business
=
Threat Intelligence
Indirizzare i
problemi
Vulnerabilità
Prioritizzate
Workflow
Scalabilità
KPI
Velocità
Report
Precisione
12
Vantaggio competitivo? Quali i fattori ?
Individuare le
aree di criticità
(rischi)
Automazione
dei processi
Visibilità:
Asset, Report,
Dashboard,…
Rimozione dei
Silos Informativi
Prendere
decisioni sulla
base dei risultati
dell’analisi del
rischio
14

Risk Management_Luciano Veronese

Transcript

Documenti analoghi

The Heart Asks Pleasure First - Spartiti Pianoforte

Lago di Saint Cassien (Francia)

Test 1 - Turistitaliensk 1- Ciao! Come ______ ? stai hai sei 2

Usa la forza per muoverti nel labirinto di Darth Vader. Con la forza

The more you know the better you do

Industrial Internet of Things 101

Presentazione standard di PowerPoint

CeBIT 2008 Holbe Dialogue Europe - Flybook