La misura delle prestazioni dei sistemi di sicurezza ... · Business Continuity---Valore ......

0

La misura delle prestazioni dei sistemi di sicurezza informatica

Ing. A. Agosti - Manager, VP [email protected]

Sessione di Studio AIEAMilano, 15 Dicembre 2004

Agenda

1

Il problema della misura della sicurezza

Come costruire i Key Performance Indicator della sicurezza

Come utilizzare un Tableau de Bord della sicurezza

Come impostare un piano di progetto per la realizzazione di un Tableau de Bord della sicurezza

•

•

•

•

La sicurezza informatica è diventata una problematica di azienda

2

Da una fase di crescita “a isole” e non controllata degli investimenti nelle aree rilevanti per la sicurezza informatica …

ProcessiOrganizzazione

Risorse umane

Tecnologie

Cultura

Tecnologie

Cultura

Processi

Risorse umane

Organizzazione

Obiettivi di efficacia

Obiettivi di efficienza

Misurazione degli obiettivi prestazionalidelle soluzioni di sicurezza informatica

Misurazione degli obiettivi economico-finanziari delle soluzioni di sicurezza informatica

… a una fase di governo e di allineamento dei risultati attorno a obiettivi di ottimizza-zione delle prestazioni e delle spese

As is To be

È necessario comunicare obiettivi e risultati degli investimenti effettuati in sicurezza informatica

3

Direzioni Aziendali

Top Management

Amministratore delegato

Consiglio di amministrazione

Risorse umane

Linee di Business

----

Tecnologie

FormazioneSensibilizzazioneCulturaSelezione

---

BudgetProcessiRischio

---

InfrastrutturaControllo accessiBusiness Continuity

---

ValoreVisibilitàBudget

---

CommittmentCoinvolgimentoRelazioni

Management

FunzioneSecurity

Informazioni

Board

Processi

Sistema Azienda

Asset

Fornire un quadro periodico dei macro rischi di sicurezza aziendale che caratterizzano il contesto di businessdell’impresa che ne possono influenzare gli obiettivi di creazione di valore per le differenti categorie di stakeholder

Fornire gli elementi qualitativi e quantitativi per orientare l’attività e gli investimenti in misure di sicurezza aziendaleda parte delle Direzioni aziendali che hanno diretta responsabili-tà sui processi di business

Diventa fondamentale impostare un processo di governo della sicurezza informatica basato sul Tableau de Bord

4

TecnologieRisorse umane

Processi

Organizzazione

ModelliPartners

Il Tableau de Bord ha l’obiettivo di consentire il governo della sicurezza mediante una valutazione dei risultati rispetto agli obiettivi …

… mediante la rilevazionedi Key Performance Indicator comprensibili, significativi e comunicabili in grado di misurarne le prestazioni …

… che utilizzano un mix congiunto di tecnologie, risorse umane e skillsspecialistici, procedureoperative e organizzative, processi e modelli di riferimento.

Elementi che definiscono un Security KPI

5

Un Security KPI costituisce un indicatore quantitativo della efficacia/efficienza di una contromisura tecnologica, procedurale e/o organizzativa, in relazione al piano di sicurezza implementato all’interno dell’azienda

Idealmente è possibile considerare un Security KPI come una variabile controllata in uscita ad un sistema di controllo, il cui valore è quindi determinabile a partire da un certo numero di variabili in ingresso, che coincidono con l’implementazione pratica di misure/verifiche a sostegno dei piani di sicurezza

-

-

Contesto di utilizzo dei Key Performance Indicators

Variabile controllata Indicatore quantitativo sintetico che esprime lo stato (Indice di rischio) di un particolare elemento di un processo di business dal punto di vista della sicurezza

Sistema di controlloInfrastruttura che consente di ottenere i dati grezzi necessari per determinare il valore della variabile (KPI), mediante applicazione di una metrica di calcolo opportunamente definita (Security Knowledge Mgmt.)

Variabili di controlloElementi su cui è possibile agire per modificare nel tempo il valore della variabile controllata. Concretamente identificano le aree di intervento possibili nel particolare ambito rappresentato dalla variabile controllata

6

Metrica

Scopo

Informazioni di riferimento

Frequenza di valutazione

Formula di calcolo

Sorgenti dei dati

Significato e applicazioni

Elemento Descrizione

Mantenere la percentuale delle applicazioni aziendali ritenute a rischio elevato/molto elevato per la continuità e la sostenibilità del business aziendale al di sotto di un valore ritenuto il corretto compromesso tra i costi e i potenziali benefici che ne derivano

Percentuale di applicazioni informatiche ritenute a rischio elevato o molto elevato per la continuità e la sostenibilità del business aziendale

Livelli di rischio delle applicazioni informatiche, valutati in funzione del valore dei dati archiviati e/o trattati, dell’entità delle minacce esistenti e delle contromisure effettivamente implementate

Trimestrale/Semestrale (periodi di tempo comparabili con la durata di progetti di elevata dimensione che coinvolgano l’infrastruttura tecnologica aziendale)

Numero di applicazioni con livello di rischio elevato o molto elevato / Numero complessivo di applicazioni

Risultati delle attività di Risk Analysis effettuate negli ultimi tre o quattro anni

Il KPI in questione consente di monitorare l’andamento temporale del livello di rischiorelativo alle applicazioni informatiche aziendali ritenute maggiormente critiche (ad es, CRM, ERP, SMC, HR), in modo da identificare andamenti anomali e/o tendenze negative ed anticiparne gli effetti negativi intervenendo tempestivamente sulle variabili di controllo di cui si può disporre

Esempio di Key Performance Indicator di asset informatico: Business risk originato dalle applicazioni informatiche

Agenda

7





•

•

•

•

- Il modello logico di misurazione- Gli indicatori atomici e i KPI- La costruzione del datawarehouse- La visualizzazione degli indicatori

I passi per costruire un sistema di misurazione della sicurezza basato sul concetto dei Key Performance Indicator

8

Fasi 3. Definizione delle modalità di aggregazione

4. Modello di navigazione e aggiornamento

1. Identificazione fonti dati e indica-tori atomici

2. Creazione del modello logico del TdB

Obiettivi •Definire le modalità di navigazione del TdB e di aggiornamento delle informazioni in esso contenute

•Stabilire modelli di aggregazione sintetici ed indicativi degli indicatori atomici attraverso il modello logico

•Stabilire il modello logico-funzionale del Tdb in coerenza con le caratteristiche dell’ambiente di sicurezza

•Identificare le fonti dati disponibili per la misurazione e la valutazione del sistema di sicurezza informatica

•Definizione del modello logico “ideale” de sistema di sicurezza

•Definizione delle viste ad alto livello del TdB

•Relazioni qualitative/ quantitative tra gli indicatori atomici e il modello

•Identificazione dei raggruppamenti funzionali

•Definizione del numero dei livelli di aggregazione

•Definizione delle modalità di aggregazione qualita-tive e/o quantitative

•Definizione della logica di navigazione del TdB

•Identificazione delle modalità di drill-down e roll-up delle viste

•Definizione delle logiche di aggiornamento dei dati

•Raccolta delle informazioni sugli elementi del sistema di sicurezza

•Identificazione delle fonti dati disponibili e utilizzabili

•Definizione degli indicatori atomici

Attività

Agenda

9





•

•

•

•


E’ possibile scegliere un modello di misurazione per servizi/infrastrutture di sicurezza informatica …

10

Visualizzazione degli Indicatoridi misurazione della sicurezza

……

Aggregazioni delle informazioni di sicurezza per servizi erogati

Visite a siti non conformi alle politiche

aziendali

Stato di aggiornamento

Antivirus

Diffusione Virus sui Sistemi

………..Autenticazioni

Fallite

Estrazione di informazioni rilevanti per la valutazione dello stato di sicurezza

Errori su Web Server ………..

Indicatori per la gestione dell’antivirus e per il controllo dei virus

Indicatori per il controllo dell’accesso remoto

Indicatori per il controllo del traffico analizzato su Firewall

8000

7000

6000

4000

2000

5000

3000

1000

01986 1987 1988 1989 1990 1991 1992 1993 1994

8000

7000

6000

4000

2000

5000

3000

1000

01986 1987 1988 1989 1990 1991 1992 1993 1994

Mar-

98

Mar-

98

Jun-

98

Jun-

98

Sep-

98

Sep-

98

Dec-

98

Dec-

98

Mar-

99

Mar-

99

Jun-

99

Jun-

99

Sep-

99

Sep-

99

0.000%

0.500%

1.000%

1.500%

2.000%

2.500%

0.000%

0.500%

1.000%

1.500%

2.000%

2.500%

……

Firewall IDS Antivirus (TrendMicro,

Antigen)

Directory Piattaformeapplicative

Web ServerProxy RADIUS

Security Services

Web Filtering Server RADIUS

Mail Server SysLog Server

AntiSpam

Altre fonti

… oppure un modello basato sull’adozione dell’organizzazione per processi esistente in azienda…

11

Gli asset di una azienda sono rappresentati dai beni e dalle risorse (di tipo materiale o immateriale) che essa possiede e che sono indispensabili per lo svolgimento della normale attività produttiva. Gli asset critici individuati dal cliente sono i Processi (P), i Sottoprocessi (SP) ed i Sistemi Informativi (SI) che li supportano. I Sistemi Informativi risultano essere critici anche in funzione dei dati (Macro entità dati) che gestiscono. Le relazioni funzionali considerate sono: P->SP, SP->SI, SI->Macro Entità Dati; esse esprimono un modello funzionale tra gli asset critici di interesse aziendale.

IMPORTANZA idP PROCESSO PRIMARIO idSP SOTTOPROCESSO INFLUENZA RILEVANZA5 P1 PRODUZIONE SP1 Sviluppare operativamente gli impianti di

telecomunicazione5 25

SP2 Esercire e mantenere gli impianti di telecomunicazione

5 25

SP3 Sviluppare i sistemi informativi 5 25SP4 Esercire e mantenere i sistemi informativi 5 25

4 P2 SVILUPPO DEL BUSINESS SP5 Sviluppare l’immagine Aziendale 4 16

P

SP2

SIS1

DB1

. . . .SP1 SP3 SPnSP4

SIS2 SISm

DB2 DB3 DB4 DBp

SOTTOPROCESSO MACRO ENTITA' DATI

Fornire assistenza tecnica, commerciale e amministrativa al cliente in post-vendita Black List

Contratti/UtenzeRichiesta di attivazione/disattivazioneservizio

Fatturare i servizi utilizzati dal cliente Anagrafica Banche

Anagrafica Clienti

Carte di credito

Corrispettivi

SISTEMA/APPLICAZIONE SOTTOPROCESSO

ASAP Fornire assistenza tecnica, commerciale e amministrativa al cliente in post-venditaBanking - sottosistemadomiciliazioni Fatturare i servizi utilizzati dal cliente

Banking - sottosistema roaming Fatturare i servizi utilizzati dal cliente

…oppure ancora con una struttura che ricalca le aree di uno standard di riferimento per la sicurezza (e.g., ISO 17799)

12

Utilizzo dei supporti e sicurezza

Mantenimento

Protezione da software malevolo

Pianificazione di sistemi ed

accettazione

Responsabilità e procedure operative

Gestione delle reti

Gestione delle comunicazioni e dell’operatività

Scambio di dati e software

Controlli contro i software malevoli

Ogni file di origine non certa deve essere passato sotto il controllo dell'antivirus.

Devono essere installati e regolarmente aggiornati idonei prodotti antivirus.

Deve essere adottata una politica formale di protezione contro i rischi derivanti da

file o software ottenuti sia da reti esterne o da altre vie, che indichi quali misure

protettive adottare.

Deve esistere una policy formale che tenga conto delle licenze software e proibisca

l’uso di software non autorizzato.

Si devono condurre delle verifiche periodiche sul software e sui dati che

supportano processi critici.

Ogni allegato di posta elettronica deve essere verificato da un

antivirus sia dal server sia dal client.

Devono essere individuati ruoli, responsabilità e procedure di gestione per relazionare e ripristinare i sistemi dagli attacchi dei virus, includendo il back-up dei dati e del software e le

procedure di recovery.

Devono essere sensibilizzati gli utenti verso i rischi connessi ai virus e alle

misure protettive esistenti.

Devono predisporsi procedure di verifica di tutte le informazioni relative ai virus malevoli, e devono garantirsi

bollettini accurati e istruttivi.

Vista del Tableau de Bord Controllo del

BS7799

Obiettivi di controllo

Stato di disabilitazionedell’antivirus.

Stato di aggiornamento dell’antivirus sui server

Stato di diffusione dell’antivirus

Stato di aggiornamento dell’antivirus sulle PdL

Virus non gestiti.

Percentuale di virus non eliminati.

Numero medio di segnalazioni di virus per sistema.

Diffusione dei virus.

Utenti specifici particolarmente soggetti a mail virate

Mail virate di provenienza interna.

Utenti ritenuti particolarmente pericolosi data l’elevata quantitàMail virate inviate.

Mail virate di provenienza esterna.

Virus su mail non rilevati.

Percentuale di virus non ripuliti su mail.

Percentuale di mail eliminate causa virus.

Indicatori Aggregati Indicatori Atomici

Esempio di indicatori di

efficacia dell’antivirus sull’e-mail

Esempio di indicatori per il

controllo dei virus sull’e-mail

Esempio di indicatori per la gestione

dell’antivirus sui sistemi

Esempio di indicatori di controllo dei

virus sui sistemi

ESEMPLIFICATIVA

In ogni caso, è necessario selezionare delle ulteriori viste per adattare le misurazioni alla realtà dell’azienda…

13

Il sistema di reporting dello stato della Sicurezza ha l’obiettivo di abilitare un approccio multidimensionale all’analisi della Sicurezza , secondo le dimensioni ritenute fondamentali per essere coerenti con le caratteristiche del business aziendale: i servizi, l’articolazione territoriale, i sistemi IT e i processi operativi di supporto

Servizi che il dipartimento IT offre sia verso l’interno che in ottica di mercato

Modello di disposizione delle risorse di Information Technologynelle sedi in cui opera il dipartimento IT

Tipologia dei sistemi di information technology che vengono utilizzati all’interno dei processi del dipartimento IT

Processi aziendali per la pianificazione, gestione ed esercizio delle risorse IT

Funzioni e Servizi erogati

Articolazione territoriale

Sistemi IT

Processi operativi

Dimensione di analisi

Descrizione

Benefici Consente di intervenire sui servizi che il dipartimento IToffre e che sono ritenuti a maggior livello di rischio

Consente di intervenire presso i sistemi centrali, i poli tecnologici e le aree geografiche ritenute a maggior livello di rischio

Consente di intervenire su quelle categorie di sistemi IT (server, reti, …) ritenuti a maggior livello di rischio

Consente di intervenire sui processi gestionali e operativi ritenuti a maggior livello di rischio

… tramite analisi drill-down e roll-up all’interno delle viste di analisi selezionate …

14

Funzioni e Servizi

IT Service

HR /Presidenza

Business 2

ITArchitecture IT Operation


DC

Provisioning Billing CRM

Business 2 Security Sedi territoriali

Bologna Milano

Parma RomaMilano Palermo

IDC

Bari Milano Pomezia

Processi operativi

Change managem.

Tuning sistemi di Sicurezza

AV updating

Firewalls IDS

Sistemi IT

ClientServer NASRete

Unix Microsoft

Windows NT

Windows 2000

User managem.

Riskanalisys.

Major release

Minor release

Apparati di sicurezza

Firewalls IDS

… unitamente alla possibilità di estendere i percorsi di analisi attraverso specifiche viste incrociate

15

ESEMPLIFICATIVOFunzioni e servizi

BusinessHR / Presidenza Security

CRM Provisioning

Server

Unix Microsoft

Windows NT

Windows 2000

IDC

Pomezia Milano


SediDC

Bologna Milano

Server

Unix Microsoft

Windows NT

Windows 2000

Change management

Major release

Minor release

Processi

Sistemi

Territorio

Territorio

Sistemi

Servizi

…

Agenda

16





•

•

•

•


È possibile rilevare indicatori atomici relativi alla efficienza delle contromisure …

17

Sorgenti dati

EfficienzaContromisure

Tecnologia

Organizzazioneprocessi

Risorseumane

Strutturazione degli indicatori

Firewall

VulnerabilityAssessment

Auditing

Policy / Procedure

Awareness &Empowerment Process

Intrusion detection

Controllo accessi fisici

Le contromisure sono azioni, dispositivi, procedure o tecniche progettate per contrastare le minacce che, sfruttando eventuali vulnerabilità possono arrecare danni all’Azienda. Eventi dannosi esprimono inefficienza delle contromisure. Le dimensioni di analisi delle contromisure riguardano gli ambiti tecnologico, organizzazione processi e risorse umane.

VA

FW

IDS

AV

DatiHuman res.

Freq. scansioni

Freq. aggiornamento pattern

N. attacchi bloccati / tot. rilevati

Freq. aggiornamento pattern

Anti virusvirus rilev. /tot. attacchi da virus

Freq. aggiornamento

N. incidenti per inosservanzapolicy / N. incidenti nel dom D

N. incidenti non risolti per insuff.dettaglio nei file di log

Riduzione incidenti di sicurezzasu cui esistono attività formative

Incidents

Incid. dovuti a vuln. non rilevate

Sistemi scansionati / tot. Sist.

Freq. revisione regole

Intrusioni rilevate / tot. incidenti

%riduz. vulnerabilità misurata sudue sessioni sullo stesso dom.

N. Incidenti / media N. visitatori occasionali

… ma anche alle minacce che insistono sulle risorse IT presenti in azienda …

18

Le minacce sono eventi, realizzabili con probabilità non trascurabile, particolarmente sfavorevoli per l’Azienda. Le dimensionidi analisi delle minacce abbracciano sia l’ambito tecnologico sia quello delle risorse umane e del contesto ambientale. Il valore espresso dagli indicatori (atomici o aggregati, ottenuti da inferenze su quelli atomici) manifesta l’attuale esposizione del contesto in esame. Ad es. l’aumento di drop rilevati dai log dei firewall rappresenta un indicatore dell’aumento della minaccia di attacchi dall’esterno.

Minacce

Tecnologia

Attacchi

Accessi non autorizzati

Virus

Contestoambientale

Security alerts

Strutturazione degli indicatori Sorgenti datisegnalaz. gravità>X / Tot. Segn.

N. Log drop / N. connessioniIDS

Infrastr.AAA (Griffon)

FW

AV

Incidents

N. aut. fallite / N. aut. totali

N. aut. fuori orario

N. segnalazioni dal produttore

alerts

DatiHuman res.

N. Virus rilevati e bloccati

N. segnalazioni eventi anomali

Log proxy

Dati da osservatori internazion.

Violazioni policyN. allegati di posta bloccati

N. Accessi negati a siti internet

Risorse umaneLivello di soddisfazione

Tipologia dipendenti

N. giorni di agitazioni sindacali

Provvedimenti aziendali restritt.

% consulenti esterni

% lavoratori interinali

…unitamente agli indicatori atomici relativi alle vulnerabilitàpresenti

19

Vulnerabilità

Tecnologia

Organizzazioneprocessi

Risorseumane

Strutturazione degli indicatori Sorgenti dati

Sistemi / Wst.

Network

Applicazioni

Policy - procedure

Awareness dipendenti

Una vulnerabilità consiste in un vero e proprio punto di debolezza, relativo ad una risorsa aziendale o ad un processo, che può essere sfruttato da un attaccante per raggiungere uno scopo prefissato. I KRI mirano a far emergere le vulnerabilità presenti nel contesto tecnologico, in quello di organizzazione dei processi e nell’area delle risorse umane.

N. IDS / sistemi

N. sist. aggiornati / N. sist. tot.

N. vuln. con gravità > X / sistema

N. IDS / LAN

N. appar. rete agg. / N. app. tot.

N. vuln. con gravità > X / LAN

N. LAN segmentate con FW/Tot

N. input anomali

N. segnalazioni

Accessi a informaz. di sicurezza

TopologiaIDS

Vulnerab.note

Allineam.Patch

Wardialer

ApplicationLogs

Incidents

% policy o proced. non applicate

N. proc. periodicamente revis.

Robustezza password

N. wst. con AV aggiornato / Tot

TopologiaAntivirus

TopologiaFirewalls

N. sistemi protetti da FW / Tot

N. modem attivi

DatiPortale/R.A.

Agenda

20





•

•

•

•


Per costruire il datawarehouse della sicurezza è necessario identificare le potenziali fonti dati esistenti in azienda

21

Servizi di connetività IT Servizi di base Applicazioni business critical

CN

CF

SAP

Mai

l

CR

M

IDC

Min

erva

Acc

esso

R

emot

o

Port

ali

Dat

a C

ente

r

Sedi

so

cial

i

Wi-F

i

Ret

e da

ti

Rep

ortin

g co

nsol

idat

o

Bro

wsi

ng

Legenda

Firewall

IDS

Exchange

TrendMicro

Web Server Log

Lelapo

Antigen

Radius

Directory

I-Cognito

Internet Scanner

Domini Tecnologici

I log generati dalle fonti dati devono essere studiati per comprenderne le potenzialità d’uso (ad es, Firewall)

22

Database: Log Manager (unica colonna)

Colonne Aggregazioni Dato ottenibile Commento

Date

Time

Action

Source

Destination

Rapporto tra connessioni negate (Action = Drop | Reject) e totale connessioni (Action = Drop | Reject | Accept)

Traffico in ingresso ai firewall periferici, in byte

Traffico in uscita dai firewall periferici, in byte

Date

Time

Origin

ServerBytes In

Date

Time

Origin

Client BytesOut

per unità di tempo (ad esempio n minuti) a partire da Date/Time

I firewall periferici sono identificati tramite il campo Origin


I firewall periferici sono identificati tramite il campo Origin


Drop o Reject nel campo Action indica un tentativo di connessione in violazione alla policy; Accept una connessione permessa

I log generati dalle fonti dati devono essere studiati per comprenderne le potenzialità d’uso (ad es, Antivirus)

23

Database: Antivirus (fonte: Trend Micro Control Manager 2.5 Database Schema) - Continua

Tabella Colonne Aggregazioni Dato ottenibile Commento

AVSI_LastUpdateTime

AVSI_TotalVirusCount

AVSI_UnhandledVirusCount

tb_AVStatusEngineInfo

SEI_EngineLastUpdateTime

EI_LastRegistrationTime

EI_LastStartupTime

EI_PatternLastUpdateTime

EI_IPAddressList

EI_DomainName

Stato AntiVirus

tb_EntityInfo

•minima, massima e media latenza di aggiornamento•numero di virus trattati•numero di virus rilevati ma non trattati

La maggior parte dei campi utilizza codifiche documentate nello Schema

tb_AVStatusInfo

Database: Antivirus (fonte: Trend Micro Control Manager 2.5 Database Schema) - Continua

Infezioni da Virus

Dato ottenibile

VLF_SecondActionResult

VLF_FirstActionResult

VLF_FunctionCode

VLF_VirusName

CLF_ReasonCode

CLF_ComputerName

CLF_SeverityCode

CLF_LogReceivedTime

CLF_LogGenerationTime

CLF_ProductType

La maggior parte dei campi utilizza codifiche documentate nello Schema

•per unità di tempo (ad esempio n minuti) a partire da Generation / ReceivedTime•per “Severity”•per VirusName•per risultato dell’azione intrapresa

CLF_MsgLogTypetb_AVVirusLog

CommentoAggregazioniColonneTabella

Le fonti dati contenenti le informazioni di log costituiscono l’informazione “grezza” per gli indicatori atomici …

24

Perché sia possibile effettuare l’analisi lungo le dimensioni considerate (i servizi, l’articolazione territoriale, i sistemi IT e i processi operativi di supporto) è necessario proiettare su tali dimensioni le coordinate “geografiche” dell’informazione relativa ad un evento, presenti nei DB in termini di indirizzamento IP o di altri identificatori che hanno senso a livello sistemistico. La trasformazione è resa possibile tramite dati di Asset Management.

In particolare quando, nell’identificare i dati “atomici”, vengono indicate coordinate quali Source IPAddress e Destination IP Address, oppure Computer Name, si deve tenere presente che queste verranno poi mappate sulle dimensioni di analisi desiderate.

FirewallLogs

IDSNotifications

Antivirusalerts

Source/Dest. IP Addr

Attac path

Computer name

Trasformazione

Asset ManagementInformations

Datigrezzi Dati

“Atomici”Aggregation &Presentation

Altro (V.A., AAA, . . .)

Dimensioni di analisi

MinacceVulnerabilitàContromisure

Servizi Territorio Sistemi Processi

Asset DB

Dynamic Inventory

DB

DetailedTechnical

View

BusinessProcess

View

… che vengono generati e mantenuti all’interno di un datawarehouse sul quale implementare il modello

25

Key Risk Indicators

Staging File Area

KPI Data WareHouse

Data Warehouse Primario

DataMart DataMart DataMart

Elaborazione dei dati raccolti per la misurazione effettiva e presentazione degli indicatori di rischio

Individuazione dei dati più oppor-tuni per la determinazione degli indicatori di rischio di interesse Storage delle

informazioni provenienti da tutti i sistemi e dalla infrastrutture di sicurezza

Raccolta, normalizzazione e conversione dei dati prodotti dai sistemi operativi

Firewall IDS Antivirus (TrendMicro,

Antigen)

Directory Piattaformeapplicative

Web ServerServer RADIUS

Mail Server SysLog Server

AntiSpam

Proxy RADIUS

Web Filtering

Agenda

26





•

•

•

•


27

Categoria: Servizi

Dashboard

Trend

Valore

Target

ActualPerformance

40

50

80%

15

75

20%

55

100

55%

Frequency Monthly Weekly Daily

Key Risk Indicator

ServiziServizi | Territorio | Sistemi | Processi

Mar-98

Jun-98

Sep-98

Dec-98

Mar-99

Jun-99

Sep-99

0.000%

0.500%

1.000%

1.500%

2.000%

2.500%

Mar-98

Jun-98

Sep-98

Dec-98

Mar-99

Jun-99

Sep-99

0.000%

0.500%

1.000%

1.500%

2.000%

2.500%

Mar-98

Jun-98

Sep-98

Dec-98

Mar-99

Jun-99

Sep-99

0.000%

0.500%

1.000%

1.500%

2.000%

2.500%

E’ possibile visualizzare il trend temporale del livello di rischio di Postemail

Servizi onlineServizio 1Servizio 2Servizio 3Servizio 4…

+ Servizio 1 Servizio 2 Servizio 3

28


+ Risk GraphServizi

1224%

36% 30%40%

80%

0

10

20

30

40

50

January February March April May June

PerformanceTarget

Current Year Last Year Last 2 Years

20%

40%

60%

80%

100%

1815

20

4070%30

Servizi | Territorio | Sistemi | Processi

E’ possibile ritornare al dashboard degli indicatori di rischio per i servizi online

Categoria: Servizi

29

Risk Dashboard

Trend

Valore

Target

ActualPerformance

Appl_1 Appl_2 Appl_3

40

50

80%

15

75

20%

55

100

55%

Frequency Monthly Weekly Daily

Key Risk Indicator

ServiziServizi | Territorio | Sistemi | Processi

Mar-98

Jun-98

Sep-98

Dec-98

Mar-99

Jun-99

Sep-99

0.000%

0.500%

1.000%

1.500%

2.000%

2.500%

Mar-98

Jun-98

Sep-98

Dec-98

Mar-99

Jun-99

Sep-99

0.000%

0.500%

1.000%

1.500%

2.000%

2.500%

Mar-98

Jun-98

Sep-98

Dec-98

Mar-99

Jun-99

Sep-99

0.000%

0.500%

1.000%

1.500%

2.000%

2.500%

E’ possibile visualizzare i Key risk indicator del servizio Postemail


+

Categoria: Servizi > Servizio 1

30

Key RiskServiziServizi | Territorio | Sistemi | Processi

Action listValore TargetBusiness continuityeffectiveness

53 75

Business continuityefficiency

80 90

% ore lavorative dedicate al training di sicurezza% personale di sicurezza con certificazioni

% neoassunti con training iniziale sulla sicurezza

80 90

E’ possibile visualizzare una descrizione delle caratteristiche del KRI


+


31


+ KRI: % neoassunti con training iniziale sulla sicurezzaServiziServizi | Territorio | Sistemi | Processi

E’ possibile passare alla modalità di visualizzazione per territorio


32

TerritorioSistemi centrali

Sistemi OPEN

Uffici

Polo tecnologico 1Polo tecnologico 2Polo tecnologico 3Polo tecnologico 4…

Area NORD

Area SUDArea CENTROArea ISOLE

SiciliaSardegna

Lombardia…

CED 1CED 2…

+

+

+

…+

Dashboard

Trend

Valore

Target

ActualPerformance

Sistemi centrali Poli tecnologici Uffici

15

75

20%

55

100

55%

Frequency WeeklyDaily

Categoria: TerritorioServizi | Territorio | Sistemi | Processi

40

50

80%

Monthly

Key Risk Indicator

Mar-98

Jun-98

Sep-98

Dec-98

Mar-99

Jun-99

Sep-99

0.000%

0.500%

1.000%

1.500%

2.000%

2.500%

Mar-98

Jun-98

Sep-98

Dec-98

Mar-99

Jun-99

Sep-99

0.000%

0.500%

1.000%

1.500%

2.000%

2.500%

Mar-98

Jun-98

Sep-98

Dec-98

Mar-99

Jun-99

Sep-99

0.000%

0.500%

1.000%

1.500%

2.000%

2.500%

E’ possibile effettuare un drill down sulla categoria Uffici postali

33

Territorio

Dashboard

Trend

Valore

Target

ActualPerformance

Area Nord Area centro Area Sud e isole

15

75

20%

Frequency WeeklyWeekly

Categoria: Territorio > Uffici

40

50

80%

Weekly

15

75

20%


Key Risk Indicator

Mar-98

Jun-98

Sep-98

Dec-98

Mar-99

Jun-99

Sep-99

0.000%

0.500%

1.000%

1.500%

2.000%

2.500%

Mar-98

Jun-98

Sep-98

Dec-98

Mar-99

Jun-99

Sep-99

0.000%

0.500%

1.000%

1.500%

2.000%

2.500%

Mar-98

Jun-98

Sep-98

Dec-98

Mar-99

Jun-99

Sep-99

0.000%

0.500%

1.000%

1.500%

2.000%

2.500%

E’ possibile effettuare un drill down sulla categoria Area Sud e isole

Sistemi centrali

Sistemi OPEN

Uffici


Area NORD


SiciliaSardegna

Lombardia…

CED 1CED 2…

+

+

+

…+

34

Territorio

Dashboard

Trend

Valore

Target

ActualPerformance

Sicilia Sardegna …

15

75

20%

Frequency WeeklyWeekly

Categoria: Territorio > Uffici > Area Sud e Isole

40

50

80%

Weekly

15

75

20%


Key Risk Indicator

Mar-98

Jun-98

Sep-98

Dec-98

Mar-99

Jun-99

Sep-99

0.000%

0.500%

1.000%

1.500%

2.000%

2.500%

Mar-98

Jun-98

Sep-98

Dec-98

Mar-99

Jun-99

Sep-99

0.000%

0.500%

1.000%

1.500%

2.000%

2.500%

Mar-98

Jun-98

Sep-98

Dec-98

Mar-99

Jun-99

Sep-99

0.000%

0.500%

1.000%

1.500%

2.000%

2.500%

E’ possibile effettuare un drill down sulla regione della Sicilia

Sistemi centrali

Sistemi OPEN

Uffici


Area NORD


SiciliaSardegna

Lombardia…

CED 1CED 2…

+

+

+

…+

35

Sistemi centrali

Sistemi OPEN

Uffici


Area NORD


SiciliaSardegna

Lombardia…

CED 1CED 2…

+

+

+

…+

Territorio Categoria: Territorio > Uffici > Area Sud e Isole > Sicilia

Current month Last months Last 2 months

1729%

80%

0

15

30

45

60

75

7/1 14/1 21/1 28/1 4/2 11/2

PerformanceTarget

20%

40%

60%

80%

100%

40

38%

25

35%

2130%

19 20%14


Risk GraphE’ possibile passare alla modalità di visualizzazione per sistemi

36

SistemiClient

ServerWindows NTWindows 2000SUN SolarisIBM AIXIBM Mainframe…

Windows 3.1Windows NTWindows 2000…

+

+

SicurezzaCheckpoint FW-1Cisco PIX…

+

NetworkRouter CiscoSwitch CiscoSwitch 3ComSwitch Ericsson…

+

DatabaseOracle 8iIBM DB2…

+

…+

Dashboard

Trend

Valore

Target

ActualPerformance

Client Server Network

40

50

80%

15

75

20%

55

100

55%

Frequency Monthly Monthly Daily

Categoria: SistemiServizi | Territorio | Sistemi | Processi

Key Risk Indicator

Mar-98

Jun-98

Sep-98

Dec-98

Mar-99

Jun-99

Sep-99

0.000%

0.500%

1.000%

1.500%

2.000%

2.500%

Mar-98

Jun-98

Sep-98

Dec-98

Mar-99

Jun-99

Sep-99

0.000%

0.500%

1.000%

1.500%

2.000%

2.500%

Mar-98

Jun-98

Sep-98

Dec-98

Mar-99

Jun-99

Sep-99

0.000%

0.500%

1.000%

1.500%

2.000%

2.500%

E’ possibile effettuare un drill down sulla categoria server

37

SistemiClient



+

+


+


+


+

…+

Dashboard

Trend

Valore

Target

ActualPerformance

Windows NT Windows 2000 Sun Solaris

40

50

80%

15

75

20%

Frequency Monthly Monthly

Categoria: Sistemi > Server

55

100

55%

Monthly


Key Risk Indicator

Mar-98

Jun-98

Sep-98

Dec-98

Mar-99

Jun-99

Sep-99

0.000%

0.500%

1.000%

1.500%

2.000%

2.500%

Mar-98

Jun-98

Sep-98

Dec-98

Mar-99

Jun-99

Sep-99

0.000%

0.500%

1.000%

1.500%

2.000%

2.500%

Mar-98

Jun-98

Sep-98

Dec-98

Mar-99

Jun-99

Sep-99

0.000%

0.500%

1.000%

1.500%

2.000%

2.500%

E’ possibile effettuare un drill down sulla categoria Sun Solaris

38

SistemiClient



+

+


+


+


+

…+

Categoria: Sistemi > Server > Sun Solaris

1224%

36% 30%40%

80%

0

10

20

30

40

50

January February March April May June

PerformanceTarget

Current Year Last Year Last 2 Years

20%

40%

60%

80%

100%

1815

20

4070%30


Risk GraphE’ possibile passare alla modalità di visualizzazione per processi

39

SistemiChange Management

Configuration Management

Major releaseMinor release…

+

+

SW DistributionCumulative Service packHotfix…

+

Antivirus updating+

Network management…

+

…+

Dashboard

Trend

Valore

Target

ActualPerformance

Change mgmt Configuration mgmt SW distribution

40

50

80%

55

100

55%

Frequency Monthly Daily

Categoria: ProcessiServizi | Territorio | Sistemi | Processi

…

15

75

20%

Monthly

Key Risk Indicator

Mar-98

Jun-98

Sep-98

Dec-98

Mar-99

Jun-99

Sep-99

0.000%

0.500%

1.000%

1.500%

2.000%

2.500%

Mar-98

Jun-98

Sep-98

Dec-98

Mar-99

Jun-99

Sep-99

0.000%

0.500%

1.000%

1.500%

2.000%

2.500%

Mar-98

Jun-98

Sep-98

Dec-98

Mar-99

Jun-99

Sep-99

0.000%

0.500%

1.000%

1.500%

2.000%

2.500%

E’ possibile effettuare un drill down sulla categoria SW Distribution

40




+

+


+

Antivirus updating+


+

…+

Dashboard

Trend

Valore

Target

ActualPerformance

Service pack Hot fix …

40

50

80%

Frequency Monthly

Categoria: Processi > SW DistributionServizi | Territorio | Sistemi | Processi

…

15

75

20%

Monthly

55

100

55%

Daily

Key Risk Indicator

Mar-98

Jun-98

Sep-98

Dec-98

Mar-99

Jun-99

Sep-99

0.000%

0.500%

1.000%

1.500%

2.000%

2.500%

Mar-98

Jun-98

Sep-98

Dec-98

Mar-99

Jun-99

Sep-99

0.000%

0.500%

1.000%

1.500%

2.000%

2.500%

Mar-98

Jun-98

Sep-98

Dec-98

Mar-99

Jun-99

Sep-99

0.000%

0.500%

1.000%

1.500%

2.000%

2.500%

E’ possibile effettuare un drill down sulla categoria Hot fix

41




+

+


+

Antivirus updating+


+

…+

Categoria: Processi > SW Distribution > Hot FixServizi | Territorio | Sistemi | Processi

…

1729%

80%

0

15

30

45

60

75

7/1 14/1 21/1 28/1 4/2 11/2

PerformanceTarget

20%

40%

60%

80%

100%

40

38%

25

35%

2130%

19 20%14

Current month Last months Last 2 monthsRisk Graph

Agenda

42




Come impostare un piano di progetto per la rea-lizzazione di un Tableau de Bord della sicurezza

•

•

•

•

- Pianificazione e controllo- Monitoraggio del rischio- Audit di sicurezza IT

Il Tableau de Bord con i KPI di sicurezza può essere utilizzato per pianificare e controllare gli investimenti in sicurezza…

43

1. Definizione dei KPO strategici

2. KPO degli interventi di Security

-Individuano i risultati prestazionali che si desiderano raggiungere mediante il piano di sicurezza dell’azienda

-Costituiscono gli interventi di carattere direzionale, esecutivo e tecnologico a supporto degli obiettivi del piano di sicurezza

3. KPO del piano di delivery

-Determina tempistiche e milestone del piano di introduzione delle contromisure di sicurezza all’interno dell’azienda

Dalla pianificazione…

…alla gestione della Security

6. KPI di impatto sul business

5. KPI di efficacia ed efficienza

4. KPI del livello di implementazione

-Valutazione del valore creato dal programma di Information Security

-Esempi:

-Efficacia ed efficienza del piano di Securityimplementato in azienda

-Esempi:

-Livello di applicazione di politiche, procedure, e standard di Security

-Esempi:

Stakeholder Interest

Ridefinizione obiettivi

Adeguamento contromisure

Incremento implementazione

Tempi di ripristino del piano di businesscontinuity

•Perdite finanziarie a seguito di incidenti di sicurezza

•

Churn associabile alla mancata gestione della sicurezza dei clienti

• Percentuale di falsi positivi generati dai sistemi anti-intrusioni

•

Percentuale di postazioni di lavoro con personal firewall

•

Percentuale di server con il logging attivo

•

(A cura del Top Management)

(A cura del SecurityManagement)

(A cura dello Staff di Operations)

Agenda

44





•

•

•

•


Il posizionamento della gestione del rischio IT nel processo di pianificazione aziendale

45

Obiettivi di impresa

Esigenza di business

Tecnologie informatiche

Gestione del rischio IT

Sistema di IT Security

Fase

Dalla definizione degli obiettivi di creazione del valore dell’attivitàdi impresa …

…alla identificazio-ne delle esigenze operative di condu-zione delle attivitàdi business …

… alla realizzazio-ne delle soluzioni tecnologiche per il sistema informati-vo aziendale …

… in accordo a modalità operative adeguate alla gestione dei rischi informatici…

…mediante soluzio-ni tecnologiche e organizzative di sicurezza informati-ca

Gestione e controlloAccertamento e analisi

Descri-zione

Risk Assessment

Risk Analysis

RiskManagement

Risk Monitoring

Fasi

Obiettivi Identificare le aree di rischio e di incertezza per il business che hanno impatto sulle tematiche di IT Security

Svolgere una analisi dettagliata delle cause, delle conseguenze e delle dinamiche che caratterizzano il rischio IT Security

Effettuare le scelte piùadeguate per determi-nare un profilo di ris-chio IT Security adegu-ato alle caratteristiche dell’organizzazione

Monitorare lo stato dei rischi in esame al fine di identificare precoce-mente eventuali devia-zioni

Il meccanismo di governance della gestione del rischio IT in una grande impresa e/o gruppo d’imprese…

46

Stakeholder Enti normativi e regolatoriAzionisti

Ruolo

Finalità

Comitato di Business Unit

Identifica le aree di criticità dei processi di businessValuta gli impatti derivanti dalle criticità…

--

Ruolo

Finalità

Amministratore Delegato

Fornisce visibilità e committmentValuta le attivitàComunica i risultati

---

Ruolo

Finalità

Consiglio di Amministrazione

Armonizza le esigenze degli stakeholderVerifica i risultati

-

-

-

-

- Sicurezza di Gruppo

Definisce il modelloFornisce lo strumentoMonitora i risultati

---

-

Comitato di IS Provider

Identifica i requisiti di sicurezzaProgetta soluzioni applicative e infrastrutturali di sicurezzaùMonitora le prestazioni delle soluzioni di sicurezza

---

-

La gestione del rischio IT è un processo condiviso tra tutte le strutture aziendali e integrato all’interno dei processi aziendali, in accordo ad una visione di governo “dall’alto”(CEO e CorporateSecurity) e di esecu-zione “dal basso”(Business Unit e internal/external IS Provider)

… richiede l’utilizzo di un Tableau de Bord come strumento di governo dei rischi informatici

47

Corporate Security

Funzione Operativa Sicurezza Informtica

Security Knowledge

Management

Analisi e gestione del Rischio

Soluzioni di sicurezza

Dalla pianificazione delle soluzioni di sicurezza basata sull’analisi del rischio …

… al controllo dei risultati basato sulla misurazione degli indicatori di rischio (KRI) e di prestazione (KPI)

Livello

1

2

3

4

Identificazione degli obiettivi e misurazio-ne dei risultati in termini di rischio IT

Analizzare le dinami-che e gestire l’evolu-zione del rischio IT

Identificare i requisitidi sicurezza e misura-re i risultati in termini di prestazioni

Progettare le soluzio-ni di sicurezza e il sis-tema di Security Know-ledge Management

Key Performance

Indicators

Aree di Criticità

aziendale

Key Risk Indicators

Requisiti di sicurezza

Ogni strato del modello è indipendente dalle modalità con cui vengono realizzati i moduli adiacenti, dai quali vengono solo prelevati e scambiatisoltanto i dati di input e di output

Ad ogni strato sono attribuiti in maniera univoca le responsabi-lità e i risultati attesi, in modo da evitare inutili duplicazioni delle stesse attività e focalizzare gli sforzi sulle core competence

Agenda

48





•

•

•

•


Dall’evoluzione del ruolo della funzione IT Internal Auditing nelle moderne corporation …

49

Monitorare i rischi originati dall’utilizzo dell’IT…

… per informare il Top Mana-gement sui rischi d’impresa…

… e suggerire le eventuali misure da adottare

Fase

Obiettivi Controllare i sistemi, i pro-cessi e le risorse allocate ai servizi di IT al fine di identificare tempestivamente e preventivamente i potenziali elementi in grado di determinare una situazione di rischio per il conseguimento degli obiettivi di business dell’impresa

Riportare al top management (e.g. board of director, auditcommittee) le informazioni necessarie e sufficienti affinché possano essere prese le decisioni ottimali per una corretta corporate governance e tutela degli interessi degli shareholder e degli stakeholder

Consigliare sia il top management che gli executive/line managers sulle adeguate misure da intraprendere al fine di riportare i rischi di Information Technologyall’interno di una logica di gestione positiva del rischio

Business Risks

Dalla formalizzazione dei rischi di non conseguire gli obiettivi di business dell’impresa…

IT Risks

… alla derivazione dei rischi determinati dall’utilizzo delle tecnologie IT nei processi di business…

Key Risk Indicator

… all’identificazione delle variabili chiave da misurare al fine di quantificare i livelli di rischio…

Targets

… e confrontarli costantemente con gli obiettivi prestazionali stabiliti in sede di pianificazione…

Actions

… al fine di intrapren-dere le azioni correttive opportune per ricondursi ai target pianificati

… alla realizzazione di un Early Warning System basato sulla misurazione degli IT Key Risk Indicator (IT KRI)

50

Sanzioni

Rischio di inadempimenti ad obblighi statutari, legali e/o regolamentatori

Rischio di presen-za di configurazio-ni non sicure sui sistemi e sulle applicazioni

Misconfiguration

BrandRischio di per-dita di immagine presso le diffe-renti categorie di stakeholder

Antivirus

% postazioni di lavoro con SW antivirus aggiornato

Competitività

Rischio di perdita del vantaggio competitivo all’interno della propria industry

Perdite

Rischio di perdite finanziarie dirette e/o compromissio-ne della posizione finanziaria

Operatività

Rischio di rallentamento dei processi di business e di creazione del valore

Rischio di diffusione di virus sui server e sulle postazioni di lavoro

VirusRischio di intercettazione del traffico sulla rete aziendale

Sniffing

Rischio di accesso non autorizzato ai sistemi aziendali

Intrusion Rischio di blocco dei sistemi per assenza di personale specializzato di supporto

Staff Shortage

Awarness

% di personale neoassunto che ha ricevuto una formazione di base sulla sicurezza

Esterni

% esterni che soggiornano presso le sedi aziendali al di fuori del normale orario di lavoro

Etica

Livello di percezione del brand PosteItaliane presso la comunità Internet

Servizi

% di servizi insicuri presenti sui sistemi di produzione

Business Risks

Information Technology Risks

IT Key Risk Indicator (IT KRI)

ESEMPLIFICATIVO

Agenda

51





•

•

•

•

Un possibile action plan per l’implementazione del Tableau de Bord e per l’integrazione nello scenario di business

52

Implementazione di un sistema di misurazione delle prestazioni della sicurezza basato sulla rilevazione di Key Security Performance Indicators

1° step (4-6 mesi)2° step (8-12 mesi)

Integrazione del sistema di misurazione delle prestazioni di sicurezza all’interno del sistema di impresa per la misurazionedei risultati di business

Una corretta pianificazione delle quattro fasi “portanti”conduce a risultati particolarmente positivi!!

53

4_ Verifica compatibilitàarchitetturale

Mese 1 Mese 2 Mese 31 2 3 4 5 6 7 8 9 10 11 12 13 14 15

Mese 4 Mese 516 17

3_ Realizzazione di un progetto pilota del TdB

5_ Sviluppo software del Tableau de Bord

dd/mm

dd/mm

dd/mm

dd/mm

1_ Analisi delle fonti dati

2_ Creazione del modello di governo

ESEMPLIFICATIVO

54

La misura delle prestazioni dei sistemi di sicurezza informatica

Ing. A. Agosti - Manager, VP [email protected]

Sessione di Studio AIEAMilano, 15 Dicembre 2004

La misura delle prestazioni dei sistemi di sicurezza ... · Business Continuity---Valore ......

Documents

Transcript of La misura delle prestazioni dei sistemi di sicurezza ... · Business Continuity---Valore ......