Last Pw Siem 2

41
Corso di Alta Formazione in Information Security Management Milano, Novembre 2007 – Luglio 2008 Milano, Novembre 2007 – Luglio 2008 Con il patrocinio di: Con il patrocinio di: In collaborazione con: In collaborazione con: Pierluigi Sartori, Simone Fortin, Luca Andreoli Stefano Testoni Milano– 23 maggio 2008 Realizzazione di una piattaforma SIEM (Security Information and Event Management)

description

This is my analysis about how to select the right SIEM solution

Transcript of Last Pw Siem 2

Page 1: Last Pw Siem 2

Corso di Alta Formazione in Information Security ManagementMilano Novembre 2007 ndash Luglio 2008Milano Novembre 2007 ndash Luglio 2008

Con il patrocinio di Con il patrocinio di In collaborazione con In collaborazione con

Pierluigi Sartori Simone Fortin Luca Andreoli

Stefano Testoni

Milanondash 23 maggio 2008

Realizzazione di una piattaforma SIEM(Security Information and Event Management)

Corso di Alta Formazione in Information Security Management2

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management3

La Societagrave

Costituita nel 1983 su iniziativa della Provincia Autonoma di Trentino e di altri Enti pubblici del Trentino

La compagine azionaria 51366 Provincia Autonoma di Trento 39710 Tecnofin Trentina Spa 1720 Regione Autonoma

Trentino-Alto Adige 1243 Comune di Trento 1243 CCIAA di Trento 0393 Comune di Rovereto 4323 suddiviso tra gli 11 Comprensori

Alcuni dati al 31122007 Valore della Produzione oltre 48 milioni di Euro Numero dipendenti 273

Corso di Alta Formazione in Information Security Management4

La dimensione

TelpatScuole122 Siti

APSS122 Siti

Universitagrave50 Siti

Biblioteche173 Siti

PAT265 Siti

223 ComuniOltre 300 Siti

INFORMATICATRENTINA

Corso di Alta Formazione in Information Security Management5

Situazione legata al monitoraggio

bull Security SLA - Il contesto di business aziendale pone precise responsabilitagrave nei confronti dei Clienti in merito ai servizi telematici erogati

bull Prevenzione - Il governo della sicurezza necessita di processi aziendali supportati da strumenti per avere anche un approccio preventivo

bull Reazione - la gestione degli incidenti di sicurezza egrave unrsquoattivitagrave tecnicamente complessa e onerosa in termini di competenze e tempo necessario

Corso di Alta Formazione in Information Security Management6

Ruolo Funzione Sicurezza

Dal Piano diSicurezza Aziendale

bull misura efficaciaefficienza delle contromisure

Comunicabull livelli di rischio

Comunicabull orientamento

tecnico e procedurale

Direzioni aziendali(Risorse Umane Business Unit Tecnologie)

Assets

Processi

Management

Board

Funzione SicurezzaFunzione Sicurezza

Informazioni

Corso di Alta Formazione in Information Security Management7

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management8

Esigenze percepite

bull Agevolare analisi e decisioni nellrsquoambito della gestione della sicurezza (identificare minacce e vulnerabilitagrave gestire gli incidenti di sicurezza supporto al

Management aziendalehellip)

bull Agevolare i processi aziendali di Security Audit ed attivare un monitoring proattivo

bull Avere una visione globale della sicurezza composta di aspetti tecnologici ambientali e risorse umane

bull Contribuire al miglioramento del ldquosistema di gestione della sicurezza delle informazionirdquo

bullldquoMisurarerdquo la sicurezza

Corso di Alta Formazione in Information Security Management9

Agevolare il processo Incident Management

Corso di Alta Formazione in Information Security Management10

I Security KPI

Il fine

bull Rilevazione delle minacce ldquoLivello di Minacciardquo valutazione delle minacce per Asset o per gruppi di

Asset sia in funzione della quantitagrave che gravitagrave

ldquoLivello di Rischiordquo valutazione dellrsquoimpatto delle minacce sugli Asset in funzione della loro rilevanza

bull Rilevazione delle vulnerabilitagrave Identificare le aree drsquointervento per un approccio proattivo alla gestione

della sicurezza

Valutare piugrave efficacemente le minacce tramite la loro correlazione con le vulnerabilitagrave note dellrsquoinfrastruttura (riduzione dei falsi positivi)

bull Verifica dellrsquoefficienza delle contromisure In questo caso i Security KPI esprimono lrsquoefficienza delle contromisure

messe in atto per contrastare le minacce

Corso di Alta Formazione in Information Security Management11

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management12

Le attivitagrave Previste

Definizione e Mappatura KPI

4

Requisiti Cogenti

Requisiti Tecnologici

Definizione Requisiti

1

Analisi

Individuazione procedure

Mappatura processi

Inventario risorse rilevanti

Interviste con i Tecnici di riferimento

Assegnazione prioritagrave ai diversi devices

2

Stima EPS

Individuazione KPI

Scelta Tecnologica

Analisi Gartner MQ ultimi 5 anni

Redazione Long List

Redazione Short List

3

Compilazione ed invio RFI

Valutazione RFI

Definizione Architettura

Corso di Alta Formazione in Information Security Management13

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management14

Requisiti Contesto Normativo

Leggi nazionali ndash tutela dellrsquoutentecittadino ldquoCodice in materia di protezione dei dati personalirdquo dlgs n 196 del 30-06-2003

Allegato B ldquoDisciplinare tecnico in materia di misure minime di sicurezzardquo

ldquoPacchetto sicurezzardquo legge n 155 del 31-07-2005 (Legge Pisanu) obbliga gli operatori Internet ad acquisire e conservare i dati identificativi dei loro clienti e i dati di traffico cioegrave ldquochi ha fatto cosa e quandordquo

Il provvedimento generale del Garante Privacy ldquoSicurezza dei dati di traffico telefonico e telematicordquo del 17-01-2008 in vigore dal 31-10-2008 normativa molto stringente sul piano tecnico e organizzativo che definisce le modalitagrave di trattamento dei dati di traffico telefonico e telematico per finalitagrave di accertamento e repressione dei reati

Normativa di riferimento ndash tutela i dati di business dellrsquoazienda Lo standard internazionale ISO 270012005 che fornisce i requisiti di un ldquosistema

di gestione della sicurezza delle informazionirdquo

Corso di Alta Formazione in Information Security Management15

Funzionalitagrave

bull Gestione degli incidenti di sicurezza

bull Security compliance

bull Security performance

bull Misurazione di Security KPI

Caratteristiche

bull Raccolta

bull Classificazione

bull Analisi e Correlazione

bull Archiviazione

bull Presentazione

Requisiti Infrastruttura Tecnologica

Corso di Alta Formazione in Information Security Management16

Requisiti Sommario

Funzionalitagrave Caratteristiche Tecniche

CaratteristicheNon Tecniche

Definizione dellrsquoambiente gestito

Prestazioni e Scalabilitagrave Soliditagrave del Vendor

Controllo in tempo reale e gestione degli allarmi

Alta Affidabilitagrave Servizio di supporto

Gestione centralizzata degli eventi di sicurezza

Bassa intrusivitagrave

Gestione e analisi dei log Profilazione degli operatori

Forensics amp Analysis Gestione della base di dati

Reporting Storicizzazione dei dati

Gestione degli incidenti di sicurezza

Supporto di sorgenti di log e messaggi

Deployment e Personalizzazione

Supporto della crittografia

Corso di Alta Formazione in Information Security Management17

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management18

Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali

Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo

Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT

Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM

Analisi Mappatura Processi

Corso di Alta Formazione in Information Security Management19

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management20

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management21

APPLIANCE

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Firewall Di Backbone

Fibra10 Gb 4 P 1

Firewall Periferici Rame100 Mb 15 P 1

VPN Concentrator Fibra10 Gb 2 P 1

Intrusion Prevention Fibra1-10 Gb 6 P 1

Backbone switch Fibra10 Gb 4P 2

Apparati di rete attivi

Varie 600 P 2

Proxy e Web Filter Fibra10 Gb 4 P 1

GW Antivirus e Antispam

Fibra10 Gb 2 P 1

SERVER

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Acces Control Server Rame1 Gb 3 P 1

Server Gestione AV Centralizzato

Rame1 Gb 2 P 1

Web Server Varie 50 P 2

Mail Server Varie 11 P 1

Sistemi Unix Varie 122 P 2

Sistemi Windows Varie 220 P 2

Stima EPS devices P1 gt 3000

Stima EPS devices P2 non effettuata

Analisi Inventario Risorse

Corso di Alta Formazione in Information Security Management22

Cosa egrave un KPI (o Security Metric)

To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure

They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources

(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)

A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload

(Security Metrics Management Kovacich and Halibozek 2006)

A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes

(ISO 27004 2005 Information security metrics and measurements (Draft))

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management23

I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte

I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala

Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management24

Analisi Il modello Why-What-How

Corso di Alta Formazione in Information Security Management25

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management26

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management27

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management28

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management29

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management30

Corso di Alta Formazione in Information Security Management31

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management32

Indagine di mercato Metodologia e Long List

La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007

A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste

Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe

Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete

Corso di Alta Formazione in Information Security Management33

Indagine di mercato Short List (2)

Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor

Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale

ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 2: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management2

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management3

La Societagrave

Costituita nel 1983 su iniziativa della Provincia Autonoma di Trentino e di altri Enti pubblici del Trentino

La compagine azionaria 51366 Provincia Autonoma di Trento 39710 Tecnofin Trentina Spa 1720 Regione Autonoma

Trentino-Alto Adige 1243 Comune di Trento 1243 CCIAA di Trento 0393 Comune di Rovereto 4323 suddiviso tra gli 11 Comprensori

Alcuni dati al 31122007 Valore della Produzione oltre 48 milioni di Euro Numero dipendenti 273

Corso di Alta Formazione in Information Security Management4

La dimensione

TelpatScuole122 Siti

APSS122 Siti

Universitagrave50 Siti

Biblioteche173 Siti

PAT265 Siti

223 ComuniOltre 300 Siti

INFORMATICATRENTINA

Corso di Alta Formazione in Information Security Management5

Situazione legata al monitoraggio

bull Security SLA - Il contesto di business aziendale pone precise responsabilitagrave nei confronti dei Clienti in merito ai servizi telematici erogati

bull Prevenzione - Il governo della sicurezza necessita di processi aziendali supportati da strumenti per avere anche un approccio preventivo

bull Reazione - la gestione degli incidenti di sicurezza egrave unrsquoattivitagrave tecnicamente complessa e onerosa in termini di competenze e tempo necessario

Corso di Alta Formazione in Information Security Management6

Ruolo Funzione Sicurezza

Dal Piano diSicurezza Aziendale

bull misura efficaciaefficienza delle contromisure

Comunicabull livelli di rischio

Comunicabull orientamento

tecnico e procedurale

Direzioni aziendali(Risorse Umane Business Unit Tecnologie)

Assets

Processi

Management

Board

Funzione SicurezzaFunzione Sicurezza

Informazioni

Corso di Alta Formazione in Information Security Management7

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management8

Esigenze percepite

bull Agevolare analisi e decisioni nellrsquoambito della gestione della sicurezza (identificare minacce e vulnerabilitagrave gestire gli incidenti di sicurezza supporto al

Management aziendalehellip)

bull Agevolare i processi aziendali di Security Audit ed attivare un monitoring proattivo

bull Avere una visione globale della sicurezza composta di aspetti tecnologici ambientali e risorse umane

bull Contribuire al miglioramento del ldquosistema di gestione della sicurezza delle informazionirdquo

bullldquoMisurarerdquo la sicurezza

Corso di Alta Formazione in Information Security Management9

Agevolare il processo Incident Management

Corso di Alta Formazione in Information Security Management10

I Security KPI

Il fine

bull Rilevazione delle minacce ldquoLivello di Minacciardquo valutazione delle minacce per Asset o per gruppi di

Asset sia in funzione della quantitagrave che gravitagrave

ldquoLivello di Rischiordquo valutazione dellrsquoimpatto delle minacce sugli Asset in funzione della loro rilevanza

bull Rilevazione delle vulnerabilitagrave Identificare le aree drsquointervento per un approccio proattivo alla gestione

della sicurezza

Valutare piugrave efficacemente le minacce tramite la loro correlazione con le vulnerabilitagrave note dellrsquoinfrastruttura (riduzione dei falsi positivi)

bull Verifica dellrsquoefficienza delle contromisure In questo caso i Security KPI esprimono lrsquoefficienza delle contromisure

messe in atto per contrastare le minacce

Corso di Alta Formazione in Information Security Management11

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management12

Le attivitagrave Previste

Definizione e Mappatura KPI

4

Requisiti Cogenti

Requisiti Tecnologici

Definizione Requisiti

1

Analisi

Individuazione procedure

Mappatura processi

Inventario risorse rilevanti

Interviste con i Tecnici di riferimento

Assegnazione prioritagrave ai diversi devices

2

Stima EPS

Individuazione KPI

Scelta Tecnologica

Analisi Gartner MQ ultimi 5 anni

Redazione Long List

Redazione Short List

3

Compilazione ed invio RFI

Valutazione RFI

Definizione Architettura

Corso di Alta Formazione in Information Security Management13

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management14

Requisiti Contesto Normativo

Leggi nazionali ndash tutela dellrsquoutentecittadino ldquoCodice in materia di protezione dei dati personalirdquo dlgs n 196 del 30-06-2003

Allegato B ldquoDisciplinare tecnico in materia di misure minime di sicurezzardquo

ldquoPacchetto sicurezzardquo legge n 155 del 31-07-2005 (Legge Pisanu) obbliga gli operatori Internet ad acquisire e conservare i dati identificativi dei loro clienti e i dati di traffico cioegrave ldquochi ha fatto cosa e quandordquo

Il provvedimento generale del Garante Privacy ldquoSicurezza dei dati di traffico telefonico e telematicordquo del 17-01-2008 in vigore dal 31-10-2008 normativa molto stringente sul piano tecnico e organizzativo che definisce le modalitagrave di trattamento dei dati di traffico telefonico e telematico per finalitagrave di accertamento e repressione dei reati

Normativa di riferimento ndash tutela i dati di business dellrsquoazienda Lo standard internazionale ISO 270012005 che fornisce i requisiti di un ldquosistema

di gestione della sicurezza delle informazionirdquo

Corso di Alta Formazione in Information Security Management15

Funzionalitagrave

bull Gestione degli incidenti di sicurezza

bull Security compliance

bull Security performance

bull Misurazione di Security KPI

Caratteristiche

bull Raccolta

bull Classificazione

bull Analisi e Correlazione

bull Archiviazione

bull Presentazione

Requisiti Infrastruttura Tecnologica

Corso di Alta Formazione in Information Security Management16

Requisiti Sommario

Funzionalitagrave Caratteristiche Tecniche

CaratteristicheNon Tecniche

Definizione dellrsquoambiente gestito

Prestazioni e Scalabilitagrave Soliditagrave del Vendor

Controllo in tempo reale e gestione degli allarmi

Alta Affidabilitagrave Servizio di supporto

Gestione centralizzata degli eventi di sicurezza

Bassa intrusivitagrave

Gestione e analisi dei log Profilazione degli operatori

Forensics amp Analysis Gestione della base di dati

Reporting Storicizzazione dei dati

Gestione degli incidenti di sicurezza

Supporto di sorgenti di log e messaggi

Deployment e Personalizzazione

Supporto della crittografia

Corso di Alta Formazione in Information Security Management17

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management18

Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali

Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo

Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT

Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM

Analisi Mappatura Processi

Corso di Alta Formazione in Information Security Management19

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management20

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management21

APPLIANCE

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Firewall Di Backbone

Fibra10 Gb 4 P 1

Firewall Periferici Rame100 Mb 15 P 1

VPN Concentrator Fibra10 Gb 2 P 1

Intrusion Prevention Fibra1-10 Gb 6 P 1

Backbone switch Fibra10 Gb 4P 2

Apparati di rete attivi

Varie 600 P 2

Proxy e Web Filter Fibra10 Gb 4 P 1

GW Antivirus e Antispam

Fibra10 Gb 2 P 1

SERVER

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Acces Control Server Rame1 Gb 3 P 1

Server Gestione AV Centralizzato

Rame1 Gb 2 P 1

Web Server Varie 50 P 2

Mail Server Varie 11 P 1

Sistemi Unix Varie 122 P 2

Sistemi Windows Varie 220 P 2

Stima EPS devices P1 gt 3000

Stima EPS devices P2 non effettuata

Analisi Inventario Risorse

Corso di Alta Formazione in Information Security Management22

Cosa egrave un KPI (o Security Metric)

To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure

They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources

(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)

A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload

(Security Metrics Management Kovacich and Halibozek 2006)

A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes

(ISO 27004 2005 Information security metrics and measurements (Draft))

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management23

I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte

I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala

Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management24

Analisi Il modello Why-What-How

Corso di Alta Formazione in Information Security Management25

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management26

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management27

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management28

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management29

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management30

Corso di Alta Formazione in Information Security Management31

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management32

Indagine di mercato Metodologia e Long List

La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007

A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste

Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe

Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete

Corso di Alta Formazione in Information Security Management33

Indagine di mercato Short List (2)

Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor

Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale

ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 3: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management3

La Societagrave

Costituita nel 1983 su iniziativa della Provincia Autonoma di Trentino e di altri Enti pubblici del Trentino

La compagine azionaria 51366 Provincia Autonoma di Trento 39710 Tecnofin Trentina Spa 1720 Regione Autonoma

Trentino-Alto Adige 1243 Comune di Trento 1243 CCIAA di Trento 0393 Comune di Rovereto 4323 suddiviso tra gli 11 Comprensori

Alcuni dati al 31122007 Valore della Produzione oltre 48 milioni di Euro Numero dipendenti 273

Corso di Alta Formazione in Information Security Management4

La dimensione

TelpatScuole122 Siti

APSS122 Siti

Universitagrave50 Siti

Biblioteche173 Siti

PAT265 Siti

223 ComuniOltre 300 Siti

INFORMATICATRENTINA

Corso di Alta Formazione in Information Security Management5

Situazione legata al monitoraggio

bull Security SLA - Il contesto di business aziendale pone precise responsabilitagrave nei confronti dei Clienti in merito ai servizi telematici erogati

bull Prevenzione - Il governo della sicurezza necessita di processi aziendali supportati da strumenti per avere anche un approccio preventivo

bull Reazione - la gestione degli incidenti di sicurezza egrave unrsquoattivitagrave tecnicamente complessa e onerosa in termini di competenze e tempo necessario

Corso di Alta Formazione in Information Security Management6

Ruolo Funzione Sicurezza

Dal Piano diSicurezza Aziendale

bull misura efficaciaefficienza delle contromisure

Comunicabull livelli di rischio

Comunicabull orientamento

tecnico e procedurale

Direzioni aziendali(Risorse Umane Business Unit Tecnologie)

Assets

Processi

Management

Board

Funzione SicurezzaFunzione Sicurezza

Informazioni

Corso di Alta Formazione in Information Security Management7

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management8

Esigenze percepite

bull Agevolare analisi e decisioni nellrsquoambito della gestione della sicurezza (identificare minacce e vulnerabilitagrave gestire gli incidenti di sicurezza supporto al

Management aziendalehellip)

bull Agevolare i processi aziendali di Security Audit ed attivare un monitoring proattivo

bull Avere una visione globale della sicurezza composta di aspetti tecnologici ambientali e risorse umane

bull Contribuire al miglioramento del ldquosistema di gestione della sicurezza delle informazionirdquo

bullldquoMisurarerdquo la sicurezza

Corso di Alta Formazione in Information Security Management9

Agevolare il processo Incident Management

Corso di Alta Formazione in Information Security Management10

I Security KPI

Il fine

bull Rilevazione delle minacce ldquoLivello di Minacciardquo valutazione delle minacce per Asset o per gruppi di

Asset sia in funzione della quantitagrave che gravitagrave

ldquoLivello di Rischiordquo valutazione dellrsquoimpatto delle minacce sugli Asset in funzione della loro rilevanza

bull Rilevazione delle vulnerabilitagrave Identificare le aree drsquointervento per un approccio proattivo alla gestione

della sicurezza

Valutare piugrave efficacemente le minacce tramite la loro correlazione con le vulnerabilitagrave note dellrsquoinfrastruttura (riduzione dei falsi positivi)

bull Verifica dellrsquoefficienza delle contromisure In questo caso i Security KPI esprimono lrsquoefficienza delle contromisure

messe in atto per contrastare le minacce

Corso di Alta Formazione in Information Security Management11

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management12

Le attivitagrave Previste

Definizione e Mappatura KPI

4

Requisiti Cogenti

Requisiti Tecnologici

Definizione Requisiti

1

Analisi

Individuazione procedure

Mappatura processi

Inventario risorse rilevanti

Interviste con i Tecnici di riferimento

Assegnazione prioritagrave ai diversi devices

2

Stima EPS

Individuazione KPI

Scelta Tecnologica

Analisi Gartner MQ ultimi 5 anni

Redazione Long List

Redazione Short List

3

Compilazione ed invio RFI

Valutazione RFI

Definizione Architettura

Corso di Alta Formazione in Information Security Management13

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management14

Requisiti Contesto Normativo

Leggi nazionali ndash tutela dellrsquoutentecittadino ldquoCodice in materia di protezione dei dati personalirdquo dlgs n 196 del 30-06-2003

Allegato B ldquoDisciplinare tecnico in materia di misure minime di sicurezzardquo

ldquoPacchetto sicurezzardquo legge n 155 del 31-07-2005 (Legge Pisanu) obbliga gli operatori Internet ad acquisire e conservare i dati identificativi dei loro clienti e i dati di traffico cioegrave ldquochi ha fatto cosa e quandordquo

Il provvedimento generale del Garante Privacy ldquoSicurezza dei dati di traffico telefonico e telematicordquo del 17-01-2008 in vigore dal 31-10-2008 normativa molto stringente sul piano tecnico e organizzativo che definisce le modalitagrave di trattamento dei dati di traffico telefonico e telematico per finalitagrave di accertamento e repressione dei reati

Normativa di riferimento ndash tutela i dati di business dellrsquoazienda Lo standard internazionale ISO 270012005 che fornisce i requisiti di un ldquosistema

di gestione della sicurezza delle informazionirdquo

Corso di Alta Formazione in Information Security Management15

Funzionalitagrave

bull Gestione degli incidenti di sicurezza

bull Security compliance

bull Security performance

bull Misurazione di Security KPI

Caratteristiche

bull Raccolta

bull Classificazione

bull Analisi e Correlazione

bull Archiviazione

bull Presentazione

Requisiti Infrastruttura Tecnologica

Corso di Alta Formazione in Information Security Management16

Requisiti Sommario

Funzionalitagrave Caratteristiche Tecniche

CaratteristicheNon Tecniche

Definizione dellrsquoambiente gestito

Prestazioni e Scalabilitagrave Soliditagrave del Vendor

Controllo in tempo reale e gestione degli allarmi

Alta Affidabilitagrave Servizio di supporto

Gestione centralizzata degli eventi di sicurezza

Bassa intrusivitagrave

Gestione e analisi dei log Profilazione degli operatori

Forensics amp Analysis Gestione della base di dati

Reporting Storicizzazione dei dati

Gestione degli incidenti di sicurezza

Supporto di sorgenti di log e messaggi

Deployment e Personalizzazione

Supporto della crittografia

Corso di Alta Formazione in Information Security Management17

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management18

Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali

Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo

Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT

Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM

Analisi Mappatura Processi

Corso di Alta Formazione in Information Security Management19

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management20

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management21

APPLIANCE

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Firewall Di Backbone

Fibra10 Gb 4 P 1

Firewall Periferici Rame100 Mb 15 P 1

VPN Concentrator Fibra10 Gb 2 P 1

Intrusion Prevention Fibra1-10 Gb 6 P 1

Backbone switch Fibra10 Gb 4P 2

Apparati di rete attivi

Varie 600 P 2

Proxy e Web Filter Fibra10 Gb 4 P 1

GW Antivirus e Antispam

Fibra10 Gb 2 P 1

SERVER

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Acces Control Server Rame1 Gb 3 P 1

Server Gestione AV Centralizzato

Rame1 Gb 2 P 1

Web Server Varie 50 P 2

Mail Server Varie 11 P 1

Sistemi Unix Varie 122 P 2

Sistemi Windows Varie 220 P 2

Stima EPS devices P1 gt 3000

Stima EPS devices P2 non effettuata

Analisi Inventario Risorse

Corso di Alta Formazione in Information Security Management22

Cosa egrave un KPI (o Security Metric)

To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure

They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources

(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)

A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload

(Security Metrics Management Kovacich and Halibozek 2006)

A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes

(ISO 27004 2005 Information security metrics and measurements (Draft))

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management23

I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte

I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala

Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management24

Analisi Il modello Why-What-How

Corso di Alta Formazione in Information Security Management25

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management26

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management27

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management28

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management29

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management30

Corso di Alta Formazione in Information Security Management31

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management32

Indagine di mercato Metodologia e Long List

La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007

A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste

Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe

Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete

Corso di Alta Formazione in Information Security Management33

Indagine di mercato Short List (2)

Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor

Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale

ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 4: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management4

La dimensione

TelpatScuole122 Siti

APSS122 Siti

Universitagrave50 Siti

Biblioteche173 Siti

PAT265 Siti

223 ComuniOltre 300 Siti

INFORMATICATRENTINA

Corso di Alta Formazione in Information Security Management5

Situazione legata al monitoraggio

bull Security SLA - Il contesto di business aziendale pone precise responsabilitagrave nei confronti dei Clienti in merito ai servizi telematici erogati

bull Prevenzione - Il governo della sicurezza necessita di processi aziendali supportati da strumenti per avere anche un approccio preventivo

bull Reazione - la gestione degli incidenti di sicurezza egrave unrsquoattivitagrave tecnicamente complessa e onerosa in termini di competenze e tempo necessario

Corso di Alta Formazione in Information Security Management6

Ruolo Funzione Sicurezza

Dal Piano diSicurezza Aziendale

bull misura efficaciaefficienza delle contromisure

Comunicabull livelli di rischio

Comunicabull orientamento

tecnico e procedurale

Direzioni aziendali(Risorse Umane Business Unit Tecnologie)

Assets

Processi

Management

Board

Funzione SicurezzaFunzione Sicurezza

Informazioni

Corso di Alta Formazione in Information Security Management7

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management8

Esigenze percepite

bull Agevolare analisi e decisioni nellrsquoambito della gestione della sicurezza (identificare minacce e vulnerabilitagrave gestire gli incidenti di sicurezza supporto al

Management aziendalehellip)

bull Agevolare i processi aziendali di Security Audit ed attivare un monitoring proattivo

bull Avere una visione globale della sicurezza composta di aspetti tecnologici ambientali e risorse umane

bull Contribuire al miglioramento del ldquosistema di gestione della sicurezza delle informazionirdquo

bullldquoMisurarerdquo la sicurezza

Corso di Alta Formazione in Information Security Management9

Agevolare il processo Incident Management

Corso di Alta Formazione in Information Security Management10

I Security KPI

Il fine

bull Rilevazione delle minacce ldquoLivello di Minacciardquo valutazione delle minacce per Asset o per gruppi di

Asset sia in funzione della quantitagrave che gravitagrave

ldquoLivello di Rischiordquo valutazione dellrsquoimpatto delle minacce sugli Asset in funzione della loro rilevanza

bull Rilevazione delle vulnerabilitagrave Identificare le aree drsquointervento per un approccio proattivo alla gestione

della sicurezza

Valutare piugrave efficacemente le minacce tramite la loro correlazione con le vulnerabilitagrave note dellrsquoinfrastruttura (riduzione dei falsi positivi)

bull Verifica dellrsquoefficienza delle contromisure In questo caso i Security KPI esprimono lrsquoefficienza delle contromisure

messe in atto per contrastare le minacce

Corso di Alta Formazione in Information Security Management11

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management12

Le attivitagrave Previste

Definizione e Mappatura KPI

4

Requisiti Cogenti

Requisiti Tecnologici

Definizione Requisiti

1

Analisi

Individuazione procedure

Mappatura processi

Inventario risorse rilevanti

Interviste con i Tecnici di riferimento

Assegnazione prioritagrave ai diversi devices

2

Stima EPS

Individuazione KPI

Scelta Tecnologica

Analisi Gartner MQ ultimi 5 anni

Redazione Long List

Redazione Short List

3

Compilazione ed invio RFI

Valutazione RFI

Definizione Architettura

Corso di Alta Formazione in Information Security Management13

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management14

Requisiti Contesto Normativo

Leggi nazionali ndash tutela dellrsquoutentecittadino ldquoCodice in materia di protezione dei dati personalirdquo dlgs n 196 del 30-06-2003

Allegato B ldquoDisciplinare tecnico in materia di misure minime di sicurezzardquo

ldquoPacchetto sicurezzardquo legge n 155 del 31-07-2005 (Legge Pisanu) obbliga gli operatori Internet ad acquisire e conservare i dati identificativi dei loro clienti e i dati di traffico cioegrave ldquochi ha fatto cosa e quandordquo

Il provvedimento generale del Garante Privacy ldquoSicurezza dei dati di traffico telefonico e telematicordquo del 17-01-2008 in vigore dal 31-10-2008 normativa molto stringente sul piano tecnico e organizzativo che definisce le modalitagrave di trattamento dei dati di traffico telefonico e telematico per finalitagrave di accertamento e repressione dei reati

Normativa di riferimento ndash tutela i dati di business dellrsquoazienda Lo standard internazionale ISO 270012005 che fornisce i requisiti di un ldquosistema

di gestione della sicurezza delle informazionirdquo

Corso di Alta Formazione in Information Security Management15

Funzionalitagrave

bull Gestione degli incidenti di sicurezza

bull Security compliance

bull Security performance

bull Misurazione di Security KPI

Caratteristiche

bull Raccolta

bull Classificazione

bull Analisi e Correlazione

bull Archiviazione

bull Presentazione

Requisiti Infrastruttura Tecnologica

Corso di Alta Formazione in Information Security Management16

Requisiti Sommario

Funzionalitagrave Caratteristiche Tecniche

CaratteristicheNon Tecniche

Definizione dellrsquoambiente gestito

Prestazioni e Scalabilitagrave Soliditagrave del Vendor

Controllo in tempo reale e gestione degli allarmi

Alta Affidabilitagrave Servizio di supporto

Gestione centralizzata degli eventi di sicurezza

Bassa intrusivitagrave

Gestione e analisi dei log Profilazione degli operatori

Forensics amp Analysis Gestione della base di dati

Reporting Storicizzazione dei dati

Gestione degli incidenti di sicurezza

Supporto di sorgenti di log e messaggi

Deployment e Personalizzazione

Supporto della crittografia

Corso di Alta Formazione in Information Security Management17

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management18

Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali

Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo

Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT

Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM

Analisi Mappatura Processi

Corso di Alta Formazione in Information Security Management19

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management20

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management21

APPLIANCE

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Firewall Di Backbone

Fibra10 Gb 4 P 1

Firewall Periferici Rame100 Mb 15 P 1

VPN Concentrator Fibra10 Gb 2 P 1

Intrusion Prevention Fibra1-10 Gb 6 P 1

Backbone switch Fibra10 Gb 4P 2

Apparati di rete attivi

Varie 600 P 2

Proxy e Web Filter Fibra10 Gb 4 P 1

GW Antivirus e Antispam

Fibra10 Gb 2 P 1

SERVER

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Acces Control Server Rame1 Gb 3 P 1

Server Gestione AV Centralizzato

Rame1 Gb 2 P 1

Web Server Varie 50 P 2

Mail Server Varie 11 P 1

Sistemi Unix Varie 122 P 2

Sistemi Windows Varie 220 P 2

Stima EPS devices P1 gt 3000

Stima EPS devices P2 non effettuata

Analisi Inventario Risorse

Corso di Alta Formazione in Information Security Management22

Cosa egrave un KPI (o Security Metric)

To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure

They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources

(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)

A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload

(Security Metrics Management Kovacich and Halibozek 2006)

A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes

(ISO 27004 2005 Information security metrics and measurements (Draft))

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management23

I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte

I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala

Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management24

Analisi Il modello Why-What-How

Corso di Alta Formazione in Information Security Management25

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management26

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management27

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management28

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management29

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management30

Corso di Alta Formazione in Information Security Management31

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management32

Indagine di mercato Metodologia e Long List

La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007

A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste

Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe

Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete

Corso di Alta Formazione in Information Security Management33

Indagine di mercato Short List (2)

Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor

Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale

ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 5: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management5

Situazione legata al monitoraggio

bull Security SLA - Il contesto di business aziendale pone precise responsabilitagrave nei confronti dei Clienti in merito ai servizi telematici erogati

bull Prevenzione - Il governo della sicurezza necessita di processi aziendali supportati da strumenti per avere anche un approccio preventivo

bull Reazione - la gestione degli incidenti di sicurezza egrave unrsquoattivitagrave tecnicamente complessa e onerosa in termini di competenze e tempo necessario

Corso di Alta Formazione in Information Security Management6

Ruolo Funzione Sicurezza

Dal Piano diSicurezza Aziendale

bull misura efficaciaefficienza delle contromisure

Comunicabull livelli di rischio

Comunicabull orientamento

tecnico e procedurale

Direzioni aziendali(Risorse Umane Business Unit Tecnologie)

Assets

Processi

Management

Board

Funzione SicurezzaFunzione Sicurezza

Informazioni

Corso di Alta Formazione in Information Security Management7

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management8

Esigenze percepite

bull Agevolare analisi e decisioni nellrsquoambito della gestione della sicurezza (identificare minacce e vulnerabilitagrave gestire gli incidenti di sicurezza supporto al

Management aziendalehellip)

bull Agevolare i processi aziendali di Security Audit ed attivare un monitoring proattivo

bull Avere una visione globale della sicurezza composta di aspetti tecnologici ambientali e risorse umane

bull Contribuire al miglioramento del ldquosistema di gestione della sicurezza delle informazionirdquo

bullldquoMisurarerdquo la sicurezza

Corso di Alta Formazione in Information Security Management9

Agevolare il processo Incident Management

Corso di Alta Formazione in Information Security Management10

I Security KPI

Il fine

bull Rilevazione delle minacce ldquoLivello di Minacciardquo valutazione delle minacce per Asset o per gruppi di

Asset sia in funzione della quantitagrave che gravitagrave

ldquoLivello di Rischiordquo valutazione dellrsquoimpatto delle minacce sugli Asset in funzione della loro rilevanza

bull Rilevazione delle vulnerabilitagrave Identificare le aree drsquointervento per un approccio proattivo alla gestione

della sicurezza

Valutare piugrave efficacemente le minacce tramite la loro correlazione con le vulnerabilitagrave note dellrsquoinfrastruttura (riduzione dei falsi positivi)

bull Verifica dellrsquoefficienza delle contromisure In questo caso i Security KPI esprimono lrsquoefficienza delle contromisure

messe in atto per contrastare le minacce

Corso di Alta Formazione in Information Security Management11

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management12

Le attivitagrave Previste

Definizione e Mappatura KPI

4

Requisiti Cogenti

Requisiti Tecnologici

Definizione Requisiti

1

Analisi

Individuazione procedure

Mappatura processi

Inventario risorse rilevanti

Interviste con i Tecnici di riferimento

Assegnazione prioritagrave ai diversi devices

2

Stima EPS

Individuazione KPI

Scelta Tecnologica

Analisi Gartner MQ ultimi 5 anni

Redazione Long List

Redazione Short List

3

Compilazione ed invio RFI

Valutazione RFI

Definizione Architettura

Corso di Alta Formazione in Information Security Management13

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management14

Requisiti Contesto Normativo

Leggi nazionali ndash tutela dellrsquoutentecittadino ldquoCodice in materia di protezione dei dati personalirdquo dlgs n 196 del 30-06-2003

Allegato B ldquoDisciplinare tecnico in materia di misure minime di sicurezzardquo

ldquoPacchetto sicurezzardquo legge n 155 del 31-07-2005 (Legge Pisanu) obbliga gli operatori Internet ad acquisire e conservare i dati identificativi dei loro clienti e i dati di traffico cioegrave ldquochi ha fatto cosa e quandordquo

Il provvedimento generale del Garante Privacy ldquoSicurezza dei dati di traffico telefonico e telematicordquo del 17-01-2008 in vigore dal 31-10-2008 normativa molto stringente sul piano tecnico e organizzativo che definisce le modalitagrave di trattamento dei dati di traffico telefonico e telematico per finalitagrave di accertamento e repressione dei reati

Normativa di riferimento ndash tutela i dati di business dellrsquoazienda Lo standard internazionale ISO 270012005 che fornisce i requisiti di un ldquosistema

di gestione della sicurezza delle informazionirdquo

Corso di Alta Formazione in Information Security Management15

Funzionalitagrave

bull Gestione degli incidenti di sicurezza

bull Security compliance

bull Security performance

bull Misurazione di Security KPI

Caratteristiche

bull Raccolta

bull Classificazione

bull Analisi e Correlazione

bull Archiviazione

bull Presentazione

Requisiti Infrastruttura Tecnologica

Corso di Alta Formazione in Information Security Management16

Requisiti Sommario

Funzionalitagrave Caratteristiche Tecniche

CaratteristicheNon Tecniche

Definizione dellrsquoambiente gestito

Prestazioni e Scalabilitagrave Soliditagrave del Vendor

Controllo in tempo reale e gestione degli allarmi

Alta Affidabilitagrave Servizio di supporto

Gestione centralizzata degli eventi di sicurezza

Bassa intrusivitagrave

Gestione e analisi dei log Profilazione degli operatori

Forensics amp Analysis Gestione della base di dati

Reporting Storicizzazione dei dati

Gestione degli incidenti di sicurezza

Supporto di sorgenti di log e messaggi

Deployment e Personalizzazione

Supporto della crittografia

Corso di Alta Formazione in Information Security Management17

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management18

Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali

Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo

Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT

Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM

Analisi Mappatura Processi

Corso di Alta Formazione in Information Security Management19

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management20

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management21

APPLIANCE

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Firewall Di Backbone

Fibra10 Gb 4 P 1

Firewall Periferici Rame100 Mb 15 P 1

VPN Concentrator Fibra10 Gb 2 P 1

Intrusion Prevention Fibra1-10 Gb 6 P 1

Backbone switch Fibra10 Gb 4P 2

Apparati di rete attivi

Varie 600 P 2

Proxy e Web Filter Fibra10 Gb 4 P 1

GW Antivirus e Antispam

Fibra10 Gb 2 P 1

SERVER

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Acces Control Server Rame1 Gb 3 P 1

Server Gestione AV Centralizzato

Rame1 Gb 2 P 1

Web Server Varie 50 P 2

Mail Server Varie 11 P 1

Sistemi Unix Varie 122 P 2

Sistemi Windows Varie 220 P 2

Stima EPS devices P1 gt 3000

Stima EPS devices P2 non effettuata

Analisi Inventario Risorse

Corso di Alta Formazione in Information Security Management22

Cosa egrave un KPI (o Security Metric)

To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure

They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources

(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)

A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload

(Security Metrics Management Kovacich and Halibozek 2006)

A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes

(ISO 27004 2005 Information security metrics and measurements (Draft))

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management23

I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte

I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala

Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management24

Analisi Il modello Why-What-How

Corso di Alta Formazione in Information Security Management25

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management26

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management27

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management28

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management29

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management30

Corso di Alta Formazione in Information Security Management31

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management32

Indagine di mercato Metodologia e Long List

La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007

A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste

Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe

Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete

Corso di Alta Formazione in Information Security Management33

Indagine di mercato Short List (2)

Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor

Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale

ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 6: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management6

Ruolo Funzione Sicurezza

Dal Piano diSicurezza Aziendale

bull misura efficaciaefficienza delle contromisure

Comunicabull livelli di rischio

Comunicabull orientamento

tecnico e procedurale

Direzioni aziendali(Risorse Umane Business Unit Tecnologie)

Assets

Processi

Management

Board

Funzione SicurezzaFunzione Sicurezza

Informazioni

Corso di Alta Formazione in Information Security Management7

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management8

Esigenze percepite

bull Agevolare analisi e decisioni nellrsquoambito della gestione della sicurezza (identificare minacce e vulnerabilitagrave gestire gli incidenti di sicurezza supporto al

Management aziendalehellip)

bull Agevolare i processi aziendali di Security Audit ed attivare un monitoring proattivo

bull Avere una visione globale della sicurezza composta di aspetti tecnologici ambientali e risorse umane

bull Contribuire al miglioramento del ldquosistema di gestione della sicurezza delle informazionirdquo

bullldquoMisurarerdquo la sicurezza

Corso di Alta Formazione in Information Security Management9

Agevolare il processo Incident Management

Corso di Alta Formazione in Information Security Management10

I Security KPI

Il fine

bull Rilevazione delle minacce ldquoLivello di Minacciardquo valutazione delle minacce per Asset o per gruppi di

Asset sia in funzione della quantitagrave che gravitagrave

ldquoLivello di Rischiordquo valutazione dellrsquoimpatto delle minacce sugli Asset in funzione della loro rilevanza

bull Rilevazione delle vulnerabilitagrave Identificare le aree drsquointervento per un approccio proattivo alla gestione

della sicurezza

Valutare piugrave efficacemente le minacce tramite la loro correlazione con le vulnerabilitagrave note dellrsquoinfrastruttura (riduzione dei falsi positivi)

bull Verifica dellrsquoefficienza delle contromisure In questo caso i Security KPI esprimono lrsquoefficienza delle contromisure

messe in atto per contrastare le minacce

Corso di Alta Formazione in Information Security Management11

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management12

Le attivitagrave Previste

Definizione e Mappatura KPI

4

Requisiti Cogenti

Requisiti Tecnologici

Definizione Requisiti

1

Analisi

Individuazione procedure

Mappatura processi

Inventario risorse rilevanti

Interviste con i Tecnici di riferimento

Assegnazione prioritagrave ai diversi devices

2

Stima EPS

Individuazione KPI

Scelta Tecnologica

Analisi Gartner MQ ultimi 5 anni

Redazione Long List

Redazione Short List

3

Compilazione ed invio RFI

Valutazione RFI

Definizione Architettura

Corso di Alta Formazione in Information Security Management13

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management14

Requisiti Contesto Normativo

Leggi nazionali ndash tutela dellrsquoutentecittadino ldquoCodice in materia di protezione dei dati personalirdquo dlgs n 196 del 30-06-2003

Allegato B ldquoDisciplinare tecnico in materia di misure minime di sicurezzardquo

ldquoPacchetto sicurezzardquo legge n 155 del 31-07-2005 (Legge Pisanu) obbliga gli operatori Internet ad acquisire e conservare i dati identificativi dei loro clienti e i dati di traffico cioegrave ldquochi ha fatto cosa e quandordquo

Il provvedimento generale del Garante Privacy ldquoSicurezza dei dati di traffico telefonico e telematicordquo del 17-01-2008 in vigore dal 31-10-2008 normativa molto stringente sul piano tecnico e organizzativo che definisce le modalitagrave di trattamento dei dati di traffico telefonico e telematico per finalitagrave di accertamento e repressione dei reati

Normativa di riferimento ndash tutela i dati di business dellrsquoazienda Lo standard internazionale ISO 270012005 che fornisce i requisiti di un ldquosistema

di gestione della sicurezza delle informazionirdquo

Corso di Alta Formazione in Information Security Management15

Funzionalitagrave

bull Gestione degli incidenti di sicurezza

bull Security compliance

bull Security performance

bull Misurazione di Security KPI

Caratteristiche

bull Raccolta

bull Classificazione

bull Analisi e Correlazione

bull Archiviazione

bull Presentazione

Requisiti Infrastruttura Tecnologica

Corso di Alta Formazione in Information Security Management16

Requisiti Sommario

Funzionalitagrave Caratteristiche Tecniche

CaratteristicheNon Tecniche

Definizione dellrsquoambiente gestito

Prestazioni e Scalabilitagrave Soliditagrave del Vendor

Controllo in tempo reale e gestione degli allarmi

Alta Affidabilitagrave Servizio di supporto

Gestione centralizzata degli eventi di sicurezza

Bassa intrusivitagrave

Gestione e analisi dei log Profilazione degli operatori

Forensics amp Analysis Gestione della base di dati

Reporting Storicizzazione dei dati

Gestione degli incidenti di sicurezza

Supporto di sorgenti di log e messaggi

Deployment e Personalizzazione

Supporto della crittografia

Corso di Alta Formazione in Information Security Management17

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management18

Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali

Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo

Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT

Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM

Analisi Mappatura Processi

Corso di Alta Formazione in Information Security Management19

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management20

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management21

APPLIANCE

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Firewall Di Backbone

Fibra10 Gb 4 P 1

Firewall Periferici Rame100 Mb 15 P 1

VPN Concentrator Fibra10 Gb 2 P 1

Intrusion Prevention Fibra1-10 Gb 6 P 1

Backbone switch Fibra10 Gb 4P 2

Apparati di rete attivi

Varie 600 P 2

Proxy e Web Filter Fibra10 Gb 4 P 1

GW Antivirus e Antispam

Fibra10 Gb 2 P 1

SERVER

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Acces Control Server Rame1 Gb 3 P 1

Server Gestione AV Centralizzato

Rame1 Gb 2 P 1

Web Server Varie 50 P 2

Mail Server Varie 11 P 1

Sistemi Unix Varie 122 P 2

Sistemi Windows Varie 220 P 2

Stima EPS devices P1 gt 3000

Stima EPS devices P2 non effettuata

Analisi Inventario Risorse

Corso di Alta Formazione in Information Security Management22

Cosa egrave un KPI (o Security Metric)

To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure

They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources

(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)

A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload

(Security Metrics Management Kovacich and Halibozek 2006)

A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes

(ISO 27004 2005 Information security metrics and measurements (Draft))

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management23

I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte

I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala

Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management24

Analisi Il modello Why-What-How

Corso di Alta Formazione in Information Security Management25

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management26

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management27

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management28

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management29

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management30

Corso di Alta Formazione in Information Security Management31

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management32

Indagine di mercato Metodologia e Long List

La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007

A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste

Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe

Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete

Corso di Alta Formazione in Information Security Management33

Indagine di mercato Short List (2)

Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor

Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale

ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 7: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management7

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management8

Esigenze percepite

bull Agevolare analisi e decisioni nellrsquoambito della gestione della sicurezza (identificare minacce e vulnerabilitagrave gestire gli incidenti di sicurezza supporto al

Management aziendalehellip)

bull Agevolare i processi aziendali di Security Audit ed attivare un monitoring proattivo

bull Avere una visione globale della sicurezza composta di aspetti tecnologici ambientali e risorse umane

bull Contribuire al miglioramento del ldquosistema di gestione della sicurezza delle informazionirdquo

bullldquoMisurarerdquo la sicurezza

Corso di Alta Formazione in Information Security Management9

Agevolare il processo Incident Management

Corso di Alta Formazione in Information Security Management10

I Security KPI

Il fine

bull Rilevazione delle minacce ldquoLivello di Minacciardquo valutazione delle minacce per Asset o per gruppi di

Asset sia in funzione della quantitagrave che gravitagrave

ldquoLivello di Rischiordquo valutazione dellrsquoimpatto delle minacce sugli Asset in funzione della loro rilevanza

bull Rilevazione delle vulnerabilitagrave Identificare le aree drsquointervento per un approccio proattivo alla gestione

della sicurezza

Valutare piugrave efficacemente le minacce tramite la loro correlazione con le vulnerabilitagrave note dellrsquoinfrastruttura (riduzione dei falsi positivi)

bull Verifica dellrsquoefficienza delle contromisure In questo caso i Security KPI esprimono lrsquoefficienza delle contromisure

messe in atto per contrastare le minacce

Corso di Alta Formazione in Information Security Management11

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management12

Le attivitagrave Previste

Definizione e Mappatura KPI

4

Requisiti Cogenti

Requisiti Tecnologici

Definizione Requisiti

1

Analisi

Individuazione procedure

Mappatura processi

Inventario risorse rilevanti

Interviste con i Tecnici di riferimento

Assegnazione prioritagrave ai diversi devices

2

Stima EPS

Individuazione KPI

Scelta Tecnologica

Analisi Gartner MQ ultimi 5 anni

Redazione Long List

Redazione Short List

3

Compilazione ed invio RFI

Valutazione RFI

Definizione Architettura

Corso di Alta Formazione in Information Security Management13

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management14

Requisiti Contesto Normativo

Leggi nazionali ndash tutela dellrsquoutentecittadino ldquoCodice in materia di protezione dei dati personalirdquo dlgs n 196 del 30-06-2003

Allegato B ldquoDisciplinare tecnico in materia di misure minime di sicurezzardquo

ldquoPacchetto sicurezzardquo legge n 155 del 31-07-2005 (Legge Pisanu) obbliga gli operatori Internet ad acquisire e conservare i dati identificativi dei loro clienti e i dati di traffico cioegrave ldquochi ha fatto cosa e quandordquo

Il provvedimento generale del Garante Privacy ldquoSicurezza dei dati di traffico telefonico e telematicordquo del 17-01-2008 in vigore dal 31-10-2008 normativa molto stringente sul piano tecnico e organizzativo che definisce le modalitagrave di trattamento dei dati di traffico telefonico e telematico per finalitagrave di accertamento e repressione dei reati

Normativa di riferimento ndash tutela i dati di business dellrsquoazienda Lo standard internazionale ISO 270012005 che fornisce i requisiti di un ldquosistema

di gestione della sicurezza delle informazionirdquo

Corso di Alta Formazione in Information Security Management15

Funzionalitagrave

bull Gestione degli incidenti di sicurezza

bull Security compliance

bull Security performance

bull Misurazione di Security KPI

Caratteristiche

bull Raccolta

bull Classificazione

bull Analisi e Correlazione

bull Archiviazione

bull Presentazione

Requisiti Infrastruttura Tecnologica

Corso di Alta Formazione in Information Security Management16

Requisiti Sommario

Funzionalitagrave Caratteristiche Tecniche

CaratteristicheNon Tecniche

Definizione dellrsquoambiente gestito

Prestazioni e Scalabilitagrave Soliditagrave del Vendor

Controllo in tempo reale e gestione degli allarmi

Alta Affidabilitagrave Servizio di supporto

Gestione centralizzata degli eventi di sicurezza

Bassa intrusivitagrave

Gestione e analisi dei log Profilazione degli operatori

Forensics amp Analysis Gestione della base di dati

Reporting Storicizzazione dei dati

Gestione degli incidenti di sicurezza

Supporto di sorgenti di log e messaggi

Deployment e Personalizzazione

Supporto della crittografia

Corso di Alta Formazione in Information Security Management17

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management18

Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali

Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo

Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT

Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM

Analisi Mappatura Processi

Corso di Alta Formazione in Information Security Management19

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management20

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management21

APPLIANCE

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Firewall Di Backbone

Fibra10 Gb 4 P 1

Firewall Periferici Rame100 Mb 15 P 1

VPN Concentrator Fibra10 Gb 2 P 1

Intrusion Prevention Fibra1-10 Gb 6 P 1

Backbone switch Fibra10 Gb 4P 2

Apparati di rete attivi

Varie 600 P 2

Proxy e Web Filter Fibra10 Gb 4 P 1

GW Antivirus e Antispam

Fibra10 Gb 2 P 1

SERVER

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Acces Control Server Rame1 Gb 3 P 1

Server Gestione AV Centralizzato

Rame1 Gb 2 P 1

Web Server Varie 50 P 2

Mail Server Varie 11 P 1

Sistemi Unix Varie 122 P 2

Sistemi Windows Varie 220 P 2

Stima EPS devices P1 gt 3000

Stima EPS devices P2 non effettuata

Analisi Inventario Risorse

Corso di Alta Formazione in Information Security Management22

Cosa egrave un KPI (o Security Metric)

To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure

They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources

(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)

A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload

(Security Metrics Management Kovacich and Halibozek 2006)

A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes

(ISO 27004 2005 Information security metrics and measurements (Draft))

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management23

I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte

I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala

Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management24

Analisi Il modello Why-What-How

Corso di Alta Formazione in Information Security Management25

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management26

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management27

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management28

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management29

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management30

Corso di Alta Formazione in Information Security Management31

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management32

Indagine di mercato Metodologia e Long List

La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007

A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste

Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe

Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete

Corso di Alta Formazione in Information Security Management33

Indagine di mercato Short List (2)

Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor

Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale

ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 8: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management8

Esigenze percepite

bull Agevolare analisi e decisioni nellrsquoambito della gestione della sicurezza (identificare minacce e vulnerabilitagrave gestire gli incidenti di sicurezza supporto al

Management aziendalehellip)

bull Agevolare i processi aziendali di Security Audit ed attivare un monitoring proattivo

bull Avere una visione globale della sicurezza composta di aspetti tecnologici ambientali e risorse umane

bull Contribuire al miglioramento del ldquosistema di gestione della sicurezza delle informazionirdquo

bullldquoMisurarerdquo la sicurezza

Corso di Alta Formazione in Information Security Management9

Agevolare il processo Incident Management

Corso di Alta Formazione in Information Security Management10

I Security KPI

Il fine

bull Rilevazione delle minacce ldquoLivello di Minacciardquo valutazione delle minacce per Asset o per gruppi di

Asset sia in funzione della quantitagrave che gravitagrave

ldquoLivello di Rischiordquo valutazione dellrsquoimpatto delle minacce sugli Asset in funzione della loro rilevanza

bull Rilevazione delle vulnerabilitagrave Identificare le aree drsquointervento per un approccio proattivo alla gestione

della sicurezza

Valutare piugrave efficacemente le minacce tramite la loro correlazione con le vulnerabilitagrave note dellrsquoinfrastruttura (riduzione dei falsi positivi)

bull Verifica dellrsquoefficienza delle contromisure In questo caso i Security KPI esprimono lrsquoefficienza delle contromisure

messe in atto per contrastare le minacce

Corso di Alta Formazione in Information Security Management11

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management12

Le attivitagrave Previste

Definizione e Mappatura KPI

4

Requisiti Cogenti

Requisiti Tecnologici

Definizione Requisiti

1

Analisi

Individuazione procedure

Mappatura processi

Inventario risorse rilevanti

Interviste con i Tecnici di riferimento

Assegnazione prioritagrave ai diversi devices

2

Stima EPS

Individuazione KPI

Scelta Tecnologica

Analisi Gartner MQ ultimi 5 anni

Redazione Long List

Redazione Short List

3

Compilazione ed invio RFI

Valutazione RFI

Definizione Architettura

Corso di Alta Formazione in Information Security Management13

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management14

Requisiti Contesto Normativo

Leggi nazionali ndash tutela dellrsquoutentecittadino ldquoCodice in materia di protezione dei dati personalirdquo dlgs n 196 del 30-06-2003

Allegato B ldquoDisciplinare tecnico in materia di misure minime di sicurezzardquo

ldquoPacchetto sicurezzardquo legge n 155 del 31-07-2005 (Legge Pisanu) obbliga gli operatori Internet ad acquisire e conservare i dati identificativi dei loro clienti e i dati di traffico cioegrave ldquochi ha fatto cosa e quandordquo

Il provvedimento generale del Garante Privacy ldquoSicurezza dei dati di traffico telefonico e telematicordquo del 17-01-2008 in vigore dal 31-10-2008 normativa molto stringente sul piano tecnico e organizzativo che definisce le modalitagrave di trattamento dei dati di traffico telefonico e telematico per finalitagrave di accertamento e repressione dei reati

Normativa di riferimento ndash tutela i dati di business dellrsquoazienda Lo standard internazionale ISO 270012005 che fornisce i requisiti di un ldquosistema

di gestione della sicurezza delle informazionirdquo

Corso di Alta Formazione in Information Security Management15

Funzionalitagrave

bull Gestione degli incidenti di sicurezza

bull Security compliance

bull Security performance

bull Misurazione di Security KPI

Caratteristiche

bull Raccolta

bull Classificazione

bull Analisi e Correlazione

bull Archiviazione

bull Presentazione

Requisiti Infrastruttura Tecnologica

Corso di Alta Formazione in Information Security Management16

Requisiti Sommario

Funzionalitagrave Caratteristiche Tecniche

CaratteristicheNon Tecniche

Definizione dellrsquoambiente gestito

Prestazioni e Scalabilitagrave Soliditagrave del Vendor

Controllo in tempo reale e gestione degli allarmi

Alta Affidabilitagrave Servizio di supporto

Gestione centralizzata degli eventi di sicurezza

Bassa intrusivitagrave

Gestione e analisi dei log Profilazione degli operatori

Forensics amp Analysis Gestione della base di dati

Reporting Storicizzazione dei dati

Gestione degli incidenti di sicurezza

Supporto di sorgenti di log e messaggi

Deployment e Personalizzazione

Supporto della crittografia

Corso di Alta Formazione in Information Security Management17

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management18

Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali

Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo

Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT

Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM

Analisi Mappatura Processi

Corso di Alta Formazione in Information Security Management19

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management20

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management21

APPLIANCE

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Firewall Di Backbone

Fibra10 Gb 4 P 1

Firewall Periferici Rame100 Mb 15 P 1

VPN Concentrator Fibra10 Gb 2 P 1

Intrusion Prevention Fibra1-10 Gb 6 P 1

Backbone switch Fibra10 Gb 4P 2

Apparati di rete attivi

Varie 600 P 2

Proxy e Web Filter Fibra10 Gb 4 P 1

GW Antivirus e Antispam

Fibra10 Gb 2 P 1

SERVER

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Acces Control Server Rame1 Gb 3 P 1

Server Gestione AV Centralizzato

Rame1 Gb 2 P 1

Web Server Varie 50 P 2

Mail Server Varie 11 P 1

Sistemi Unix Varie 122 P 2

Sistemi Windows Varie 220 P 2

Stima EPS devices P1 gt 3000

Stima EPS devices P2 non effettuata

Analisi Inventario Risorse

Corso di Alta Formazione in Information Security Management22

Cosa egrave un KPI (o Security Metric)

To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure

They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources

(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)

A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload

(Security Metrics Management Kovacich and Halibozek 2006)

A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes

(ISO 27004 2005 Information security metrics and measurements (Draft))

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management23

I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte

I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala

Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management24

Analisi Il modello Why-What-How

Corso di Alta Formazione in Information Security Management25

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management26

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management27

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management28

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management29

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management30

Corso di Alta Formazione in Information Security Management31

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management32

Indagine di mercato Metodologia e Long List

La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007

A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste

Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe

Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete

Corso di Alta Formazione in Information Security Management33

Indagine di mercato Short List (2)

Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor

Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale

ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 9: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management9

Agevolare il processo Incident Management

Corso di Alta Formazione in Information Security Management10

I Security KPI

Il fine

bull Rilevazione delle minacce ldquoLivello di Minacciardquo valutazione delle minacce per Asset o per gruppi di

Asset sia in funzione della quantitagrave che gravitagrave

ldquoLivello di Rischiordquo valutazione dellrsquoimpatto delle minacce sugli Asset in funzione della loro rilevanza

bull Rilevazione delle vulnerabilitagrave Identificare le aree drsquointervento per un approccio proattivo alla gestione

della sicurezza

Valutare piugrave efficacemente le minacce tramite la loro correlazione con le vulnerabilitagrave note dellrsquoinfrastruttura (riduzione dei falsi positivi)

bull Verifica dellrsquoefficienza delle contromisure In questo caso i Security KPI esprimono lrsquoefficienza delle contromisure

messe in atto per contrastare le minacce

Corso di Alta Formazione in Information Security Management11

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management12

Le attivitagrave Previste

Definizione e Mappatura KPI

4

Requisiti Cogenti

Requisiti Tecnologici

Definizione Requisiti

1

Analisi

Individuazione procedure

Mappatura processi

Inventario risorse rilevanti

Interviste con i Tecnici di riferimento

Assegnazione prioritagrave ai diversi devices

2

Stima EPS

Individuazione KPI

Scelta Tecnologica

Analisi Gartner MQ ultimi 5 anni

Redazione Long List

Redazione Short List

3

Compilazione ed invio RFI

Valutazione RFI

Definizione Architettura

Corso di Alta Formazione in Information Security Management13

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management14

Requisiti Contesto Normativo

Leggi nazionali ndash tutela dellrsquoutentecittadino ldquoCodice in materia di protezione dei dati personalirdquo dlgs n 196 del 30-06-2003

Allegato B ldquoDisciplinare tecnico in materia di misure minime di sicurezzardquo

ldquoPacchetto sicurezzardquo legge n 155 del 31-07-2005 (Legge Pisanu) obbliga gli operatori Internet ad acquisire e conservare i dati identificativi dei loro clienti e i dati di traffico cioegrave ldquochi ha fatto cosa e quandordquo

Il provvedimento generale del Garante Privacy ldquoSicurezza dei dati di traffico telefonico e telematicordquo del 17-01-2008 in vigore dal 31-10-2008 normativa molto stringente sul piano tecnico e organizzativo che definisce le modalitagrave di trattamento dei dati di traffico telefonico e telematico per finalitagrave di accertamento e repressione dei reati

Normativa di riferimento ndash tutela i dati di business dellrsquoazienda Lo standard internazionale ISO 270012005 che fornisce i requisiti di un ldquosistema

di gestione della sicurezza delle informazionirdquo

Corso di Alta Formazione in Information Security Management15

Funzionalitagrave

bull Gestione degli incidenti di sicurezza

bull Security compliance

bull Security performance

bull Misurazione di Security KPI

Caratteristiche

bull Raccolta

bull Classificazione

bull Analisi e Correlazione

bull Archiviazione

bull Presentazione

Requisiti Infrastruttura Tecnologica

Corso di Alta Formazione in Information Security Management16

Requisiti Sommario

Funzionalitagrave Caratteristiche Tecniche

CaratteristicheNon Tecniche

Definizione dellrsquoambiente gestito

Prestazioni e Scalabilitagrave Soliditagrave del Vendor

Controllo in tempo reale e gestione degli allarmi

Alta Affidabilitagrave Servizio di supporto

Gestione centralizzata degli eventi di sicurezza

Bassa intrusivitagrave

Gestione e analisi dei log Profilazione degli operatori

Forensics amp Analysis Gestione della base di dati

Reporting Storicizzazione dei dati

Gestione degli incidenti di sicurezza

Supporto di sorgenti di log e messaggi

Deployment e Personalizzazione

Supporto della crittografia

Corso di Alta Formazione in Information Security Management17

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management18

Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali

Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo

Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT

Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM

Analisi Mappatura Processi

Corso di Alta Formazione in Information Security Management19

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management20

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management21

APPLIANCE

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Firewall Di Backbone

Fibra10 Gb 4 P 1

Firewall Periferici Rame100 Mb 15 P 1

VPN Concentrator Fibra10 Gb 2 P 1

Intrusion Prevention Fibra1-10 Gb 6 P 1

Backbone switch Fibra10 Gb 4P 2

Apparati di rete attivi

Varie 600 P 2

Proxy e Web Filter Fibra10 Gb 4 P 1

GW Antivirus e Antispam

Fibra10 Gb 2 P 1

SERVER

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Acces Control Server Rame1 Gb 3 P 1

Server Gestione AV Centralizzato

Rame1 Gb 2 P 1

Web Server Varie 50 P 2

Mail Server Varie 11 P 1

Sistemi Unix Varie 122 P 2

Sistemi Windows Varie 220 P 2

Stima EPS devices P1 gt 3000

Stima EPS devices P2 non effettuata

Analisi Inventario Risorse

Corso di Alta Formazione in Information Security Management22

Cosa egrave un KPI (o Security Metric)

To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure

They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources

(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)

A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload

(Security Metrics Management Kovacich and Halibozek 2006)

A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes

(ISO 27004 2005 Information security metrics and measurements (Draft))

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management23

I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte

I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala

Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management24

Analisi Il modello Why-What-How

Corso di Alta Formazione in Information Security Management25

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management26

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management27

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management28

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management29

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management30

Corso di Alta Formazione in Information Security Management31

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management32

Indagine di mercato Metodologia e Long List

La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007

A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste

Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe

Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete

Corso di Alta Formazione in Information Security Management33

Indagine di mercato Short List (2)

Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor

Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale

ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 10: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management10

I Security KPI

Il fine

bull Rilevazione delle minacce ldquoLivello di Minacciardquo valutazione delle minacce per Asset o per gruppi di

Asset sia in funzione della quantitagrave che gravitagrave

ldquoLivello di Rischiordquo valutazione dellrsquoimpatto delle minacce sugli Asset in funzione della loro rilevanza

bull Rilevazione delle vulnerabilitagrave Identificare le aree drsquointervento per un approccio proattivo alla gestione

della sicurezza

Valutare piugrave efficacemente le minacce tramite la loro correlazione con le vulnerabilitagrave note dellrsquoinfrastruttura (riduzione dei falsi positivi)

bull Verifica dellrsquoefficienza delle contromisure In questo caso i Security KPI esprimono lrsquoefficienza delle contromisure

messe in atto per contrastare le minacce

Corso di Alta Formazione in Information Security Management11

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management12

Le attivitagrave Previste

Definizione e Mappatura KPI

4

Requisiti Cogenti

Requisiti Tecnologici

Definizione Requisiti

1

Analisi

Individuazione procedure

Mappatura processi

Inventario risorse rilevanti

Interviste con i Tecnici di riferimento

Assegnazione prioritagrave ai diversi devices

2

Stima EPS

Individuazione KPI

Scelta Tecnologica

Analisi Gartner MQ ultimi 5 anni

Redazione Long List

Redazione Short List

3

Compilazione ed invio RFI

Valutazione RFI

Definizione Architettura

Corso di Alta Formazione in Information Security Management13

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management14

Requisiti Contesto Normativo

Leggi nazionali ndash tutela dellrsquoutentecittadino ldquoCodice in materia di protezione dei dati personalirdquo dlgs n 196 del 30-06-2003

Allegato B ldquoDisciplinare tecnico in materia di misure minime di sicurezzardquo

ldquoPacchetto sicurezzardquo legge n 155 del 31-07-2005 (Legge Pisanu) obbliga gli operatori Internet ad acquisire e conservare i dati identificativi dei loro clienti e i dati di traffico cioegrave ldquochi ha fatto cosa e quandordquo

Il provvedimento generale del Garante Privacy ldquoSicurezza dei dati di traffico telefonico e telematicordquo del 17-01-2008 in vigore dal 31-10-2008 normativa molto stringente sul piano tecnico e organizzativo che definisce le modalitagrave di trattamento dei dati di traffico telefonico e telematico per finalitagrave di accertamento e repressione dei reati

Normativa di riferimento ndash tutela i dati di business dellrsquoazienda Lo standard internazionale ISO 270012005 che fornisce i requisiti di un ldquosistema

di gestione della sicurezza delle informazionirdquo

Corso di Alta Formazione in Information Security Management15

Funzionalitagrave

bull Gestione degli incidenti di sicurezza

bull Security compliance

bull Security performance

bull Misurazione di Security KPI

Caratteristiche

bull Raccolta

bull Classificazione

bull Analisi e Correlazione

bull Archiviazione

bull Presentazione

Requisiti Infrastruttura Tecnologica

Corso di Alta Formazione in Information Security Management16

Requisiti Sommario

Funzionalitagrave Caratteristiche Tecniche

CaratteristicheNon Tecniche

Definizione dellrsquoambiente gestito

Prestazioni e Scalabilitagrave Soliditagrave del Vendor

Controllo in tempo reale e gestione degli allarmi

Alta Affidabilitagrave Servizio di supporto

Gestione centralizzata degli eventi di sicurezza

Bassa intrusivitagrave

Gestione e analisi dei log Profilazione degli operatori

Forensics amp Analysis Gestione della base di dati

Reporting Storicizzazione dei dati

Gestione degli incidenti di sicurezza

Supporto di sorgenti di log e messaggi

Deployment e Personalizzazione

Supporto della crittografia

Corso di Alta Formazione in Information Security Management17

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management18

Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali

Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo

Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT

Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM

Analisi Mappatura Processi

Corso di Alta Formazione in Information Security Management19

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management20

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management21

APPLIANCE

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Firewall Di Backbone

Fibra10 Gb 4 P 1

Firewall Periferici Rame100 Mb 15 P 1

VPN Concentrator Fibra10 Gb 2 P 1

Intrusion Prevention Fibra1-10 Gb 6 P 1

Backbone switch Fibra10 Gb 4P 2

Apparati di rete attivi

Varie 600 P 2

Proxy e Web Filter Fibra10 Gb 4 P 1

GW Antivirus e Antispam

Fibra10 Gb 2 P 1

SERVER

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Acces Control Server Rame1 Gb 3 P 1

Server Gestione AV Centralizzato

Rame1 Gb 2 P 1

Web Server Varie 50 P 2

Mail Server Varie 11 P 1

Sistemi Unix Varie 122 P 2

Sistemi Windows Varie 220 P 2

Stima EPS devices P1 gt 3000

Stima EPS devices P2 non effettuata

Analisi Inventario Risorse

Corso di Alta Formazione in Information Security Management22

Cosa egrave un KPI (o Security Metric)

To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure

They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources

(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)

A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload

(Security Metrics Management Kovacich and Halibozek 2006)

A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes

(ISO 27004 2005 Information security metrics and measurements (Draft))

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management23

I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte

I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala

Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management24

Analisi Il modello Why-What-How

Corso di Alta Formazione in Information Security Management25

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management26

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management27

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management28

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management29

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management30

Corso di Alta Formazione in Information Security Management31

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management32

Indagine di mercato Metodologia e Long List

La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007

A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste

Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe

Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete

Corso di Alta Formazione in Information Security Management33

Indagine di mercato Short List (2)

Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor

Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale

ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 11: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management11

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management12

Le attivitagrave Previste

Definizione e Mappatura KPI

4

Requisiti Cogenti

Requisiti Tecnologici

Definizione Requisiti

1

Analisi

Individuazione procedure

Mappatura processi

Inventario risorse rilevanti

Interviste con i Tecnici di riferimento

Assegnazione prioritagrave ai diversi devices

2

Stima EPS

Individuazione KPI

Scelta Tecnologica

Analisi Gartner MQ ultimi 5 anni

Redazione Long List

Redazione Short List

3

Compilazione ed invio RFI

Valutazione RFI

Definizione Architettura

Corso di Alta Formazione in Information Security Management13

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management14

Requisiti Contesto Normativo

Leggi nazionali ndash tutela dellrsquoutentecittadino ldquoCodice in materia di protezione dei dati personalirdquo dlgs n 196 del 30-06-2003

Allegato B ldquoDisciplinare tecnico in materia di misure minime di sicurezzardquo

ldquoPacchetto sicurezzardquo legge n 155 del 31-07-2005 (Legge Pisanu) obbliga gli operatori Internet ad acquisire e conservare i dati identificativi dei loro clienti e i dati di traffico cioegrave ldquochi ha fatto cosa e quandordquo

Il provvedimento generale del Garante Privacy ldquoSicurezza dei dati di traffico telefonico e telematicordquo del 17-01-2008 in vigore dal 31-10-2008 normativa molto stringente sul piano tecnico e organizzativo che definisce le modalitagrave di trattamento dei dati di traffico telefonico e telematico per finalitagrave di accertamento e repressione dei reati

Normativa di riferimento ndash tutela i dati di business dellrsquoazienda Lo standard internazionale ISO 270012005 che fornisce i requisiti di un ldquosistema

di gestione della sicurezza delle informazionirdquo

Corso di Alta Formazione in Information Security Management15

Funzionalitagrave

bull Gestione degli incidenti di sicurezza

bull Security compliance

bull Security performance

bull Misurazione di Security KPI

Caratteristiche

bull Raccolta

bull Classificazione

bull Analisi e Correlazione

bull Archiviazione

bull Presentazione

Requisiti Infrastruttura Tecnologica

Corso di Alta Formazione in Information Security Management16

Requisiti Sommario

Funzionalitagrave Caratteristiche Tecniche

CaratteristicheNon Tecniche

Definizione dellrsquoambiente gestito

Prestazioni e Scalabilitagrave Soliditagrave del Vendor

Controllo in tempo reale e gestione degli allarmi

Alta Affidabilitagrave Servizio di supporto

Gestione centralizzata degli eventi di sicurezza

Bassa intrusivitagrave

Gestione e analisi dei log Profilazione degli operatori

Forensics amp Analysis Gestione della base di dati

Reporting Storicizzazione dei dati

Gestione degli incidenti di sicurezza

Supporto di sorgenti di log e messaggi

Deployment e Personalizzazione

Supporto della crittografia

Corso di Alta Formazione in Information Security Management17

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management18

Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali

Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo

Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT

Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM

Analisi Mappatura Processi

Corso di Alta Formazione in Information Security Management19

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management20

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management21

APPLIANCE

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Firewall Di Backbone

Fibra10 Gb 4 P 1

Firewall Periferici Rame100 Mb 15 P 1

VPN Concentrator Fibra10 Gb 2 P 1

Intrusion Prevention Fibra1-10 Gb 6 P 1

Backbone switch Fibra10 Gb 4P 2

Apparati di rete attivi

Varie 600 P 2

Proxy e Web Filter Fibra10 Gb 4 P 1

GW Antivirus e Antispam

Fibra10 Gb 2 P 1

SERVER

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Acces Control Server Rame1 Gb 3 P 1

Server Gestione AV Centralizzato

Rame1 Gb 2 P 1

Web Server Varie 50 P 2

Mail Server Varie 11 P 1

Sistemi Unix Varie 122 P 2

Sistemi Windows Varie 220 P 2

Stima EPS devices P1 gt 3000

Stima EPS devices P2 non effettuata

Analisi Inventario Risorse

Corso di Alta Formazione in Information Security Management22

Cosa egrave un KPI (o Security Metric)

To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure

They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources

(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)

A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload

(Security Metrics Management Kovacich and Halibozek 2006)

A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes

(ISO 27004 2005 Information security metrics and measurements (Draft))

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management23

I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte

I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala

Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management24

Analisi Il modello Why-What-How

Corso di Alta Formazione in Information Security Management25

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management26

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management27

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management28

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management29

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management30

Corso di Alta Formazione in Information Security Management31

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management32

Indagine di mercato Metodologia e Long List

La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007

A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste

Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe

Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete

Corso di Alta Formazione in Information Security Management33

Indagine di mercato Short List (2)

Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor

Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale

ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 12: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management12

Le attivitagrave Previste

Definizione e Mappatura KPI

4

Requisiti Cogenti

Requisiti Tecnologici

Definizione Requisiti

1

Analisi

Individuazione procedure

Mappatura processi

Inventario risorse rilevanti

Interviste con i Tecnici di riferimento

Assegnazione prioritagrave ai diversi devices

2

Stima EPS

Individuazione KPI

Scelta Tecnologica

Analisi Gartner MQ ultimi 5 anni

Redazione Long List

Redazione Short List

3

Compilazione ed invio RFI

Valutazione RFI

Definizione Architettura

Corso di Alta Formazione in Information Security Management13

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management14

Requisiti Contesto Normativo

Leggi nazionali ndash tutela dellrsquoutentecittadino ldquoCodice in materia di protezione dei dati personalirdquo dlgs n 196 del 30-06-2003

Allegato B ldquoDisciplinare tecnico in materia di misure minime di sicurezzardquo

ldquoPacchetto sicurezzardquo legge n 155 del 31-07-2005 (Legge Pisanu) obbliga gli operatori Internet ad acquisire e conservare i dati identificativi dei loro clienti e i dati di traffico cioegrave ldquochi ha fatto cosa e quandordquo

Il provvedimento generale del Garante Privacy ldquoSicurezza dei dati di traffico telefonico e telematicordquo del 17-01-2008 in vigore dal 31-10-2008 normativa molto stringente sul piano tecnico e organizzativo che definisce le modalitagrave di trattamento dei dati di traffico telefonico e telematico per finalitagrave di accertamento e repressione dei reati

Normativa di riferimento ndash tutela i dati di business dellrsquoazienda Lo standard internazionale ISO 270012005 che fornisce i requisiti di un ldquosistema

di gestione della sicurezza delle informazionirdquo

Corso di Alta Formazione in Information Security Management15

Funzionalitagrave

bull Gestione degli incidenti di sicurezza

bull Security compliance

bull Security performance

bull Misurazione di Security KPI

Caratteristiche

bull Raccolta

bull Classificazione

bull Analisi e Correlazione

bull Archiviazione

bull Presentazione

Requisiti Infrastruttura Tecnologica

Corso di Alta Formazione in Information Security Management16

Requisiti Sommario

Funzionalitagrave Caratteristiche Tecniche

CaratteristicheNon Tecniche

Definizione dellrsquoambiente gestito

Prestazioni e Scalabilitagrave Soliditagrave del Vendor

Controllo in tempo reale e gestione degli allarmi

Alta Affidabilitagrave Servizio di supporto

Gestione centralizzata degli eventi di sicurezza

Bassa intrusivitagrave

Gestione e analisi dei log Profilazione degli operatori

Forensics amp Analysis Gestione della base di dati

Reporting Storicizzazione dei dati

Gestione degli incidenti di sicurezza

Supporto di sorgenti di log e messaggi

Deployment e Personalizzazione

Supporto della crittografia

Corso di Alta Formazione in Information Security Management17

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management18

Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali

Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo

Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT

Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM

Analisi Mappatura Processi

Corso di Alta Formazione in Information Security Management19

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management20

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management21

APPLIANCE

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Firewall Di Backbone

Fibra10 Gb 4 P 1

Firewall Periferici Rame100 Mb 15 P 1

VPN Concentrator Fibra10 Gb 2 P 1

Intrusion Prevention Fibra1-10 Gb 6 P 1

Backbone switch Fibra10 Gb 4P 2

Apparati di rete attivi

Varie 600 P 2

Proxy e Web Filter Fibra10 Gb 4 P 1

GW Antivirus e Antispam

Fibra10 Gb 2 P 1

SERVER

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Acces Control Server Rame1 Gb 3 P 1

Server Gestione AV Centralizzato

Rame1 Gb 2 P 1

Web Server Varie 50 P 2

Mail Server Varie 11 P 1

Sistemi Unix Varie 122 P 2

Sistemi Windows Varie 220 P 2

Stima EPS devices P1 gt 3000

Stima EPS devices P2 non effettuata

Analisi Inventario Risorse

Corso di Alta Formazione in Information Security Management22

Cosa egrave un KPI (o Security Metric)

To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure

They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources

(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)

A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload

(Security Metrics Management Kovacich and Halibozek 2006)

A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes

(ISO 27004 2005 Information security metrics and measurements (Draft))

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management23

I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte

I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala

Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management24

Analisi Il modello Why-What-How

Corso di Alta Formazione in Information Security Management25

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management26

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management27

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management28

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management29

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management30

Corso di Alta Formazione in Information Security Management31

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management32

Indagine di mercato Metodologia e Long List

La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007

A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste

Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe

Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete

Corso di Alta Formazione in Information Security Management33

Indagine di mercato Short List (2)

Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor

Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale

ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 13: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management13

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management14

Requisiti Contesto Normativo

Leggi nazionali ndash tutela dellrsquoutentecittadino ldquoCodice in materia di protezione dei dati personalirdquo dlgs n 196 del 30-06-2003

Allegato B ldquoDisciplinare tecnico in materia di misure minime di sicurezzardquo

ldquoPacchetto sicurezzardquo legge n 155 del 31-07-2005 (Legge Pisanu) obbliga gli operatori Internet ad acquisire e conservare i dati identificativi dei loro clienti e i dati di traffico cioegrave ldquochi ha fatto cosa e quandordquo

Il provvedimento generale del Garante Privacy ldquoSicurezza dei dati di traffico telefonico e telematicordquo del 17-01-2008 in vigore dal 31-10-2008 normativa molto stringente sul piano tecnico e organizzativo che definisce le modalitagrave di trattamento dei dati di traffico telefonico e telematico per finalitagrave di accertamento e repressione dei reati

Normativa di riferimento ndash tutela i dati di business dellrsquoazienda Lo standard internazionale ISO 270012005 che fornisce i requisiti di un ldquosistema

di gestione della sicurezza delle informazionirdquo

Corso di Alta Formazione in Information Security Management15

Funzionalitagrave

bull Gestione degli incidenti di sicurezza

bull Security compliance

bull Security performance

bull Misurazione di Security KPI

Caratteristiche

bull Raccolta

bull Classificazione

bull Analisi e Correlazione

bull Archiviazione

bull Presentazione

Requisiti Infrastruttura Tecnologica

Corso di Alta Formazione in Information Security Management16

Requisiti Sommario

Funzionalitagrave Caratteristiche Tecniche

CaratteristicheNon Tecniche

Definizione dellrsquoambiente gestito

Prestazioni e Scalabilitagrave Soliditagrave del Vendor

Controllo in tempo reale e gestione degli allarmi

Alta Affidabilitagrave Servizio di supporto

Gestione centralizzata degli eventi di sicurezza

Bassa intrusivitagrave

Gestione e analisi dei log Profilazione degli operatori

Forensics amp Analysis Gestione della base di dati

Reporting Storicizzazione dei dati

Gestione degli incidenti di sicurezza

Supporto di sorgenti di log e messaggi

Deployment e Personalizzazione

Supporto della crittografia

Corso di Alta Formazione in Information Security Management17

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management18

Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali

Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo

Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT

Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM

Analisi Mappatura Processi

Corso di Alta Formazione in Information Security Management19

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management20

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management21

APPLIANCE

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Firewall Di Backbone

Fibra10 Gb 4 P 1

Firewall Periferici Rame100 Mb 15 P 1

VPN Concentrator Fibra10 Gb 2 P 1

Intrusion Prevention Fibra1-10 Gb 6 P 1

Backbone switch Fibra10 Gb 4P 2

Apparati di rete attivi

Varie 600 P 2

Proxy e Web Filter Fibra10 Gb 4 P 1

GW Antivirus e Antispam

Fibra10 Gb 2 P 1

SERVER

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Acces Control Server Rame1 Gb 3 P 1

Server Gestione AV Centralizzato

Rame1 Gb 2 P 1

Web Server Varie 50 P 2

Mail Server Varie 11 P 1

Sistemi Unix Varie 122 P 2

Sistemi Windows Varie 220 P 2

Stima EPS devices P1 gt 3000

Stima EPS devices P2 non effettuata

Analisi Inventario Risorse

Corso di Alta Formazione in Information Security Management22

Cosa egrave un KPI (o Security Metric)

To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure

They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources

(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)

A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload

(Security Metrics Management Kovacich and Halibozek 2006)

A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes

(ISO 27004 2005 Information security metrics and measurements (Draft))

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management23

I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte

I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala

Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management24

Analisi Il modello Why-What-How

Corso di Alta Formazione in Information Security Management25

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management26

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management27

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management28

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management29

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management30

Corso di Alta Formazione in Information Security Management31

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management32

Indagine di mercato Metodologia e Long List

La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007

A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste

Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe

Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete

Corso di Alta Formazione in Information Security Management33

Indagine di mercato Short List (2)

Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor

Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale

ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 14: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management14

Requisiti Contesto Normativo

Leggi nazionali ndash tutela dellrsquoutentecittadino ldquoCodice in materia di protezione dei dati personalirdquo dlgs n 196 del 30-06-2003

Allegato B ldquoDisciplinare tecnico in materia di misure minime di sicurezzardquo

ldquoPacchetto sicurezzardquo legge n 155 del 31-07-2005 (Legge Pisanu) obbliga gli operatori Internet ad acquisire e conservare i dati identificativi dei loro clienti e i dati di traffico cioegrave ldquochi ha fatto cosa e quandordquo

Il provvedimento generale del Garante Privacy ldquoSicurezza dei dati di traffico telefonico e telematicordquo del 17-01-2008 in vigore dal 31-10-2008 normativa molto stringente sul piano tecnico e organizzativo che definisce le modalitagrave di trattamento dei dati di traffico telefonico e telematico per finalitagrave di accertamento e repressione dei reati

Normativa di riferimento ndash tutela i dati di business dellrsquoazienda Lo standard internazionale ISO 270012005 che fornisce i requisiti di un ldquosistema

di gestione della sicurezza delle informazionirdquo

Corso di Alta Formazione in Information Security Management15

Funzionalitagrave

bull Gestione degli incidenti di sicurezza

bull Security compliance

bull Security performance

bull Misurazione di Security KPI

Caratteristiche

bull Raccolta

bull Classificazione

bull Analisi e Correlazione

bull Archiviazione

bull Presentazione

Requisiti Infrastruttura Tecnologica

Corso di Alta Formazione in Information Security Management16

Requisiti Sommario

Funzionalitagrave Caratteristiche Tecniche

CaratteristicheNon Tecniche

Definizione dellrsquoambiente gestito

Prestazioni e Scalabilitagrave Soliditagrave del Vendor

Controllo in tempo reale e gestione degli allarmi

Alta Affidabilitagrave Servizio di supporto

Gestione centralizzata degli eventi di sicurezza

Bassa intrusivitagrave

Gestione e analisi dei log Profilazione degli operatori

Forensics amp Analysis Gestione della base di dati

Reporting Storicizzazione dei dati

Gestione degli incidenti di sicurezza

Supporto di sorgenti di log e messaggi

Deployment e Personalizzazione

Supporto della crittografia

Corso di Alta Formazione in Information Security Management17

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management18

Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali

Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo

Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT

Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM

Analisi Mappatura Processi

Corso di Alta Formazione in Information Security Management19

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management20

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management21

APPLIANCE

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Firewall Di Backbone

Fibra10 Gb 4 P 1

Firewall Periferici Rame100 Mb 15 P 1

VPN Concentrator Fibra10 Gb 2 P 1

Intrusion Prevention Fibra1-10 Gb 6 P 1

Backbone switch Fibra10 Gb 4P 2

Apparati di rete attivi

Varie 600 P 2

Proxy e Web Filter Fibra10 Gb 4 P 1

GW Antivirus e Antispam

Fibra10 Gb 2 P 1

SERVER

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Acces Control Server Rame1 Gb 3 P 1

Server Gestione AV Centralizzato

Rame1 Gb 2 P 1

Web Server Varie 50 P 2

Mail Server Varie 11 P 1

Sistemi Unix Varie 122 P 2

Sistemi Windows Varie 220 P 2

Stima EPS devices P1 gt 3000

Stima EPS devices P2 non effettuata

Analisi Inventario Risorse

Corso di Alta Formazione in Information Security Management22

Cosa egrave un KPI (o Security Metric)

To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure

They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources

(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)

A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload

(Security Metrics Management Kovacich and Halibozek 2006)

A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes

(ISO 27004 2005 Information security metrics and measurements (Draft))

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management23

I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte

I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala

Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management24

Analisi Il modello Why-What-How

Corso di Alta Formazione in Information Security Management25

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management26

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management27

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management28

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management29

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management30

Corso di Alta Formazione in Information Security Management31

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management32

Indagine di mercato Metodologia e Long List

La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007

A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste

Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe

Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete

Corso di Alta Formazione in Information Security Management33

Indagine di mercato Short List (2)

Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor

Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale

ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 15: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management15

Funzionalitagrave

bull Gestione degli incidenti di sicurezza

bull Security compliance

bull Security performance

bull Misurazione di Security KPI

Caratteristiche

bull Raccolta

bull Classificazione

bull Analisi e Correlazione

bull Archiviazione

bull Presentazione

Requisiti Infrastruttura Tecnologica

Corso di Alta Formazione in Information Security Management16

Requisiti Sommario

Funzionalitagrave Caratteristiche Tecniche

CaratteristicheNon Tecniche

Definizione dellrsquoambiente gestito

Prestazioni e Scalabilitagrave Soliditagrave del Vendor

Controllo in tempo reale e gestione degli allarmi

Alta Affidabilitagrave Servizio di supporto

Gestione centralizzata degli eventi di sicurezza

Bassa intrusivitagrave

Gestione e analisi dei log Profilazione degli operatori

Forensics amp Analysis Gestione della base di dati

Reporting Storicizzazione dei dati

Gestione degli incidenti di sicurezza

Supporto di sorgenti di log e messaggi

Deployment e Personalizzazione

Supporto della crittografia

Corso di Alta Formazione in Information Security Management17

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management18

Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali

Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo

Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT

Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM

Analisi Mappatura Processi

Corso di Alta Formazione in Information Security Management19

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management20

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management21

APPLIANCE

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Firewall Di Backbone

Fibra10 Gb 4 P 1

Firewall Periferici Rame100 Mb 15 P 1

VPN Concentrator Fibra10 Gb 2 P 1

Intrusion Prevention Fibra1-10 Gb 6 P 1

Backbone switch Fibra10 Gb 4P 2

Apparati di rete attivi

Varie 600 P 2

Proxy e Web Filter Fibra10 Gb 4 P 1

GW Antivirus e Antispam

Fibra10 Gb 2 P 1

SERVER

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Acces Control Server Rame1 Gb 3 P 1

Server Gestione AV Centralizzato

Rame1 Gb 2 P 1

Web Server Varie 50 P 2

Mail Server Varie 11 P 1

Sistemi Unix Varie 122 P 2

Sistemi Windows Varie 220 P 2

Stima EPS devices P1 gt 3000

Stima EPS devices P2 non effettuata

Analisi Inventario Risorse

Corso di Alta Formazione in Information Security Management22

Cosa egrave un KPI (o Security Metric)

To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure

They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources

(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)

A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload

(Security Metrics Management Kovacich and Halibozek 2006)

A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes

(ISO 27004 2005 Information security metrics and measurements (Draft))

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management23

I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte

I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala

Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management24

Analisi Il modello Why-What-How

Corso di Alta Formazione in Information Security Management25

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management26

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management27

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management28

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management29

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management30

Corso di Alta Formazione in Information Security Management31

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management32

Indagine di mercato Metodologia e Long List

La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007

A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste

Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe

Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete

Corso di Alta Formazione in Information Security Management33

Indagine di mercato Short List (2)

Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor

Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale

ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 16: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management16

Requisiti Sommario

Funzionalitagrave Caratteristiche Tecniche

CaratteristicheNon Tecniche

Definizione dellrsquoambiente gestito

Prestazioni e Scalabilitagrave Soliditagrave del Vendor

Controllo in tempo reale e gestione degli allarmi

Alta Affidabilitagrave Servizio di supporto

Gestione centralizzata degli eventi di sicurezza

Bassa intrusivitagrave

Gestione e analisi dei log Profilazione degli operatori

Forensics amp Analysis Gestione della base di dati

Reporting Storicizzazione dei dati

Gestione degli incidenti di sicurezza

Supporto di sorgenti di log e messaggi

Deployment e Personalizzazione

Supporto della crittografia

Corso di Alta Formazione in Information Security Management17

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management18

Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali

Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo

Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT

Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM

Analisi Mappatura Processi

Corso di Alta Formazione in Information Security Management19

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management20

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management21

APPLIANCE

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Firewall Di Backbone

Fibra10 Gb 4 P 1

Firewall Periferici Rame100 Mb 15 P 1

VPN Concentrator Fibra10 Gb 2 P 1

Intrusion Prevention Fibra1-10 Gb 6 P 1

Backbone switch Fibra10 Gb 4P 2

Apparati di rete attivi

Varie 600 P 2

Proxy e Web Filter Fibra10 Gb 4 P 1

GW Antivirus e Antispam

Fibra10 Gb 2 P 1

SERVER

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Acces Control Server Rame1 Gb 3 P 1

Server Gestione AV Centralizzato

Rame1 Gb 2 P 1

Web Server Varie 50 P 2

Mail Server Varie 11 P 1

Sistemi Unix Varie 122 P 2

Sistemi Windows Varie 220 P 2

Stima EPS devices P1 gt 3000

Stima EPS devices P2 non effettuata

Analisi Inventario Risorse

Corso di Alta Formazione in Information Security Management22

Cosa egrave un KPI (o Security Metric)

To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure

They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources

(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)

A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload

(Security Metrics Management Kovacich and Halibozek 2006)

A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes

(ISO 27004 2005 Information security metrics and measurements (Draft))

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management23

I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte

I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala

Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management24

Analisi Il modello Why-What-How

Corso di Alta Formazione in Information Security Management25

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management26

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management27

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management28

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management29

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management30

Corso di Alta Formazione in Information Security Management31

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management32

Indagine di mercato Metodologia e Long List

La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007

A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste

Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe

Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete

Corso di Alta Formazione in Information Security Management33

Indagine di mercato Short List (2)

Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor

Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale

ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 17: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management17

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management18

Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali

Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo

Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT

Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM

Analisi Mappatura Processi

Corso di Alta Formazione in Information Security Management19

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management20

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management21

APPLIANCE

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Firewall Di Backbone

Fibra10 Gb 4 P 1

Firewall Periferici Rame100 Mb 15 P 1

VPN Concentrator Fibra10 Gb 2 P 1

Intrusion Prevention Fibra1-10 Gb 6 P 1

Backbone switch Fibra10 Gb 4P 2

Apparati di rete attivi

Varie 600 P 2

Proxy e Web Filter Fibra10 Gb 4 P 1

GW Antivirus e Antispam

Fibra10 Gb 2 P 1

SERVER

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Acces Control Server Rame1 Gb 3 P 1

Server Gestione AV Centralizzato

Rame1 Gb 2 P 1

Web Server Varie 50 P 2

Mail Server Varie 11 P 1

Sistemi Unix Varie 122 P 2

Sistemi Windows Varie 220 P 2

Stima EPS devices P1 gt 3000

Stima EPS devices P2 non effettuata

Analisi Inventario Risorse

Corso di Alta Formazione in Information Security Management22

Cosa egrave un KPI (o Security Metric)

To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure

They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources

(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)

A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload

(Security Metrics Management Kovacich and Halibozek 2006)

A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes

(ISO 27004 2005 Information security metrics and measurements (Draft))

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management23

I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte

I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala

Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management24

Analisi Il modello Why-What-How

Corso di Alta Formazione in Information Security Management25

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management26

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management27

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management28

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management29

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management30

Corso di Alta Formazione in Information Security Management31

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management32

Indagine di mercato Metodologia e Long List

La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007

A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste

Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe

Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete

Corso di Alta Formazione in Information Security Management33

Indagine di mercato Short List (2)

Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor

Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale

ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 18: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management18

Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali

Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo

Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT

Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM

Analisi Mappatura Processi

Corso di Alta Formazione in Information Security Management19

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management20

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management21

APPLIANCE

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Firewall Di Backbone

Fibra10 Gb 4 P 1

Firewall Periferici Rame100 Mb 15 P 1

VPN Concentrator Fibra10 Gb 2 P 1

Intrusion Prevention Fibra1-10 Gb 6 P 1

Backbone switch Fibra10 Gb 4P 2

Apparati di rete attivi

Varie 600 P 2

Proxy e Web Filter Fibra10 Gb 4 P 1

GW Antivirus e Antispam

Fibra10 Gb 2 P 1

SERVER

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Acces Control Server Rame1 Gb 3 P 1

Server Gestione AV Centralizzato

Rame1 Gb 2 P 1

Web Server Varie 50 P 2

Mail Server Varie 11 P 1

Sistemi Unix Varie 122 P 2

Sistemi Windows Varie 220 P 2

Stima EPS devices P1 gt 3000

Stima EPS devices P2 non effettuata

Analisi Inventario Risorse

Corso di Alta Formazione in Information Security Management22

Cosa egrave un KPI (o Security Metric)

To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure

They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources

(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)

A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload

(Security Metrics Management Kovacich and Halibozek 2006)

A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes

(ISO 27004 2005 Information security metrics and measurements (Draft))

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management23

I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte

I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala

Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management24

Analisi Il modello Why-What-How

Corso di Alta Formazione in Information Security Management25

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management26

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management27

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management28

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management29

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management30

Corso di Alta Formazione in Information Security Management31

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management32

Indagine di mercato Metodologia e Long List

La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007

A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste

Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe

Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete

Corso di Alta Formazione in Information Security Management33

Indagine di mercato Short List (2)

Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor

Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale

ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 19: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management19

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management20

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management21

APPLIANCE

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Firewall Di Backbone

Fibra10 Gb 4 P 1

Firewall Periferici Rame100 Mb 15 P 1

VPN Concentrator Fibra10 Gb 2 P 1

Intrusion Prevention Fibra1-10 Gb 6 P 1

Backbone switch Fibra10 Gb 4P 2

Apparati di rete attivi

Varie 600 P 2

Proxy e Web Filter Fibra10 Gb 4 P 1

GW Antivirus e Antispam

Fibra10 Gb 2 P 1

SERVER

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Acces Control Server Rame1 Gb 3 P 1

Server Gestione AV Centralizzato

Rame1 Gb 2 P 1

Web Server Varie 50 P 2

Mail Server Varie 11 P 1

Sistemi Unix Varie 122 P 2

Sistemi Windows Varie 220 P 2

Stima EPS devices P1 gt 3000

Stima EPS devices P2 non effettuata

Analisi Inventario Risorse

Corso di Alta Formazione in Information Security Management22

Cosa egrave un KPI (o Security Metric)

To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure

They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources

(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)

A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload

(Security Metrics Management Kovacich and Halibozek 2006)

A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes

(ISO 27004 2005 Information security metrics and measurements (Draft))

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management23

I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte

I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala

Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management24

Analisi Il modello Why-What-How

Corso di Alta Formazione in Information Security Management25

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management26

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management27

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management28

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management29

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management30

Corso di Alta Formazione in Information Security Management31

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management32

Indagine di mercato Metodologia e Long List

La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007

A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste

Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe

Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete

Corso di Alta Formazione in Information Security Management33

Indagine di mercato Short List (2)

Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor

Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale

ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 20: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management20

Analisi Processo di Security Monitoring

Corso di Alta Formazione in Information Security Management21

APPLIANCE

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Firewall Di Backbone

Fibra10 Gb 4 P 1

Firewall Periferici Rame100 Mb 15 P 1

VPN Concentrator Fibra10 Gb 2 P 1

Intrusion Prevention Fibra1-10 Gb 6 P 1

Backbone switch Fibra10 Gb 4P 2

Apparati di rete attivi

Varie 600 P 2

Proxy e Web Filter Fibra10 Gb 4 P 1

GW Antivirus e Antispam

Fibra10 Gb 2 P 1

SERVER

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Acces Control Server Rame1 Gb 3 P 1

Server Gestione AV Centralizzato

Rame1 Gb 2 P 1

Web Server Varie 50 P 2

Mail Server Varie 11 P 1

Sistemi Unix Varie 122 P 2

Sistemi Windows Varie 220 P 2

Stima EPS devices P1 gt 3000

Stima EPS devices P2 non effettuata

Analisi Inventario Risorse

Corso di Alta Formazione in Information Security Management22

Cosa egrave un KPI (o Security Metric)

To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure

They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources

(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)

A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload

(Security Metrics Management Kovacich and Halibozek 2006)

A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes

(ISO 27004 2005 Information security metrics and measurements (Draft))

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management23

I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte

I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala

Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management24

Analisi Il modello Why-What-How

Corso di Alta Formazione in Information Security Management25

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management26

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management27

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management28

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management29

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management30

Corso di Alta Formazione in Information Security Management31

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management32

Indagine di mercato Metodologia e Long List

La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007

A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste

Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe

Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete

Corso di Alta Formazione in Information Security Management33

Indagine di mercato Short List (2)

Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor

Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale

ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 21: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management21

APPLIANCE

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Firewall Di Backbone

Fibra10 Gb 4 P 1

Firewall Periferici Rame100 Mb 15 P 1

VPN Concentrator Fibra10 Gb 2 P 1

Intrusion Prevention Fibra1-10 Gb 6 P 1

Backbone switch Fibra10 Gb 4P 2

Apparati di rete attivi

Varie 600 P 2

Proxy e Web Filter Fibra10 Gb 4 P 1

GW Antivirus e Antispam

Fibra10 Gb 2 P 1

SERVER

Tipo di SorgenteTipologia

ConnessioneQtagrave

Prioritagrave(1-2)

Acces Control Server Rame1 Gb 3 P 1

Server Gestione AV Centralizzato

Rame1 Gb 2 P 1

Web Server Varie 50 P 2

Mail Server Varie 11 P 1

Sistemi Unix Varie 122 P 2

Sistemi Windows Varie 220 P 2

Stima EPS devices P1 gt 3000

Stima EPS devices P2 non effettuata

Analisi Inventario Risorse

Corso di Alta Formazione in Information Security Management22

Cosa egrave un KPI (o Security Metric)

To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure

They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources

(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)

A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload

(Security Metrics Management Kovacich and Halibozek 2006)

A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes

(ISO 27004 2005 Information security metrics and measurements (Draft))

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management23

I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte

I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala

Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management24

Analisi Il modello Why-What-How

Corso di Alta Formazione in Information Security Management25

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management26

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management27

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management28

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management29

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management30

Corso di Alta Formazione in Information Security Management31

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management32

Indagine di mercato Metodologia e Long List

La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007

A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste

Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe

Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete

Corso di Alta Formazione in Information Security Management33

Indagine di mercato Short List (2)

Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor

Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale

ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 22: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management22

Cosa egrave un KPI (o Security Metric)

To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure

They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources

(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)

A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload

(Security Metrics Management Kovacich and Halibozek 2006)

A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes

(ISO 27004 2005 Information security metrics and measurements (Draft))

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management23

I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte

I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala

Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management24

Analisi Il modello Why-What-How

Corso di Alta Formazione in Information Security Management25

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management26

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management27

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management28

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management29

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management30

Corso di Alta Formazione in Information Security Management31

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management32

Indagine di mercato Metodologia e Long List

La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007

A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste

Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe

Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete

Corso di Alta Formazione in Information Security Management33

Indagine di mercato Short List (2)

Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor

Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale

ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 23: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management23

I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte

I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala

Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management24

Analisi Il modello Why-What-How

Corso di Alta Formazione in Information Security Management25

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management26

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management27

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management28

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management29

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management30

Corso di Alta Formazione in Information Security Management31

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management32

Indagine di mercato Metodologia e Long List

La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007

A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste

Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe

Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete

Corso di Alta Formazione in Information Security Management33

Indagine di mercato Short List (2)

Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor

Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale

ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 24: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management24

Analisi Il modello Why-What-How

Corso di Alta Formazione in Information Security Management25

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management26

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management27

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management28

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management29

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management30

Corso di Alta Formazione in Information Security Management31

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management32

Indagine di mercato Metodologia e Long List

La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007

A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste

Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe

Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete

Corso di Alta Formazione in Information Security Management33

Indagine di mercato Short List (2)

Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor

Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale

ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 25: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management25

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management26

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management27

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management28

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management29

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management30

Corso di Alta Formazione in Information Security Management31

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management32

Indagine di mercato Metodologia e Long List

La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007

A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste

Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe

Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete

Corso di Alta Formazione in Information Security Management33

Indagine di mercato Short List (2)

Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor

Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale

ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 26: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management26

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management27

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management28

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management29

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management30

Corso di Alta Formazione in Information Security Management31

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management32

Indagine di mercato Metodologia e Long List

La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007

A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste

Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe

Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete

Corso di Alta Formazione in Information Security Management33

Indagine di mercato Short List (2)

Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor

Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale

ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 27: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management27

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management28

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management29

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management30

Corso di Alta Formazione in Information Security Management31

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management32

Indagine di mercato Metodologia e Long List

La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007

A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste

Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe

Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete

Corso di Alta Formazione in Information Security Management33

Indagine di mercato Short List (2)

Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor

Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale

ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 28: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management28

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management29

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management30

Corso di Alta Formazione in Information Security Management31

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management32

Indagine di mercato Metodologia e Long List

La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007

A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste

Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe

Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete

Corso di Alta Formazione in Information Security Management33

Indagine di mercato Short List (2)

Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor

Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale

ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 29: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management29

Analisi Individuazione KPI

Corso di Alta Formazione in Information Security Management30

Corso di Alta Formazione in Information Security Management31

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management32

Indagine di mercato Metodologia e Long List

La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007

A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste

Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe

Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete

Corso di Alta Formazione in Information Security Management33

Indagine di mercato Short List (2)

Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor

Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale

ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 30: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management30

Corso di Alta Formazione in Information Security Management31

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management32

Indagine di mercato Metodologia e Long List

La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007

A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste

Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe

Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete

Corso di Alta Formazione in Information Security Management33

Indagine di mercato Short List (2)

Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor

Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale

ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 31: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management31

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management32

Indagine di mercato Metodologia e Long List

La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007

A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste

Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe

Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete

Corso di Alta Formazione in Information Security Management33

Indagine di mercato Short List (2)

Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor

Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale

ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 32: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management32

Indagine di mercato Metodologia e Long List

La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007

A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste

Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe

Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete

Corso di Alta Formazione in Information Security Management33

Indagine di mercato Short List (2)

Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor

Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale

ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 33: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management33

Indagine di mercato Short List (2)

Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor

Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale

ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 34: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management34

Indagine di mercato Short List (2)

NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based

RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 35: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management35

Request for Information Il modello

Requested functionality or characteristics

Functionalities

Setup of the managed environment Real time security analisys and alerting

Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling

Technical characteristics

Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration

Other characteristics

Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service

Type of Security Devices

Vendor Model Utilization Note Standard or custom support

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 36: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management36

Request for Information Il metodo di calcolo

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave

Requested functionality or characteristicsPeso(1-3)

RSA enVisionnetForensics nFX

SIM|One

Note

Valutazne (0-3) Valutazne (0-3)

Functionalities

Technical characteristics

Other characteristics

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 37: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management37

Agenda

Il Contesto di riferimento

Esigenze

Obiettivi del PW

Il Progetto

Definizione requisiti

Analisi

Scelta Tecnologica

Definizione e mappatura KPI

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 38: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management38

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 39: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management39

Definizione e Mappatura KPI

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 40: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management40

Definizione e Mappatura KPI

Board CISO IT managers IT staffInformation

security staff

Communicate with business

Identify and manage risk

Measure performance

Demonstrate compliance

Measure controls

Justifyvalue information security

Manage information security

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon

Page 41: Last Pw Siem 2

Corso di Alta Formazione in Information Security Management41

Domande

DomandeAra F طFالCب Italian أيFJة bicم

ΕρωτήσειςGreek

iquestPreguntasSpanish

вопросыRussian

10508611050861Japanese

QuestionsEnglish

tupoQghachmeyKlingon