Un approccio alla gestione della strategia della sicurezza
Transcript
Un approccio alla gestione della strategia della sicurezza
PricewaterhouseCoopers Advisory Consulting AIEA La gestione della strategia di sicurezza novembre 2009 PwC Contenuti 1. Perché disegnare una strategia di sicurezza 2. Approccio PwC all’Information Security Strategy 3. Principali strumenti utilizzati 4. Allegati Sezione 1 Perché disegnare una strategia di sicurezza Perché disegnare una strategia di sicurezza Ad un aumento degli investimenti sulla sicurezza delle informazioni non sempre corrisponde un reale miglioramento I CIO sono spesso frustrati per la quantità di risorse, anche finanziarie, destinate a progetti di sicurezza e tecnologia, rispetto ai benefici che ne possono ottenere. Il denominatore comune solitamente è lo stesso: la mancanza di una strategia di sicurezza ben progettata a livello aziendale. Molte organizzazioni mostrano un approccio reattivo ai temi della sicurezza implementando, in maniera non coordinata e sistematica, specifiche soluzioni in risposta a singole minacce o violazioni. Questo approccio, oltre a risultare costoso, si risolve paradossalmente in un “patchwork” di soluzioni che rendono l’organizzazione meno sicura. Fonte: “How to Design a Security Strategy (and Why You Must)” – http://www.cio.com/article/482446 PricewaterhouseCoopers novembre 2009 Slide 4 Perché disegnare una strategia di sicurezza È necessaria una strategia di sicurezza che sia onnicomprensiva ed allineata agli obiettivi di business nel medio periodo Il primo passo da compiere è effettuare una valutazione dello stato attuale della sicurezza a 360°, utilizzando predeterminati livelli di maturità. Tale esercizio, oltre a fare assumere consapevolezza da parte dell’azienda circa lo stato attuale, rivela i principali gap e indica quali sono i più critici, consentendo inoltre di indirizzare i problemi di sicurezza proattivamente. Una volta noto lo stato attuale e definito lo stato desiderato, in funzione degli obiettivi strategici aziendali sarà immediata la definizione della strategia che coinvolga tutti gli aspetti della sicurezza. Senza una soluzione olistica il CIO non sarà in grado di elevare il tema della sicurezza al rango della strategia aziendale, alla quale appartiene per natura. Fonte: “How to Design a Security Strategy (and Why You Must)” – http://www.cio.com/article/482446 PricewaterhouseCoopers novembre 2009 Slide 5 Sezione 2 Approccio PwC all’Information Security Strategy Approccio PwC all’Information Security Strategy L’approccio di PwC è orientato ad allineare l’IT al Business attraverso la comprensione della catena del valore aziendale Requisiti Attività Primarie Obiettivi di Business IDENTIFY (Envision) CREATE (Engineer) CAPTURE (Operate) Organizzazione Attività di Supporto SUSTAIN (Respond) M a r g i Valore Creazione & Protezione n e Processi aziendali Tecnologie PricewaterhouseCoopers novembre 2009 Slide 7 Approccio PwC all’Information Security Strategy Ogni organizzazione dovrebbe definire ed implementare un proprio disciplinare di sicurezza con il quale autoregolamentarsi L’implementazione di standard quali l’ISO/IEC 27000 può essere molto dispendiosa in termini di tempi e costi. Al fine di definire un modello e una strategia per ridurre l’esposizione a rischi di Sicurezza, è importante effettuare un approccio snello e flessibile che garantisca benefici concreti e misurabili. PwC propone di effettuare una valutazione dell’attuale livello di maturità di in ambito Sicurezza, creando un proprio disciplinare di sicurezza che faccia riferimento ai più importanti standard in materia di controlli IT e Security (p.e. ISO27000, CObIT, Privacy, ITIL, Basilea II, HIPAA, etc.). PricewaterhouseCoopers novembre 2009 Slide 8 Approccio PwC all’Information Security Strategy Il framework PwC “SecurityATLASTM” è lo strumento per assistere il CISO nella definizione della strategia di sicurezza Tale framework propone un approccio strutturato e scalabile per il miglioramento della sicurezza dell’informazione. La definizione dei Quick-win, del Piano dei Progetti e del Piano Strategico, consente di aumentare il livello di maturità su tutti i domini della sicurezza, prioritizzando gli interventi in base alla criticità (come ad esempio la conformità a Leggi o gravi debolezze rilevate). In questo modo si riesce ad instaurare un circolo virtuoso (Continual Service Improvement) per il miglioramento della Sicurezza dell’Informazione, mediante un progressivo e graduale aumento del livello di maturità che, passo dopo passo, consente di raggiungere gli obiettivi di sicurezza desiderati. L’articolo di PwC Advisory “How to Design a Security Strategy (and Why You Must)” basato sul SecurityATLAS, spiega inoltre come tale strumento permetta di ottenere un adeguato coinvolgimento da parte del top management (http://www.cio.com/article/482446). PricewaterhouseCoopers novembre 2009 Slide 9 Approccio PwC all’Information Security Strategy Approccio PwC all’Information Security Strategy I Start Up II Assessment III Strategy & Roadmap IV Implementazione B Definizione degli obiettivi di sicurezza dell’informazione A Definizione del perimetro di intervento < C Information Security Maturity Assessment E Definizione Strategia & Roadmap F Implementazione Strategia & Roadmap D GAP Analysis Punti di approvazione formale “Approccio Proposto” PricewaterhouseCoopers novembre 2009 Slide 10 Approccio PwC all’Information Security Strategy L’approccio PwC si pone diversi obiettivi, tra cui la valutazione dell’attuale livello di maturità in ambito sicurezza I principali obiettivi dell’approccio PwC sono i seguenti: • definizione del perimetro di intervento (sistemi e processi IT); • identificazione, definizione e condivisione degli obiettivi di sicurezza; • valutazione dell’attuale livello della sicurezza dell’informazione; • identificazione dei Gap fra la situazione attuale e quella desiderata; • identificazione delle azioni da compiere per colmare i gap identificati; • definizione di una strategia di approccio comprendente Quick-win*, Piano dei Progetti e relativi costi, Responsabilità e Roadmap di Implementazione. * Quick-win: attività che comportano un effort ridotto e che devono essere eseguite con alta priorità PricewaterhouseCoopers novembre 2009 Slide 11 Sezione 3 Principali strumenti utilizzati Principali strumenti utilizzati I principali strumenti utilizzati permettono di comunicare chiaramente il valore della Security a tutti i livelli aziendali (1/3) Livello di Maturità attuale: rappresenta l’attuale stato della sicurezza dell’informazione, per ogni dominio, in termini di livello di maturità, copertura dei controlli e gravità delle criticità. 1.SP Livello di Maturità desiderato: rappresenta il livello di maturità desiderato per ogni dominio di Sicurezza e i GAP tra lo stato attuale e quello desiderato. 5 4,5 4 3,5 3 2,5 2 1,5 1 0,5 0 11.CO 10.BCM 9.ISIM 3.AM 4.HRS 8.ISADM 5.PES 7.AC PricewaterhouseCoopers 2.OIS 6.COM novembre 2009 Slide 13 Principali strumenti utilizzati I principali strumenti utilizzati permettono di comunicare chiaramente il valore della Security a tutti i livelli aziendali (2/3) Gap Analysis Punti d’attenzione, QuickWin e Progetti per ogni dominio Inserire nome dominio (XX) Ref Disciplinare: XX.x – XX.x Descrizione: Inserire descrizione. rappresenta l’identificazione dei Gap fra la situazione attuale e quella desiderata, individuando le azioni da compiere per colmare i gap identificati. Obiettivi: Inserire obiettivi. Livello di Maturità AS IS: x su 5 (Maturità) Severity: Severity Punti di Debolezza • Inserire punto di debolezza. • Inserire punto di debolezza. • Inserire punto di debolezza. • Inserire punto di debolezza. QuickWin Effort Inserire QuickWin EXT QW Inserire QuickWin INT EXT (gg) INT (gg) Totale 0 0 Capex (K€) 0 Progetti QW 0 0 0 Nome progetto PR 1: Descrizione progetto. Nome progetto PR 2: Descrizione progetto. Nome progetto PR 3: Descrizione progetto. Nome progetto PR 4: Descrizione progetto. PR 1 0 0 0 PR 2 0 0 0 PR 3 0 0 0 PR 4 0 0 0 Livello di Maturità TO BE: Maturità RACI rappresenta la matrice di assegnamento delle responsabilità: Responsible, Accountable, Consulted, Informed. PricewaterhouseCoopers novembre 2009 Slide 14 Principali strumenti utilizzati I principali strumenti utilizzati permettono di comunicare chiaramente il valore della Security a tutti i livelli aziendali (3/3) Piano dei Progetti rappresenta l’insieme dei progetti da implementare a breve e medio termine, la stima dell’effort per ognuno di essi e la relativa distribuzione temporale. Piano Strategico rappresenta i progetti da implementare a breve, medio e lungo termine per il raggiungimento degli obiettivi strategici di sicurezza. PricewaterhouseCoopers novembre 2009 Slide 15 Sezione 4 Allegati Allegati Livello di Maturità attuale PricewaterhouseCoopers novembre 2009 Slide 17 back Allegati Livello di Maturità desiderato 1.SP 5 4,5 4 3,5 3 2,5 2 1,5 1 0,5 0 11.CO 10.BCM 2.OIS 3.AM 9.ISIM 4.HRS 8.ISADM 5.PES 7.AC PricewaterhouseCoopers 6.COM novembre 2009 Slide 18 back Punti d’attenzione, QuickWin e Progetti per ogni dominio Sistemi ed Infrastrutture di Rete (IR) Ref Disciplinare: IR.x – IR.x Descrizione: Disegno, realizzazione e manutenzione di infrastrutture di rete sicure (apparati di comunicazione, server, client e sistemi operativi). Obiettivi: La gestione di infrastrutture di rete sicure garantisce l’affidabilità nel tempo delle risorse impiegate e la qualità dei dati scambiati. Livello di Maturità AS IS: 2 su 5 (Informal) Severity: Alta Punti di Debolezza • Mancanza o mancato aggiornamento di alcune procedure operative per la gestione e il monitoraggio dei sistemi. • Non è presente un processo strutturato per il mantenimento e il monitoraggio degli Asset IT. • Non è presente un processo strutturato per l’aggiornamento dei sistemi. • Non vengono svolte periodiche attività di Vulnerability Assessment. • Non è stato definito uno specifico processo per gestire e tracciare gli Incidenti di Sicurezza. QuickWin Effort QW. Policy Review Controllo Accessi da remoto EXT (gg) INT (gg) Capex (K€) Totale 88 40 105 Progetti QW 15 8 0 IR A. IT Security Asset Inventory: Predisposizione e aggiornamento periodico dell‘inventario degli Asset IT, con particolare focus sugli aspetti di sicurezza. IR B. Patch Management: Definizione del processo di aggiornamento dei sistemi critici, che può essere automatizzato o manuale dipendentemente dai sistemi coinvolti. IR C. Vulnerability Assessment: Definizione di un processo di verifica delle vulnerabilità sui sistemi critici. Esecuzione di una prima verifica, analisi dei risultati e Action Plan per le eccezioni riscontrate. IR D. Security Incident Management: Definizione della strategia di Gestione degli Incidenti di Sicurezza e stesura della documentazione a supporto. IR A 10 5 0 IR B 30 15 0 IR C 15 5 5* IR D 18 7 100** PricewaterhouseCoopers * acquisto licenze vulnerability scanner ** acquisto licenze tool di trouble ticketing Livello di Maturità TO BE: Standardized/Monitored novembre 2009 Slide 19 back Allegati Matrice RACI PricewaterhouseCoopers novembre 2009 Slide 20 back Allegati Piano dei Progetti PricewaterhouseCoopers novembre 2009 Slide 21 back PricewaterhouseCoopers novembre 2009 Slide 22 back La gestione della strategia di sicurezza © 2009 PricewaterhouseCoopers. All rights reserved. “PricewaterhouseCoopers” refers to the network of member firms of PricewaterhouseCoopers International Limited, each of which is a separate and independent legal entity. *connectedthinking is a trademark of PricewaterhouseCoopers LLP (US). PwC