La misura delle prestazioni dei sistemi di sicurezza ... · Business Continuity---Valore ......
Transcript of La misura delle prestazioni dei sistemi di sicurezza ... · Business Continuity---Valore ......
0
La misura delle prestazioni dei sistemi di sicurezza informatica
Ing. A. Agosti - Manager, VP [email protected]
Sessione di Studio AIEAMilano, 15 Dicembre 2004
Agenda
1
Il problema della misura della sicurezza
Come costruire i Key Performance Indicator della sicurezza
Come utilizzare un Tableau de Bord della sicurezza
Come impostare un piano di progetto per la realizzazione di un Tableau de Bord della sicurezza
•
•
•
•
La sicurezza informatica è diventata una problematica di azienda
2
Da una fase di crescita “a isole” e non controllata degli investimenti nelle aree rilevanti per la sicurezza informatica …
ProcessiOrganizzazione
Risorse umane
Tecnologie
Cultura
Tecnologie
Cultura
Processi
Risorse umane
Organizzazione
Obiettivi di efficacia
Obiettivi di efficienza
Misurazione degli obiettivi prestazionalidelle soluzioni di sicurezza informatica
Misurazione degli obiettivi economico-finanziari delle soluzioni di sicurezza informatica
… a una fase di governo e di allineamento dei risultati attorno a obiettivi di ottimizza-zione delle prestazioni e delle spese
As is To be
È necessario comunicare obiettivi e risultati degli investimenti effettuati in sicurezza informatica
3
Direzioni Aziendali
Top Management
Amministratore delegato
Consiglio di amministrazione
Risorse umane
Linee di Business
----
Tecnologie
FormazioneSensibilizzazioneCulturaSelezione
---
BudgetProcessiRischio
---
InfrastrutturaControllo accessiBusiness Continuity
---
ValoreVisibilitàBudget
---
CommittmentCoinvolgimentoRelazioni
Management
FunzioneSecurity
Informazioni
Board
Processi
Sistema Azienda
Asset
Fornire un quadro periodico dei macro rischi di sicurezza aziendale che caratterizzano il contesto di businessdell’impresa che ne possono influenzare gli obiettivi di creazione di valore per le differenti categorie di stakeholder
Fornire gli elementi qualitativi e quantitativi per orientare l’attività e gli investimenti in misure di sicurezza aziendaleda parte delle Direzioni aziendali che hanno diretta responsabili-tà sui processi di business
Diventa fondamentale impostare un processo di governo della sicurezza informatica basato sul Tableau de Bord
4
TecnologieRisorse umane
Processi
Organizzazione
ModelliPartners
Il Tableau de Bord ha l’obiettivo di consentire il governo della sicurezza mediante una valutazione dei risultati rispetto agli obiettivi …
… mediante la rilevazionedi Key Performance Indicator comprensibili, significativi e comunicabili in grado di misurarne le prestazioni …
… che utilizzano un mix congiunto di tecnologie, risorse umane e skillsspecialistici, procedureoperative e organizzative, processi e modelli di riferimento.
Elementi che definiscono un Security KPI
5
Un Security KPI costituisce un indicatore quantitativo della efficacia/efficienza di una contromisura tecnologica, procedurale e/o organizzativa, in relazione al piano di sicurezza implementato all’interno dell’azienda
Idealmente è possibile considerare un Security KPI come una variabile controllata in uscita ad un sistema di controllo, il cui valore è quindi determinabile a partire da un certo numero di variabili in ingresso, che coincidono con l’implementazione pratica di misure/verifiche a sostegno dei piani di sicurezza
-
-
Contesto di utilizzo dei Key Performance Indicators
Variabile controllata Indicatore quantitativo sintetico che esprime lo stato (Indice di rischio) di un particolare elemento di un processo di business dal punto di vista della sicurezza
Sistema di controlloInfrastruttura che consente di ottenere i dati grezzi necessari per determinare il valore della variabile (KPI), mediante applicazione di una metrica di calcolo opportunamente definita (Security Knowledge Mgmt.)
Variabili di controlloElementi su cui è possibile agire per modificare nel tempo il valore della variabile controllata. Concretamente identificano le aree di intervento possibili nel particolare ambito rappresentato dalla variabile controllata
6
Metrica
Scopo
Informazioni di riferimento
Frequenza di valutazione
Formula di calcolo
Sorgenti dei dati
Significato e applicazioni
Elemento Descrizione
Mantenere la percentuale delle applicazioni aziendali ritenute a rischio elevato/molto elevato per la continuità e la sostenibilità del business aziendale al di sotto di un valore ritenuto il corretto compromesso tra i costi e i potenziali benefici che ne derivano
Percentuale di applicazioni informatiche ritenute a rischio elevato o molto elevato per la continuità e la sostenibilità del business aziendale
Livelli di rischio delle applicazioni informatiche, valutati in funzione del valore dei dati archiviati e/o trattati, dell’entità delle minacce esistenti e delle contromisure effettivamente implementate
Trimestrale/Semestrale (periodi di tempo comparabili con la durata di progetti di elevata dimensione che coinvolgano l’infrastruttura tecnologica aziendale)
Numero di applicazioni con livello di rischio elevato o molto elevato / Numero complessivo di applicazioni
Risultati delle attività di Risk Analysis effettuate negli ultimi tre o quattro anni
Il KPI in questione consente di monitorare l’andamento temporale del livello di rischiorelativo alle applicazioni informatiche aziendali ritenute maggiormente critiche (ad es, CRM, ERP, SMC, HR), in modo da identificare andamenti anomali e/o tendenze negative ed anticiparne gli effetti negativi intervenendo tempestivamente sulle variabili di controllo di cui si può disporre
Esempio di Key Performance Indicator di asset informatico: Business risk originato dalle applicazioni informatiche
Agenda
7
Il problema della misura della sicurezza
Come costruire i Key Performance Indicator della sicurezza
Come utilizzare un Tableau de Bord della sicurezza
Come impostare un piano di progetto per la realizzazione di un Tableau de Bord della sicurezza
•
•
•
•
- Il modello logico di misurazione- Gli indicatori atomici e i KPI- La costruzione del datawarehouse- La visualizzazione degli indicatori
I passi per costruire un sistema di misurazione della sicurezza basato sul concetto dei Key Performance Indicator
8
Fasi 3. Definizione delle modalità di aggregazione
4. Modello di navigazione e aggiornamento
1. Identificazione fonti dati e indica-tori atomici
2. Creazione del modello logico del TdB
Obiettivi •Definire le modalità di navigazione del TdB e di aggiornamento delle informazioni in esso contenute
•Stabilire modelli di aggregazione sintetici ed indicativi degli indicatori atomici attraverso il modello logico
•Stabilire il modello logico-funzionale del Tdb in coerenza con le caratteristiche dell’ambiente di sicurezza
•Identificare le fonti dati disponibili per la misurazione e la valutazione del sistema di sicurezza informatica
•Definizione del modello logico “ideale” de sistema di sicurezza
•Definizione delle viste ad alto livello del TdB
•Relazioni qualitative/ quantitative tra gli indicatori atomici e il modello
•Identificazione dei raggruppamenti funzionali
•Definizione del numero dei livelli di aggregazione
•Definizione delle modalità di aggregazione qualita-tive e/o quantitative
•Definizione della logica di navigazione del TdB
•Identificazione delle modalità di drill-down e roll-up delle viste
•Definizione delle logiche di aggiornamento dei dati
•Raccolta delle informazioni sugli elementi del sistema di sicurezza
•Identificazione delle fonti dati disponibili e utilizzabili
•Definizione degli indicatori atomici
Attività
Agenda
9
Il problema della misura della sicurezza
Come costruire i Key Performance Indicator della sicurezza
Come utilizzare un Tableau de Bord della sicurezza
Come impostare un piano di progetto per la realizzazione di un Tableau de Bord della sicurezza
•
•
•
•
- Il modello logico di misurazione- Gli indicatori atomici e i KPI- La costruzione del datawarehouse- La visualizzazione degli indicatori
E’ possibile scegliere un modello di misurazione per servizi/infrastrutture di sicurezza informatica …
10
Visualizzazione degli Indicatoridi misurazione della sicurezza
……
Aggregazioni delle informazioni di sicurezza per servizi erogati
Visite a siti non conformi alle politiche
aziendali
Stato di aggiornamento
Antivirus
Diffusione Virus sui Sistemi
………..Autenticazioni
Fallite
Estrazione di informazioni rilevanti per la valutazione dello stato di sicurezza
Errori su Web Server ………..
Indicatori per la gestione dell’antivirus e per il controllo dei virus
Indicatori per il controllo dell’accesso remoto
Indicatori per il controllo del traffico analizzato su Firewall
8000
7000
6000
4000
2000
5000
3000
1000
01986 1987 1988 1989 1990 1991 1992 1993 1994
8000
7000
6000
4000
2000
5000
3000
1000
01986 1987 1988 1989 1990 1991 1992 1993 1994
Mar-
98
Mar-
98
Jun-
98
Jun-
98
Sep-
98
Sep-
98
Dec-
98
Dec-
98
Mar-
99
Mar-
99
Jun-
99
Jun-
99
Sep-
99
Sep-
99
0.000%
0.500%
1.000%
1.500%
2.000%
2.500%
0.000%
0.500%
1.000%
1.500%
2.000%
2.500%
……
Firewall IDS Antivirus (TrendMicro,
Antigen)
Directory Piattaformeapplicative
Web ServerProxy RADIUS
Security Services
Web Filtering Server RADIUS
Mail Server SysLog Server
AntiSpam
Altre fonti
… oppure un modello basato sull’adozione dell’organizzazione per processi esistente in azienda…
11
Gli asset di una azienda sono rappresentati dai beni e dalle risorse (di tipo materiale o immateriale) che essa possiede e che sono indispensabili per lo svolgimento della normale attività produttiva. Gli asset critici individuati dal cliente sono i Processi (P), i Sottoprocessi (SP) ed i Sistemi Informativi (SI) che li supportano. I Sistemi Informativi risultano essere critici anche in funzione dei dati (Macro entità dati) che gestiscono. Le relazioni funzionali considerate sono: P->SP, SP->SI, SI->Macro Entità Dati; esse esprimono un modello funzionale tra gli asset critici di interesse aziendale.
IMPORTANZA idP PROCESSO PRIMARIO idSP SOTTOPROCESSO INFLUENZA RILEVANZA5 P1 PRODUZIONE SP1 Sviluppare operativamente gli impianti di
telecomunicazione5 25
SP2 Esercire e mantenere gli impianti di telecomunicazione
5 25
SP3 Sviluppare i sistemi informativi 5 25SP4 Esercire e mantenere i sistemi informativi 5 25
4 P2 SVILUPPO DEL BUSINESS SP5 Sviluppare l’immagine Aziendale 4 16
P
SP2
SIS1
DB1
. . . .SP1 SP3 SPnSP4
SIS2 SISm
DB2 DB3 DB4 DBp
SOTTOPROCESSO MACRO ENTITA' DATI
Fornire assistenza tecnica, commerciale e amministrativa al cliente in post-vendita Black List
Contratti/UtenzeRichiesta di attivazione/disattivazioneservizio
Fatturare i servizi utilizzati dal cliente Anagrafica Banche
Anagrafica Clienti
Carte di credito
Corrispettivi
SISTEMA/APPLICAZIONE SOTTOPROCESSO
ASAP Fornire assistenza tecnica, commerciale e amministrativa al cliente in post-venditaBanking - sottosistemadomiciliazioni Fatturare i servizi utilizzati dal cliente
Banking - sottosistema roaming Fatturare i servizi utilizzati dal cliente
…oppure ancora con una struttura che ricalca le aree di uno standard di riferimento per la sicurezza (e.g., ISO 17799)
12
Utilizzo dei supporti e sicurezza
Mantenimento
Protezione da software malevolo
Pianificazione di sistemi ed
accettazione
Responsabilità e procedure operative
Gestione delle reti
Gestione delle comunicazioni e dell’operatività
Scambio di dati e software
Controlli contro i software malevoli
Ogni file di origine non certa deve essere passato sotto il controllo dell'antivirus.
Devono essere installati e regolarmente aggiornati idonei prodotti antivirus.
Deve essere adottata una politica formale di protezione contro i rischi derivanti da
file o software ottenuti sia da reti esterne o da altre vie, che indichi quali misure
protettive adottare.
Deve esistere una policy formale che tenga conto delle licenze software e proibisca
l’uso di software non autorizzato.
Si devono condurre delle verifiche periodiche sul software e sui dati che
supportano processi critici.
Ogni allegato di posta elettronica deve essere verificato da un
antivirus sia dal server sia dal client.
Devono essere individuati ruoli, responsabilità e procedure di gestione per relazionare e ripristinare i sistemi dagli attacchi dei virus, includendo il back-up dei dati e del software e le
procedure di recovery.
Devono essere sensibilizzati gli utenti verso i rischi connessi ai virus e alle
misure protettive esistenti.
Devono predisporsi procedure di verifica di tutte le informazioni relative ai virus malevoli, e devono garantirsi
bollettini accurati e istruttivi.
Vista del Tableau de Bord Controllo del
BS7799
Obiettivi di controllo
Stato di disabilitazionedell’antivirus.
Stato di aggiornamento dell’antivirus sui server
Stato di diffusione dell’antivirus
Stato di aggiornamento dell’antivirus sulle PdL
Virus non gestiti.
Percentuale di virus non eliminati.
Numero medio di segnalazioni di virus per sistema.
Diffusione dei virus.
Utenti specifici particolarmente soggetti a mail virate
Mail virate di provenienza interna.
Utenti ritenuti particolarmente pericolosi data l’elevata quantitàMail virate inviate.
Mail virate di provenienza esterna.
Virus su mail non rilevati.
Percentuale di virus non ripuliti su mail.
Percentuale di mail eliminate causa virus.
Indicatori Aggregati Indicatori Atomici
Esempio di indicatori di
efficacia dell’antivirus sull’e-mail
Esempio di indicatori per il
controllo dei virus sull’e-mail
Esempio di indicatori per la gestione
dell’antivirus sui sistemi
Esempio di indicatori di controllo dei
virus sui sistemi
ESEMPLIFICATIVA
In ogni caso, è necessario selezionare delle ulteriori viste per adattare le misurazioni alla realtà dell’azienda…
13
Il sistema di reporting dello stato della Sicurezza ha l’obiettivo di abilitare un approccio multidimensionale all’analisi della Sicurezza , secondo le dimensioni ritenute fondamentali per essere coerenti con le caratteristiche del business aziendale: i servizi, l’articolazione territoriale, i sistemi IT e i processi operativi di supporto
Servizi che il dipartimento IT offre sia verso l’interno che in ottica di mercato
Modello di disposizione delle risorse di Information Technologynelle sedi in cui opera il dipartimento IT
Tipologia dei sistemi di information technology che vengono utilizzati all’interno dei processi del dipartimento IT
Processi aziendali per la pianificazione, gestione ed esercizio delle risorse IT
Funzioni e Servizi erogati
Articolazione territoriale
Sistemi IT
Processi operativi
Dimensione di analisi
Descrizione
Benefici Consente di intervenire sui servizi che il dipartimento IToffre e che sono ritenuti a maggior livello di rischio
Consente di intervenire presso i sistemi centrali, i poli tecnologici e le aree geografiche ritenute a maggior livello di rischio
Consente di intervenire su quelle categorie di sistemi IT (server, reti, …) ritenuti a maggior livello di rischio
Consente di intervenire sui processi gestionali e operativi ritenuti a maggior livello di rischio
… tramite analisi drill-down e roll-up all’interno delle viste di analisi selezionate …
14
Funzioni e Servizi
IT Service
HR /Presidenza
Business 2
ITArchitecture IT Operation
Articolazione territoriale
DC
Provisioning Billing CRM
Business 2 Security Sedi territoriali
Bologna Milano
Parma RomaMilano Palermo
IDC
Bari Milano Pomezia
Processi operativi
Change managem.
Tuning sistemi di Sicurezza
AV updating
Firewalls IDS
Sistemi IT
ClientServer NASRete
Unix Microsoft
Windows NT
Windows 2000
User managem.
Riskanalisys.
Major release
Minor release
Apparati di sicurezza
Firewalls IDS
… unitamente alla possibilità di estendere i percorsi di analisi attraverso specifiche viste incrociate
15
ESEMPLIFICATIVOFunzioni e servizi
BusinessHR / Presidenza Security
CRM Provisioning
Server
Unix Microsoft
Windows NT
Windows 2000
IDC
Pomezia Milano
Articolazione territoriale
SediDC
Bologna Milano
Server
Unix Microsoft
Windows NT
Windows 2000
Change management
Major release
Minor release
Processi
Sistemi
Territorio
Territorio
Sistemi
Servizi
…
Agenda
16
Il problema della misura della sicurezza
Come costruire i Key Performance Indicator della sicurezza
Come utilizzare un Tableau de Bord della sicurezza
Come impostare un piano di progetto per la realizzazione di un Tableau de Bord della sicurezza
•
•
•
•
- Il modello logico di misurazione- Gli indicatori atomici e i KPI- La costruzione del datawarehouse- La visualizzazione degli indicatori
È possibile rilevare indicatori atomici relativi alla efficienza delle contromisure …
17
Sorgenti dati
EfficienzaContromisure
Tecnologia
Organizzazioneprocessi
Risorseumane
Strutturazione degli indicatori
Firewall
VulnerabilityAssessment
Auditing
Policy / Procedure
Awareness &Empowerment Process
Intrusion detection
Controllo accessi fisici
Le contromisure sono azioni, dispositivi, procedure o tecniche progettate per contrastare le minacce che, sfruttando eventuali vulnerabilità possono arrecare danni all’Azienda. Eventi dannosi esprimono inefficienza delle contromisure. Le dimensioni di analisi delle contromisure riguardano gli ambiti tecnologico, organizzazione processi e risorse umane.
VA
FW
IDS
AV
DatiHuman res.
Freq. scansioni
Freq. aggiornamento pattern
N. attacchi bloccati / tot. rilevati
Freq. aggiornamento pattern
Anti virusvirus rilev. /tot. attacchi da virus
Freq. aggiornamento
N. incidenti per inosservanzapolicy / N. incidenti nel dom D
N. incidenti non risolti per insuff.dettaglio nei file di log
Riduzione incidenti di sicurezzasu cui esistono attività formative
Incidents
Incid. dovuti a vuln. non rilevate
Sistemi scansionati / tot. Sist.
Freq. revisione regole
Intrusioni rilevate / tot. incidenti
%riduz. vulnerabilità misurata sudue sessioni sullo stesso dom.
N. Incidenti / media N. visitatori occasionali
… ma anche alle minacce che insistono sulle risorse IT presenti in azienda …
18
Le minacce sono eventi, realizzabili con probabilità non trascurabile, particolarmente sfavorevoli per l’Azienda. Le dimensionidi analisi delle minacce abbracciano sia l’ambito tecnologico sia quello delle risorse umane e del contesto ambientale. Il valore espresso dagli indicatori (atomici o aggregati, ottenuti da inferenze su quelli atomici) manifesta l’attuale esposizione del contesto in esame. Ad es. l’aumento di drop rilevati dai log dei firewall rappresenta un indicatore dell’aumento della minaccia di attacchi dall’esterno.
Minacce
Tecnologia
Attacchi
Accessi non autorizzati
Virus
Contestoambientale
Security alerts
Strutturazione degli indicatori Sorgenti datisegnalaz. gravità>X / Tot. Segn.
N. Log drop / N. connessioniIDS
Infrastr.AAA (Griffon)
FW
AV
Incidents
N. aut. fallite / N. aut. totali
N. aut. fuori orario
N. segnalazioni dal produttore
alerts
DatiHuman res.
N. Virus rilevati e bloccati
N. segnalazioni eventi anomali
Log proxy
Dati da osservatori internazion.
Violazioni policyN. allegati di posta bloccati
N. Accessi negati a siti internet
Risorse umaneLivello di soddisfazione
Tipologia dipendenti
N. giorni di agitazioni sindacali
Provvedimenti aziendali restritt.
% consulenti esterni
% lavoratori interinali
…unitamente agli indicatori atomici relativi alle vulnerabilitàpresenti
19
Vulnerabilità
Tecnologia
Organizzazioneprocessi
Risorseumane
Strutturazione degli indicatori Sorgenti dati
Sistemi / Wst.
Network
Applicazioni
Policy - procedure
Awareness dipendenti
Una vulnerabilità consiste in un vero e proprio punto di debolezza, relativo ad una risorsa aziendale o ad un processo, che può essere sfruttato da un attaccante per raggiungere uno scopo prefissato. I KRI mirano a far emergere le vulnerabilità presenti nel contesto tecnologico, in quello di organizzazione dei processi e nell’area delle risorse umane.
N. IDS / sistemi
N. sist. aggiornati / N. sist. tot.
N. vuln. con gravità > X / sistema
N. IDS / LAN
N. appar. rete agg. / N. app. tot.
N. vuln. con gravità > X / LAN
N. LAN segmentate con FW/Tot
N. input anomali
N. segnalazioni
Accessi a informaz. di sicurezza
TopologiaIDS
Vulnerab.note
Allineam.Patch
Wardialer
ApplicationLogs
Incidents
% policy o proced. non applicate
N. proc. periodicamente revis.
Robustezza password
N. wst. con AV aggiornato / Tot
TopologiaAntivirus
TopologiaFirewalls
N. sistemi protetti da FW / Tot
N. modem attivi
DatiPortale/R.A.
Agenda
20
Il problema della misura della sicurezza
Come costruire i Key Performance Indicator della sicurezza
Come utilizzare un Tableau de Bord della sicurezza
Come impostare un piano di progetto per la realizzazione di un Tableau de Bord della sicurezza
•
•
•
•
- Il modello logico di misurazione- Gli indicatori atomici e i KPI- La costruzione del datawarehouse- La visualizzazione degli indicatori
Per costruire il datawarehouse della sicurezza è necessario identificare le potenziali fonti dati esistenti in azienda
21
Servizi di connetività IT Servizi di base Applicazioni business critical
CN
CF
SAP
Mai
l
CR
M
IDC
Min
erva
Acc
esso
R
emot
o
Port
ali
Dat
a C
ente
r
Sedi
so
cial
i
Wi-F
i
Ret
e da
ti
Rep
ortin
g co
nsol
idat
o
Bro
wsi
ng
Legenda
Firewall
IDS
Exchange
TrendMicro
Web Server Log
Lelapo
Antigen
Radius
Directory
I-Cognito
Internet Scanner
Domini Tecnologici
I log generati dalle fonti dati devono essere studiati per comprenderne le potenzialità d’uso (ad es, Firewall)
22
Database: Log Manager (unica colonna)
Colonne Aggregazioni Dato ottenibile Commento
Date
Time
Action
Source
Destination
Rapporto tra connessioni negate (Action = Drop | Reject) e totale connessioni (Action = Drop | Reject | Accept)
Traffico in ingresso ai firewall periferici, in byte
Traffico in uscita dai firewall periferici, in byte
Date
Time
Origin
ServerBytes In
Date
Time
Origin
Client BytesOut
per unità di tempo (ad esempio n minuti) a partire da Date/Time
I firewall periferici sono identificati tramite il campo Origin
per unità di tempo (ad esempio n minuti) a partire da Date/Time
I firewall periferici sono identificati tramite il campo Origin
per unità di tempo (ad esempio n minuti) a partire da Date/Time
Drop o Reject nel campo Action indica un tentativo di connessione in violazione alla policy; Accept una connessione permessa
I log generati dalle fonti dati devono essere studiati per comprenderne le potenzialità d’uso (ad es, Antivirus)
23
Database: Antivirus (fonte: Trend Micro Control Manager 2.5 Database Schema) - Continua
Tabella Colonne Aggregazioni Dato ottenibile Commento
AVSI_LastUpdateTime
AVSI_TotalVirusCount
AVSI_UnhandledVirusCount
tb_AVStatusEngineInfo
SEI_EngineLastUpdateTime
EI_LastRegistrationTime
EI_LastStartupTime
EI_PatternLastUpdateTime
EI_IPAddressList
EI_DomainName
Stato AntiVirus
tb_EntityInfo
•minima, massima e media latenza di aggiornamento•numero di virus trattati•numero di virus rilevati ma non trattati
La maggior parte dei campi utilizza codifiche documentate nello Schema
tb_AVStatusInfo
Database: Antivirus (fonte: Trend Micro Control Manager 2.5 Database Schema) - Continua
Infezioni da Virus
Dato ottenibile
VLF_SecondActionResult
VLF_FirstActionResult
VLF_FunctionCode
VLF_VirusName
CLF_ReasonCode
CLF_ComputerName
CLF_SeverityCode
CLF_LogReceivedTime
CLF_LogGenerationTime
CLF_ProductType
La maggior parte dei campi utilizza codifiche documentate nello Schema
•per unità di tempo (ad esempio n minuti) a partire da Generation / ReceivedTime•per “Severity”•per VirusName•per risultato dell’azione intrapresa
CLF_MsgLogTypetb_AVVirusLog
CommentoAggregazioniColonneTabella
Le fonti dati contenenti le informazioni di log costituiscono l’informazione “grezza” per gli indicatori atomici …
24
Perché sia possibile effettuare l’analisi lungo le dimensioni considerate (i servizi, l’articolazione territoriale, i sistemi IT e i processi operativi di supporto) è necessario proiettare su tali dimensioni le coordinate “geografiche” dell’informazione relativa ad un evento, presenti nei DB in termini di indirizzamento IP o di altri identificatori che hanno senso a livello sistemistico. La trasformazione è resa possibile tramite dati di Asset Management.
In particolare quando, nell’identificare i dati “atomici”, vengono indicate coordinate quali Source IPAddress e Destination IP Address, oppure Computer Name, si deve tenere presente che queste verranno poi mappate sulle dimensioni di analisi desiderate.
FirewallLogs
IDSNotifications
Antivirusalerts
Source/Dest. IP Addr
Attac path
Computer name
Trasformazione
Asset ManagementInformations
Datigrezzi Dati
“Atomici”Aggregation &Presentation
Altro (V.A., AAA, . . .)
Dimensioni di analisi
MinacceVulnerabilitàContromisure
Servizi Territorio Sistemi Processi
Asset DB
Dynamic Inventory
DB
DetailedTechnical
View
BusinessProcess
View
… che vengono generati e mantenuti all’interno di un datawarehouse sul quale implementare il modello
25
Key Risk Indicators
Staging File Area
KPI Data WareHouse
Data Warehouse Primario
DataMart DataMart DataMart
Elaborazione dei dati raccolti per la misurazione effettiva e presentazione degli indicatori di rischio
Individuazione dei dati più oppor-tuni per la determinazione degli indicatori di rischio di interesse Storage delle
informazioni provenienti da tutti i sistemi e dalla infrastrutture di sicurezza
Raccolta, normalizzazione e conversione dei dati prodotti dai sistemi operativi
Firewall IDS Antivirus (TrendMicro,
Antigen)
Directory Piattaformeapplicative
Web ServerServer RADIUS
Mail Server SysLog Server
AntiSpam
Proxy RADIUS
Web Filtering
Agenda
26
Il problema della misura della sicurezza
Come costruire i Key Performance Indicator della sicurezza
Come utilizzare un Tableau de Bord della sicurezza
Come impostare un piano di progetto per la realizzazione di un Tableau de Bord della sicurezza
•
•
•
•
- Il modello logico di misurazione- Gli indicatori atomici e i KPI- La costruzione del datawarehouse- La visualizzazione degli indicatori
27
Categoria: Servizi
Dashboard
Trend
Valore
Target
ActualPerformance
40
50
80%
15
75
20%
55
100
55%
Frequency Monthly Weekly Daily
Key Risk Indicator
ServiziServizi | Territorio | Sistemi | Processi
Mar-98
Jun-98
Sep-98
Dec-98
Mar-99
Jun-99
Sep-99
0.000%
0.500%
1.000%
1.500%
2.000%
2.500%
Mar-98
Jun-98
Sep-98
Dec-98
Mar-99
Jun-99
Sep-99
0.000%
0.500%
1.000%
1.500%
2.000%
2.500%
Mar-98
Jun-98
Sep-98
Dec-98
Mar-99
Jun-99
Sep-99
0.000%
0.500%
1.000%
1.500%
2.000%
2.500%
E’ possibile visualizzare il trend temporale del livello di rischio di Postemail
Servizi onlineServizio 1Servizio 2Servizio 3Servizio 4…
+ Servizio 1 Servizio 2 Servizio 3
28
Servizi onlineServizio 1Servizio 2Servizio 3Servizio 4…
+ Risk GraphServizi
1224%
36% 30%40%
80%
0
10
20
30
40
50
January February March April May June
PerformanceTarget
Current Year Last Year Last 2 Years
20%
40%
60%
80%
100%
1815
20
4070%30
Servizi | Territorio | Sistemi | Processi
E’ possibile ritornare al dashboard degli indicatori di rischio per i servizi online
Categoria: Servizi
29
Risk Dashboard
Trend
Valore
Target
ActualPerformance
Appl_1 Appl_2 Appl_3
40
50
80%
15
75
20%
55
100
55%
Frequency Monthly Weekly Daily
Key Risk Indicator
ServiziServizi | Territorio | Sistemi | Processi
Mar-98
Jun-98
Sep-98
Dec-98
Mar-99
Jun-99
Sep-99
0.000%
0.500%
1.000%
1.500%
2.000%
2.500%
Mar-98
Jun-98
Sep-98
Dec-98
Mar-99
Jun-99
Sep-99
0.000%
0.500%
1.000%
1.500%
2.000%
2.500%
Mar-98
Jun-98
Sep-98
Dec-98
Mar-99
Jun-99
Sep-99
0.000%
0.500%
1.000%
1.500%
2.000%
2.500%
E’ possibile visualizzare i Key risk indicator del servizio Postemail
Servizi onlineServizio 1Servizio 2Servizio 3Servizio 4…
+
Categoria: Servizi > Servizio 1
30
Key RiskServiziServizi | Territorio | Sistemi | Processi
Action listValore TargetBusiness continuityeffectiveness
53 75
Business continuityefficiency
80 90
% ore lavorative dedicate al training di sicurezza% personale di sicurezza con certificazioni
% neoassunti con training iniziale sulla sicurezza
80 90
E’ possibile visualizzare una descrizione delle caratteristiche del KRI
Servizi onlineServizio 1Servizio 2Servizio 3Servizio 4…
+
Categoria: Servizi > Servizio 1
31
Servizi onlineServizio 1Servizio 2Servizio 3Servizio 4…
+ KRI: % neoassunti con training iniziale sulla sicurezzaServiziServizi | Territorio | Sistemi | Processi
E’ possibile passare alla modalità di visualizzazione per territorio
Categoria: Servizi > Servizio 1
32
TerritorioSistemi centrali
Sistemi OPEN
Uffici
Polo tecnologico 1Polo tecnologico 2Polo tecnologico 3Polo tecnologico 4…
Area NORD
Area SUDArea CENTROArea ISOLE
SiciliaSardegna
Lombardia…
CED 1CED 2…
+
+
+
…+
Dashboard
Trend
Valore
Target
ActualPerformance
Sistemi centrali Poli tecnologici Uffici
15
75
20%
55
100
55%
Frequency WeeklyDaily
Categoria: TerritorioServizi | Territorio | Sistemi | Processi
40
50
80%
Monthly
Key Risk Indicator
Mar-98
Jun-98
Sep-98
Dec-98
Mar-99
Jun-99
Sep-99
0.000%
0.500%
1.000%
1.500%
2.000%
2.500%
Mar-98
Jun-98
Sep-98
Dec-98
Mar-99
Jun-99
Sep-99
0.000%
0.500%
1.000%
1.500%
2.000%
2.500%
Mar-98
Jun-98
Sep-98
Dec-98
Mar-99
Jun-99
Sep-99
0.000%
0.500%
1.000%
1.500%
2.000%
2.500%
E’ possibile effettuare un drill down sulla categoria Uffici postali
33
Territorio
Dashboard
Trend
Valore
Target
ActualPerformance
Area Nord Area centro Area Sud e isole
15
75
20%
Frequency WeeklyWeekly
Categoria: Territorio > Uffici
40
50
80%
Weekly
15
75
20%
Servizi | Territorio | Sistemi | Processi
Key Risk Indicator
Mar-98
Jun-98
Sep-98
Dec-98
Mar-99
Jun-99
Sep-99
0.000%
0.500%
1.000%
1.500%
2.000%
2.500%
Mar-98
Jun-98
Sep-98
Dec-98
Mar-99
Jun-99
Sep-99
0.000%
0.500%
1.000%
1.500%
2.000%
2.500%
Mar-98
Jun-98
Sep-98
Dec-98
Mar-99
Jun-99
Sep-99
0.000%
0.500%
1.000%
1.500%
2.000%
2.500%
E’ possibile effettuare un drill down sulla categoria Area Sud e isole
Sistemi centrali
Sistemi OPEN
Uffici
Polo tecnologico 1Polo tecnologico 2Polo tecnologico 3Polo tecnologico 4…
Area NORD
Area SUDArea CENTROArea ISOLE
SiciliaSardegna
Lombardia…
CED 1CED 2…
+
+
+
…+
34
Territorio
Dashboard
Trend
Valore
Target
ActualPerformance
Sicilia Sardegna …
15
75
20%
Frequency WeeklyWeekly
Categoria: Territorio > Uffici > Area Sud e Isole
40
50
80%
Weekly
15
75
20%
Servizi | Territorio | Sistemi | Processi
Key Risk Indicator
Mar-98
Jun-98
Sep-98
Dec-98
Mar-99
Jun-99
Sep-99
0.000%
0.500%
1.000%
1.500%
2.000%
2.500%
Mar-98
Jun-98
Sep-98
Dec-98
Mar-99
Jun-99
Sep-99
0.000%
0.500%
1.000%
1.500%
2.000%
2.500%
Mar-98
Jun-98
Sep-98
Dec-98
Mar-99
Jun-99
Sep-99
0.000%
0.500%
1.000%
1.500%
2.000%
2.500%
E’ possibile effettuare un drill down sulla regione della Sicilia
Sistemi centrali
Sistemi OPEN
Uffici
Polo tecnologico 1Polo tecnologico 2Polo tecnologico 3Polo tecnologico 4…
Area NORD
Area SUDArea CENTROArea ISOLE
SiciliaSardegna
Lombardia…
CED 1CED 2…
+
+
+
…+
35
Sistemi centrali
Sistemi OPEN
Uffici
Polo tecnologico 1Polo tecnologico 2Polo tecnologico 3Polo tecnologico 4…
Area NORD
Area SUDArea CENTROArea ISOLE
SiciliaSardegna
Lombardia…
CED 1CED 2…
+
+
+
…+
Territorio Categoria: Territorio > Uffici > Area Sud e Isole > Sicilia
Current month Last months Last 2 months
1729%
80%
0
15
30
45
60
75
7/1 14/1 21/1 28/1 4/2 11/2
PerformanceTarget
20%
40%
60%
80%
100%
40
38%
25
35%
2130%
19 20%14
Servizi | Territorio | Sistemi | Processi
Risk GraphE’ possibile passare alla modalità di visualizzazione per sistemi
36
SistemiClient
ServerWindows NTWindows 2000SUN SolarisIBM AIXIBM Mainframe…
Windows 3.1Windows NTWindows 2000…
+
+
SicurezzaCheckpoint FW-1Cisco PIX…
+
NetworkRouter CiscoSwitch CiscoSwitch 3ComSwitch Ericsson…
+
DatabaseOracle 8iIBM DB2…
+
…+
Dashboard
Trend
Valore
Target
ActualPerformance
Client Server Network
40
50
80%
15
75
20%
55
100
55%
Frequency Monthly Monthly Daily
Categoria: SistemiServizi | Territorio | Sistemi | Processi
Key Risk Indicator
Mar-98
Jun-98
Sep-98
Dec-98
Mar-99
Jun-99
Sep-99
0.000%
0.500%
1.000%
1.500%
2.000%
2.500%
Mar-98
Jun-98
Sep-98
Dec-98
Mar-99
Jun-99
Sep-99
0.000%
0.500%
1.000%
1.500%
2.000%
2.500%
Mar-98
Jun-98
Sep-98
Dec-98
Mar-99
Jun-99
Sep-99
0.000%
0.500%
1.000%
1.500%
2.000%
2.500%
E’ possibile effettuare un drill down sulla categoria server
37
SistemiClient
ServerWindows NTWindows 2000SUN SolarisIBM AIXIBM Mainframe…
Windows 3.1Windows NTWindows 2000…
+
+
SicurezzaCheckpoint FW-1Cisco PIX…
+
NetworkRouter CiscoSwitch CiscoSwitch 3ComSwitch Ericsson…
+
DatabaseOracle 8iIBM DB2…
+
…+
Dashboard
Trend
Valore
Target
ActualPerformance
Windows NT Windows 2000 Sun Solaris
40
50
80%
15
75
20%
Frequency Monthly Monthly
Categoria: Sistemi > Server
55
100
55%
Monthly
Servizi | Territorio | Sistemi | Processi
Key Risk Indicator
Mar-98
Jun-98
Sep-98
Dec-98
Mar-99
Jun-99
Sep-99
0.000%
0.500%
1.000%
1.500%
2.000%
2.500%
Mar-98
Jun-98
Sep-98
Dec-98
Mar-99
Jun-99
Sep-99
0.000%
0.500%
1.000%
1.500%
2.000%
2.500%
Mar-98
Jun-98
Sep-98
Dec-98
Mar-99
Jun-99
Sep-99
0.000%
0.500%
1.000%
1.500%
2.000%
2.500%
E’ possibile effettuare un drill down sulla categoria Sun Solaris
38
SistemiClient
ServerWindows NTWindows 2000SUN SolarisIBM AIXIBM Mainframe…
Windows 3.1Windows NTWindows 2000…
+
+
SicurezzaCheckpoint FW-1Cisco PIX…
+
NetworkRouter CiscoSwitch CiscoSwitch 3ComSwitch Ericsson…
+
DatabaseOracle 8iIBM DB2…
+
…+
Categoria: Sistemi > Server > Sun Solaris
1224%
36% 30%40%
80%
0
10
20
30
40
50
January February March April May June
PerformanceTarget
Current Year Last Year Last 2 Years
20%
40%
60%
80%
100%
1815
20
4070%30
Servizi | Territorio | Sistemi | Processi
Risk GraphE’ possibile passare alla modalità di visualizzazione per processi
39
SistemiChange Management
Configuration Management
Major releaseMinor release…
+
+
SW DistributionCumulative Service packHotfix…
+
Antivirus updating+
Network management…
+
…+
Dashboard
Trend
Valore
Target
ActualPerformance
Change mgmt Configuration mgmt SW distribution
40
50
80%
55
100
55%
Frequency Monthly Daily
Categoria: ProcessiServizi | Territorio | Sistemi | Processi
…
15
75
20%
Monthly
Key Risk Indicator
Mar-98
Jun-98
Sep-98
Dec-98
Mar-99
Jun-99
Sep-99
0.000%
0.500%
1.000%
1.500%
2.000%
2.500%
Mar-98
Jun-98
Sep-98
Dec-98
Mar-99
Jun-99
Sep-99
0.000%
0.500%
1.000%
1.500%
2.000%
2.500%
Mar-98
Jun-98
Sep-98
Dec-98
Mar-99
Jun-99
Sep-99
0.000%
0.500%
1.000%
1.500%
2.000%
2.500%
E’ possibile effettuare un drill down sulla categoria SW Distribution
40
SistemiChange Management
Configuration Management
Major releaseMinor release…
+
+
SW DistributionCumulative Service packHotfix…
+
Antivirus updating+
Network management…
+
…+
Dashboard
Trend
Valore
Target
ActualPerformance
Service pack Hot fix …
40
50
80%
Frequency Monthly
Categoria: Processi > SW DistributionServizi | Territorio | Sistemi | Processi
…
15
75
20%
Monthly
55
100
55%
Daily
Key Risk Indicator
Mar-98
Jun-98
Sep-98
Dec-98
Mar-99
Jun-99
Sep-99
0.000%
0.500%
1.000%
1.500%
2.000%
2.500%
Mar-98
Jun-98
Sep-98
Dec-98
Mar-99
Jun-99
Sep-99
0.000%
0.500%
1.000%
1.500%
2.000%
2.500%
Mar-98
Jun-98
Sep-98
Dec-98
Mar-99
Jun-99
Sep-99
0.000%
0.500%
1.000%
1.500%
2.000%
2.500%
E’ possibile effettuare un drill down sulla categoria Hot fix
41
SistemiChange Management
Configuration Management
Major releaseMinor release…
+
+
SW DistributionCumulative Service packHotfix…
+
Antivirus updating+
Network management…
+
…+
Categoria: Processi > SW Distribution > Hot FixServizi | Territorio | Sistemi | Processi
…
1729%
80%
0
15
30
45
60
75
7/1 14/1 21/1 28/1 4/2 11/2
PerformanceTarget
20%
40%
60%
80%
100%
40
38%
25
35%
2130%
19 20%14
Current month Last months Last 2 monthsRisk Graph
Agenda
42
Il problema della misura della sicurezza
Come costruire i Key Performance Indicator della sicurezza
Come utilizzare un Tableau de Bord della sicurezza
Come impostare un piano di progetto per la rea-lizzazione di un Tableau de Bord della sicurezza
•
•
•
•
- Pianificazione e controllo- Monitoraggio del rischio- Audit di sicurezza IT
Il Tableau de Bord con i KPI di sicurezza può essere utilizzato per pianificare e controllare gli investimenti in sicurezza…
43
1. Definizione dei KPO strategici
2. KPO degli interventi di Security
-Individuano i risultati prestazionali che si desiderano raggiungere mediante il piano di sicurezza dell’azienda
-Costituiscono gli interventi di carattere direzionale, esecutivo e tecnologico a supporto degli obiettivi del piano di sicurezza
3. KPO del piano di delivery
-Determina tempistiche e milestone del piano di introduzione delle contromisure di sicurezza all’interno dell’azienda
Dalla pianificazione…
…alla gestione della Security
6. KPI di impatto sul business
5. KPI di efficacia ed efficienza
4. KPI del livello di implementazione
-Valutazione del valore creato dal programma di Information Security
-Esempi:
-Efficacia ed efficienza del piano di Securityimplementato in azienda
-Esempi:
-Livello di applicazione di politiche, procedure, e standard di Security
-Esempi:
Stakeholder Interest
Ridefinizione obiettivi
Adeguamento contromisure
Incremento implementazione
Tempi di ripristino del piano di businesscontinuity
•Perdite finanziarie a seguito di incidenti di sicurezza
•
Churn associabile alla mancata gestione della sicurezza dei clienti
• Percentuale di falsi positivi generati dai sistemi anti-intrusioni
•
Percentuale di postazioni di lavoro con personal firewall
•
Percentuale di server con il logging attivo
•
(A cura del Top Management)
(A cura del SecurityManagement)
(A cura dello Staff di Operations)
Agenda
44
Il problema della misura della sicurezza
Come costruire i Key Performance Indicator della sicurezza
Come utilizzare un Tableau de Bord della sicurezza
Come impostare un piano di progetto per la rea-lizzazione di un Tableau de Bord della sicurezza
•
•
•
•
- Pianificazione e controllo- Monitoraggio del rischio- Audit di sicurezza IT
Il posizionamento della gestione del rischio IT nel processo di pianificazione aziendale
45
Obiettivi di impresa
Esigenza di business
Tecnologie informatiche
Gestione del rischio IT
Sistema di IT Security
Fase
Dalla definizione degli obiettivi di creazione del valore dell’attivitàdi impresa …
…alla identificazio-ne delle esigenze operative di condu-zione delle attivitàdi business …
… alla realizzazio-ne delle soluzioni tecnologiche per il sistema informati-vo aziendale …
… in accordo a modalità operative adeguate alla gestione dei rischi informatici…
…mediante soluzio-ni tecnologiche e organizzative di sicurezza informati-ca
Gestione e controlloAccertamento e analisi
Descri-zione
Risk Assessment
Risk Analysis
RiskManagement
Risk Monitoring
Fasi
Obiettivi Identificare le aree di rischio e di incertezza per il business che hanno impatto sulle tematiche di IT Security
Svolgere una analisi dettagliata delle cause, delle conseguenze e delle dinamiche che caratterizzano il rischio IT Security
Effettuare le scelte piùadeguate per determi-nare un profilo di ris-chio IT Security adegu-ato alle caratteristiche dell’organizzazione
Monitorare lo stato dei rischi in esame al fine di identificare precoce-mente eventuali devia-zioni
Il meccanismo di governance della gestione del rischio IT in una grande impresa e/o gruppo d’imprese…
46
Stakeholder Enti normativi e regolatoriAzionisti
Ruolo
Finalità
Comitato di Business Unit
Identifica le aree di criticità dei processi di businessValuta gli impatti derivanti dalle criticità…
--
Ruolo
Finalità
Amministratore Delegato
Fornisce visibilità e committmentValuta le attivitàComunica i risultati
---
Ruolo
Finalità
Consiglio di Amministrazione
Armonizza le esigenze degli stakeholderVerifica i risultati
-
-
-
-
- Sicurezza di Gruppo
Definisce il modelloFornisce lo strumentoMonitora i risultati
---
-
Comitato di IS Provider
Identifica i requisiti di sicurezzaProgetta soluzioni applicative e infrastrutturali di sicurezzaùMonitora le prestazioni delle soluzioni di sicurezza
---
-
La gestione del rischio IT è un processo condiviso tra tutte le strutture aziendali e integrato all’interno dei processi aziendali, in accordo ad una visione di governo “dall’alto”(CEO e CorporateSecurity) e di esecu-zione “dal basso”(Business Unit e internal/external IS Provider)
… richiede l’utilizzo di un Tableau de Bord come strumento di governo dei rischi informatici
47
Corporate Security
Funzione Operativa Sicurezza Informtica
Security Knowledge
Management
Analisi e gestione del Rischio
Soluzioni di sicurezza
Dalla pianificazione delle soluzioni di sicurezza basata sull’analisi del rischio …
… al controllo dei risultati basato sulla misurazione degli indicatori di rischio (KRI) e di prestazione (KPI)
Livello
1
2
3
4
Identificazione degli obiettivi e misurazio-ne dei risultati in termini di rischio IT
Analizzare le dinami-che e gestire l’evolu-zione del rischio IT
Identificare i requisitidi sicurezza e misura-re i risultati in termini di prestazioni
Progettare le soluzio-ni di sicurezza e il sis-tema di Security Know-ledge Management
Key Performance
Indicators
Aree di Criticità
aziendale
Key Risk Indicators
Requisiti di sicurezza
Ogni strato del modello è indipendente dalle modalità con cui vengono realizzati i moduli adiacenti, dai quali vengono solo prelevati e scambiatisoltanto i dati di input e di output
Ad ogni strato sono attribuiti in maniera univoca le responsabi-lità e i risultati attesi, in modo da evitare inutili duplicazioni delle stesse attività e focalizzare gli sforzi sulle core competence
Agenda
48
Il problema della misura della sicurezza
Come costruire i Key Performance Indicator della sicurezza
Come utilizzare un Tableau de Bord della sicurezza
Come impostare un piano di progetto per la rea-lizzazione di un Tableau de Bord della sicurezza
•
•
•
•
- Pianificazione e controllo- Monitoraggio del rischio- Audit di sicurezza IT
Dall’evoluzione del ruolo della funzione IT Internal Auditing nelle moderne corporation …
49
Monitorare i rischi originati dall’utilizzo dell’IT…
… per informare il Top Mana-gement sui rischi d’impresa…
… e suggerire le eventuali misure da adottare
Fase
Obiettivi Controllare i sistemi, i pro-cessi e le risorse allocate ai servizi di IT al fine di identificare tempestivamente e preventivamente i potenziali elementi in grado di determinare una situazione di rischio per il conseguimento degli obiettivi di business dell’impresa
Riportare al top management (e.g. board of director, auditcommittee) le informazioni necessarie e sufficienti affinché possano essere prese le decisioni ottimali per una corretta corporate governance e tutela degli interessi degli shareholder e degli stakeholder
Consigliare sia il top management che gli executive/line managers sulle adeguate misure da intraprendere al fine di riportare i rischi di Information Technologyall’interno di una logica di gestione positiva del rischio
Business Risks
Dalla formalizzazione dei rischi di non conseguire gli obiettivi di business dell’impresa…
IT Risks
… alla derivazione dei rischi determinati dall’utilizzo delle tecnologie IT nei processi di business…
Key Risk Indicator
… all’identificazione delle variabili chiave da misurare al fine di quantificare i livelli di rischio…
Targets
… e confrontarli costantemente con gli obiettivi prestazionali stabiliti in sede di pianificazione…
Actions
… al fine di intrapren-dere le azioni correttive opportune per ricondursi ai target pianificati
… alla realizzazione di un Early Warning System basato sulla misurazione degli IT Key Risk Indicator (IT KRI)
50
Sanzioni
Rischio di inadempimenti ad obblighi statutari, legali e/o regolamentatori
Rischio di presen-za di configurazio-ni non sicure sui sistemi e sulle applicazioni
Misconfiguration
BrandRischio di per-dita di immagine presso le diffe-renti categorie di stakeholder
Antivirus
% postazioni di lavoro con SW antivirus aggiornato
Competitività
Rischio di perdita del vantaggio competitivo all’interno della propria industry
Perdite
Rischio di perdite finanziarie dirette e/o compromissio-ne della posizione finanziaria
Operatività
Rischio di rallentamento dei processi di business e di creazione del valore
Rischio di diffusione di virus sui server e sulle postazioni di lavoro
VirusRischio di intercettazione del traffico sulla rete aziendale
Sniffing
Rischio di accesso non autorizzato ai sistemi aziendali
Intrusion Rischio di blocco dei sistemi per assenza di personale specializzato di supporto
Staff Shortage
Awarness
% di personale neoassunto che ha ricevuto una formazione di base sulla sicurezza
Esterni
% esterni che soggiornano presso le sedi aziendali al di fuori del normale orario di lavoro
Etica
Livello di percezione del brand PosteItaliane presso la comunità Internet
Servizi
% di servizi insicuri presenti sui sistemi di produzione
Business Risks
Information Technology Risks
IT Key Risk Indicator (IT KRI)
ESEMPLIFICATIVO
Agenda
51
Il problema della misura della sicurezza
Come costruire i Key Performance Indicator della sicurezza
Come utilizzare un Tableau de Bord della sicurezza
Come impostare un piano di progetto per la rea-lizzazione di un Tableau de Bord della sicurezza
•
•
•
•
Un possibile action plan per l’implementazione del Tableau de Bord e per l’integrazione nello scenario di business
52
Implementazione di un sistema di misurazione delle prestazioni della sicurezza basato sulla rilevazione di Key Security Performance Indicators
1° step (4-6 mesi)2° step (8-12 mesi)
Integrazione del sistema di misurazione delle prestazioni di sicurezza all’interno del sistema di impresa per la misurazionedei risultati di business
Una corretta pianificazione delle quattro fasi “portanti”conduce a risultati particolarmente positivi!!
53
4_ Verifica compatibilitàarchitetturale
Mese 1 Mese 2 Mese 31 2 3 4 5 6 7 8 9 10 11 12 13 14 15
Mese 4 Mese 516 17
3_ Realizzazione di un progetto pilota del TdB
5_ Sviluppo software del Tableau de Bord
dd/mm
dd/mm
dd/mm
dd/mm
1_ Analisi delle fonti dati
2_ Creazione del modello di governo
ESEMPLIFICATIVO
54
La misura delle prestazioni dei sistemi di sicurezza informatica
Ing. A. Agosti - Manager, VP [email protected]
Sessione di Studio AIEAMilano, 15 Dicembre 2004