Gestire i rischi della sicurezza informatica - 01net.it · Sumner Blount, CA Solutions Febbraio...

Gestire i rischi dellasicurezza informaticaSumner Blount, CA Solutions Febbraio 2006tembre 2005

White Paper

183485 ITAMITSR 14pp0606 WP 6/26/06 1:51 PM

2

SommarioExecutive Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

La crescente importanza della gestione dei rischi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Cosa si intende per ERM (Enterprise Risk Management) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Classificazione dei rischi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Una piattaforma per la gestione dei rischi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Principi di un'efficace gestione dei rischi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Gestione dei rischi informatici . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Tutela degli asset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Continuità del servizio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Conformità . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Soluzioni per la gestione della sicurezza informatica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Gestione integrata delle minacce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Riepilogo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Le soluzioni CA per la gestione della sicurezza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

183485 ITAMITSR 14pp0606 WP 6/26/06 1:51 PM

3

Executive SummaryDiversi fattori legati all'andamento del mercato e del compartohanno reso la gestione dei rischi in azienda un problemasempre più critico per singoli dirigenti e interi consigli diamministrazione. Non ultimo fra questi, la crescenteminuziosità con cui vengono messe sotto esame tutte leattività aziendali attraverso normative di legge e di settore.Inoltre, l'aumentata visibilità e i catastrofici effetti finanziaricausati da alcuni recenti casi di violazione della security hannotrasformato la gestione dei rischi di vario tipo in un argomentodi scottante attualità per qualsiasi impresa.

L'elemento forse più importante di qualunque programma perla gestione dei rischi aziendali (Enterprise Risk Management oERM) è costituito della sicurezza informatica, i cui elementiprincipali sono la protezione di asset critici e la disponibilitàininterrotta dei servizi IT. Se i rischi connessi a questi dueaspetti vengono adeguatamente attenuati, anche i pericoli cuiè esposta l'azienda nel suo complesso risulterannonotevolmente inferiori. Inoltre, riducendo i rischi informaticitramite l'adozione di efficaci misure di controllo interno sisemplifica considerevolmente la conformità normativa.

Questo documento prende in esame gli elementi essenziali diun programma aziendale di risk management e tratta le diversemetodologie possibili in base al tipo di rischio e al livello ditolleranza ritenuto accettabile. Esso illustra altresì lecomponenti fondamentali della gestione della sicurezzainformatica ed esplora alcune soluzioni tecnologiche utilizzabiliper ridurre in modo significativo il rischio di possibili violazioni.

La crescente importanza dellagestione dei rischiTradizionalmente, la maggioranza delle imprese ha sempregestito i rischi in modo quantomeno informale e generalmentelocalizzato, attraverso "silos" in cui ciascuna divisione obusiness unit tentava di ridurre la rischiosità complessiva delleproprie attività – per lo più senza alcun coordinamento conaltre funzioni aziendali. Ancor peggio, la gestione dei rischi èstata spesso trattata come problema marginale anziché comedisciplina formale da integrare in qualsiasi procedura operativae decisionale.

In tempi recenti, gli effetti negativi di questo approccio sonodivenuti dolorosamente evidenti. La crescente presa dicoscienza della necessità di discipline formali per la gestionedei rischi è stata stimolata da diversi fattori, fra cui:

• Complessità e interdipendenza dei rischi aziendali. Oggi ilmondo del lavoro è incredibilmente più complesso rispettoal passato. La disponibilità di dati e applicazioni on-line,l'allargamento dei rapporti a partner e fornitori e la velocitàdei mutamenti economici comportano la necessità, per leimprese, di prendere in considerazione un numero moltomaggiore di rischi. Inoltre tali rischi sono raramenteindipendenti fra loro; spesso si intersecano gli uni agli altri

secondo modalità complesse e di difficile gestione. Unproblema in un'area dell'attività commerciale può averericadute drammatiche su altre aree.

• Aumento delle normative di legge. La compliance normativaè diventata un argomento all'ordine del giorno negli ultimianni, in gran parte sulla scia dei recenti scandali aziendali.Oggi le imprese devono far fronte a una serie di richieste,complesse e spesso poco chiare, contenute in normative dilegge e di settore. E la responsabilità è diventata personale:i CEO rispondono in prima persona della complianceaziendale, e ciò crea un forte incentivo al rispetto delle leggisia nello spirito che nella lettera.

• Crescente globalizzazione. La crescente espansionegeografica di molte aziende e la complessità deiregolamenti interni da rispettare implicano la necessità diuna gestione dei rischi su base planetaria. Azioni semplicicome fornire informazioni sui clienti a una filiale esterapossono oggi comportare notevoli rischi legali. Inoltre, laspinta alla penetrazione dell'attività commerciale in nuovearee con una contemporanea riduzione dei costi crea rischie pressioni da gestire con cautela.

• Maggiore visibilità di perdite catastrofiche. I notiziari sonopieni di cronache di aziende che hanno subito catastroficheperdite finanziarie e di immagine, molte delle qualiculminate nella bancarotta. Società come Barings PLC,Worldcom, Enron e altre sono esempi di fallimento a tutti ilivelli nella gestione e nel controllo dei rischi. Ovviamentenessuna azienda desidera andare ad aggiungersi a questotriste elenco, perciò cresce l'adozione di tecniche e misuredi controllo nuove e più severe per gestire i rischi aziendali.

I fattori sopra elencati sono alcune delle principali ragioni chespingono le imprese a implementare programmi e iniziativeformali di risk management. La gestione dei rischi è diventataun ulteriore imperativo commerciale, insieme ad altri più notiquali il ROI e la riduzione dei costi.

Cosa si intende per ERM (EnterpriseRisk Management)Tutti sappiamo a livello intuitivo cosa sia un rischio econosciamo alcune delle aree in cui può manifestarsi. Tuttavial'ERM è molto più che la semplice gestione di singoli rischiindipendenti fra loro. Il Gartner Group definisce il rischio come"una possibilità di perdita o di esposizione a una perdita". Neconsegue che l'ERM è una gestione sistematica e formale deirischi che punta non solo a ridurre le perdite, ma anche asfruttare le opportunità. Scopo del risk management èproteggere l'azienda e la sua capacità di portare avanti lapropria missione strategica.

Obiettivo dell'ERM non è la costituzione di una burocraziacentralizzata per la gestione dei rischi, ma piuttosto lacreazione di una metodologia efficace e sostenibile in grado digestire qualsiasi forma di rischio in ogni parte dell'azienda. Ciò

183485 ITAMITSR 14pp0606 WP 6/26/06 1:51 PM

4

è possibile solo se il risk management è un processo chepermea tutti i processi decisionali aziendali, a qualsiasi livello.In termini di corporate governance, efficienza ed efficacia, unbuon programma di gestione dei rischi può comportarevantaggi notevoli, alcuni dei quali saranno discussi in unparagrafo successivo.

Sebbene il valore di programmi di questo tipo sia ampiamentericonosciuto, la loro adozione rimane alquanto limitata. Ilsettimanale Compliance Week riferisce che, secondo unsondaggio svolto fra dirigenti d'azienda, il 91% delle imprese"è ben disposto" verso il valore dell'ERM, ma solo l'11% haattuato un programma ERM a tutto tondo, perciò lo sviluppopotenziale di questa metodologia è ancora molto elevato.

Il successo limitato dell'ERM non sorprende se si consideranole problematiche connesse alla sua implementazione. Lagestione di rischi complessi e a volte sconosciuti in diversebusines unit, ad esempio, presenta seri problemi organizzativi, eanche la complessità e la natura spesso conflittuale deimandati internazionali rende assai difficoltosa la gestione deirischi normativi. Infine, la scarsa conoscenza delle best practicedi settore e la mancanza di esperienza nella loro applicazionelasciano le imprese prive di direttive da seguire. Perciò, purcomprendendo la necessità di un programma ERMformalizzato, molte aziende non sanno bene come procedere oquali tecnologie adottare a supporto di tale processo.

Classificazione dei rischiQuali tipi di rischi gestisce l'ERM? Come suggerisce il nome,dovrebbe gestire qualsiasi rischio in grado di influire in modonon trascurabile sull'azienda. La classificazione generale deirischi che la maggior parte delle imprese deve affrontarecomprende:

• Rischi naturali (incendi, inondazioni, furti, ecc.)

• Rischi finanziari (prezzi, credito, inflazione, ecc.)

• Rischi strategici (concorrenza, innovazione tecnologica,modifiche alle norme di legge, danni all'immagine di unmarchio, ecc.)

• Rischi operativi (funzionamento dell'IT, operativitàcommerciale, minacce alla sicurezza, ecc.)

Il monitoraggio e la gestione di tutti questi tipi di rischi sonocruciali per un'azienda, e in casi estremi ciascuno di essipotrebbe avere conseguenze catastrofiche. La tipologia spessopiù facile da prevedere e controllare è quella dei rischioperativi che riguardano la normale attività dell'azienda e suiquali è più semplice intervenire attraverso un miglioramento eun rafforzamento dei controlli interni.

I rischi operativi possono essere interni o esterni. Fra i rischioperativi interni si annoverano:

• Persone. Perdita di personale, carenza di know-how, attriti, ecc.

• Processi. Controlli di processo inadeguati, fusioni, ecc.

• Tecnologia. Sicurezza e affidabilità inadeguate dei sistemi,obsolescenza, ecc.

Le categorie dei rischi operativi esterni sono simili, ecomprendono:

• Processi. Rischi legali, rischi legati a partner e fornitori, ecc.

• Tecnologia. Sicurezza fisica, sicurezza dei siti diarchiviazione dei dati, ecc.

In un paragrafo successivo vedremo come gran parte dei rischioperativi di un'azienda possa essere mitigata con soluzionitecnologiche accuratamente selezionate.

Il rischio non deve sempre essere evitato ad ogni costo. Alcontrario, un'impresa può crescere solo accettando livelli dirischio cosiddetti "prudenziali". Alcuni rischi possono e devonoessere considerati come parte della normale attività operativa.Esistono quattro approcci generici alla gestione di qualsiasitipologia di rischio:

• Evitare. Modificare l'attività in modo che un particolarerischio venga eliminato.

• Trasferire. Passare per intero o in parte il rischio ad altri(compagnie di assicurazione, partner, ecc.).

• Mitigare. Creare un numero di controlli e parametri diverifica sufficienti a ridurre il rischio e la gravità dellaperdita.

• Accettare. Assumersi il rischio e i costi ad esso associati.

183485 ITAMITSR 14pp0606 WP 6/26/06 1:51 PM

5

L'approccio più adatto dipende molto dal tipo di rischio e dallagravità delle conseguenze. Il grafico che segue illustra alcuniprincipi generici relativi alla gestione di diverse tipologie di rischiaziendali.

Figura 1. Matrice di gestione dei rischi.

Per sua stessa natura, questo grafico rappresenta un tentativo diriunire un gran numero di rischi in quattro semplici riquadri.Come tale, esso costituisce solo un ambito concettuale e nonrispecchia per intero la complessità di molti rischi operativiodierni.

Esaminiamo brevemente ciascun approccio. Evitare i rischi èdifficile, e a volte limita notevolmente le scelte aziendali. Ciòsignifica che l'eliminazione di un rischio potrebbe avere sullacrescita dell'azienda ripercussioni ancora più negative delrischio stesso. Il trasferimento dei rischi può comportare alcunivantaggi finanziari, ma spesso questi non sono tali da soddisfarele esigenze del business aziendale. Ad esempio, anche se unimpianto produttivo è coperto da una polizza assicurativa,l'impatto negativo prodotto dalla sua uscita di servizio potrebbeessere comunque catastrofico.

Come si vede, la mitigazione è spesso l'approccio più comune.Essa comporta la creazione di meccanismi di controllo atti aridurre possibili perdite, nonché capacità di monitoraggio ingrado di garantire che l'analisi dei rischi correnti sia semprecorretta. La quantità e il livello dei meccanismi di controllo inuso dipendono largamente dalla gravità del rischio per l'aziendanel suo complesso: alcuni rischi richiedono un monitoraggio eun'analisi costanti e fortemente proattivi, altri un livello diattività lievemente inferiore.

La mitigazione è anche l'approccio più indicato per unasoluzione tecnologica che contribuisca all'implementazione deimeccanismi di controllo. Un paragrafo successivo di questodocumento esaminerà alcuni metodi atti a garantire unapiattaforma di mitigazione efficace.

Una piattaforma per la gestione dei rischiObiettivo di qualunque programma ERM dovrebbe essere lacreazione di un ambiente e di un'infrastruttura che permeinol'attività e le politiche decisionali dell'intera azienda.Generalmente un programma di questo tipo conterrà alcunielementi di base che devono essere integrati fra loro ecomunicati con la massima capillarità per garantirne il successo.Il grafico che segue illustra tale modello. Esaminiamone le fasiuna ad una per capire come influiscano sul programma ERM nelsuo complesso.

Figura 2. Piattaforma di gestione dei rischi.

Strategia aziendale di gestione dei rischiQuesta fase, di cui è responsabile la leadership manageriale,serve a tradurre la tolleranza del rischio ritenuta accettabile inpolicy specifiche che il resto dell'azienda dovrà seguire. Ciòcomporta generalmente la definizione di categorie di rischio, ladeterminazione dei possibili livelli di rischiosità e la creazione dilinee guida relative ai rischi che l'azienda nel suo insieme èdisposta a tollerare. Successivamente dovranno essere stabiliti ilivelli di rischio accettabili per ogni business unit, da comunicarepoi in modo capillare nell'ambito della stessa. A business unitdiverse potrebbero essere assegnati diversi gradi di tolleranza inbase agli elementi specifici dell'ambiente commerciale efinanziario in cui operano. Sta quindi a ciascuna business unitrendere operative tali direttive nelle varie situazioni specificheche si trova ad affrontare.

Pianificazione e analisi dei rischiUna volta create dal team esecutivo, le direttive passano alleunità operative, dove fungono da linee-guida per lapianificazione e le decisioni legate all'attività quotidiana.

Successivamente le business unit sviluppano un'analisidettagliata dei rischi cui sono esposte e una classificazione deglistessi in base al loro potenziale impatto sull'attivitàcommerciale. Tale classificazione consente di collocare ciascunrischio in uno dei quattro quadranti della matrice sopradescritta.

Quando sono stati analizzati e classificati tutti i rischi, ènecessario mettere a punto un piano di risposta che spieghicome verrà gestito ciascuno di essi. In alcuni casi il rischio saràconsiderato semplicemente come un "costo dell'attività

183485 ITAMITSR 14pp0606 WP 6/26/06 1:51 PM

6

commerciale" e verrà accettato, senza alcun piano per la suaeliminazione. Nella maggior parte degli altri casi dovrà inveceessere sviluppato un piano di mitigazione che illustri comecreare meccanismi di controllo e capacità di monitoraggio ingrado di abbattere notevolmente ciascun rischio e le relativeconseguenze.

È opportuno eseguire un'analisi costi/benefici su ciascuno deirischi mitigati. In alcuni casi, infatti, il costo della mitigazionerisulterà superiore alle conseguenze negative del rischio stessoe quindi potrà essere più indicato un approccio alternativoquale il trasferimento o l'accettazione del rischio. Nellamaggior parte dei casi, tuttavia, un piano specifico puòcomportare notevoli vantaggi dal punto di vista dellapossibilità di controllare i diversi esiti.

Gestione e monitoraggio dei rischiLa fase successiva consiste nel creare e installare meccanismipratici di controllo dei rischi e nel monitorarne successo edefficacia. Per "meccanismi di controllo" si intende tutto ciò chepuò diminuire la probabilità che un rischio si verifichi, o leeventuali ripercussioni: può trattarsi di soluzioni tecnologiche,di migliorie procedurali o, più probabilmente, di entrambe.

Dell'intero processo ERM, questa è l'area su cui la tecnologiapuò avere l'impatto più profondo. Nel caso della sicurezzainformatica, ad esempio, il rischio di determinate minacce oesiti può essere largamente controllato attraverso l'adozione ditecnologie e soluzioni di comprovata efficacia. Questo tipo diapproccio può inoltre creare una piattaforma sostenibile ingrado di contribuire al contenimento dei rischi in viacontinuativa che quindi, non solo aumenta la sicurezza, maspesso riduce anche i costi complessivi legati alla sua gestione.

Ad esempio, la maggioranza delle aziende è soggetta al rischioche persone non autorizzate possano accedere a dati,applicazioni o sistemi protetti. Tale rischio non può essereincluso nella categoria "Accettabile" e deve venire ridotto il piùpossibile tramite l'utilizzo, ad esempio, di una efficacesoluzione di access management.

Allo stesso modo, uno dei rischi fondamentali per molteimprese riguarda il cosiddetto eccesso di autorità checonsente a determinate persone di avere più diritti di quelli chesarebbero necessari allo svolgimento degli incarichi loroaffidati. Un esempio assai comune è la concessione a moltidipendenti dell'accesso a interi sistemi in qualità di super-utenti, anche se per le loro mansioni basterebbe in realtà unaqualifica inferiore. La situazione peggiora quando undipendente ha facoltà non solo di avviare, ma anche diapprovare determinate transazioni commerciali. In casi comequesto la probabilità che si verifichi una frode è significativa, eva ridotta a tutti i costi.

Si noti che questi meccanismi di controllo interni sono identicia quelli richiesti per la conformità normativa. Qualunque sia lanorma in oggetto, una serie di efficaci controlli di sicurezzainterni costituisce l'essenza dei suoi requisiti. Creare tali

controlli non solo contribuisce alla gestione e alla riduzione deirischi, ma allo stesso tempo semplifica notevolmentel'ottemperanza alle normative di legge e di settore.

Elemento essenziale in questa fase è un monitoraggiocostante dell'efficacia di ciascun meccanismo di controllo. Ciòcomporta non solo sorveglianza e reporting sui meccanismiesistenti, ma una continua rivalutazione dei rischi e dei relativipiani di mitigazione in base ai mutamenti dello scenariooperativo. La comparsa di nuovi rischi, come pure l'importanzacrescente/decrescente di quelli già noti, richiedono modificheal piano di gestione e ai meccanismi di controllo utilizzati permitigarli.

Cosa comporta il monitoraggio? Nel caso della sicurezzainformatica può comportare reporting di eventi specifici,filtraggio e correlazione automatici degli eventi al fine diidentificare possibili problemi, validazione dei privilegi diaccesso di tutti gli utenti per verificare che non siano superiorial necessario, ricerca ed eliminazione di eventuali eccessi diautorità, e così via.

Il monitoraggio non può limitarsi all'analisi di eventi specifici(ad esempio tentativi multipli di autenticazione falliti), madeve estendersi anche agli eventuali trend, dato che a volte iproblemi di security possono essere identificati soloosservando l'evoluzione degli eventi nel tempo. Sebbenerichieda spesso una qualche forma di intervento umano,questo tipo di monitoraggio può essere in gran parteautomatizzato utilizzando un'efficace soluzione di securityevent management.

Ottimizzazione dei meccanismi di controlloI meccanismi di controllo interni e la loro efficacia devonoessere analizzati su base continuativa. Sono molti, infatti, glielementi che possono modificare la strategia di gestione deirischi in atto: comparsa di nuovi rischi, variazioni di priorità deirischi esistenti, fallimento delle tecniche di mitigazione, e cosìvia. Inoltre, l'andamento dell'attività operativa può facilmentecomportare mutamenti nella tolleranza ai rischi: quando lecose vanno bene, anche un livello di rischio maggiore puòdiventare accettabile.

L'ottimizzazione dei meccanismi di controllo richiedesemplicemente che l'attività di monitoraggio di cui sopravenga utilizzata per modificare in modo dinamico i meccanismiimpiegati nella gestione di ciascun rischio. Si tratta di unprocesso senza fine, in quanto i rischi sono sempre in unacerta misura dinamici: non si arriverà mai alla perfezione, siriuscirà solo a migliorare.

Compliance reportingL'ultima fase riguarda in genere la creazione di report einformazioni da utilizzare per eventuali revisioni dellacompliance normativa. I documenti prodotti non saranno soloquelli specifici da sottoporre ai revisori ufficiali, ma anchereport per uso interno che contribuiscano a determinare illivello di conformità raggiunto.

183485 ITAMITSR 14pp0606 WP 6/26/06 1:51 PM

7

Si noti che questa fase, pur non facendo parte dell'ERM insenso stretto, rappresenta una conseguenza naturale dellosforzo e dei risultati prodotti nell'ambito complessivo dellaprocedura. Proprio questo rende l'ERM così importante perun'efficace compliance normativa: esso sviluppa unapiattaforma in grado di affrontare rischi di qualsiasi tipo inogni parte dell'azienda, e consente la creazione di meccanismidi controllo interni che non solo pongono rimedio a tali rischi,ma producono anche report e informazioni a riprovadell'avvenuto raggiungimento degli obiettivi di compliance.

Principi di un'efficace gestione dei rischiNonostante un maggiore interesse apparente verso il riskmanagement, la situazione pratica si rivela tuttorascarsamente efficace. Ciò dipende dal fatto che in molteaziende la gestione dei rischi viene attuata in modoindipendente da ciascuna business unit, secondo priorità edesigenze commerciali in gran parte stabilite a livello locale.Spesso non esistono una supervisione o una visibilità a livellocentrale di questi sforzi, e il risultato è una scarsa uniformitàtra le varie divisioni aziendali. La mancanza di una piattaformadi risk management comune e omogenea cui ogni business unitdebba conformarsi genera una serie di approcci differenziati eisolati.

Quali sono gli attributi di un efficace programma di riskmanagement? L'elenco che segue riporta alcune delle sueprincipali caratteristiche.

• Una piattaforma ERM estesa all'intera azienda. Lagestione dei rischi deve essere attuata in modo uniforme,sulla base di priorità e policy valide per tutta l'impresa. Ilmetodo più efficace è rappresentato dall'adozione di unapiattaforma comune da parte di tutte le business unitaffinché i rischi possano non solo essere comunicatiattraverso un modello unico, ma anche gestiti con tecnicheomogenee. Una piattaforma generalmente accettata eutilizzabile a questo scopo è la COSO1 ERM.

• Gestione e misurazione costanti. Il successo (oinsuccesso) di un programma ERM dev’esserecostantemente monitorato, con misurazioni specifiche dellivello di funzionamento. Tali informazioni devono quindiessere consolidate a livello centrale per consentire unadeguamento dei parametri che controllano l'attività di riskmanagement.

• Coinvolgimento di tutti i dipendenti. La comunicazionedelle strategie e degli obiettivi di gestione dei rischi deveavvenire capillarmente in ogni parte dell'impresa. Per averesuccesso, un programma ERM deve coinvolgere la totalitàdei dipendenti a tutti i livelli.

• Controllo e visibilità del programma ERM a livellocentrale. Le business unit hanno la responsabilità diimplementare una gestione dei rischi adeguata e conforme

alle direttive centrali. Per garantirne l’attuazione ènecessario un qualche tipo di autorità centrale chesupervisioni le iniziative di risk management dell'interaazienda.

L'elemento più importante di qualsiasi programma di riskmanagement è la riduzione dei rischi a un livello accettabile.Un'infrastruttura del tutto priva di rischi è, all'atto pratico,inattuabile. Persino la riduzione dei rischi a un livelloestremamente basso può vincolare eccessivamente la crescitadel business. Il livello di rischio che un'impresa è disposta adaccettare dipende da molti fattori, fra cui il potenziale impattodi un evento, il grado di tolleranza aziendale complessivo, leconseguenze per la crescita del business e lo scenariocompetitivo, per citarne solo alcuni.

Il paragrafo che segue illustra le aree critiche della sicurezzainformatica e spiega come gestirne efficacemente i rischi.

Gestione dei rischi informaticiQualsiasi programma completo di risk management dovrànecessariamente comprendere e gestire una vasta gamma dirischi aziendali, ma la sicurezza informatica rappresenta unadelle sue aree più importanti. Rischi quali attacchi di hacker,malware e accessi non autorizzati a risorse e sistemi protettirichiedono efficaci piani di mitigazione per poter esseremantenuti a livelli accettabili.

Quando si prendono in esame i rischi alla sicurezzainformatica che un'azienda deve fronteggiare, tre sono le areeprincipali da considerare:

Protezione degli asset. Come garantire che le preziose risorseaziendali siano sicure e protette, accessibili solo a personedebitamente autorizzate ed esclusivamente per gli scopiconsentiti?

Continuità del servizio. Come garantire che i servizi forniti adipendenti, partner e clienti siano sempre disponibili secondonecessità, senza alcuna perdita di qualità o deterioramento dellivello di servizio?

Compliance. Come dimostrare agli auditor informatici interni oesterni che tutte le norme sono state effettivamenterispettate?

Dovrebbe risultare subito ovvio che queste aree sonostrettamente correlate fra loro. La mancanza di un'efficacestrategia per combattere i rischi che minacciano gli assetcritici, ad esempio, comporta il rischio di una compromissionedella continuità del servizio. E l'assenza di un programma ingrado di gestire i rischi in queste due aree ridurrà la capacitàdell'azienda di garantire la compliance normativa.

Esamineremo ora ciascuno di questi elementi che sonofondamentali per la creazione di strategie in grado di gestiretutti i rischi informatici nel loro complesso.

1 Committee of Sponsoring Organizations (COSO) della Commissione Treadway.

183485 ITAMITSR 14pp0606 WP 6/26/06 1:51 PM

Tutela degli assetUna delle principali responsabilità dello staff informatico è laprotezione delle risorse digitali confidenziali e riservatedell'azienda. Qualsiasi rischio di accesso o utilizzo nonautorizzato di dati sensibili è per definizione inaccettabile. Diconseguenza, è assolutamente essenziale un'efficaceinfrastruttura che controlli l'accesso a tutte le risorse aziendali.

Diamo uno sguardo alle tipologie di asset e di risorse chenecessitano di protezione. Alcune forse non risulteranno ovviesin dall'inizio, ma i rischi che ne possono derivare in assenza dimisure efficaci sono significativi.

Accesso alle applicazioniL'accesso alle applicazioni aziendali è una delle aree piùcritiche, e richiede un'efficace infrastruttura di gestione. Ilprogressivo espandersi delle catene produttive e distributivedelle imprese provoca una crescita costante del numero diclienti e partner commerciali che accedono alle applicazionion-line, e di conseguenza la necessità di robuste misure diaccess management.

Internamente, le informazioni riservate e sensibili devonoessere protette tramite una rigida regolamentazione degliaccessi. Il personale informatico deve essere in grado di crearepolicy centralizzate che stabiliscano esattamente quali utentipossono accedere a ciascuna applicazione, le condizioni checonsentono loro l'accesso e le operazioni che sono autorizzatiad eseguire.

Durante la valutazione delle soluzioni di access management, ilpersonale informatico dovrà tenere presenti i seguenti requisitiper poter garantire il soddisfacimento delle esigenze presenti efuture:

• Supporto di una vasta gamma di efficaci metodi diautenticazione

• Policy di access management basate su ruoli e su regole

• Supporto di policy di accesso dinamiche, basate suicontenuti di informazioni esterne (eventualmente anche intempo reale)

• Possibilità di federazione delle identità in varieorganizzazioni esterne

• Integrazione delle funzioni di autenticazione eautorizzazione con applicazioni enterprise pacchettizzate

• Supporto dell'integrazione diretta con applicazionipersonalizzate

• Policy di access management uniformi su piattaforme eorganizzazioni diverse

• Contenimento e delega dei diritti di super-utente di sistema

• Protezione delle funzioni di auditing e dell'integrità dei log

• Reporting e auditing robusti di tutti gli eventi di accesso

Web ServicesNon solo l'accesso alle applicazioni Web, ma anche i Webservice "sensibili" devono essere efficacemente protetti.Chiunque richieda un Web service dev’essere autenticato eautorizzato in modo molto simile agli utenti in carne ed ossache tentino di accedere a un'applicazione on-line. Anche setale processo viene svolto tramite l'uso di documenti XML, unaprotezione efficace è importante anche per i Web service, oforse persino di più.

File critici di sistema e databaseOgni team informatico tiene sotto controllo non solo leapplicazioni aziendali sensibili, ma anche i sistemi e i file criticiche risiedono al loro interno. Fra gli esempi di risorse daproteggere si annoverano repository Windows, file di sistemaUNIX, elenchi di password e database aziendali di ogni genere.Per garantire che solo il personale debitamente autorizzatopossa accedere a queste risorse è necessaria un'efficaceinfrastruttura di access management che dovrà consentire lacreazione di policy centralizzate con cui vengano definiti gliutenti autorizzati ad accedere a ciascuna risorsa critica in baseall'identità, al ruolo, alla divisione di appartenenza, e così via.Per garantire l'efficacia di questa operazione, è assolutamenteindispensabile che il modello di policy sia flessibile.

Controllo dei servizi critici di sistemaSebbene questa possa non essere considerata una "risorsa", lacapacità di sospendere determinati servizi critici di sistemadev’essere tenuta rigorosamente sotto controllo. In particolare,l'interruzione accidentale o non autorizzata di tali processi (adesempio la creazione dell'audit log) deve essere inclusa inqualsiasi programma completo per la gestione dei rischiinformatici. Un'efficace piattaforma di risk managementprovvede ad assegnare in modo granulare i diritti diinterruzione dei servizi di questo tipo.

Diritti di accesso in modalità di super-utenteIn ogni ambiente IT, a un certo numero di amministratorivengono assegnati diritti di accesso illimitati in modalità super-utente (definita Root in UNIX e Amministratore in Windows). Èraro, tuttavia, che ogni super-utente abbia realmente necessitàdi tutti i diritti di accesso che tale qualifica concede. Ciò sitraduce in un problema di responsabilità e in un'esposizionedei sistemi, cioè nel rischio che vengano eseguite operazionidalle conseguenze nefaste che non possono essere fatterisalire all'esecutore né annullate con facilità.

Un modo per ridurre tale rischio è costituito dall'adozione diuna soluzione che provveda ad assegnare granularmente idiritti di super-utente in modo tale ciascun amministratorepossa eseguire solo determinate operazioni su determinatisistemi. È altresì necessaria una identificazione individualedegli utenti per evitare le difficoltà che si creano quando tuttigli amministratori utilizzano lo stesso nome.

8

183485 ITAMITSR 14pp0606 WP 6/26/06 1:51 PM

9

Infine dev’essere rigorosamente controllato l'accesso ai log disistema. Se un singolo amministratore può non solo eseguireun'operazione sospetta, ma anche modificare i relativi file diregistro, il rischio che una transazione fraudolenta non vengascoperta diventa reale. Di conseguenza, è importante poterdisporre di un metodo centralizzato per la limitazione degliaccessi (in modalità di sola lettura o di lettura/scrittura) a tuttii log di sistema. Allo stesso modo, la possibilità di interrompereil logging degli eventi deve essere concessa solo agliamministratori più fidati. Dato che la security nativa deisistemi operativi spesso non offre il livello di granularitàrichiesto da questo tipo di protezione, si dovrà prendere inconsiderazione una soluzione di access control specializzata.

User AccountUn'ultima area di rischio riguarda l'utilizzo improprio di useraccount debitamente costituiti. Due sono gli aspetti chedestano preoccupazione a questo proposito. Il primo siriferisce all'eventualità che un dipendente lasci l'azienda e chei suoi account e diritti di accesso non venganotempestivamente disattivati. Quando ciò accade, il rischio diun utilizzo improprio di quegli account è elevato, soprattutto seil dipendente è stato sollevato dall'incarico contro la suavolontà.

Una seconda area di rischio riguarda l'esistenza di user accountche rimangono inutilizzati per parecchio tempo. Ciò puòavvenire per diverse ragioni, ma il caso più comune è quello diun utente che cambia ruolo in azienda senza che gli accountrelativi alle sue mansioni precedenti vengano eliminati. Diconseguenza, alcuni dipendenti possono essere proprietari disvariati account, alcuni dei quali non più validi. Questi account"orfani" creano un rischio di utilizzo improprio che deve esseretenuto sotto controllo. Un'efficace soluzione di accessmanagement contiene funzioni che analizzano l'intero ambientealla ricerca di account non utilizzati di recente (dove la definizionedi "recente" viene fornita a livello locale) e li chiudono.

Risorse residenti su mainframe Durante la pianificazione di una strategia di risk management sidimentica spesso l'esistenza dei mainframe: un errore che puòrivelarsi assai dispendioso. È importante che lo stesso livello dicontrollo degli accessi utilizzato per tutti i sistemi distribuiti siadisponibile anche per i mainframe che operano nel medesimoambiente. Le soluzioni di questo tipo devono supportare policybasate su ruoli che identifichino gli utenti autorizzati adaccedere a risorse e applicazioni protette residenti sumainframe, nonché le condizioni in cui l'accesso verràconsentito.

Continuità del servizioPer la maggioranza delle imprese, la disponibilità costante deiservizi on-line è letteralmente una questione di vita o di morte.Le società finanziarie perdono in media svariati milioni didollari per ogni ora del giorno in cui i loro servizi non risultano

accessibili. Lo stesso vale per le applicazioni e i servizi interniutilizzati dai dipendenti: se per qualsiasi motivo un dipendentenon riesce a collegarsi, le perdite di produttività e di supportoai processi di business possono essere disastrose. In breve, ladisponibilità ininterrotta dei servizi IT è un imperativocommerciale e uno degli aspetti fondamentali della gestionedei rischi informatici.

Uno degli ostacoli principali alla continuità del servizio èrappresentato dalle minacce ai computer. Oggi gli utentisubiscono attacchi da parte di virus, hacker e applicazionifraudolente spesso installate senza autorizzazione a loroinsaputa. Collettivamente note come "malware," questeapplicazioni possono eseguire una serie di attività che vannoda semplici azioni di disturbo a operazioni potenzialmentedevastanti, come ad esempio la riconfigurazione di sistemioperativi e browser, il monitoraggio della posta elettronica, laregistrazione e trasmissione di sequenze di tasti (passwordcomprese), e l'accesso a dati riservati. L'elemento centrale diqualsiasi programma per la gestione dei rischi informatici devequindi essere costituito da meccanismi di controllo efficaci ingrado di contrastare virus e tentativi di intrusione di ognigenere.

Fra gli altri problemi ricordiamo il software fraudolento acarattere non virale (ad esempio, spyware e adware). Sebbenein genere meno distruttivi di alcuni virus, questi programmipossono ridurre notevolmente la produttività non solo delproprietario della macchina infetta, ma anche degliamministratori della security o del personale dell'Help Desk.

Un'altra importante area della sicurezza informatica è lagestione delle vulnerabilità di sistema. Di norma, quando vienepubblicatamente annunciata una vulnerabilità insieme allarelativa patch, la comunità degli hacker trova quasiimmediatamente un modo per "sfruttarla". La tempestivainstallazione dei fix su ciascuna macchina della rete èun'operazione essenziale, ma spesso assai difficile. In molticasi, per lo staff informatico non è neppure facile scoprire qualipatch siano già state applicate a un determinato sistema, pernon parlare dell'installazione in tempi rapidi dei nuovi fix su ungran numero di macchine. Queste vulnerabilità rappresentanoun rischio assai significativo per la continuità dei servizi IT, erendono quindi essenziale l'utilizzo di un metodo centralizzatoe automatizzato per la registrazione, la gestione el'installazione delle patch.

ConformitàL'ultimo elemento della gestione dei rischi informatici riguardal'ottemperanza a varie normative di legge e di settore. Lacompliance è diventata un imperativo commerciale e unacolonna portante delle strategie aziendali di risk management. Isuoi requisiti toccano problematiche quali visibilità, sicurezza,disponibilità, privacy e trasparenza. Se un'impresa non affrontaadeguatamente questi problemi rischia sanzioni pesanti,accompagnate da un calo di fiducia degli investitori e da unariduzione di valore dei suoi marchi.

183485 ITAMITSR 14pp0606 WP 6/26/06 1:51 PM

Si noti che, in un certo senso, la compliance è semplicementeuno dei risultati di un buon programma di risk managementattuato nelle altre due aree. In altre parole, l'esistenza di unprogramma efficace che mitighi i rischi alla protezione degliasset e alla continuità del servizio crea sostanzialmente lecondizioni necessarie per il rispetto delle norme di sicurezzapreviste dalla maggior parte dei nuovi regolamenti.

La compliance normativa sta obbligando molte aziende arivalutare (e in molti casi a migliorare notevolmente) policy eprocedure di sicurezza interne. Sebbene le norme di questeleggi (ad esempio la Sarbanes-Oxley, la HIPAA e la Gramm-Leach-Bliley) differiscano spesso fra loro, l'unico elementocomune è rappresentato dalla necessità di efficaci controlliinterni. Se un'azienda riesce a dimostrare di possederli, puòessere pressoché certa di riuscire a ottemperare alle norme disicurezza di qualsiasi legge.

Vediamo cos'è un meccanismo di controllo interno e perché ècosì importante per creare procedure di gestione dei rischirobuste ed efficaci.

Un meccanismo di controllo interno è una serie di processi ingrado di garantire il buon esito di una pratica o di unatransazione di business. Nel caso della sicurezza, spessogarantisce che solo il personale debitamente autorizzato abbiaaccesso a informazioni, applicazioni e risorse riservate.

La maggioranza delle aziende dispone di meccanismi dicontrollo interni di vario tipo che vengono utilizzati neltentativo di creare un ambiente sicuro. Sfortunatamente questicontrolli sono in genere manuali, costituiti da documenti e iterapprovativi, e lasciano spazio a numerose possibilità di errore.Il segreto di una compliance sostenibile sta nell'automazione deicontrolli di sicurezza interni. Oltre ad essere l'unico modo perrendere gestibili i costi della compliance, ciò può ancheconsentire notevoli aumenti di efficienza (cioè riduzioni dicosto) nella gestione della sicurezza e dell'Help Desk. (Nota:Per maggiori informazioni sul miglioramento dell'efficienzanell'area della security management si rimanda al white paper"Ridurre i costi di gestione della sicurezza informatica",disponibile sul sito ca.com).

L'area in cui l'automazione dei controlli di sicurezza assume lamassima importanza è la gestione degli utenti e dei loroaccessi alle risorse aziendali protette – ovvero la gestione delleidentità degli utenti e dei diritti di accesso loro concessi.

L'automazione dei meccanismi per il controllo dell'identità edei diritti di accesso presenta tre aspetti importanti che,sebbene non unici, costituiscono l'essenza di qualsiasiprogramma di questo tipo:

1. Policy centralizzate che controllino automaticamentequalunque accesso a risorse protette di ogni genereall'interno dell'impresa. Questo è il nucleo centrale diqualsiasi efficace sistema di controllo della privacy, per cuirappresenta un elemento essenziale per ottemperare allenorme di molte nuove leggi.

2. Allocazione (e de-allocazione) automatica degli account edell'accesso alle risorse secondo policy definite a livellocentrale, generalmente basate sul ruolo o sulla posizione diciascun utente in seno all'impresa.

3. Automazione delle attività di raccolta, filtraggio,visualizzazione e analisi di tutti gli eventi ambientaliriguardanti la sicurezza. In questo modo l'auditing dellasecurity diventa non solo possibile, ma anche scalabile.

Quando vengono implementate capillarmente all'internodell'azienda, queste funzioni possono migliorare enormementela compliance e renderla sostenibile attraverso l'automazione ditutti i controlli di sicurezza interni.

(Nota: Per maggiori informazioni sulla creazione di un efficaceambiente di gestione della compliance normativa si rimanda alwhite paper "The Role of Security Management in RegulatoryCompliance", disponibile sul sito ca.com).

Soluzioni per la gestione dellasicurezza informaticaNei paragrafi precedenti di questo documento sono stateillustrate alcune aree fondamentali della sicurezza informatica,prendendo in esame soluzioni tecnologiche in grado dicontribuire alla riduzione e al controllo dei relativi rischi. I duesettori più importanti a questo riguardo sono la gestione delleidentità e degli accessi, oltre alla gestione integrata delleminacce.

Gestione delle identità e degli accessiIn quasi tutte le aziende le identità e i privilegi di accesso degliutenti sono un elemento essenziale della strategia di e-business. Dietro quelle identità stanno infatti i dipendenti, ifornitori, i partner, i clienti e tutti coloro che portano avanti idiversi aspetti dell'attività operativa. La gestione delle identitàè costituita da una serie di processi e sistemi che puntano astabilire chi possa accedere a determinate applicazioni,database e piattaforme, e in quali condizioni debba essereconsentito tale accesso. Le domande fondamentali cui deverispondere la componente "identità e accessi" di unprogramma di security management sono:

• Chi ha accesso a cosa?

• Cosa è stato fatto?

• Quando è stato fatto?

• Come è possibile dimostrarlo?

Rispondendo a queste domande, le imprese possono ridurre inmodo efficace i rischi alla sicurezza informatica, tutelarerisorse vitali, semplificare le operazioni di business e ottenerela conformità normativa. Il grafico che segue illustra leprincipali componenti di una piattaforma efficace per lagestione di identità e accessi, e mostra come esseinteragiscano per ridurre il complesso dei rischi alla sicurezza.

10

183485 ITAMITSR 14pp0606 WP 6/26/06 1:51 PM

11

Le principali funzioni da integrare per ottenere un'efficacegestione di identità e accessi sono:

• Amministrazione delle identità. Consente la creazione el'amministrazione di identità e di informazioni sul profilodegli utenti.

• Provisioning. Assegna a ciascun utente gli account e i dirittidi accesso alle risorse aziendali adeguati al suo ruolo,eliminandoli poi al momento opportuno (ad esempioquando l'utente lascia l'azienda).

• Gestione degli accessi. Contribuisce a garantire l'integritàdelle informazioni e delle applicazioni aziendali attraverso laprevenzione degli accessi non autorizzati. Un efficaceservizio di access management deve proteggere l'accessonon solo alle applicazioni Web, ma anche ad applicazionienterprise, sistemi, servizi critici di sistema, file e repositorysensibili.

• Monitoraggio/Auditing. Facilita la registrazione e ilreporting degli accessi, per ridurre il rischio di una mancataidentificazione dei problemi di sicurezza, garantire lacompliance normativa e, se necessario, consentirel'esecuzione di analisi a posteriori per fini legali.

Durante la valutazione di soluzioni di identity management sidovrà verificare che queste componenti siano strettamenteintegrate e creino una piattaforma unificata a livello funzionale.Diverse sono le ragioni che rendono necessaria unapiattaforma integrata. Innanzitutto, alcuni concettifondamentali (ad esempio, i ruoli degli utenti, l'appartenenza omeno a gruppi e le policy di accesso) sono comuni a tutte lecomponenti e trovano applicazione ovunque. Infatti, seciascuna componente definisse un "ruolo" in modo diverso,sarebbe praticamente impossibile monitorare i diritti di

accesso di quel ruolo all'interno degli elementi checostituiscono la piattaforma di compliance. Allo stesso modo, èessenziale che la componente di auditing e monitoraggio possaconsentire la visualizzazione dell'intera infrastruttura,indipendentemente dal luogo in cui ha origine un evento.Senza questo livello di integrazione nel monitoraggio nonsarebbe possibile avere una visione unificata di tuttol'ambiente. Infine, una piattaforma integrata semplificaenormemente la gestione e aumenta la sicurezza. Lecomponenti non integrate sono infatti intrinsecamente piùcomplesse, e di conseguenza più difficili da gestire emaggiormente soggette a produrre "falle" nella security.

Gestione integrata delle minacceSul mercato esistono letteralmente centinaia di prodotti cheaffermano di poter eliminare dall'ambiente aziendale vari tipidi malware e spyware. Alcuni sono migliori degli altri; tuttavia,l'adozione di soluzioni punto-a-punto nelle diverse aree di unprogramma di threat management può essere problematica. Lesoluzioni possono infatti essere in conflitto fra loro, e in genererichiedono una duplicazione degli sforzi per poter essere tuttegestite efficacemente. Hanno procedure di installazione einterfacce amministrative indipendenti, meccanismi e tempi diaggiornamento diversi, e tutto ciò può aumentare i costicomplessivi di gestione dell'ambiente IT. Ma, cosa ancora piùimportante, prodotti fra loro indipendenti non offrono il livellodi integrazione e omogeneità funzionale necessario percombattere gli attacchi di malware oggi più diffusi, in continuaevoluzione e sempre più sofisticati.

La gestione della security non si occupa solo delle comuniminacce rappresentate dal malware, ma anche di vulnerabilitàdi sistema note (già pubblicate) o potenziali. Spesso l'exploit diuna vulnerabilità annunciata pubblicamente è disponibile giàpochi giorni, o a volte addirittura poche ore dopo l'annuncio. La

gestione e l'installazione dei fix su ungran numero di macchine rappresentanoun problema complesso, e un ritardo puòavere conseguenze disastrose. Eccoperché è importante disporre di unmeccanismo automatizzato e uniformedi gestione delle patch in tuttol'ambiente. Tale meccanismo comprendetecniche di determinazione delle priorità,gestione del processo di installazione everifica dello stato delle patch su tutti isistemi critici.

Figura 3. Una piattaforma IAM

183485 ITAMITSR 14pp0606 WP 6/26/06 1:51 PM

12

Durante la valutazione di soluzioni per la gestione delleminacce si tenga presente che le seguenti funzioni svolgono unruolo importante nel ridurre i rischi alla sicurezza informatica:

• Integrazione di antivirus, anti-spyware e meccanismi diintrusion detection in un'unica soluzione omogenea

• Gestione e visualizzazione centralizzate dello stato di viruse spyware in tutto l'ambiente

• Ampiezza della gamma di malware gestibile (virus,spyware, spamming, adware, cavalli di Troia, furti disequenze di tasti, minacce P2P, hacker e attacchi distribuitidi tipo "denial-of-service")

• Funzioni di allerta (allarmi) e logging flessibili checonsentano a utenti e amministratori di identificare iproblemi in tempo reale. I meccanismi di allerta devonopoter essere configurati in base alle esigenze di ciascunambiente informatico locale.

• Policy di configurazione dinamiche che consentano aimeccanismi protettivi di rispondere in tempi rapidi allevariazioni di profilo delle minacce

• Funzioni di quarantena che permettano di isolareraidamente gli attacchi al fine di proteggere risorse divalore.

RiepilogoUn efficace programma di risk management rappresenta unelemento essenziale di qualsiasi strategia ERM bencongegnata. Per sua stessa natura, la sicurezza informaticacomporta una serie di rischi che devono essere affrontati inmodo olistico e completo al fine di garantire la protezione degliasset critici dell'azienda e la disponibilità ininterrotta dei servizidi business. Infine, una buona gestione dei rischi informaticipuò costituire la base di un programma di compliancenormativa efficiente ed efficace.

La tabella che segue riassume alcuni dei principali elementi diciascuna area del risk management che devono essere presi inconsiderazione durante lo sviluppo di un programma completoper la gestione dei rischi informatici.

L'approccio più efficace alla protezione degli asset aziendali ècostituito da una piattaforma integrata di identity and accessmanagement. Attraverso questo tipo di soluzione è possibilecontrollare, mediante efficaci policy di sicurezza, l'utilizzo ditutte le risorse critiche e registrare/monitorare tutti i tentatividi accesso.

Il metodo migliore per garantire la continuità del servizio èinvece una soluzione completa e integrata di threatmanagement. Al contrario, l'impiego di soluzioni punto-a-puntodi vendor diversi spesso si rivela un modo poco efficace percombattere questi rischi.

COSA PROTEGGERE

DA COSA PROTEGGERSI

RISULTATO

PROTEZIONE DEGLI ASSET

CONTINUITA’ DEL SERVIZIO

COMPLIANCE NORMATIVA

Applicazioni Web Web servicesApplicazioni enterprise Accesso ai sistemi operativiFile critici di sistema e databaseControllo dei servizi di sistemaDiritti di accesso in modalità super-utenteAudit log di sistema User account "orfani" Risorse su mainframe

VirusSpammingTentativi di intrusioneSpywareAttacchi di tipo "denial of service"Furto di sequenze di tastiAltro malwareVulnerabilità di sistema

Efficaci controlli interniCompliance dimostrabile

183485 ITAMITSR 14pp0606 WP 6/26/06 1:51 PM

Infine, un efficace deployment di soluzioni di questo tipo puòsemplificare enormemente il processo, spesso difficile, diconformità con le normative di legge e di settore. La presenzadi meccanismi di controllo interni migliori e automatizzati puònon solo avere un'influenza significativa sull'efficienza e suicosti del personale informatico, ma anche incrementare laperformance dell'azienda nel suo complesso.

Le soluzioni CA per la gestione dellasicurezzaCA, leader in questo settore, offre una serie integrata di soluzionidi security management che comprendono identity & accessmanagement (per gestire efficacemente utenti e accessi) e threatmanagement (per combattere la complessità delle minacceodierne). Le sue soluzioni consentono di gestire efficacemente lasicurezza informatica attraverso una piattaforma completa edintegrata che aiuta a determinare e a controllare chi abbiaaccesso alle risorse aziendali critiche, a stabilire cosa stiaaccadendo nell'ambiente e a garantire che le decisioni giustevengano prese al momento giusto, rendendo così molto piùsemplice ed economica anche la conformità normativa.

La piattaforma CA per la gestione della sicurezza comprendeuna serie di prodotti che, insieme, formano una suite integrataall’avanguardia nel settore.

Identity and access management

Gestione delle identità e provisioningCA® Identity Manager. CA Identity Manager fornisce unapiattaforma di gestione integrata che automatizza la creazione,la modifica e la sospensione delle identità degli utenti e il loroaccesso alle risorse aziendali, aumentando il livello di sicurezzae compliance e riducendo contemporaneamente i costiamministrativi e migliorando il contesto di utilizzo per gli utentistessi. Inoltre, Identity Manager fornisce servizi di auditingutilizzabili da parte di revisori sia interni che esterni perstabilire se le pratiche aziendali di concessione dei diritti sianotenute sotto controllo e garantiscano a tutti gli effetti lariservatezza dei dati. Identity Manager è più che un semplicesistema di provisioning: prendendo atto della progressivascomparsa dei tradizionali confini dell'impresa, offre unasoluzione unificata che consente la gestione di gruppi di utentisempre più vasti e diversificati (dipendenti e utenti esternitradizionali come clienti e business partner).

Gestione degli accessieTrust® SiteMinder®. Le avanzate funzioni di security basatesu policy, la capacità gestionale, la comprovata affidabilità e lascalabilità di eTrust SiteMinder supportano il rapido sviluppo,deployment e gestione di sofisticati sistemi software di websecurity, consentendo la capillare distribuzione di informazionie applicazioni essenziali a dipendenti, partner, clienti e altriutenti dell'azienda.

eTrust® TransactionMinder®. Simile nell'architettura ad eTrustSiteMinder, eTrust TransactionMinder consente una gestionesicura, centralizzata e basata su policy di autenticazioni eautorizzazioni per l'utilizzo dei Web service. Integrandosi conle piattaforme di Web service standard, fornisce un controllogranulare degli accessi ai documenti XML richiesti nellediverse fasi di una transazione commerciale.

eTrust® Access Control. Implementa una policy di accessouniformemente efficace su piattaforme e sistemi operatividistribuiti. Questa soluzione determina, sulla base di policy, chipossa accedere a determinati sistemi, file e applicazioni, perquali scopi e in quali momenti, consentendo inoltre la gestionedei privilegi di super-utente a garanzia di una maggioresicurezza amministrativa.

eTrust® CA-ACF2 e eTrust® CA-TopSecret Security. eTrustCA-ACF2 Security ed eTrust CA-Top Secret Securityconsentono una condivisione controllata dei mainframe e deirelativi dati, prevenendo nel contempo la distruzione, lamodifica, la divulgazione e/o l'utilizzo improprio (accidentali odeliberati) delle risorse informatiche. Consentono dicontrollare chi utilizza le risorse e forniscono le informazioninecessarie per un efficace monitoraggio delle policy disicurezza. I tentativi di accesso non autorizzato vengonoautomaticamente respinti e registrati. È inoltre possibileregistrare anche qualsiasi utilizzo non consentito di risorsesensibili, ai fini di un riesame successivo.

Gestione delle informazioni sulla security eTrust® Security Command Center. è uno strumentoessenziale per gestire in modo proattivo le complessitàdell'ambiente aziendale di security. La sua tecnologia consenteagli amministratori di visualizzare in tempo quasi-realepossibili minacce ai sistemi finanziari o di altro tipo, diidentificare vulnerabilità presenti nei sistemi finanziari e difornire al responsabile della security o della compliance unavisione integrata degli asset informatici (ad esempiocontabilità o paghe e contributi).

eTrust® Audit. eTrust Audit raccoglie le informazioni diauditing sui sistemi e sulla sicurezza da ogni parte dell'impresae le memorizza in un database centrale, semplificandonel'accessibilità e l'utilizzo a scopo di reporting e consolidandodati provenienti da server UNIX e Windows NT, nonché da altriprodotti CA. Gli amministratori dispongono così diinformazioni di monitoraggio, allerta e reporting riferiteall'attività degli utenti su tutte le piattaforme.

eTrust® Vulnerability Manager. eTrust Vulnerability Manageroffre servizi e tecnologie avanzate che riuniscono valutazionedelle vulnerabilità, applicazione delle patch ed eliminazione deiproblemi di configurazione in un'unica soluzione facilmenteinstallabile, dotata di un'interfaccia utente di tipo Web.

13

183485 ITAMITSR 14pp0606 WP 6/26/06 1:51 PM

© 2006 Computer Associates International, Inc. (CA). Tutti i marchi, i nomi di prodotti e servizi e i logotipi citati appartengono ai rispettivi proprietari. Il presente documento ha carattereesclusivamente informativo. Nella misura consentita dalle leggi vigenti, CA lo distribuisce senza fornire garanzie di alcun tipo, ivi comprese (ma non solo) garanzie implicite di commerciabilità,idoneità a un particolare utilizzo o non violazione di diritti altrui. In nessun caso CA potrà essere ritenuta responsabile di eventuali perdite o danni direttamente o indirettamente derivanti dall'usodel presente documento, ivi compresi, senza limitazione alcuna, perdite di profitto, interruzioni dell'attività commerciale, avviamento o perdite di dati, neppure nel caso in cui CA riceva esplicitanotifica di talidanni. MP295210206

BPP183131 ITARSMRC-WP.05.06

Threat management CA Integrated Threat Management. La suite Integrated ThreatManagement r8 unisce i prodotti all’avanguardia eTrustPestPatrol® Anti-Spyware ed eTrust Antivirus in un'unicaconsolle di gestione, aumentandone l'efficienza attraverso unagent, una struttura di logging e una serie di tool diaggiornamento comuni. La suite notifica, individua, analizza erisolve un'intera gamma di minacce, attacchi e codicifraudolenti (virus, worm, spyware, furti di sequenze di tasti ecavalli di Troia) per ridurre al minimo rischi, interruzioni diservizio e perdite di produttività. Uno dei vantaggifondamentali è la sua architettura flessibile, modulare, apertaed estensibile che consente agli utenti di scegliere fra piùprodotti di sicurezza CA in base alle esigenze aziendali.

eTrust® Antivirus. eTrust Antivirus è una soluzione completadi difesa dai virus che contribuisce a proteggere tutti i puntidell'ambiente aziendale, dal perimetro ai palmari. Aiuta agestire la minaccia rappresentata dai virus attraverso un'unicasoluzione completa che elimina le infezioni, semplifica eautomatizza l'amministrazione e il processo di aggiornamento.

eTrust® PestPatrol Anti-Spyware. Le soluzioni eTrustPestPatrol Anti-Spyware forniscono un'efficace protezione daspyware, adware e altre minacce non virali. Gli attacchi diquesto tipo, in rapida crescita, provocano un bruscorallentamento di PC e reti, aumentano le chiamate all'helpdesk e introducono nuovi e pericolosi rischi per la sicurezza ela privacy, rendendo vulnerabili le informazioni riservate. eTrust PestPatrol Anti-Spyware offre una protezione totaleall'azienda, individuando ed eliminando lo spyware in temporeale, semplificando la gestione e fornendo aggiornamentisulle ultime minacce emerse per consentire una navigazione inInternet senza problemi. CA consente di scegliere il livello diprotezione più adatto a ogni azienda: un singolo PC, unapiccola attività commerciale o un'intera rete.

eTrust® Secure Content Manager. eTrust Secure ContentManager è una soluzione integrata di sicurezza dei contenutibasata su policy. Protegge le aziende da minacce qualispamming, virus, perdita di informazioni riservate e utilizzoimproprio di Internet. Garantisce la continuità dell'attivitàoperativa, mitiga i rischi, simplifica la gestione, riduce tempi ecosti di amministrazione, migliora la produttività deidipendenti, contribuisce alla conformità normativa e ottimizzal'uso delle risorse IT.

183485 ITAMITSR 14pp0606 WP 6/26/06 1:51 PM

Gestire i rischi della sicurezza informatica - 01net.it · Sumner Blount, CA Solutions Febbraio...

Documents

Transcript of Gestire i rischi della sicurezza informatica - 01net.it · Sumner Blount, CA Solutions Febbraio...