Un approccio alla gestione della strategia della sicurezza

PricewaterhouseCoopers Advisory
Consulting
AIEA
La gestione della strategia di sicurezza
novembre 2009
PwC
Contenuti
1.
Perché disegnare una strategia di sicurezza
2.
Approccio PwC all’Information Security Strategy
3.
Principali strumenti utilizzati
4.
Allegati
Sezione 1
Perché disegnare una strategia di sicurezza
Perché disegnare una strategia di sicurezza
Ad un aumento degli investimenti sulla sicurezza delle
informazioni non sempre corrisponde un reale miglioramento
I CIO sono spesso frustrati per la quantità di risorse, anche finanziarie,
destinate a progetti di sicurezza e tecnologia, rispetto ai benefici che ne
possono ottenere.
Il denominatore comune solitamente è lo stesso: la mancanza di una strategia
di sicurezza ben progettata a livello aziendale.
Molte organizzazioni mostrano un approccio reattivo ai temi della sicurezza
implementando, in maniera non coordinata e sistematica, specifiche soluzioni
in risposta a singole minacce o violazioni.
Questo approccio, oltre a risultare costoso, si risolve paradossalmente in un
“patchwork” di soluzioni che rendono l’organizzazione meno sicura.
Fonte: “How to Design a Security Strategy (and Why You Must)” – http://www.cio.com/article/482446
PricewaterhouseCoopers
novembre 2009
Slide 4
Perché disegnare una strategia di sicurezza
È necessaria una strategia di sicurezza che sia onnicomprensiva
ed allineata agli obiettivi di business nel medio periodo
Il primo passo da compiere è effettuare una valutazione dello stato attuale
della sicurezza a 360°, utilizzando predeterminati livelli di maturità.
Tale esercizio, oltre a fare assumere consapevolezza da parte dell’azienda
circa lo stato attuale, rivela i principali gap e indica quali sono i più critici,
consentendo inoltre di indirizzare i problemi di sicurezza proattivamente.
Una volta noto lo stato attuale e definito lo stato desiderato, in funzione degli
obiettivi strategici aziendali sarà immediata la definizione della strategia che
coinvolga tutti gli aspetti della sicurezza.
Senza una soluzione olistica il CIO non sarà in grado di elevare il tema della
sicurezza al rango della strategia aziendale, alla quale appartiene per natura.
Fonte: “How to Design a Security Strategy (and Why You Must)” – http://www.cio.com/article/482446
PricewaterhouseCoopers
novembre 2009
Slide 5
Sezione 2
Approccio PwC all’Information Security Strategy
Approccio PwC all’Information Security Strategy
L’approccio di PwC è orientato ad allineare l’IT al Business
attraverso la comprensione della catena del valore aziendale
Requisiti
Attività
Primarie
Obiettivi di Business
IDENTIFY
(Envision)
CREATE
(Engineer)
CAPTURE
(Operate)
Organizzazione
Attività di
Supporto
SUSTAIN
(Respond)
M
a
r
g
i
Valore
Creazione &
Protezione
n
e
Processi aziendali
Tecnologie
PricewaterhouseCoopers
novembre 2009
Slide 7
Approccio PwC all’Information Security Strategy
Ogni organizzazione dovrebbe definire ed implementare un
proprio disciplinare di sicurezza con il quale autoregolamentarsi
L’implementazione di standard quali l’ISO/IEC 27000 può essere molto
dispendiosa in termini di tempi e costi.
Al fine di definire un modello e una strategia per ridurre l’esposizione a rischi
di Sicurezza, è importante effettuare un approccio snello e flessibile che
garantisca benefici concreti e misurabili.
PwC propone di effettuare una valutazione dell’attuale livello di maturità di in
ambito Sicurezza, creando un proprio disciplinare di sicurezza che faccia
riferimento ai più importanti standard in materia di controlli IT e Security (p.e.
ISO27000, CObIT, Privacy, ITIL, Basilea II, HIPAA, etc.).
PricewaterhouseCoopers
novembre 2009
Slide 8
Approccio PwC all’Information Security Strategy
Il framework PwC “SecurityATLASTM” è lo strumento per
assistere il CISO nella definizione della strategia di sicurezza
Tale framework propone un approccio strutturato e scalabile per il
miglioramento della sicurezza dell’informazione. La definizione dei Quick-win,
del Piano dei Progetti e del Piano Strategico, consente di aumentare il livello
di maturità su tutti i domini della sicurezza, prioritizzando gli interventi in base
alla criticità (come ad esempio la conformità a Leggi o gravi debolezze
rilevate).
In questo modo si riesce ad instaurare un circolo virtuoso (Continual Service
Improvement) per il miglioramento della Sicurezza dell’Informazione, mediante
un progressivo e graduale aumento del livello di maturità che, passo dopo
passo, consente di raggiungere gli obiettivi di sicurezza desiderati.
L’articolo di PwC Advisory “How to Design a Security Strategy (and Why You
Must)” basato sul SecurityATLAS, spiega inoltre come tale strumento
permetta di ottenere un adeguato coinvolgimento da parte del top
management (http://www.cio.com/article/482446).
PricewaterhouseCoopers
novembre 2009
Slide 9
Approccio PwC all’Information Security Strategy
Approccio PwC all’Information Security Strategy
I Start Up
II Assessment
III Strategy & Roadmap
IV Implementazione
B
Definizione degli
obiettivi di sicurezza
dell’informazione
A
Definizione del
perimetro di
intervento
<
C
Information Security
Maturity
Assessment
E
Definizione
Strategia &
Roadmap
F
Implementazione
Strategia &
Roadmap
D
GAP Analysis
Punti di approvazione formale
“Approccio Proposto”
PricewaterhouseCoopers
novembre 2009
Slide 10
Approccio PwC all’Information Security Strategy
L’approccio PwC si pone diversi obiettivi, tra cui la valutazione
dell’attuale livello di maturità in ambito sicurezza
I principali obiettivi dell’approccio PwC sono i seguenti:
• definizione del perimetro di intervento (sistemi e processi IT);
• identificazione, definizione e condivisione degli obiettivi di sicurezza;
• valutazione dell’attuale livello della sicurezza dell’informazione;
• identificazione dei Gap fra la situazione attuale e quella desiderata;
• identificazione delle azioni da compiere per colmare i gap identificati;
• definizione di una strategia di approccio comprendente Quick-win*, Piano
dei Progetti e relativi costi, Responsabilità e Roadmap di
Implementazione.
* Quick-win: attività che comportano un effort ridotto e che devono essere eseguite con alta priorità
PricewaterhouseCoopers
novembre 2009
Slide 11
Sezione 3
Principali strumenti utilizzati
Principali strumenti utilizzati
I principali strumenti utilizzati permettono di comunicare
chiaramente il valore della Security a tutti i livelli aziendali (1/3)
Livello di Maturità attuale:
rappresenta l’attuale stato della
sicurezza dell’informazione, per
ogni dominio, in termini di livello
di maturità, copertura dei controlli
e gravità delle criticità.
1.SP
Livello di Maturità desiderato:
rappresenta il livello di maturità
desiderato per ogni dominio di
Sicurezza e i GAP tra lo stato
attuale e quello desiderato.
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
11.CO
10.BCM
9.ISIM
3.AM
4.HRS
8.ISADM
5.PES
7.AC
PricewaterhouseCoopers
2.OIS
6.COM novembre 2009
Slide 13
Principali strumenti utilizzati
I principali strumenti utilizzati permettono di comunicare
chiaramente il valore della Security a tutti i livelli aziendali (2/3)
Gap Analysis
Punti d’attenzione, QuickWin e Progetti per ogni dominio
Inserire nome dominio (XX)
Ref Disciplinare: XX.x – XX.x
Descrizione: Inserire descrizione.
rappresenta l’identificazione dei
Gap fra la situazione attuale e
quella desiderata, individuando le
azioni da compiere per colmare i
gap identificati.
Obiettivi: Inserire obiettivi.
Livello di Maturità AS IS: x su 5 (Maturità)
Severity: Severity
Punti di Debolezza
• Inserire punto di debolezza.
• Inserire punto di debolezza.
• Inserire punto di debolezza.
• Inserire punto di debolezza.
QuickWin
Effort
Inserire QuickWin EXT QW
Inserire QuickWin INT
EXT (gg)
INT (gg)
Totale
0
0
Capex (K€)
0
Progetti
QW
0
0
0
Nome progetto PR 1: Descrizione progetto.
Nome progetto PR 2: Descrizione progetto.
Nome progetto PR 3: Descrizione progetto.
Nome progetto PR 4: Descrizione progetto.
PR 1
0
0
0
PR 2
0
0
0
PR 3
0
0
0
PR 4
0
0
0
Livello di Maturità TO BE:
Maturità
RACI
rappresenta la matrice di
assegnamento delle
responsabilità: Responsible,
Accountable, Consulted,
Informed.
PricewaterhouseCoopers
novembre 2009
Slide 14
Principali strumenti utilizzati
I principali strumenti utilizzati permettono di comunicare
chiaramente il valore della Security a tutti i livelli aziendali (3/3)
Piano dei Progetti
rappresenta l’insieme dei progetti
da implementare a breve e medio
termine, la stima dell’effort per
ognuno di essi e la relativa
distribuzione temporale.
Piano Strategico
rappresenta i progetti da
implementare a breve, medio e
lungo termine per il
raggiungimento degli obiettivi
strategici di sicurezza.
PricewaterhouseCoopers
novembre 2009
Slide 15
Sezione 4
Allegati
Allegati
Livello di Maturità attuale
PricewaterhouseCoopers
novembre 2009
Slide 17
back
Allegati
Livello di Maturità desiderato
1.SP
5
4,5
4
3,5
3
2,5
2
1,5
1
0,5
0
11.CO
10.BCM
2.OIS
3.AM
9.ISIM
4.HRS
8.ISADM
5.PES
7.AC
PricewaterhouseCoopers
6.COM
novembre 2009
Slide 18
back
Punti d’attenzione, QuickWin e Progetti per ogni dominio
Sistemi ed Infrastrutture di Rete (IR)
Ref Disciplinare: IR.x – IR.x
Descrizione: Disegno, realizzazione e manutenzione di infrastrutture di rete sicure (apparati di comunicazione, server, client e
sistemi operativi).
Obiettivi: La gestione di infrastrutture di rete sicure garantisce l’affidabilità nel tempo delle risorse impiegate e la qualità dei dati
scambiati.
Livello di Maturità AS IS: 2 su 5 (Informal)
Severity: Alta
Punti di Debolezza
• Mancanza o mancato aggiornamento di alcune procedure operative per la gestione e il monitoraggio dei sistemi.
• Non è presente un processo strutturato per il mantenimento e il monitoraggio degli Asset IT.
• Non è presente un processo strutturato per l’aggiornamento dei sistemi.
• Non vengono svolte periodiche attività di Vulnerability Assessment.
• Non è stato definito uno specifico processo per gestire e tracciare gli Incidenti di Sicurezza.
QuickWin
Effort
QW. Policy Review
Controllo Accessi da remoto
EXT (gg)
INT (gg)
Capex (K€)
Totale
88
40
105
Progetti
QW
15
8
0
IR A. IT Security Asset Inventory: Predisposizione e aggiornamento
periodico dell‘inventario degli Asset IT, con particolare focus sugli
aspetti di sicurezza.
IR B. Patch Management: Definizione del processo di
aggiornamento dei sistemi critici, che può essere automatizzato o
manuale dipendentemente dai sistemi coinvolti.
IR C. Vulnerability Assessment: Definizione di un processo di
verifica delle vulnerabilità sui sistemi critici. Esecuzione di una prima
verifica, analisi dei risultati e Action Plan per le eccezioni riscontrate.
IR D. Security Incident Management: Definizione della strategia di
Gestione degli Incidenti di Sicurezza e stesura della documentazione
a supporto.
IR A
10
5
0
IR B
30
15
0
IR C
15
5
5*
IR D
18
7
100**
PricewaterhouseCoopers
* acquisto licenze vulnerability scanner
** acquisto licenze tool di trouble ticketing
Livello di Maturità TO BE:
Standardized/Monitored
novembre 2009
Slide 19
back
Allegati
Matrice RACI
PricewaterhouseCoopers
novembre 2009
Slide 20
back
Allegati
Piano dei Progetti
PricewaterhouseCoopers
novembre 2009
Slide 21
back
PricewaterhouseCoopers
novembre 2009
Slide 22
back
La gestione della strategia di sicurezza
© 2009 PricewaterhouseCoopers. All rights reserved. “PricewaterhouseCoopers” refers to the network
of member firms of PricewaterhouseCoopers International Limited, each of which is a separate and independent
legal entity. *connectedthinking is a trademark of PricewaterhouseCoopers LLP (US).
PwC