Last Pw Siem 2
-
Upload
pierluigi-sartori -
Category
Technology
-
view
1.473 -
download
4
description
Transcript of Last Pw Siem 2
Corso di Alta Formazione in Information Security ManagementMilano Novembre 2007 ndash Luglio 2008Milano Novembre 2007 ndash Luglio 2008
Con il patrocinio di Con il patrocinio di In collaborazione con In collaborazione con
Pierluigi Sartori Simone Fortin Luca Andreoli
Stefano Testoni
Milanondash 23 maggio 2008
Realizzazione di una piattaforma SIEM(Security Information and Event Management)
Corso di Alta Formazione in Information Security Management2
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management3
La Societagrave
Costituita nel 1983 su iniziativa della Provincia Autonoma di Trentino e di altri Enti pubblici del Trentino
La compagine azionaria 51366 Provincia Autonoma di Trento 39710 Tecnofin Trentina Spa 1720 Regione Autonoma
Trentino-Alto Adige 1243 Comune di Trento 1243 CCIAA di Trento 0393 Comune di Rovereto 4323 suddiviso tra gli 11 Comprensori
Alcuni dati al 31122007 Valore della Produzione oltre 48 milioni di Euro Numero dipendenti 273
Corso di Alta Formazione in Information Security Management4
La dimensione
TelpatScuole122 Siti
APSS122 Siti
Universitagrave50 Siti
Biblioteche173 Siti
PAT265 Siti
223 ComuniOltre 300 Siti
INFORMATICATRENTINA
Corso di Alta Formazione in Information Security Management5
Situazione legata al monitoraggio
bull Security SLA - Il contesto di business aziendale pone precise responsabilitagrave nei confronti dei Clienti in merito ai servizi telematici erogati
bull Prevenzione - Il governo della sicurezza necessita di processi aziendali supportati da strumenti per avere anche un approccio preventivo
bull Reazione - la gestione degli incidenti di sicurezza egrave unrsquoattivitagrave tecnicamente complessa e onerosa in termini di competenze e tempo necessario
Corso di Alta Formazione in Information Security Management6
Ruolo Funzione Sicurezza
Dal Piano diSicurezza Aziendale
bull misura efficaciaefficienza delle contromisure
Comunicabull livelli di rischio
Comunicabull orientamento
tecnico e procedurale
Direzioni aziendali(Risorse Umane Business Unit Tecnologie)
Assets
Processi
Management
Board
Funzione SicurezzaFunzione Sicurezza
Informazioni
Corso di Alta Formazione in Information Security Management7
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management8
Esigenze percepite
bull Agevolare analisi e decisioni nellrsquoambito della gestione della sicurezza (identificare minacce e vulnerabilitagrave gestire gli incidenti di sicurezza supporto al
Management aziendalehellip)
bull Agevolare i processi aziendali di Security Audit ed attivare un monitoring proattivo
bull Avere una visione globale della sicurezza composta di aspetti tecnologici ambientali e risorse umane
bull Contribuire al miglioramento del ldquosistema di gestione della sicurezza delle informazionirdquo
bullldquoMisurarerdquo la sicurezza
Corso di Alta Formazione in Information Security Management9
Agevolare il processo Incident Management
Corso di Alta Formazione in Information Security Management10
I Security KPI
Il fine
bull Rilevazione delle minacce ldquoLivello di Minacciardquo valutazione delle minacce per Asset o per gruppi di
Asset sia in funzione della quantitagrave che gravitagrave
ldquoLivello di Rischiordquo valutazione dellrsquoimpatto delle minacce sugli Asset in funzione della loro rilevanza
bull Rilevazione delle vulnerabilitagrave Identificare le aree drsquointervento per un approccio proattivo alla gestione
della sicurezza
Valutare piugrave efficacemente le minacce tramite la loro correlazione con le vulnerabilitagrave note dellrsquoinfrastruttura (riduzione dei falsi positivi)
bull Verifica dellrsquoefficienza delle contromisure In questo caso i Security KPI esprimono lrsquoefficienza delle contromisure
messe in atto per contrastare le minacce
Corso di Alta Formazione in Information Security Management11
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management12
Le attivitagrave Previste
Definizione e Mappatura KPI
4
Requisiti Cogenti
Requisiti Tecnologici
Definizione Requisiti
1
Analisi
Individuazione procedure
Mappatura processi
Inventario risorse rilevanti
Interviste con i Tecnici di riferimento
Assegnazione prioritagrave ai diversi devices
2
Stima EPS
Individuazione KPI
Scelta Tecnologica
Analisi Gartner MQ ultimi 5 anni
Redazione Long List
Redazione Short List
3
Compilazione ed invio RFI
Valutazione RFI
Definizione Architettura
Corso di Alta Formazione in Information Security Management13
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management14
Requisiti Contesto Normativo
Leggi nazionali ndash tutela dellrsquoutentecittadino ldquoCodice in materia di protezione dei dati personalirdquo dlgs n 196 del 30-06-2003
Allegato B ldquoDisciplinare tecnico in materia di misure minime di sicurezzardquo
ldquoPacchetto sicurezzardquo legge n 155 del 31-07-2005 (Legge Pisanu) obbliga gli operatori Internet ad acquisire e conservare i dati identificativi dei loro clienti e i dati di traffico cioegrave ldquochi ha fatto cosa e quandordquo
Il provvedimento generale del Garante Privacy ldquoSicurezza dei dati di traffico telefonico e telematicordquo del 17-01-2008 in vigore dal 31-10-2008 normativa molto stringente sul piano tecnico e organizzativo che definisce le modalitagrave di trattamento dei dati di traffico telefonico e telematico per finalitagrave di accertamento e repressione dei reati
Normativa di riferimento ndash tutela i dati di business dellrsquoazienda Lo standard internazionale ISO 270012005 che fornisce i requisiti di un ldquosistema
di gestione della sicurezza delle informazionirdquo
Corso di Alta Formazione in Information Security Management15
Funzionalitagrave
bull Gestione degli incidenti di sicurezza
bull Security compliance
bull Security performance
bull Misurazione di Security KPI
Caratteristiche
bull Raccolta
bull Classificazione
bull Analisi e Correlazione
bull Archiviazione
bull Presentazione
Requisiti Infrastruttura Tecnologica
Corso di Alta Formazione in Information Security Management16
Requisiti Sommario
Funzionalitagrave Caratteristiche Tecniche
CaratteristicheNon Tecniche
Definizione dellrsquoambiente gestito
Prestazioni e Scalabilitagrave Soliditagrave del Vendor
Controllo in tempo reale e gestione degli allarmi
Alta Affidabilitagrave Servizio di supporto
Gestione centralizzata degli eventi di sicurezza
Bassa intrusivitagrave
Gestione e analisi dei log Profilazione degli operatori
Forensics amp Analysis Gestione della base di dati
Reporting Storicizzazione dei dati
Gestione degli incidenti di sicurezza
Supporto di sorgenti di log e messaggi
Deployment e Personalizzazione
Supporto della crittografia
Corso di Alta Formazione in Information Security Management17
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management18
Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali
Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo
Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT
Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM
Analisi Mappatura Processi
Corso di Alta Formazione in Information Security Management19
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management20
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management21
APPLIANCE
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Firewall Di Backbone
Fibra10 Gb 4 P 1
Firewall Periferici Rame100 Mb 15 P 1
VPN Concentrator Fibra10 Gb 2 P 1
Intrusion Prevention Fibra1-10 Gb 6 P 1
Backbone switch Fibra10 Gb 4P 2
Apparati di rete attivi
Varie 600 P 2
Proxy e Web Filter Fibra10 Gb 4 P 1
GW Antivirus e Antispam
Fibra10 Gb 2 P 1
SERVER
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Acces Control Server Rame1 Gb 3 P 1
Server Gestione AV Centralizzato
Rame1 Gb 2 P 1
Web Server Varie 50 P 2
Mail Server Varie 11 P 1
Sistemi Unix Varie 122 P 2
Sistemi Windows Varie 220 P 2
Stima EPS devices P1 gt 3000
Stima EPS devices P2 non effettuata
Analisi Inventario Risorse
Corso di Alta Formazione in Information Security Management22
Cosa egrave un KPI (o Security Metric)
To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure
They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources
(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)
A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload
(Security Metrics Management Kovacich and Halibozek 2006)
A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes
(ISO 27004 2005 Information security metrics and measurements (Draft))
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management23
I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte
I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala
Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management24
Analisi Il modello Why-What-How
Corso di Alta Formazione in Information Security Management25
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management26
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management27
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management28
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management29
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management30
Corso di Alta Formazione in Information Security Management31
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management32
Indagine di mercato Metodologia e Long List
La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007
A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste
Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe
Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete
Corso di Alta Formazione in Information Security Management33
Indagine di mercato Short List (2)
Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor
Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale
ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management2
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management3
La Societagrave
Costituita nel 1983 su iniziativa della Provincia Autonoma di Trentino e di altri Enti pubblici del Trentino
La compagine azionaria 51366 Provincia Autonoma di Trento 39710 Tecnofin Trentina Spa 1720 Regione Autonoma
Trentino-Alto Adige 1243 Comune di Trento 1243 CCIAA di Trento 0393 Comune di Rovereto 4323 suddiviso tra gli 11 Comprensori
Alcuni dati al 31122007 Valore della Produzione oltre 48 milioni di Euro Numero dipendenti 273
Corso di Alta Formazione in Information Security Management4
La dimensione
TelpatScuole122 Siti
APSS122 Siti
Universitagrave50 Siti
Biblioteche173 Siti
PAT265 Siti
223 ComuniOltre 300 Siti
INFORMATICATRENTINA
Corso di Alta Formazione in Information Security Management5
Situazione legata al monitoraggio
bull Security SLA - Il contesto di business aziendale pone precise responsabilitagrave nei confronti dei Clienti in merito ai servizi telematici erogati
bull Prevenzione - Il governo della sicurezza necessita di processi aziendali supportati da strumenti per avere anche un approccio preventivo
bull Reazione - la gestione degli incidenti di sicurezza egrave unrsquoattivitagrave tecnicamente complessa e onerosa in termini di competenze e tempo necessario
Corso di Alta Formazione in Information Security Management6
Ruolo Funzione Sicurezza
Dal Piano diSicurezza Aziendale
bull misura efficaciaefficienza delle contromisure
Comunicabull livelli di rischio
Comunicabull orientamento
tecnico e procedurale
Direzioni aziendali(Risorse Umane Business Unit Tecnologie)
Assets
Processi
Management
Board
Funzione SicurezzaFunzione Sicurezza
Informazioni
Corso di Alta Formazione in Information Security Management7
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management8
Esigenze percepite
bull Agevolare analisi e decisioni nellrsquoambito della gestione della sicurezza (identificare minacce e vulnerabilitagrave gestire gli incidenti di sicurezza supporto al
Management aziendalehellip)
bull Agevolare i processi aziendali di Security Audit ed attivare un monitoring proattivo
bull Avere una visione globale della sicurezza composta di aspetti tecnologici ambientali e risorse umane
bull Contribuire al miglioramento del ldquosistema di gestione della sicurezza delle informazionirdquo
bullldquoMisurarerdquo la sicurezza
Corso di Alta Formazione in Information Security Management9
Agevolare il processo Incident Management
Corso di Alta Formazione in Information Security Management10
I Security KPI
Il fine
bull Rilevazione delle minacce ldquoLivello di Minacciardquo valutazione delle minacce per Asset o per gruppi di
Asset sia in funzione della quantitagrave che gravitagrave
ldquoLivello di Rischiordquo valutazione dellrsquoimpatto delle minacce sugli Asset in funzione della loro rilevanza
bull Rilevazione delle vulnerabilitagrave Identificare le aree drsquointervento per un approccio proattivo alla gestione
della sicurezza
Valutare piugrave efficacemente le minacce tramite la loro correlazione con le vulnerabilitagrave note dellrsquoinfrastruttura (riduzione dei falsi positivi)
bull Verifica dellrsquoefficienza delle contromisure In questo caso i Security KPI esprimono lrsquoefficienza delle contromisure
messe in atto per contrastare le minacce
Corso di Alta Formazione in Information Security Management11
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management12
Le attivitagrave Previste
Definizione e Mappatura KPI
4
Requisiti Cogenti
Requisiti Tecnologici
Definizione Requisiti
1
Analisi
Individuazione procedure
Mappatura processi
Inventario risorse rilevanti
Interviste con i Tecnici di riferimento
Assegnazione prioritagrave ai diversi devices
2
Stima EPS
Individuazione KPI
Scelta Tecnologica
Analisi Gartner MQ ultimi 5 anni
Redazione Long List
Redazione Short List
3
Compilazione ed invio RFI
Valutazione RFI
Definizione Architettura
Corso di Alta Formazione in Information Security Management13
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management14
Requisiti Contesto Normativo
Leggi nazionali ndash tutela dellrsquoutentecittadino ldquoCodice in materia di protezione dei dati personalirdquo dlgs n 196 del 30-06-2003
Allegato B ldquoDisciplinare tecnico in materia di misure minime di sicurezzardquo
ldquoPacchetto sicurezzardquo legge n 155 del 31-07-2005 (Legge Pisanu) obbliga gli operatori Internet ad acquisire e conservare i dati identificativi dei loro clienti e i dati di traffico cioegrave ldquochi ha fatto cosa e quandordquo
Il provvedimento generale del Garante Privacy ldquoSicurezza dei dati di traffico telefonico e telematicordquo del 17-01-2008 in vigore dal 31-10-2008 normativa molto stringente sul piano tecnico e organizzativo che definisce le modalitagrave di trattamento dei dati di traffico telefonico e telematico per finalitagrave di accertamento e repressione dei reati
Normativa di riferimento ndash tutela i dati di business dellrsquoazienda Lo standard internazionale ISO 270012005 che fornisce i requisiti di un ldquosistema
di gestione della sicurezza delle informazionirdquo
Corso di Alta Formazione in Information Security Management15
Funzionalitagrave
bull Gestione degli incidenti di sicurezza
bull Security compliance
bull Security performance
bull Misurazione di Security KPI
Caratteristiche
bull Raccolta
bull Classificazione
bull Analisi e Correlazione
bull Archiviazione
bull Presentazione
Requisiti Infrastruttura Tecnologica
Corso di Alta Formazione in Information Security Management16
Requisiti Sommario
Funzionalitagrave Caratteristiche Tecniche
CaratteristicheNon Tecniche
Definizione dellrsquoambiente gestito
Prestazioni e Scalabilitagrave Soliditagrave del Vendor
Controllo in tempo reale e gestione degli allarmi
Alta Affidabilitagrave Servizio di supporto
Gestione centralizzata degli eventi di sicurezza
Bassa intrusivitagrave
Gestione e analisi dei log Profilazione degli operatori
Forensics amp Analysis Gestione della base di dati
Reporting Storicizzazione dei dati
Gestione degli incidenti di sicurezza
Supporto di sorgenti di log e messaggi
Deployment e Personalizzazione
Supporto della crittografia
Corso di Alta Formazione in Information Security Management17
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management18
Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali
Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo
Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT
Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM
Analisi Mappatura Processi
Corso di Alta Formazione in Information Security Management19
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management20
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management21
APPLIANCE
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Firewall Di Backbone
Fibra10 Gb 4 P 1
Firewall Periferici Rame100 Mb 15 P 1
VPN Concentrator Fibra10 Gb 2 P 1
Intrusion Prevention Fibra1-10 Gb 6 P 1
Backbone switch Fibra10 Gb 4P 2
Apparati di rete attivi
Varie 600 P 2
Proxy e Web Filter Fibra10 Gb 4 P 1
GW Antivirus e Antispam
Fibra10 Gb 2 P 1
SERVER
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Acces Control Server Rame1 Gb 3 P 1
Server Gestione AV Centralizzato
Rame1 Gb 2 P 1
Web Server Varie 50 P 2
Mail Server Varie 11 P 1
Sistemi Unix Varie 122 P 2
Sistemi Windows Varie 220 P 2
Stima EPS devices P1 gt 3000
Stima EPS devices P2 non effettuata
Analisi Inventario Risorse
Corso di Alta Formazione in Information Security Management22
Cosa egrave un KPI (o Security Metric)
To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure
They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources
(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)
A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload
(Security Metrics Management Kovacich and Halibozek 2006)
A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes
(ISO 27004 2005 Information security metrics and measurements (Draft))
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management23
I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte
I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala
Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management24
Analisi Il modello Why-What-How
Corso di Alta Formazione in Information Security Management25
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management26
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management27
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management28
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management29
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management30
Corso di Alta Formazione in Information Security Management31
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management32
Indagine di mercato Metodologia e Long List
La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007
A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste
Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe
Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete
Corso di Alta Formazione in Information Security Management33
Indagine di mercato Short List (2)
Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor
Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale
ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management3
La Societagrave
Costituita nel 1983 su iniziativa della Provincia Autonoma di Trentino e di altri Enti pubblici del Trentino
La compagine azionaria 51366 Provincia Autonoma di Trento 39710 Tecnofin Trentina Spa 1720 Regione Autonoma
Trentino-Alto Adige 1243 Comune di Trento 1243 CCIAA di Trento 0393 Comune di Rovereto 4323 suddiviso tra gli 11 Comprensori
Alcuni dati al 31122007 Valore della Produzione oltre 48 milioni di Euro Numero dipendenti 273
Corso di Alta Formazione in Information Security Management4
La dimensione
TelpatScuole122 Siti
APSS122 Siti
Universitagrave50 Siti
Biblioteche173 Siti
PAT265 Siti
223 ComuniOltre 300 Siti
INFORMATICATRENTINA
Corso di Alta Formazione in Information Security Management5
Situazione legata al monitoraggio
bull Security SLA - Il contesto di business aziendale pone precise responsabilitagrave nei confronti dei Clienti in merito ai servizi telematici erogati
bull Prevenzione - Il governo della sicurezza necessita di processi aziendali supportati da strumenti per avere anche un approccio preventivo
bull Reazione - la gestione degli incidenti di sicurezza egrave unrsquoattivitagrave tecnicamente complessa e onerosa in termini di competenze e tempo necessario
Corso di Alta Formazione in Information Security Management6
Ruolo Funzione Sicurezza
Dal Piano diSicurezza Aziendale
bull misura efficaciaefficienza delle contromisure
Comunicabull livelli di rischio
Comunicabull orientamento
tecnico e procedurale
Direzioni aziendali(Risorse Umane Business Unit Tecnologie)
Assets
Processi
Management
Board
Funzione SicurezzaFunzione Sicurezza
Informazioni
Corso di Alta Formazione in Information Security Management7
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management8
Esigenze percepite
bull Agevolare analisi e decisioni nellrsquoambito della gestione della sicurezza (identificare minacce e vulnerabilitagrave gestire gli incidenti di sicurezza supporto al
Management aziendalehellip)
bull Agevolare i processi aziendali di Security Audit ed attivare un monitoring proattivo
bull Avere una visione globale della sicurezza composta di aspetti tecnologici ambientali e risorse umane
bull Contribuire al miglioramento del ldquosistema di gestione della sicurezza delle informazionirdquo
bullldquoMisurarerdquo la sicurezza
Corso di Alta Formazione in Information Security Management9
Agevolare il processo Incident Management
Corso di Alta Formazione in Information Security Management10
I Security KPI
Il fine
bull Rilevazione delle minacce ldquoLivello di Minacciardquo valutazione delle minacce per Asset o per gruppi di
Asset sia in funzione della quantitagrave che gravitagrave
ldquoLivello di Rischiordquo valutazione dellrsquoimpatto delle minacce sugli Asset in funzione della loro rilevanza
bull Rilevazione delle vulnerabilitagrave Identificare le aree drsquointervento per un approccio proattivo alla gestione
della sicurezza
Valutare piugrave efficacemente le minacce tramite la loro correlazione con le vulnerabilitagrave note dellrsquoinfrastruttura (riduzione dei falsi positivi)
bull Verifica dellrsquoefficienza delle contromisure In questo caso i Security KPI esprimono lrsquoefficienza delle contromisure
messe in atto per contrastare le minacce
Corso di Alta Formazione in Information Security Management11
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management12
Le attivitagrave Previste
Definizione e Mappatura KPI
4
Requisiti Cogenti
Requisiti Tecnologici
Definizione Requisiti
1
Analisi
Individuazione procedure
Mappatura processi
Inventario risorse rilevanti
Interviste con i Tecnici di riferimento
Assegnazione prioritagrave ai diversi devices
2
Stima EPS
Individuazione KPI
Scelta Tecnologica
Analisi Gartner MQ ultimi 5 anni
Redazione Long List
Redazione Short List
3
Compilazione ed invio RFI
Valutazione RFI
Definizione Architettura
Corso di Alta Formazione in Information Security Management13
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management14
Requisiti Contesto Normativo
Leggi nazionali ndash tutela dellrsquoutentecittadino ldquoCodice in materia di protezione dei dati personalirdquo dlgs n 196 del 30-06-2003
Allegato B ldquoDisciplinare tecnico in materia di misure minime di sicurezzardquo
ldquoPacchetto sicurezzardquo legge n 155 del 31-07-2005 (Legge Pisanu) obbliga gli operatori Internet ad acquisire e conservare i dati identificativi dei loro clienti e i dati di traffico cioegrave ldquochi ha fatto cosa e quandordquo
Il provvedimento generale del Garante Privacy ldquoSicurezza dei dati di traffico telefonico e telematicordquo del 17-01-2008 in vigore dal 31-10-2008 normativa molto stringente sul piano tecnico e organizzativo che definisce le modalitagrave di trattamento dei dati di traffico telefonico e telematico per finalitagrave di accertamento e repressione dei reati
Normativa di riferimento ndash tutela i dati di business dellrsquoazienda Lo standard internazionale ISO 270012005 che fornisce i requisiti di un ldquosistema
di gestione della sicurezza delle informazionirdquo
Corso di Alta Formazione in Information Security Management15
Funzionalitagrave
bull Gestione degli incidenti di sicurezza
bull Security compliance
bull Security performance
bull Misurazione di Security KPI
Caratteristiche
bull Raccolta
bull Classificazione
bull Analisi e Correlazione
bull Archiviazione
bull Presentazione
Requisiti Infrastruttura Tecnologica
Corso di Alta Formazione in Information Security Management16
Requisiti Sommario
Funzionalitagrave Caratteristiche Tecniche
CaratteristicheNon Tecniche
Definizione dellrsquoambiente gestito
Prestazioni e Scalabilitagrave Soliditagrave del Vendor
Controllo in tempo reale e gestione degli allarmi
Alta Affidabilitagrave Servizio di supporto
Gestione centralizzata degli eventi di sicurezza
Bassa intrusivitagrave
Gestione e analisi dei log Profilazione degli operatori
Forensics amp Analysis Gestione della base di dati
Reporting Storicizzazione dei dati
Gestione degli incidenti di sicurezza
Supporto di sorgenti di log e messaggi
Deployment e Personalizzazione
Supporto della crittografia
Corso di Alta Formazione in Information Security Management17
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management18
Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali
Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo
Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT
Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM
Analisi Mappatura Processi
Corso di Alta Formazione in Information Security Management19
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management20
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management21
APPLIANCE
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Firewall Di Backbone
Fibra10 Gb 4 P 1
Firewall Periferici Rame100 Mb 15 P 1
VPN Concentrator Fibra10 Gb 2 P 1
Intrusion Prevention Fibra1-10 Gb 6 P 1
Backbone switch Fibra10 Gb 4P 2
Apparati di rete attivi
Varie 600 P 2
Proxy e Web Filter Fibra10 Gb 4 P 1
GW Antivirus e Antispam
Fibra10 Gb 2 P 1
SERVER
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Acces Control Server Rame1 Gb 3 P 1
Server Gestione AV Centralizzato
Rame1 Gb 2 P 1
Web Server Varie 50 P 2
Mail Server Varie 11 P 1
Sistemi Unix Varie 122 P 2
Sistemi Windows Varie 220 P 2
Stima EPS devices P1 gt 3000
Stima EPS devices P2 non effettuata
Analisi Inventario Risorse
Corso di Alta Formazione in Information Security Management22
Cosa egrave un KPI (o Security Metric)
To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure
They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources
(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)
A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload
(Security Metrics Management Kovacich and Halibozek 2006)
A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes
(ISO 27004 2005 Information security metrics and measurements (Draft))
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management23
I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte
I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala
Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management24
Analisi Il modello Why-What-How
Corso di Alta Formazione in Information Security Management25
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management26
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management27
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management28
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management29
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management30
Corso di Alta Formazione in Information Security Management31
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management32
Indagine di mercato Metodologia e Long List
La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007
A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste
Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe
Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete
Corso di Alta Formazione in Information Security Management33
Indagine di mercato Short List (2)
Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor
Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale
ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management4
La dimensione
TelpatScuole122 Siti
APSS122 Siti
Universitagrave50 Siti
Biblioteche173 Siti
PAT265 Siti
223 ComuniOltre 300 Siti
INFORMATICATRENTINA
Corso di Alta Formazione in Information Security Management5
Situazione legata al monitoraggio
bull Security SLA - Il contesto di business aziendale pone precise responsabilitagrave nei confronti dei Clienti in merito ai servizi telematici erogati
bull Prevenzione - Il governo della sicurezza necessita di processi aziendali supportati da strumenti per avere anche un approccio preventivo
bull Reazione - la gestione degli incidenti di sicurezza egrave unrsquoattivitagrave tecnicamente complessa e onerosa in termini di competenze e tempo necessario
Corso di Alta Formazione in Information Security Management6
Ruolo Funzione Sicurezza
Dal Piano diSicurezza Aziendale
bull misura efficaciaefficienza delle contromisure
Comunicabull livelli di rischio
Comunicabull orientamento
tecnico e procedurale
Direzioni aziendali(Risorse Umane Business Unit Tecnologie)
Assets
Processi
Management
Board
Funzione SicurezzaFunzione Sicurezza
Informazioni
Corso di Alta Formazione in Information Security Management7
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management8
Esigenze percepite
bull Agevolare analisi e decisioni nellrsquoambito della gestione della sicurezza (identificare minacce e vulnerabilitagrave gestire gli incidenti di sicurezza supporto al
Management aziendalehellip)
bull Agevolare i processi aziendali di Security Audit ed attivare un monitoring proattivo
bull Avere una visione globale della sicurezza composta di aspetti tecnologici ambientali e risorse umane
bull Contribuire al miglioramento del ldquosistema di gestione della sicurezza delle informazionirdquo
bullldquoMisurarerdquo la sicurezza
Corso di Alta Formazione in Information Security Management9
Agevolare il processo Incident Management
Corso di Alta Formazione in Information Security Management10
I Security KPI
Il fine
bull Rilevazione delle minacce ldquoLivello di Minacciardquo valutazione delle minacce per Asset o per gruppi di
Asset sia in funzione della quantitagrave che gravitagrave
ldquoLivello di Rischiordquo valutazione dellrsquoimpatto delle minacce sugli Asset in funzione della loro rilevanza
bull Rilevazione delle vulnerabilitagrave Identificare le aree drsquointervento per un approccio proattivo alla gestione
della sicurezza
Valutare piugrave efficacemente le minacce tramite la loro correlazione con le vulnerabilitagrave note dellrsquoinfrastruttura (riduzione dei falsi positivi)
bull Verifica dellrsquoefficienza delle contromisure In questo caso i Security KPI esprimono lrsquoefficienza delle contromisure
messe in atto per contrastare le minacce
Corso di Alta Formazione in Information Security Management11
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management12
Le attivitagrave Previste
Definizione e Mappatura KPI
4
Requisiti Cogenti
Requisiti Tecnologici
Definizione Requisiti
1
Analisi
Individuazione procedure
Mappatura processi
Inventario risorse rilevanti
Interviste con i Tecnici di riferimento
Assegnazione prioritagrave ai diversi devices
2
Stima EPS
Individuazione KPI
Scelta Tecnologica
Analisi Gartner MQ ultimi 5 anni
Redazione Long List
Redazione Short List
3
Compilazione ed invio RFI
Valutazione RFI
Definizione Architettura
Corso di Alta Formazione in Information Security Management13
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management14
Requisiti Contesto Normativo
Leggi nazionali ndash tutela dellrsquoutentecittadino ldquoCodice in materia di protezione dei dati personalirdquo dlgs n 196 del 30-06-2003
Allegato B ldquoDisciplinare tecnico in materia di misure minime di sicurezzardquo
ldquoPacchetto sicurezzardquo legge n 155 del 31-07-2005 (Legge Pisanu) obbliga gli operatori Internet ad acquisire e conservare i dati identificativi dei loro clienti e i dati di traffico cioegrave ldquochi ha fatto cosa e quandordquo
Il provvedimento generale del Garante Privacy ldquoSicurezza dei dati di traffico telefonico e telematicordquo del 17-01-2008 in vigore dal 31-10-2008 normativa molto stringente sul piano tecnico e organizzativo che definisce le modalitagrave di trattamento dei dati di traffico telefonico e telematico per finalitagrave di accertamento e repressione dei reati
Normativa di riferimento ndash tutela i dati di business dellrsquoazienda Lo standard internazionale ISO 270012005 che fornisce i requisiti di un ldquosistema
di gestione della sicurezza delle informazionirdquo
Corso di Alta Formazione in Information Security Management15
Funzionalitagrave
bull Gestione degli incidenti di sicurezza
bull Security compliance
bull Security performance
bull Misurazione di Security KPI
Caratteristiche
bull Raccolta
bull Classificazione
bull Analisi e Correlazione
bull Archiviazione
bull Presentazione
Requisiti Infrastruttura Tecnologica
Corso di Alta Formazione in Information Security Management16
Requisiti Sommario
Funzionalitagrave Caratteristiche Tecniche
CaratteristicheNon Tecniche
Definizione dellrsquoambiente gestito
Prestazioni e Scalabilitagrave Soliditagrave del Vendor
Controllo in tempo reale e gestione degli allarmi
Alta Affidabilitagrave Servizio di supporto
Gestione centralizzata degli eventi di sicurezza
Bassa intrusivitagrave
Gestione e analisi dei log Profilazione degli operatori
Forensics amp Analysis Gestione della base di dati
Reporting Storicizzazione dei dati
Gestione degli incidenti di sicurezza
Supporto di sorgenti di log e messaggi
Deployment e Personalizzazione
Supporto della crittografia
Corso di Alta Formazione in Information Security Management17
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management18
Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali
Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo
Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT
Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM
Analisi Mappatura Processi
Corso di Alta Formazione in Information Security Management19
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management20
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management21
APPLIANCE
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Firewall Di Backbone
Fibra10 Gb 4 P 1
Firewall Periferici Rame100 Mb 15 P 1
VPN Concentrator Fibra10 Gb 2 P 1
Intrusion Prevention Fibra1-10 Gb 6 P 1
Backbone switch Fibra10 Gb 4P 2
Apparati di rete attivi
Varie 600 P 2
Proxy e Web Filter Fibra10 Gb 4 P 1
GW Antivirus e Antispam
Fibra10 Gb 2 P 1
SERVER
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Acces Control Server Rame1 Gb 3 P 1
Server Gestione AV Centralizzato
Rame1 Gb 2 P 1
Web Server Varie 50 P 2
Mail Server Varie 11 P 1
Sistemi Unix Varie 122 P 2
Sistemi Windows Varie 220 P 2
Stima EPS devices P1 gt 3000
Stima EPS devices P2 non effettuata
Analisi Inventario Risorse
Corso di Alta Formazione in Information Security Management22
Cosa egrave un KPI (o Security Metric)
To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure
They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources
(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)
A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload
(Security Metrics Management Kovacich and Halibozek 2006)
A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes
(ISO 27004 2005 Information security metrics and measurements (Draft))
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management23
I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte
I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala
Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management24
Analisi Il modello Why-What-How
Corso di Alta Formazione in Information Security Management25
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management26
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management27
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management28
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management29
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management30
Corso di Alta Formazione in Information Security Management31
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management32
Indagine di mercato Metodologia e Long List
La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007
A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste
Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe
Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete
Corso di Alta Formazione in Information Security Management33
Indagine di mercato Short List (2)
Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor
Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale
ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management5
Situazione legata al monitoraggio
bull Security SLA - Il contesto di business aziendale pone precise responsabilitagrave nei confronti dei Clienti in merito ai servizi telematici erogati
bull Prevenzione - Il governo della sicurezza necessita di processi aziendali supportati da strumenti per avere anche un approccio preventivo
bull Reazione - la gestione degli incidenti di sicurezza egrave unrsquoattivitagrave tecnicamente complessa e onerosa in termini di competenze e tempo necessario
Corso di Alta Formazione in Information Security Management6
Ruolo Funzione Sicurezza
Dal Piano diSicurezza Aziendale
bull misura efficaciaefficienza delle contromisure
Comunicabull livelli di rischio
Comunicabull orientamento
tecnico e procedurale
Direzioni aziendali(Risorse Umane Business Unit Tecnologie)
Assets
Processi
Management
Board
Funzione SicurezzaFunzione Sicurezza
Informazioni
Corso di Alta Formazione in Information Security Management7
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management8
Esigenze percepite
bull Agevolare analisi e decisioni nellrsquoambito della gestione della sicurezza (identificare minacce e vulnerabilitagrave gestire gli incidenti di sicurezza supporto al
Management aziendalehellip)
bull Agevolare i processi aziendali di Security Audit ed attivare un monitoring proattivo
bull Avere una visione globale della sicurezza composta di aspetti tecnologici ambientali e risorse umane
bull Contribuire al miglioramento del ldquosistema di gestione della sicurezza delle informazionirdquo
bullldquoMisurarerdquo la sicurezza
Corso di Alta Formazione in Information Security Management9
Agevolare il processo Incident Management
Corso di Alta Formazione in Information Security Management10
I Security KPI
Il fine
bull Rilevazione delle minacce ldquoLivello di Minacciardquo valutazione delle minacce per Asset o per gruppi di
Asset sia in funzione della quantitagrave che gravitagrave
ldquoLivello di Rischiordquo valutazione dellrsquoimpatto delle minacce sugli Asset in funzione della loro rilevanza
bull Rilevazione delle vulnerabilitagrave Identificare le aree drsquointervento per un approccio proattivo alla gestione
della sicurezza
Valutare piugrave efficacemente le minacce tramite la loro correlazione con le vulnerabilitagrave note dellrsquoinfrastruttura (riduzione dei falsi positivi)
bull Verifica dellrsquoefficienza delle contromisure In questo caso i Security KPI esprimono lrsquoefficienza delle contromisure
messe in atto per contrastare le minacce
Corso di Alta Formazione in Information Security Management11
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management12
Le attivitagrave Previste
Definizione e Mappatura KPI
4
Requisiti Cogenti
Requisiti Tecnologici
Definizione Requisiti
1
Analisi
Individuazione procedure
Mappatura processi
Inventario risorse rilevanti
Interviste con i Tecnici di riferimento
Assegnazione prioritagrave ai diversi devices
2
Stima EPS
Individuazione KPI
Scelta Tecnologica
Analisi Gartner MQ ultimi 5 anni
Redazione Long List
Redazione Short List
3
Compilazione ed invio RFI
Valutazione RFI
Definizione Architettura
Corso di Alta Formazione in Information Security Management13
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management14
Requisiti Contesto Normativo
Leggi nazionali ndash tutela dellrsquoutentecittadino ldquoCodice in materia di protezione dei dati personalirdquo dlgs n 196 del 30-06-2003
Allegato B ldquoDisciplinare tecnico in materia di misure minime di sicurezzardquo
ldquoPacchetto sicurezzardquo legge n 155 del 31-07-2005 (Legge Pisanu) obbliga gli operatori Internet ad acquisire e conservare i dati identificativi dei loro clienti e i dati di traffico cioegrave ldquochi ha fatto cosa e quandordquo
Il provvedimento generale del Garante Privacy ldquoSicurezza dei dati di traffico telefonico e telematicordquo del 17-01-2008 in vigore dal 31-10-2008 normativa molto stringente sul piano tecnico e organizzativo che definisce le modalitagrave di trattamento dei dati di traffico telefonico e telematico per finalitagrave di accertamento e repressione dei reati
Normativa di riferimento ndash tutela i dati di business dellrsquoazienda Lo standard internazionale ISO 270012005 che fornisce i requisiti di un ldquosistema
di gestione della sicurezza delle informazionirdquo
Corso di Alta Formazione in Information Security Management15
Funzionalitagrave
bull Gestione degli incidenti di sicurezza
bull Security compliance
bull Security performance
bull Misurazione di Security KPI
Caratteristiche
bull Raccolta
bull Classificazione
bull Analisi e Correlazione
bull Archiviazione
bull Presentazione
Requisiti Infrastruttura Tecnologica
Corso di Alta Formazione in Information Security Management16
Requisiti Sommario
Funzionalitagrave Caratteristiche Tecniche
CaratteristicheNon Tecniche
Definizione dellrsquoambiente gestito
Prestazioni e Scalabilitagrave Soliditagrave del Vendor
Controllo in tempo reale e gestione degli allarmi
Alta Affidabilitagrave Servizio di supporto
Gestione centralizzata degli eventi di sicurezza
Bassa intrusivitagrave
Gestione e analisi dei log Profilazione degli operatori
Forensics amp Analysis Gestione della base di dati
Reporting Storicizzazione dei dati
Gestione degli incidenti di sicurezza
Supporto di sorgenti di log e messaggi
Deployment e Personalizzazione
Supporto della crittografia
Corso di Alta Formazione in Information Security Management17
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management18
Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali
Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo
Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT
Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM
Analisi Mappatura Processi
Corso di Alta Formazione in Information Security Management19
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management20
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management21
APPLIANCE
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Firewall Di Backbone
Fibra10 Gb 4 P 1
Firewall Periferici Rame100 Mb 15 P 1
VPN Concentrator Fibra10 Gb 2 P 1
Intrusion Prevention Fibra1-10 Gb 6 P 1
Backbone switch Fibra10 Gb 4P 2
Apparati di rete attivi
Varie 600 P 2
Proxy e Web Filter Fibra10 Gb 4 P 1
GW Antivirus e Antispam
Fibra10 Gb 2 P 1
SERVER
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Acces Control Server Rame1 Gb 3 P 1
Server Gestione AV Centralizzato
Rame1 Gb 2 P 1
Web Server Varie 50 P 2
Mail Server Varie 11 P 1
Sistemi Unix Varie 122 P 2
Sistemi Windows Varie 220 P 2
Stima EPS devices P1 gt 3000
Stima EPS devices P2 non effettuata
Analisi Inventario Risorse
Corso di Alta Formazione in Information Security Management22
Cosa egrave un KPI (o Security Metric)
To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure
They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources
(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)
A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload
(Security Metrics Management Kovacich and Halibozek 2006)
A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes
(ISO 27004 2005 Information security metrics and measurements (Draft))
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management23
I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte
I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala
Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management24
Analisi Il modello Why-What-How
Corso di Alta Formazione in Information Security Management25
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management26
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management27
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management28
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management29
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management30
Corso di Alta Formazione in Information Security Management31
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management32
Indagine di mercato Metodologia e Long List
La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007
A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste
Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe
Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete
Corso di Alta Formazione in Information Security Management33
Indagine di mercato Short List (2)
Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor
Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale
ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management6
Ruolo Funzione Sicurezza
Dal Piano diSicurezza Aziendale
bull misura efficaciaefficienza delle contromisure
Comunicabull livelli di rischio
Comunicabull orientamento
tecnico e procedurale
Direzioni aziendali(Risorse Umane Business Unit Tecnologie)
Assets
Processi
Management
Board
Funzione SicurezzaFunzione Sicurezza
Informazioni
Corso di Alta Formazione in Information Security Management7
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management8
Esigenze percepite
bull Agevolare analisi e decisioni nellrsquoambito della gestione della sicurezza (identificare minacce e vulnerabilitagrave gestire gli incidenti di sicurezza supporto al
Management aziendalehellip)
bull Agevolare i processi aziendali di Security Audit ed attivare un monitoring proattivo
bull Avere una visione globale della sicurezza composta di aspetti tecnologici ambientali e risorse umane
bull Contribuire al miglioramento del ldquosistema di gestione della sicurezza delle informazionirdquo
bullldquoMisurarerdquo la sicurezza
Corso di Alta Formazione in Information Security Management9
Agevolare il processo Incident Management
Corso di Alta Formazione in Information Security Management10
I Security KPI
Il fine
bull Rilevazione delle minacce ldquoLivello di Minacciardquo valutazione delle minacce per Asset o per gruppi di
Asset sia in funzione della quantitagrave che gravitagrave
ldquoLivello di Rischiordquo valutazione dellrsquoimpatto delle minacce sugli Asset in funzione della loro rilevanza
bull Rilevazione delle vulnerabilitagrave Identificare le aree drsquointervento per un approccio proattivo alla gestione
della sicurezza
Valutare piugrave efficacemente le minacce tramite la loro correlazione con le vulnerabilitagrave note dellrsquoinfrastruttura (riduzione dei falsi positivi)
bull Verifica dellrsquoefficienza delle contromisure In questo caso i Security KPI esprimono lrsquoefficienza delle contromisure
messe in atto per contrastare le minacce
Corso di Alta Formazione in Information Security Management11
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management12
Le attivitagrave Previste
Definizione e Mappatura KPI
4
Requisiti Cogenti
Requisiti Tecnologici
Definizione Requisiti
1
Analisi
Individuazione procedure
Mappatura processi
Inventario risorse rilevanti
Interviste con i Tecnici di riferimento
Assegnazione prioritagrave ai diversi devices
2
Stima EPS
Individuazione KPI
Scelta Tecnologica
Analisi Gartner MQ ultimi 5 anni
Redazione Long List
Redazione Short List
3
Compilazione ed invio RFI
Valutazione RFI
Definizione Architettura
Corso di Alta Formazione in Information Security Management13
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management14
Requisiti Contesto Normativo
Leggi nazionali ndash tutela dellrsquoutentecittadino ldquoCodice in materia di protezione dei dati personalirdquo dlgs n 196 del 30-06-2003
Allegato B ldquoDisciplinare tecnico in materia di misure minime di sicurezzardquo
ldquoPacchetto sicurezzardquo legge n 155 del 31-07-2005 (Legge Pisanu) obbliga gli operatori Internet ad acquisire e conservare i dati identificativi dei loro clienti e i dati di traffico cioegrave ldquochi ha fatto cosa e quandordquo
Il provvedimento generale del Garante Privacy ldquoSicurezza dei dati di traffico telefonico e telematicordquo del 17-01-2008 in vigore dal 31-10-2008 normativa molto stringente sul piano tecnico e organizzativo che definisce le modalitagrave di trattamento dei dati di traffico telefonico e telematico per finalitagrave di accertamento e repressione dei reati
Normativa di riferimento ndash tutela i dati di business dellrsquoazienda Lo standard internazionale ISO 270012005 che fornisce i requisiti di un ldquosistema
di gestione della sicurezza delle informazionirdquo
Corso di Alta Formazione in Information Security Management15
Funzionalitagrave
bull Gestione degli incidenti di sicurezza
bull Security compliance
bull Security performance
bull Misurazione di Security KPI
Caratteristiche
bull Raccolta
bull Classificazione
bull Analisi e Correlazione
bull Archiviazione
bull Presentazione
Requisiti Infrastruttura Tecnologica
Corso di Alta Formazione in Information Security Management16
Requisiti Sommario
Funzionalitagrave Caratteristiche Tecniche
CaratteristicheNon Tecniche
Definizione dellrsquoambiente gestito
Prestazioni e Scalabilitagrave Soliditagrave del Vendor
Controllo in tempo reale e gestione degli allarmi
Alta Affidabilitagrave Servizio di supporto
Gestione centralizzata degli eventi di sicurezza
Bassa intrusivitagrave
Gestione e analisi dei log Profilazione degli operatori
Forensics amp Analysis Gestione della base di dati
Reporting Storicizzazione dei dati
Gestione degli incidenti di sicurezza
Supporto di sorgenti di log e messaggi
Deployment e Personalizzazione
Supporto della crittografia
Corso di Alta Formazione in Information Security Management17
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management18
Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali
Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo
Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT
Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM
Analisi Mappatura Processi
Corso di Alta Formazione in Information Security Management19
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management20
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management21
APPLIANCE
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Firewall Di Backbone
Fibra10 Gb 4 P 1
Firewall Periferici Rame100 Mb 15 P 1
VPN Concentrator Fibra10 Gb 2 P 1
Intrusion Prevention Fibra1-10 Gb 6 P 1
Backbone switch Fibra10 Gb 4P 2
Apparati di rete attivi
Varie 600 P 2
Proxy e Web Filter Fibra10 Gb 4 P 1
GW Antivirus e Antispam
Fibra10 Gb 2 P 1
SERVER
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Acces Control Server Rame1 Gb 3 P 1
Server Gestione AV Centralizzato
Rame1 Gb 2 P 1
Web Server Varie 50 P 2
Mail Server Varie 11 P 1
Sistemi Unix Varie 122 P 2
Sistemi Windows Varie 220 P 2
Stima EPS devices P1 gt 3000
Stima EPS devices P2 non effettuata
Analisi Inventario Risorse
Corso di Alta Formazione in Information Security Management22
Cosa egrave un KPI (o Security Metric)
To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure
They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources
(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)
A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload
(Security Metrics Management Kovacich and Halibozek 2006)
A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes
(ISO 27004 2005 Information security metrics and measurements (Draft))
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management23
I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte
I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala
Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management24
Analisi Il modello Why-What-How
Corso di Alta Formazione in Information Security Management25
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management26
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management27
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management28
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management29
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management30
Corso di Alta Formazione in Information Security Management31
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management32
Indagine di mercato Metodologia e Long List
La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007
A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste
Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe
Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete
Corso di Alta Formazione in Information Security Management33
Indagine di mercato Short List (2)
Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor
Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale
ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management7
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management8
Esigenze percepite
bull Agevolare analisi e decisioni nellrsquoambito della gestione della sicurezza (identificare minacce e vulnerabilitagrave gestire gli incidenti di sicurezza supporto al
Management aziendalehellip)
bull Agevolare i processi aziendali di Security Audit ed attivare un monitoring proattivo
bull Avere una visione globale della sicurezza composta di aspetti tecnologici ambientali e risorse umane
bull Contribuire al miglioramento del ldquosistema di gestione della sicurezza delle informazionirdquo
bullldquoMisurarerdquo la sicurezza
Corso di Alta Formazione in Information Security Management9
Agevolare il processo Incident Management
Corso di Alta Formazione in Information Security Management10
I Security KPI
Il fine
bull Rilevazione delle minacce ldquoLivello di Minacciardquo valutazione delle minacce per Asset o per gruppi di
Asset sia in funzione della quantitagrave che gravitagrave
ldquoLivello di Rischiordquo valutazione dellrsquoimpatto delle minacce sugli Asset in funzione della loro rilevanza
bull Rilevazione delle vulnerabilitagrave Identificare le aree drsquointervento per un approccio proattivo alla gestione
della sicurezza
Valutare piugrave efficacemente le minacce tramite la loro correlazione con le vulnerabilitagrave note dellrsquoinfrastruttura (riduzione dei falsi positivi)
bull Verifica dellrsquoefficienza delle contromisure In questo caso i Security KPI esprimono lrsquoefficienza delle contromisure
messe in atto per contrastare le minacce
Corso di Alta Formazione in Information Security Management11
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management12
Le attivitagrave Previste
Definizione e Mappatura KPI
4
Requisiti Cogenti
Requisiti Tecnologici
Definizione Requisiti
1
Analisi
Individuazione procedure
Mappatura processi
Inventario risorse rilevanti
Interviste con i Tecnici di riferimento
Assegnazione prioritagrave ai diversi devices
2
Stima EPS
Individuazione KPI
Scelta Tecnologica
Analisi Gartner MQ ultimi 5 anni
Redazione Long List
Redazione Short List
3
Compilazione ed invio RFI
Valutazione RFI
Definizione Architettura
Corso di Alta Formazione in Information Security Management13
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management14
Requisiti Contesto Normativo
Leggi nazionali ndash tutela dellrsquoutentecittadino ldquoCodice in materia di protezione dei dati personalirdquo dlgs n 196 del 30-06-2003
Allegato B ldquoDisciplinare tecnico in materia di misure minime di sicurezzardquo
ldquoPacchetto sicurezzardquo legge n 155 del 31-07-2005 (Legge Pisanu) obbliga gli operatori Internet ad acquisire e conservare i dati identificativi dei loro clienti e i dati di traffico cioegrave ldquochi ha fatto cosa e quandordquo
Il provvedimento generale del Garante Privacy ldquoSicurezza dei dati di traffico telefonico e telematicordquo del 17-01-2008 in vigore dal 31-10-2008 normativa molto stringente sul piano tecnico e organizzativo che definisce le modalitagrave di trattamento dei dati di traffico telefonico e telematico per finalitagrave di accertamento e repressione dei reati
Normativa di riferimento ndash tutela i dati di business dellrsquoazienda Lo standard internazionale ISO 270012005 che fornisce i requisiti di un ldquosistema
di gestione della sicurezza delle informazionirdquo
Corso di Alta Formazione in Information Security Management15
Funzionalitagrave
bull Gestione degli incidenti di sicurezza
bull Security compliance
bull Security performance
bull Misurazione di Security KPI
Caratteristiche
bull Raccolta
bull Classificazione
bull Analisi e Correlazione
bull Archiviazione
bull Presentazione
Requisiti Infrastruttura Tecnologica
Corso di Alta Formazione in Information Security Management16
Requisiti Sommario
Funzionalitagrave Caratteristiche Tecniche
CaratteristicheNon Tecniche
Definizione dellrsquoambiente gestito
Prestazioni e Scalabilitagrave Soliditagrave del Vendor
Controllo in tempo reale e gestione degli allarmi
Alta Affidabilitagrave Servizio di supporto
Gestione centralizzata degli eventi di sicurezza
Bassa intrusivitagrave
Gestione e analisi dei log Profilazione degli operatori
Forensics amp Analysis Gestione della base di dati
Reporting Storicizzazione dei dati
Gestione degli incidenti di sicurezza
Supporto di sorgenti di log e messaggi
Deployment e Personalizzazione
Supporto della crittografia
Corso di Alta Formazione in Information Security Management17
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management18
Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali
Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo
Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT
Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM
Analisi Mappatura Processi
Corso di Alta Formazione in Information Security Management19
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management20
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management21
APPLIANCE
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Firewall Di Backbone
Fibra10 Gb 4 P 1
Firewall Periferici Rame100 Mb 15 P 1
VPN Concentrator Fibra10 Gb 2 P 1
Intrusion Prevention Fibra1-10 Gb 6 P 1
Backbone switch Fibra10 Gb 4P 2
Apparati di rete attivi
Varie 600 P 2
Proxy e Web Filter Fibra10 Gb 4 P 1
GW Antivirus e Antispam
Fibra10 Gb 2 P 1
SERVER
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Acces Control Server Rame1 Gb 3 P 1
Server Gestione AV Centralizzato
Rame1 Gb 2 P 1
Web Server Varie 50 P 2
Mail Server Varie 11 P 1
Sistemi Unix Varie 122 P 2
Sistemi Windows Varie 220 P 2
Stima EPS devices P1 gt 3000
Stima EPS devices P2 non effettuata
Analisi Inventario Risorse
Corso di Alta Formazione in Information Security Management22
Cosa egrave un KPI (o Security Metric)
To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure
They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources
(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)
A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload
(Security Metrics Management Kovacich and Halibozek 2006)
A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes
(ISO 27004 2005 Information security metrics and measurements (Draft))
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management23
I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte
I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala
Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management24
Analisi Il modello Why-What-How
Corso di Alta Formazione in Information Security Management25
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management26
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management27
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management28
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management29
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management30
Corso di Alta Formazione in Information Security Management31
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management32
Indagine di mercato Metodologia e Long List
La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007
A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste
Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe
Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete
Corso di Alta Formazione in Information Security Management33
Indagine di mercato Short List (2)
Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor
Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale
ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management8
Esigenze percepite
bull Agevolare analisi e decisioni nellrsquoambito della gestione della sicurezza (identificare minacce e vulnerabilitagrave gestire gli incidenti di sicurezza supporto al
Management aziendalehellip)
bull Agevolare i processi aziendali di Security Audit ed attivare un monitoring proattivo
bull Avere una visione globale della sicurezza composta di aspetti tecnologici ambientali e risorse umane
bull Contribuire al miglioramento del ldquosistema di gestione della sicurezza delle informazionirdquo
bullldquoMisurarerdquo la sicurezza
Corso di Alta Formazione in Information Security Management9
Agevolare il processo Incident Management
Corso di Alta Formazione in Information Security Management10
I Security KPI
Il fine
bull Rilevazione delle minacce ldquoLivello di Minacciardquo valutazione delle minacce per Asset o per gruppi di
Asset sia in funzione della quantitagrave che gravitagrave
ldquoLivello di Rischiordquo valutazione dellrsquoimpatto delle minacce sugli Asset in funzione della loro rilevanza
bull Rilevazione delle vulnerabilitagrave Identificare le aree drsquointervento per un approccio proattivo alla gestione
della sicurezza
Valutare piugrave efficacemente le minacce tramite la loro correlazione con le vulnerabilitagrave note dellrsquoinfrastruttura (riduzione dei falsi positivi)
bull Verifica dellrsquoefficienza delle contromisure In questo caso i Security KPI esprimono lrsquoefficienza delle contromisure
messe in atto per contrastare le minacce
Corso di Alta Formazione in Information Security Management11
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management12
Le attivitagrave Previste
Definizione e Mappatura KPI
4
Requisiti Cogenti
Requisiti Tecnologici
Definizione Requisiti
1
Analisi
Individuazione procedure
Mappatura processi
Inventario risorse rilevanti
Interviste con i Tecnici di riferimento
Assegnazione prioritagrave ai diversi devices
2
Stima EPS
Individuazione KPI
Scelta Tecnologica
Analisi Gartner MQ ultimi 5 anni
Redazione Long List
Redazione Short List
3
Compilazione ed invio RFI
Valutazione RFI
Definizione Architettura
Corso di Alta Formazione in Information Security Management13
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management14
Requisiti Contesto Normativo
Leggi nazionali ndash tutela dellrsquoutentecittadino ldquoCodice in materia di protezione dei dati personalirdquo dlgs n 196 del 30-06-2003
Allegato B ldquoDisciplinare tecnico in materia di misure minime di sicurezzardquo
ldquoPacchetto sicurezzardquo legge n 155 del 31-07-2005 (Legge Pisanu) obbliga gli operatori Internet ad acquisire e conservare i dati identificativi dei loro clienti e i dati di traffico cioegrave ldquochi ha fatto cosa e quandordquo
Il provvedimento generale del Garante Privacy ldquoSicurezza dei dati di traffico telefonico e telematicordquo del 17-01-2008 in vigore dal 31-10-2008 normativa molto stringente sul piano tecnico e organizzativo che definisce le modalitagrave di trattamento dei dati di traffico telefonico e telematico per finalitagrave di accertamento e repressione dei reati
Normativa di riferimento ndash tutela i dati di business dellrsquoazienda Lo standard internazionale ISO 270012005 che fornisce i requisiti di un ldquosistema
di gestione della sicurezza delle informazionirdquo
Corso di Alta Formazione in Information Security Management15
Funzionalitagrave
bull Gestione degli incidenti di sicurezza
bull Security compliance
bull Security performance
bull Misurazione di Security KPI
Caratteristiche
bull Raccolta
bull Classificazione
bull Analisi e Correlazione
bull Archiviazione
bull Presentazione
Requisiti Infrastruttura Tecnologica
Corso di Alta Formazione in Information Security Management16
Requisiti Sommario
Funzionalitagrave Caratteristiche Tecniche
CaratteristicheNon Tecniche
Definizione dellrsquoambiente gestito
Prestazioni e Scalabilitagrave Soliditagrave del Vendor
Controllo in tempo reale e gestione degli allarmi
Alta Affidabilitagrave Servizio di supporto
Gestione centralizzata degli eventi di sicurezza
Bassa intrusivitagrave
Gestione e analisi dei log Profilazione degli operatori
Forensics amp Analysis Gestione della base di dati
Reporting Storicizzazione dei dati
Gestione degli incidenti di sicurezza
Supporto di sorgenti di log e messaggi
Deployment e Personalizzazione
Supporto della crittografia
Corso di Alta Formazione in Information Security Management17
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management18
Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali
Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo
Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT
Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM
Analisi Mappatura Processi
Corso di Alta Formazione in Information Security Management19
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management20
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management21
APPLIANCE
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Firewall Di Backbone
Fibra10 Gb 4 P 1
Firewall Periferici Rame100 Mb 15 P 1
VPN Concentrator Fibra10 Gb 2 P 1
Intrusion Prevention Fibra1-10 Gb 6 P 1
Backbone switch Fibra10 Gb 4P 2
Apparati di rete attivi
Varie 600 P 2
Proxy e Web Filter Fibra10 Gb 4 P 1
GW Antivirus e Antispam
Fibra10 Gb 2 P 1
SERVER
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Acces Control Server Rame1 Gb 3 P 1
Server Gestione AV Centralizzato
Rame1 Gb 2 P 1
Web Server Varie 50 P 2
Mail Server Varie 11 P 1
Sistemi Unix Varie 122 P 2
Sistemi Windows Varie 220 P 2
Stima EPS devices P1 gt 3000
Stima EPS devices P2 non effettuata
Analisi Inventario Risorse
Corso di Alta Formazione in Information Security Management22
Cosa egrave un KPI (o Security Metric)
To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure
They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources
(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)
A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload
(Security Metrics Management Kovacich and Halibozek 2006)
A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes
(ISO 27004 2005 Information security metrics and measurements (Draft))
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management23
I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte
I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala
Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management24
Analisi Il modello Why-What-How
Corso di Alta Formazione in Information Security Management25
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management26
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management27
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management28
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management29
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management30
Corso di Alta Formazione in Information Security Management31
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management32
Indagine di mercato Metodologia e Long List
La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007
A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste
Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe
Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete
Corso di Alta Formazione in Information Security Management33
Indagine di mercato Short List (2)
Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor
Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale
ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management9
Agevolare il processo Incident Management
Corso di Alta Formazione in Information Security Management10
I Security KPI
Il fine
bull Rilevazione delle minacce ldquoLivello di Minacciardquo valutazione delle minacce per Asset o per gruppi di
Asset sia in funzione della quantitagrave che gravitagrave
ldquoLivello di Rischiordquo valutazione dellrsquoimpatto delle minacce sugli Asset in funzione della loro rilevanza
bull Rilevazione delle vulnerabilitagrave Identificare le aree drsquointervento per un approccio proattivo alla gestione
della sicurezza
Valutare piugrave efficacemente le minacce tramite la loro correlazione con le vulnerabilitagrave note dellrsquoinfrastruttura (riduzione dei falsi positivi)
bull Verifica dellrsquoefficienza delle contromisure In questo caso i Security KPI esprimono lrsquoefficienza delle contromisure
messe in atto per contrastare le minacce
Corso di Alta Formazione in Information Security Management11
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management12
Le attivitagrave Previste
Definizione e Mappatura KPI
4
Requisiti Cogenti
Requisiti Tecnologici
Definizione Requisiti
1
Analisi
Individuazione procedure
Mappatura processi
Inventario risorse rilevanti
Interviste con i Tecnici di riferimento
Assegnazione prioritagrave ai diversi devices
2
Stima EPS
Individuazione KPI
Scelta Tecnologica
Analisi Gartner MQ ultimi 5 anni
Redazione Long List
Redazione Short List
3
Compilazione ed invio RFI
Valutazione RFI
Definizione Architettura
Corso di Alta Formazione in Information Security Management13
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management14
Requisiti Contesto Normativo
Leggi nazionali ndash tutela dellrsquoutentecittadino ldquoCodice in materia di protezione dei dati personalirdquo dlgs n 196 del 30-06-2003
Allegato B ldquoDisciplinare tecnico in materia di misure minime di sicurezzardquo
ldquoPacchetto sicurezzardquo legge n 155 del 31-07-2005 (Legge Pisanu) obbliga gli operatori Internet ad acquisire e conservare i dati identificativi dei loro clienti e i dati di traffico cioegrave ldquochi ha fatto cosa e quandordquo
Il provvedimento generale del Garante Privacy ldquoSicurezza dei dati di traffico telefonico e telematicordquo del 17-01-2008 in vigore dal 31-10-2008 normativa molto stringente sul piano tecnico e organizzativo che definisce le modalitagrave di trattamento dei dati di traffico telefonico e telematico per finalitagrave di accertamento e repressione dei reati
Normativa di riferimento ndash tutela i dati di business dellrsquoazienda Lo standard internazionale ISO 270012005 che fornisce i requisiti di un ldquosistema
di gestione della sicurezza delle informazionirdquo
Corso di Alta Formazione in Information Security Management15
Funzionalitagrave
bull Gestione degli incidenti di sicurezza
bull Security compliance
bull Security performance
bull Misurazione di Security KPI
Caratteristiche
bull Raccolta
bull Classificazione
bull Analisi e Correlazione
bull Archiviazione
bull Presentazione
Requisiti Infrastruttura Tecnologica
Corso di Alta Formazione in Information Security Management16
Requisiti Sommario
Funzionalitagrave Caratteristiche Tecniche
CaratteristicheNon Tecniche
Definizione dellrsquoambiente gestito
Prestazioni e Scalabilitagrave Soliditagrave del Vendor
Controllo in tempo reale e gestione degli allarmi
Alta Affidabilitagrave Servizio di supporto
Gestione centralizzata degli eventi di sicurezza
Bassa intrusivitagrave
Gestione e analisi dei log Profilazione degli operatori
Forensics amp Analysis Gestione della base di dati
Reporting Storicizzazione dei dati
Gestione degli incidenti di sicurezza
Supporto di sorgenti di log e messaggi
Deployment e Personalizzazione
Supporto della crittografia
Corso di Alta Formazione in Information Security Management17
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management18
Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali
Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo
Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT
Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM
Analisi Mappatura Processi
Corso di Alta Formazione in Information Security Management19
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management20
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management21
APPLIANCE
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Firewall Di Backbone
Fibra10 Gb 4 P 1
Firewall Periferici Rame100 Mb 15 P 1
VPN Concentrator Fibra10 Gb 2 P 1
Intrusion Prevention Fibra1-10 Gb 6 P 1
Backbone switch Fibra10 Gb 4P 2
Apparati di rete attivi
Varie 600 P 2
Proxy e Web Filter Fibra10 Gb 4 P 1
GW Antivirus e Antispam
Fibra10 Gb 2 P 1
SERVER
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Acces Control Server Rame1 Gb 3 P 1
Server Gestione AV Centralizzato
Rame1 Gb 2 P 1
Web Server Varie 50 P 2
Mail Server Varie 11 P 1
Sistemi Unix Varie 122 P 2
Sistemi Windows Varie 220 P 2
Stima EPS devices P1 gt 3000
Stima EPS devices P2 non effettuata
Analisi Inventario Risorse
Corso di Alta Formazione in Information Security Management22
Cosa egrave un KPI (o Security Metric)
To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure
They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources
(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)
A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload
(Security Metrics Management Kovacich and Halibozek 2006)
A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes
(ISO 27004 2005 Information security metrics and measurements (Draft))
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management23
I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte
I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala
Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management24
Analisi Il modello Why-What-How
Corso di Alta Formazione in Information Security Management25
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management26
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management27
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management28
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management29
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management30
Corso di Alta Formazione in Information Security Management31
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management32
Indagine di mercato Metodologia e Long List
La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007
A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste
Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe
Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete
Corso di Alta Formazione in Information Security Management33
Indagine di mercato Short List (2)
Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor
Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale
ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management10
I Security KPI
Il fine
bull Rilevazione delle minacce ldquoLivello di Minacciardquo valutazione delle minacce per Asset o per gruppi di
Asset sia in funzione della quantitagrave che gravitagrave
ldquoLivello di Rischiordquo valutazione dellrsquoimpatto delle minacce sugli Asset in funzione della loro rilevanza
bull Rilevazione delle vulnerabilitagrave Identificare le aree drsquointervento per un approccio proattivo alla gestione
della sicurezza
Valutare piugrave efficacemente le minacce tramite la loro correlazione con le vulnerabilitagrave note dellrsquoinfrastruttura (riduzione dei falsi positivi)
bull Verifica dellrsquoefficienza delle contromisure In questo caso i Security KPI esprimono lrsquoefficienza delle contromisure
messe in atto per contrastare le minacce
Corso di Alta Formazione in Information Security Management11
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management12
Le attivitagrave Previste
Definizione e Mappatura KPI
4
Requisiti Cogenti
Requisiti Tecnologici
Definizione Requisiti
1
Analisi
Individuazione procedure
Mappatura processi
Inventario risorse rilevanti
Interviste con i Tecnici di riferimento
Assegnazione prioritagrave ai diversi devices
2
Stima EPS
Individuazione KPI
Scelta Tecnologica
Analisi Gartner MQ ultimi 5 anni
Redazione Long List
Redazione Short List
3
Compilazione ed invio RFI
Valutazione RFI
Definizione Architettura
Corso di Alta Formazione in Information Security Management13
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management14
Requisiti Contesto Normativo
Leggi nazionali ndash tutela dellrsquoutentecittadino ldquoCodice in materia di protezione dei dati personalirdquo dlgs n 196 del 30-06-2003
Allegato B ldquoDisciplinare tecnico in materia di misure minime di sicurezzardquo
ldquoPacchetto sicurezzardquo legge n 155 del 31-07-2005 (Legge Pisanu) obbliga gli operatori Internet ad acquisire e conservare i dati identificativi dei loro clienti e i dati di traffico cioegrave ldquochi ha fatto cosa e quandordquo
Il provvedimento generale del Garante Privacy ldquoSicurezza dei dati di traffico telefonico e telematicordquo del 17-01-2008 in vigore dal 31-10-2008 normativa molto stringente sul piano tecnico e organizzativo che definisce le modalitagrave di trattamento dei dati di traffico telefonico e telematico per finalitagrave di accertamento e repressione dei reati
Normativa di riferimento ndash tutela i dati di business dellrsquoazienda Lo standard internazionale ISO 270012005 che fornisce i requisiti di un ldquosistema
di gestione della sicurezza delle informazionirdquo
Corso di Alta Formazione in Information Security Management15
Funzionalitagrave
bull Gestione degli incidenti di sicurezza
bull Security compliance
bull Security performance
bull Misurazione di Security KPI
Caratteristiche
bull Raccolta
bull Classificazione
bull Analisi e Correlazione
bull Archiviazione
bull Presentazione
Requisiti Infrastruttura Tecnologica
Corso di Alta Formazione in Information Security Management16
Requisiti Sommario
Funzionalitagrave Caratteristiche Tecniche
CaratteristicheNon Tecniche
Definizione dellrsquoambiente gestito
Prestazioni e Scalabilitagrave Soliditagrave del Vendor
Controllo in tempo reale e gestione degli allarmi
Alta Affidabilitagrave Servizio di supporto
Gestione centralizzata degli eventi di sicurezza
Bassa intrusivitagrave
Gestione e analisi dei log Profilazione degli operatori
Forensics amp Analysis Gestione della base di dati
Reporting Storicizzazione dei dati
Gestione degli incidenti di sicurezza
Supporto di sorgenti di log e messaggi
Deployment e Personalizzazione
Supporto della crittografia
Corso di Alta Formazione in Information Security Management17
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management18
Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali
Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo
Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT
Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM
Analisi Mappatura Processi
Corso di Alta Formazione in Information Security Management19
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management20
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management21
APPLIANCE
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Firewall Di Backbone
Fibra10 Gb 4 P 1
Firewall Periferici Rame100 Mb 15 P 1
VPN Concentrator Fibra10 Gb 2 P 1
Intrusion Prevention Fibra1-10 Gb 6 P 1
Backbone switch Fibra10 Gb 4P 2
Apparati di rete attivi
Varie 600 P 2
Proxy e Web Filter Fibra10 Gb 4 P 1
GW Antivirus e Antispam
Fibra10 Gb 2 P 1
SERVER
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Acces Control Server Rame1 Gb 3 P 1
Server Gestione AV Centralizzato
Rame1 Gb 2 P 1
Web Server Varie 50 P 2
Mail Server Varie 11 P 1
Sistemi Unix Varie 122 P 2
Sistemi Windows Varie 220 P 2
Stima EPS devices P1 gt 3000
Stima EPS devices P2 non effettuata
Analisi Inventario Risorse
Corso di Alta Formazione in Information Security Management22
Cosa egrave un KPI (o Security Metric)
To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure
They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources
(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)
A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload
(Security Metrics Management Kovacich and Halibozek 2006)
A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes
(ISO 27004 2005 Information security metrics and measurements (Draft))
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management23
I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte
I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala
Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management24
Analisi Il modello Why-What-How
Corso di Alta Formazione in Information Security Management25
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management26
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management27
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management28
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management29
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management30
Corso di Alta Formazione in Information Security Management31
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management32
Indagine di mercato Metodologia e Long List
La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007
A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste
Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe
Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete
Corso di Alta Formazione in Information Security Management33
Indagine di mercato Short List (2)
Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor
Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale
ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management11
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management12
Le attivitagrave Previste
Definizione e Mappatura KPI
4
Requisiti Cogenti
Requisiti Tecnologici
Definizione Requisiti
1
Analisi
Individuazione procedure
Mappatura processi
Inventario risorse rilevanti
Interviste con i Tecnici di riferimento
Assegnazione prioritagrave ai diversi devices
2
Stima EPS
Individuazione KPI
Scelta Tecnologica
Analisi Gartner MQ ultimi 5 anni
Redazione Long List
Redazione Short List
3
Compilazione ed invio RFI
Valutazione RFI
Definizione Architettura
Corso di Alta Formazione in Information Security Management13
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management14
Requisiti Contesto Normativo
Leggi nazionali ndash tutela dellrsquoutentecittadino ldquoCodice in materia di protezione dei dati personalirdquo dlgs n 196 del 30-06-2003
Allegato B ldquoDisciplinare tecnico in materia di misure minime di sicurezzardquo
ldquoPacchetto sicurezzardquo legge n 155 del 31-07-2005 (Legge Pisanu) obbliga gli operatori Internet ad acquisire e conservare i dati identificativi dei loro clienti e i dati di traffico cioegrave ldquochi ha fatto cosa e quandordquo
Il provvedimento generale del Garante Privacy ldquoSicurezza dei dati di traffico telefonico e telematicordquo del 17-01-2008 in vigore dal 31-10-2008 normativa molto stringente sul piano tecnico e organizzativo che definisce le modalitagrave di trattamento dei dati di traffico telefonico e telematico per finalitagrave di accertamento e repressione dei reati
Normativa di riferimento ndash tutela i dati di business dellrsquoazienda Lo standard internazionale ISO 270012005 che fornisce i requisiti di un ldquosistema
di gestione della sicurezza delle informazionirdquo
Corso di Alta Formazione in Information Security Management15
Funzionalitagrave
bull Gestione degli incidenti di sicurezza
bull Security compliance
bull Security performance
bull Misurazione di Security KPI
Caratteristiche
bull Raccolta
bull Classificazione
bull Analisi e Correlazione
bull Archiviazione
bull Presentazione
Requisiti Infrastruttura Tecnologica
Corso di Alta Formazione in Information Security Management16
Requisiti Sommario
Funzionalitagrave Caratteristiche Tecniche
CaratteristicheNon Tecniche
Definizione dellrsquoambiente gestito
Prestazioni e Scalabilitagrave Soliditagrave del Vendor
Controllo in tempo reale e gestione degli allarmi
Alta Affidabilitagrave Servizio di supporto
Gestione centralizzata degli eventi di sicurezza
Bassa intrusivitagrave
Gestione e analisi dei log Profilazione degli operatori
Forensics amp Analysis Gestione della base di dati
Reporting Storicizzazione dei dati
Gestione degli incidenti di sicurezza
Supporto di sorgenti di log e messaggi
Deployment e Personalizzazione
Supporto della crittografia
Corso di Alta Formazione in Information Security Management17
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management18
Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali
Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo
Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT
Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM
Analisi Mappatura Processi
Corso di Alta Formazione in Information Security Management19
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management20
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management21
APPLIANCE
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Firewall Di Backbone
Fibra10 Gb 4 P 1
Firewall Periferici Rame100 Mb 15 P 1
VPN Concentrator Fibra10 Gb 2 P 1
Intrusion Prevention Fibra1-10 Gb 6 P 1
Backbone switch Fibra10 Gb 4P 2
Apparati di rete attivi
Varie 600 P 2
Proxy e Web Filter Fibra10 Gb 4 P 1
GW Antivirus e Antispam
Fibra10 Gb 2 P 1
SERVER
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Acces Control Server Rame1 Gb 3 P 1
Server Gestione AV Centralizzato
Rame1 Gb 2 P 1
Web Server Varie 50 P 2
Mail Server Varie 11 P 1
Sistemi Unix Varie 122 P 2
Sistemi Windows Varie 220 P 2
Stima EPS devices P1 gt 3000
Stima EPS devices P2 non effettuata
Analisi Inventario Risorse
Corso di Alta Formazione in Information Security Management22
Cosa egrave un KPI (o Security Metric)
To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure
They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources
(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)
A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload
(Security Metrics Management Kovacich and Halibozek 2006)
A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes
(ISO 27004 2005 Information security metrics and measurements (Draft))
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management23
I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte
I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala
Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management24
Analisi Il modello Why-What-How
Corso di Alta Formazione in Information Security Management25
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management26
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management27
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management28
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management29
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management30
Corso di Alta Formazione in Information Security Management31
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management32
Indagine di mercato Metodologia e Long List
La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007
A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste
Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe
Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete
Corso di Alta Formazione in Information Security Management33
Indagine di mercato Short List (2)
Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor
Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale
ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management12
Le attivitagrave Previste
Definizione e Mappatura KPI
4
Requisiti Cogenti
Requisiti Tecnologici
Definizione Requisiti
1
Analisi
Individuazione procedure
Mappatura processi
Inventario risorse rilevanti
Interviste con i Tecnici di riferimento
Assegnazione prioritagrave ai diversi devices
2
Stima EPS
Individuazione KPI
Scelta Tecnologica
Analisi Gartner MQ ultimi 5 anni
Redazione Long List
Redazione Short List
3
Compilazione ed invio RFI
Valutazione RFI
Definizione Architettura
Corso di Alta Formazione in Information Security Management13
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management14
Requisiti Contesto Normativo
Leggi nazionali ndash tutela dellrsquoutentecittadino ldquoCodice in materia di protezione dei dati personalirdquo dlgs n 196 del 30-06-2003
Allegato B ldquoDisciplinare tecnico in materia di misure minime di sicurezzardquo
ldquoPacchetto sicurezzardquo legge n 155 del 31-07-2005 (Legge Pisanu) obbliga gli operatori Internet ad acquisire e conservare i dati identificativi dei loro clienti e i dati di traffico cioegrave ldquochi ha fatto cosa e quandordquo
Il provvedimento generale del Garante Privacy ldquoSicurezza dei dati di traffico telefonico e telematicordquo del 17-01-2008 in vigore dal 31-10-2008 normativa molto stringente sul piano tecnico e organizzativo che definisce le modalitagrave di trattamento dei dati di traffico telefonico e telematico per finalitagrave di accertamento e repressione dei reati
Normativa di riferimento ndash tutela i dati di business dellrsquoazienda Lo standard internazionale ISO 270012005 che fornisce i requisiti di un ldquosistema
di gestione della sicurezza delle informazionirdquo
Corso di Alta Formazione in Information Security Management15
Funzionalitagrave
bull Gestione degli incidenti di sicurezza
bull Security compliance
bull Security performance
bull Misurazione di Security KPI
Caratteristiche
bull Raccolta
bull Classificazione
bull Analisi e Correlazione
bull Archiviazione
bull Presentazione
Requisiti Infrastruttura Tecnologica
Corso di Alta Formazione in Information Security Management16
Requisiti Sommario
Funzionalitagrave Caratteristiche Tecniche
CaratteristicheNon Tecniche
Definizione dellrsquoambiente gestito
Prestazioni e Scalabilitagrave Soliditagrave del Vendor
Controllo in tempo reale e gestione degli allarmi
Alta Affidabilitagrave Servizio di supporto
Gestione centralizzata degli eventi di sicurezza
Bassa intrusivitagrave
Gestione e analisi dei log Profilazione degli operatori
Forensics amp Analysis Gestione della base di dati
Reporting Storicizzazione dei dati
Gestione degli incidenti di sicurezza
Supporto di sorgenti di log e messaggi
Deployment e Personalizzazione
Supporto della crittografia
Corso di Alta Formazione in Information Security Management17
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management18
Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali
Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo
Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT
Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM
Analisi Mappatura Processi
Corso di Alta Formazione in Information Security Management19
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management20
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management21
APPLIANCE
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Firewall Di Backbone
Fibra10 Gb 4 P 1
Firewall Periferici Rame100 Mb 15 P 1
VPN Concentrator Fibra10 Gb 2 P 1
Intrusion Prevention Fibra1-10 Gb 6 P 1
Backbone switch Fibra10 Gb 4P 2
Apparati di rete attivi
Varie 600 P 2
Proxy e Web Filter Fibra10 Gb 4 P 1
GW Antivirus e Antispam
Fibra10 Gb 2 P 1
SERVER
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Acces Control Server Rame1 Gb 3 P 1
Server Gestione AV Centralizzato
Rame1 Gb 2 P 1
Web Server Varie 50 P 2
Mail Server Varie 11 P 1
Sistemi Unix Varie 122 P 2
Sistemi Windows Varie 220 P 2
Stima EPS devices P1 gt 3000
Stima EPS devices P2 non effettuata
Analisi Inventario Risorse
Corso di Alta Formazione in Information Security Management22
Cosa egrave un KPI (o Security Metric)
To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure
They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources
(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)
A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload
(Security Metrics Management Kovacich and Halibozek 2006)
A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes
(ISO 27004 2005 Information security metrics and measurements (Draft))
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management23
I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte
I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala
Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management24
Analisi Il modello Why-What-How
Corso di Alta Formazione in Information Security Management25
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management26
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management27
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management28
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management29
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management30
Corso di Alta Formazione in Information Security Management31
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management32
Indagine di mercato Metodologia e Long List
La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007
A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste
Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe
Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete
Corso di Alta Formazione in Information Security Management33
Indagine di mercato Short List (2)
Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor
Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale
ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management13
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management14
Requisiti Contesto Normativo
Leggi nazionali ndash tutela dellrsquoutentecittadino ldquoCodice in materia di protezione dei dati personalirdquo dlgs n 196 del 30-06-2003
Allegato B ldquoDisciplinare tecnico in materia di misure minime di sicurezzardquo
ldquoPacchetto sicurezzardquo legge n 155 del 31-07-2005 (Legge Pisanu) obbliga gli operatori Internet ad acquisire e conservare i dati identificativi dei loro clienti e i dati di traffico cioegrave ldquochi ha fatto cosa e quandordquo
Il provvedimento generale del Garante Privacy ldquoSicurezza dei dati di traffico telefonico e telematicordquo del 17-01-2008 in vigore dal 31-10-2008 normativa molto stringente sul piano tecnico e organizzativo che definisce le modalitagrave di trattamento dei dati di traffico telefonico e telematico per finalitagrave di accertamento e repressione dei reati
Normativa di riferimento ndash tutela i dati di business dellrsquoazienda Lo standard internazionale ISO 270012005 che fornisce i requisiti di un ldquosistema
di gestione della sicurezza delle informazionirdquo
Corso di Alta Formazione in Information Security Management15
Funzionalitagrave
bull Gestione degli incidenti di sicurezza
bull Security compliance
bull Security performance
bull Misurazione di Security KPI
Caratteristiche
bull Raccolta
bull Classificazione
bull Analisi e Correlazione
bull Archiviazione
bull Presentazione
Requisiti Infrastruttura Tecnologica
Corso di Alta Formazione in Information Security Management16
Requisiti Sommario
Funzionalitagrave Caratteristiche Tecniche
CaratteristicheNon Tecniche
Definizione dellrsquoambiente gestito
Prestazioni e Scalabilitagrave Soliditagrave del Vendor
Controllo in tempo reale e gestione degli allarmi
Alta Affidabilitagrave Servizio di supporto
Gestione centralizzata degli eventi di sicurezza
Bassa intrusivitagrave
Gestione e analisi dei log Profilazione degli operatori
Forensics amp Analysis Gestione della base di dati
Reporting Storicizzazione dei dati
Gestione degli incidenti di sicurezza
Supporto di sorgenti di log e messaggi
Deployment e Personalizzazione
Supporto della crittografia
Corso di Alta Formazione in Information Security Management17
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management18
Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali
Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo
Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT
Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM
Analisi Mappatura Processi
Corso di Alta Formazione in Information Security Management19
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management20
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management21
APPLIANCE
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Firewall Di Backbone
Fibra10 Gb 4 P 1
Firewall Periferici Rame100 Mb 15 P 1
VPN Concentrator Fibra10 Gb 2 P 1
Intrusion Prevention Fibra1-10 Gb 6 P 1
Backbone switch Fibra10 Gb 4P 2
Apparati di rete attivi
Varie 600 P 2
Proxy e Web Filter Fibra10 Gb 4 P 1
GW Antivirus e Antispam
Fibra10 Gb 2 P 1
SERVER
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Acces Control Server Rame1 Gb 3 P 1
Server Gestione AV Centralizzato
Rame1 Gb 2 P 1
Web Server Varie 50 P 2
Mail Server Varie 11 P 1
Sistemi Unix Varie 122 P 2
Sistemi Windows Varie 220 P 2
Stima EPS devices P1 gt 3000
Stima EPS devices P2 non effettuata
Analisi Inventario Risorse
Corso di Alta Formazione in Information Security Management22
Cosa egrave un KPI (o Security Metric)
To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure
They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources
(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)
A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload
(Security Metrics Management Kovacich and Halibozek 2006)
A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes
(ISO 27004 2005 Information security metrics and measurements (Draft))
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management23
I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte
I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala
Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management24
Analisi Il modello Why-What-How
Corso di Alta Formazione in Information Security Management25
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management26
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management27
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management28
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management29
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management30
Corso di Alta Formazione in Information Security Management31
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management32
Indagine di mercato Metodologia e Long List
La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007
A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste
Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe
Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete
Corso di Alta Formazione in Information Security Management33
Indagine di mercato Short List (2)
Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor
Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale
ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management14
Requisiti Contesto Normativo
Leggi nazionali ndash tutela dellrsquoutentecittadino ldquoCodice in materia di protezione dei dati personalirdquo dlgs n 196 del 30-06-2003
Allegato B ldquoDisciplinare tecnico in materia di misure minime di sicurezzardquo
ldquoPacchetto sicurezzardquo legge n 155 del 31-07-2005 (Legge Pisanu) obbliga gli operatori Internet ad acquisire e conservare i dati identificativi dei loro clienti e i dati di traffico cioegrave ldquochi ha fatto cosa e quandordquo
Il provvedimento generale del Garante Privacy ldquoSicurezza dei dati di traffico telefonico e telematicordquo del 17-01-2008 in vigore dal 31-10-2008 normativa molto stringente sul piano tecnico e organizzativo che definisce le modalitagrave di trattamento dei dati di traffico telefonico e telematico per finalitagrave di accertamento e repressione dei reati
Normativa di riferimento ndash tutela i dati di business dellrsquoazienda Lo standard internazionale ISO 270012005 che fornisce i requisiti di un ldquosistema
di gestione della sicurezza delle informazionirdquo
Corso di Alta Formazione in Information Security Management15
Funzionalitagrave
bull Gestione degli incidenti di sicurezza
bull Security compliance
bull Security performance
bull Misurazione di Security KPI
Caratteristiche
bull Raccolta
bull Classificazione
bull Analisi e Correlazione
bull Archiviazione
bull Presentazione
Requisiti Infrastruttura Tecnologica
Corso di Alta Formazione in Information Security Management16
Requisiti Sommario
Funzionalitagrave Caratteristiche Tecniche
CaratteristicheNon Tecniche
Definizione dellrsquoambiente gestito
Prestazioni e Scalabilitagrave Soliditagrave del Vendor
Controllo in tempo reale e gestione degli allarmi
Alta Affidabilitagrave Servizio di supporto
Gestione centralizzata degli eventi di sicurezza
Bassa intrusivitagrave
Gestione e analisi dei log Profilazione degli operatori
Forensics amp Analysis Gestione della base di dati
Reporting Storicizzazione dei dati
Gestione degli incidenti di sicurezza
Supporto di sorgenti di log e messaggi
Deployment e Personalizzazione
Supporto della crittografia
Corso di Alta Formazione in Information Security Management17
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management18
Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali
Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo
Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT
Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM
Analisi Mappatura Processi
Corso di Alta Formazione in Information Security Management19
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management20
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management21
APPLIANCE
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Firewall Di Backbone
Fibra10 Gb 4 P 1
Firewall Periferici Rame100 Mb 15 P 1
VPN Concentrator Fibra10 Gb 2 P 1
Intrusion Prevention Fibra1-10 Gb 6 P 1
Backbone switch Fibra10 Gb 4P 2
Apparati di rete attivi
Varie 600 P 2
Proxy e Web Filter Fibra10 Gb 4 P 1
GW Antivirus e Antispam
Fibra10 Gb 2 P 1
SERVER
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Acces Control Server Rame1 Gb 3 P 1
Server Gestione AV Centralizzato
Rame1 Gb 2 P 1
Web Server Varie 50 P 2
Mail Server Varie 11 P 1
Sistemi Unix Varie 122 P 2
Sistemi Windows Varie 220 P 2
Stima EPS devices P1 gt 3000
Stima EPS devices P2 non effettuata
Analisi Inventario Risorse
Corso di Alta Formazione in Information Security Management22
Cosa egrave un KPI (o Security Metric)
To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure
They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources
(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)
A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload
(Security Metrics Management Kovacich and Halibozek 2006)
A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes
(ISO 27004 2005 Information security metrics and measurements (Draft))
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management23
I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte
I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala
Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management24
Analisi Il modello Why-What-How
Corso di Alta Formazione in Information Security Management25
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management26
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management27
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management28
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management29
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management30
Corso di Alta Formazione in Information Security Management31
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management32
Indagine di mercato Metodologia e Long List
La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007
A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste
Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe
Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete
Corso di Alta Formazione in Information Security Management33
Indagine di mercato Short List (2)
Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor
Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale
ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management15
Funzionalitagrave
bull Gestione degli incidenti di sicurezza
bull Security compliance
bull Security performance
bull Misurazione di Security KPI
Caratteristiche
bull Raccolta
bull Classificazione
bull Analisi e Correlazione
bull Archiviazione
bull Presentazione
Requisiti Infrastruttura Tecnologica
Corso di Alta Formazione in Information Security Management16
Requisiti Sommario
Funzionalitagrave Caratteristiche Tecniche
CaratteristicheNon Tecniche
Definizione dellrsquoambiente gestito
Prestazioni e Scalabilitagrave Soliditagrave del Vendor
Controllo in tempo reale e gestione degli allarmi
Alta Affidabilitagrave Servizio di supporto
Gestione centralizzata degli eventi di sicurezza
Bassa intrusivitagrave
Gestione e analisi dei log Profilazione degli operatori
Forensics amp Analysis Gestione della base di dati
Reporting Storicizzazione dei dati
Gestione degli incidenti di sicurezza
Supporto di sorgenti di log e messaggi
Deployment e Personalizzazione
Supporto della crittografia
Corso di Alta Formazione in Information Security Management17
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management18
Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali
Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo
Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT
Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM
Analisi Mappatura Processi
Corso di Alta Formazione in Information Security Management19
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management20
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management21
APPLIANCE
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Firewall Di Backbone
Fibra10 Gb 4 P 1
Firewall Periferici Rame100 Mb 15 P 1
VPN Concentrator Fibra10 Gb 2 P 1
Intrusion Prevention Fibra1-10 Gb 6 P 1
Backbone switch Fibra10 Gb 4P 2
Apparati di rete attivi
Varie 600 P 2
Proxy e Web Filter Fibra10 Gb 4 P 1
GW Antivirus e Antispam
Fibra10 Gb 2 P 1
SERVER
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Acces Control Server Rame1 Gb 3 P 1
Server Gestione AV Centralizzato
Rame1 Gb 2 P 1
Web Server Varie 50 P 2
Mail Server Varie 11 P 1
Sistemi Unix Varie 122 P 2
Sistemi Windows Varie 220 P 2
Stima EPS devices P1 gt 3000
Stima EPS devices P2 non effettuata
Analisi Inventario Risorse
Corso di Alta Formazione in Information Security Management22
Cosa egrave un KPI (o Security Metric)
To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure
They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources
(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)
A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload
(Security Metrics Management Kovacich and Halibozek 2006)
A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes
(ISO 27004 2005 Information security metrics and measurements (Draft))
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management23
I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte
I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala
Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management24
Analisi Il modello Why-What-How
Corso di Alta Formazione in Information Security Management25
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management26
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management27
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management28
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management29
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management30
Corso di Alta Formazione in Information Security Management31
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management32
Indagine di mercato Metodologia e Long List
La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007
A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste
Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe
Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete
Corso di Alta Formazione in Information Security Management33
Indagine di mercato Short List (2)
Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor
Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale
ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management16
Requisiti Sommario
Funzionalitagrave Caratteristiche Tecniche
CaratteristicheNon Tecniche
Definizione dellrsquoambiente gestito
Prestazioni e Scalabilitagrave Soliditagrave del Vendor
Controllo in tempo reale e gestione degli allarmi
Alta Affidabilitagrave Servizio di supporto
Gestione centralizzata degli eventi di sicurezza
Bassa intrusivitagrave
Gestione e analisi dei log Profilazione degli operatori
Forensics amp Analysis Gestione della base di dati
Reporting Storicizzazione dei dati
Gestione degli incidenti di sicurezza
Supporto di sorgenti di log e messaggi
Deployment e Personalizzazione
Supporto della crittografia
Corso di Alta Formazione in Information Security Management17
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management18
Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali
Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo
Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT
Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM
Analisi Mappatura Processi
Corso di Alta Formazione in Information Security Management19
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management20
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management21
APPLIANCE
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Firewall Di Backbone
Fibra10 Gb 4 P 1
Firewall Periferici Rame100 Mb 15 P 1
VPN Concentrator Fibra10 Gb 2 P 1
Intrusion Prevention Fibra1-10 Gb 6 P 1
Backbone switch Fibra10 Gb 4P 2
Apparati di rete attivi
Varie 600 P 2
Proxy e Web Filter Fibra10 Gb 4 P 1
GW Antivirus e Antispam
Fibra10 Gb 2 P 1
SERVER
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Acces Control Server Rame1 Gb 3 P 1
Server Gestione AV Centralizzato
Rame1 Gb 2 P 1
Web Server Varie 50 P 2
Mail Server Varie 11 P 1
Sistemi Unix Varie 122 P 2
Sistemi Windows Varie 220 P 2
Stima EPS devices P1 gt 3000
Stima EPS devices P2 non effettuata
Analisi Inventario Risorse
Corso di Alta Formazione in Information Security Management22
Cosa egrave un KPI (o Security Metric)
To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure
They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources
(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)
A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload
(Security Metrics Management Kovacich and Halibozek 2006)
A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes
(ISO 27004 2005 Information security metrics and measurements (Draft))
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management23
I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte
I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala
Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management24
Analisi Il modello Why-What-How
Corso di Alta Formazione in Information Security Management25
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management26
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management27
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management28
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management29
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management30
Corso di Alta Formazione in Information Security Management31
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management32
Indagine di mercato Metodologia e Long List
La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007
A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste
Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe
Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete
Corso di Alta Formazione in Information Security Management33
Indagine di mercato Short List (2)
Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor
Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale
ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management17
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management18
Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali
Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo
Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT
Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM
Analisi Mappatura Processi
Corso di Alta Formazione in Information Security Management19
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management20
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management21
APPLIANCE
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Firewall Di Backbone
Fibra10 Gb 4 P 1
Firewall Periferici Rame100 Mb 15 P 1
VPN Concentrator Fibra10 Gb 2 P 1
Intrusion Prevention Fibra1-10 Gb 6 P 1
Backbone switch Fibra10 Gb 4P 2
Apparati di rete attivi
Varie 600 P 2
Proxy e Web Filter Fibra10 Gb 4 P 1
GW Antivirus e Antispam
Fibra10 Gb 2 P 1
SERVER
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Acces Control Server Rame1 Gb 3 P 1
Server Gestione AV Centralizzato
Rame1 Gb 2 P 1
Web Server Varie 50 P 2
Mail Server Varie 11 P 1
Sistemi Unix Varie 122 P 2
Sistemi Windows Varie 220 P 2
Stima EPS devices P1 gt 3000
Stima EPS devices P2 non effettuata
Analisi Inventario Risorse
Corso di Alta Formazione in Information Security Management22
Cosa egrave un KPI (o Security Metric)
To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure
They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources
(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)
A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload
(Security Metrics Management Kovacich and Halibozek 2006)
A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes
(ISO 27004 2005 Information security metrics and measurements (Draft))
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management23
I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte
I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala
Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management24
Analisi Il modello Why-What-How
Corso di Alta Formazione in Information Security Management25
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management26
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management27
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management28
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management29
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management30
Corso di Alta Formazione in Information Security Management31
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management32
Indagine di mercato Metodologia e Long List
La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007
A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste
Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe
Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete
Corso di Alta Formazione in Information Security Management33
Indagine di mercato Short List (2)
Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor
Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale
ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management18
Lrsquoanalisi dei processi esistenti ha messo in evidenza la necessitagrave di introdurre delle modifiche ai seguenti processi aziendali
Security Monitoring Devono esse istituite delle procedure di monitoraggio utilizzando lrsquoinfrastruttura centralizzata SIEM per lrsquoanalisi e reportistica degli eventi di sicurezza per sopperire la mancanza di un monitoraggio proattivo
Risk Assessment il processo di analisi delle vulnerabilitagrave e delle minacce deve prevedere lrsquointegrazione dei risultati sulla piattaforma SIEM al fine di tenere allineata la visione ad alto livello con la visione operativa dellrsquoinfrastruttura ICT
Change amp Configuration Management Le modifiche apportate allrsquoinfrastruttura IT devono essere integrate sulla piattaforma SIEM (es regole firewall introduzione di nuovi sistemi installazione di nuovi servizi) al fine di tenere aggiornata la visione operativa dellrsquoinfrastruttura ICT Deve inoltre essere prevista una revisione periodica delle politiche di correlazione e di filtro degli eventi di sicurezza sulla piattaforma SIEM
Analisi Mappatura Processi
Corso di Alta Formazione in Information Security Management19
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management20
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management21
APPLIANCE
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Firewall Di Backbone
Fibra10 Gb 4 P 1
Firewall Periferici Rame100 Mb 15 P 1
VPN Concentrator Fibra10 Gb 2 P 1
Intrusion Prevention Fibra1-10 Gb 6 P 1
Backbone switch Fibra10 Gb 4P 2
Apparati di rete attivi
Varie 600 P 2
Proxy e Web Filter Fibra10 Gb 4 P 1
GW Antivirus e Antispam
Fibra10 Gb 2 P 1
SERVER
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Acces Control Server Rame1 Gb 3 P 1
Server Gestione AV Centralizzato
Rame1 Gb 2 P 1
Web Server Varie 50 P 2
Mail Server Varie 11 P 1
Sistemi Unix Varie 122 P 2
Sistemi Windows Varie 220 P 2
Stima EPS devices P1 gt 3000
Stima EPS devices P2 non effettuata
Analisi Inventario Risorse
Corso di Alta Formazione in Information Security Management22
Cosa egrave un KPI (o Security Metric)
To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure
They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources
(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)
A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload
(Security Metrics Management Kovacich and Halibozek 2006)
A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes
(ISO 27004 2005 Information security metrics and measurements (Draft))
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management23
I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte
I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala
Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management24
Analisi Il modello Why-What-How
Corso di Alta Formazione in Information Security Management25
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management26
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management27
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management28
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management29
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management30
Corso di Alta Formazione in Information Security Management31
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management32
Indagine di mercato Metodologia e Long List
La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007
A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste
Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe
Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete
Corso di Alta Formazione in Information Security Management33
Indagine di mercato Short List (2)
Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor
Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale
ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management19
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management20
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management21
APPLIANCE
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Firewall Di Backbone
Fibra10 Gb 4 P 1
Firewall Periferici Rame100 Mb 15 P 1
VPN Concentrator Fibra10 Gb 2 P 1
Intrusion Prevention Fibra1-10 Gb 6 P 1
Backbone switch Fibra10 Gb 4P 2
Apparati di rete attivi
Varie 600 P 2
Proxy e Web Filter Fibra10 Gb 4 P 1
GW Antivirus e Antispam
Fibra10 Gb 2 P 1
SERVER
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Acces Control Server Rame1 Gb 3 P 1
Server Gestione AV Centralizzato
Rame1 Gb 2 P 1
Web Server Varie 50 P 2
Mail Server Varie 11 P 1
Sistemi Unix Varie 122 P 2
Sistemi Windows Varie 220 P 2
Stima EPS devices P1 gt 3000
Stima EPS devices P2 non effettuata
Analisi Inventario Risorse
Corso di Alta Formazione in Information Security Management22
Cosa egrave un KPI (o Security Metric)
To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure
They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources
(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)
A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload
(Security Metrics Management Kovacich and Halibozek 2006)
A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes
(ISO 27004 2005 Information security metrics and measurements (Draft))
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management23
I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte
I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala
Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management24
Analisi Il modello Why-What-How
Corso di Alta Formazione in Information Security Management25
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management26
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management27
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management28
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management29
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management30
Corso di Alta Formazione in Information Security Management31
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management32
Indagine di mercato Metodologia e Long List
La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007
A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste
Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe
Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete
Corso di Alta Formazione in Information Security Management33
Indagine di mercato Short List (2)
Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor
Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale
ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management20
Analisi Processo di Security Monitoring
Corso di Alta Formazione in Information Security Management21
APPLIANCE
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Firewall Di Backbone
Fibra10 Gb 4 P 1
Firewall Periferici Rame100 Mb 15 P 1
VPN Concentrator Fibra10 Gb 2 P 1
Intrusion Prevention Fibra1-10 Gb 6 P 1
Backbone switch Fibra10 Gb 4P 2
Apparati di rete attivi
Varie 600 P 2
Proxy e Web Filter Fibra10 Gb 4 P 1
GW Antivirus e Antispam
Fibra10 Gb 2 P 1
SERVER
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Acces Control Server Rame1 Gb 3 P 1
Server Gestione AV Centralizzato
Rame1 Gb 2 P 1
Web Server Varie 50 P 2
Mail Server Varie 11 P 1
Sistemi Unix Varie 122 P 2
Sistemi Windows Varie 220 P 2
Stima EPS devices P1 gt 3000
Stima EPS devices P2 non effettuata
Analisi Inventario Risorse
Corso di Alta Formazione in Information Security Management22
Cosa egrave un KPI (o Security Metric)
To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure
They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources
(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)
A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload
(Security Metrics Management Kovacich and Halibozek 2006)
A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes
(ISO 27004 2005 Information security metrics and measurements (Draft))
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management23
I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte
I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala
Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management24
Analisi Il modello Why-What-How
Corso di Alta Formazione in Information Security Management25
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management26
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management27
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management28
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management29
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management30
Corso di Alta Formazione in Information Security Management31
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management32
Indagine di mercato Metodologia e Long List
La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007
A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste
Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe
Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete
Corso di Alta Formazione in Information Security Management33
Indagine di mercato Short List (2)
Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor
Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale
ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management21
APPLIANCE
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Firewall Di Backbone
Fibra10 Gb 4 P 1
Firewall Periferici Rame100 Mb 15 P 1
VPN Concentrator Fibra10 Gb 2 P 1
Intrusion Prevention Fibra1-10 Gb 6 P 1
Backbone switch Fibra10 Gb 4P 2
Apparati di rete attivi
Varie 600 P 2
Proxy e Web Filter Fibra10 Gb 4 P 1
GW Antivirus e Antispam
Fibra10 Gb 2 P 1
SERVER
Tipo di SorgenteTipologia
ConnessioneQtagrave
Prioritagrave(1-2)
Acces Control Server Rame1 Gb 3 P 1
Server Gestione AV Centralizzato
Rame1 Gb 2 P 1
Web Server Varie 50 P 2
Mail Server Varie 11 P 1
Sistemi Unix Varie 122 P 2
Sistemi Windows Varie 220 P 2
Stima EPS devices P1 gt 3000
Stima EPS devices P2 non effettuata
Analisi Inventario Risorse
Corso di Alta Formazione in Information Security Management22
Cosa egrave un KPI (o Security Metric)
To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure
They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources
(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)
A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload
(Security Metrics Management Kovacich and Halibozek 2006)
A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes
(ISO 27004 2005 Information security metrics and measurements (Draft))
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management23
I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte
I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala
Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management24
Analisi Il modello Why-What-How
Corso di Alta Formazione in Information Security Management25
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management26
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management27
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management28
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management29
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management30
Corso di Alta Formazione in Information Security Management31
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management32
Indagine di mercato Metodologia e Long List
La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007
A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste
Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe
Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete
Corso di Alta Formazione in Information Security Management33
Indagine di mercato Short List (2)
Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor
Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale
ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management22
Cosa egrave un KPI (o Security Metric)
To provide meaningful data security metrics must be based on IT security performance goals and objectives and be easily obtainable and feasible to measure
They must also be repeatable provide relevant performance trends over time and be useful for tracking performance and directing resources
(Security Metrics Guide for Information Technology Systems National Institute of Standards and Technology Special Publication 800-55)
A security metric is the application of quantitative statistical andor mathematical analyses to measuring security functional costs benefits successes failures and trends and workload
(Security Metrics Management Kovacich and Halibozek 2006)
A defined form of measurement (measurement method function of calculation or analytical model) and the scale for carrying out the measurement of one or several attributes
(ISO 27004 2005 Information security metrics and measurements (Draft))
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management23
I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte
I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala
Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management24
Analisi Il modello Why-What-How
Corso di Alta Formazione in Information Security Management25
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management26
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management27
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management28
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management29
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management30
Corso di Alta Formazione in Information Security Management31
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management32
Indagine di mercato Metodologia e Long List
La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007
A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste
Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe
Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete
Corso di Alta Formazione in Information Security Management33
Indagine di mercato Short List (2)
Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor
Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale
ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management23
I Security metrics sono un aiuto per la gestione dellrsquoinformation security in unrsquoorganizzazione Sono il risultato di analisi e interpretazione di dati spesso desunti da trend o previsioni effettuate su informazioni precedentemente raccolte
I Security metrics dovrebbero essere puntuali affidabili provenienti da fonte certa accurati semplici (almeno ad un certo livello) dimostrabili facilmente comprensibili ripetibili verificabili e applicabili su economie di scala
Una definizione sufficentemente accettata li definisce come Misurazioni oggettive e quantificabili nei confronti di specifici target che permettono allrsquoorganizzazione di valutare lrsquoefficacia dellrsquoinformation security
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management24
Analisi Il modello Why-What-How
Corso di Alta Formazione in Information Security Management25
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management26
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management27
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management28
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management29
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management30
Corso di Alta Formazione in Information Security Management31
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management32
Indagine di mercato Metodologia e Long List
La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007
A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste
Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe
Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete
Corso di Alta Formazione in Information Security Management33
Indagine di mercato Short List (2)
Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor
Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale
ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management24
Analisi Il modello Why-What-How
Corso di Alta Formazione in Information Security Management25
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management26
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management27
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management28
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management29
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management30
Corso di Alta Formazione in Information Security Management31
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management32
Indagine di mercato Metodologia e Long List
La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007
A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste
Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe
Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete
Corso di Alta Formazione in Information Security Management33
Indagine di mercato Short List (2)
Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor
Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale
ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management25
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management26
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management27
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management28
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management29
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management30
Corso di Alta Formazione in Information Security Management31
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management32
Indagine di mercato Metodologia e Long List
La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007
A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste
Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe
Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete
Corso di Alta Formazione in Information Security Management33
Indagine di mercato Short List (2)
Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor
Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale
ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management26
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management27
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management28
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management29
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management30
Corso di Alta Formazione in Information Security Management31
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management32
Indagine di mercato Metodologia e Long List
La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007
A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste
Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe
Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete
Corso di Alta Formazione in Information Security Management33
Indagine di mercato Short List (2)
Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor
Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale
ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management27
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management28
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management29
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management30
Corso di Alta Formazione in Information Security Management31
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management32
Indagine di mercato Metodologia e Long List
La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007
A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste
Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe
Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete
Corso di Alta Formazione in Information Security Management33
Indagine di mercato Short List (2)
Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor
Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale
ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management28
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management29
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management30
Corso di Alta Formazione in Information Security Management31
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management32
Indagine di mercato Metodologia e Long List
La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007
A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste
Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe
Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete
Corso di Alta Formazione in Information Security Management33
Indagine di mercato Short List (2)
Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor
Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale
ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management29
Analisi Individuazione KPI
Corso di Alta Formazione in Information Security Management30
Corso di Alta Formazione in Information Security Management31
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management32
Indagine di mercato Metodologia e Long List
La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007
A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste
Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe
Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete
Corso di Alta Formazione in Information Security Management33
Indagine di mercato Short List (2)
Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor
Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale
ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management30
Corso di Alta Formazione in Information Security Management31
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management32
Indagine di mercato Metodologia e Long List
La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007
A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste
Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe
Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete
Corso di Alta Formazione in Information Security Management33
Indagine di mercato Short List (2)
Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor
Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale
ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management31
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management32
Indagine di mercato Metodologia e Long List
La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007
A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste
Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe
Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete
Corso di Alta Formazione in Information Security Management33
Indagine di mercato Short List (2)
Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor
Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale
ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management32
Indagine di mercato Metodologia e Long List
La scelta egrave stata orientata verso i leader del ldquoMagic Quadrant for Security Information and Event Managementrdquo di Gartnerreg considerando lrsquoevoluzione degli ultimi 3 anni dal 2005 al 2007
A partire da una long-list dei leader del 2005 e-Security (attuale Novell) Intellitactics ArcSight netForensics e Network Intelligence (attuale RSA) per ciascuno di questi sono state considerate le valutazioni di Gartnerreg per determinare una short-list di duetre soluzioni sulle quali svolgere delle valutazioni puntuali rispetto ai requisiti funzionali e alle caratteristiche tecniche richieste
Altri nomi importanti di fornitori quali Computer Associates IBM e Symatec non sono stati considerati percheacute pur essendo diffusi (collocati tra le zone ldquochallengersrdquo e ldquoleadersrdquo) non sono focalizzati nel settore SIEM Symantec fornisce questa soluzione come complemento di altri prodoti di sicurezza IBM ha unrsquoofferta complicata dalla sovrapposizione di piugrave prodotti che ha acquisito Consul e Micromuse Computer Associates egrave focalizzata nellrsquoarea mainframe
Infine Fornitori quali TriGeo NetIQ e LogLogic pur essendo ben collocati nellrsquoultima recensione hanno soluzioni ancora incomplete
Corso di Alta Formazione in Information Security Management33
Indagine di mercato Short List (2)
Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor
Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale
ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management33
Indagine di mercato Short List (2)
Novell (Ex e-Security) ndash Lrsquoacquisizione di Novell ha portato la soluzione SIEM ex e-Security ad essere una componente della propria offerta nel settore dellrsquoIdentity and Access Management (IAM) Gartnerreg la giudica una soluzione particolarmente adatta alle organizzazioni che utilizzano la suite IAM Novell e che non debbano richiedere il trattamento di tutti i log Esclusa dalla short-list percheacute non egrave proposta come soluzione strategica SIEM dal Vendor
Intellitactics ndash Lrsquoattuale posizionamento tra i ldquoniche playersrdquo egrave con probabilitagrave dovuto allrsquoestrema flessibilitagrave che la caratterizza e che la rende complessa da implementare Gartnerreg segnala la necessitagrave che il Vendor riduca le competenze tecniche necessarie per lrsquoimplementazione Esclusa dalla short-list per la valutazione attuale non ottimale
ArchSight ndash Soluzione adatta alle grandi installazioni sia negli aspetti tecnici (flessibilitagrave elevata personalizzazione) che nellrsquoapproccio commerciale del Vendor che egrave orientato verso i clienti Large-Enterprise Di riflesso la soluzione egrave complessa ed egrave valutata onerosa nel dimensionamento della piattaforma di base e per il tuning Il Vendor stesso sta lavorando alla semplificazione del prodotto ed alla costruzione di un canale di vendita adatto ai clienti della fascia Mid-market Esclusa dalla short-list per non aver risposto alle richieste drsquoinformazione in tempo utile
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management34
Indagine di mercato Short List (2)
NetForensics ndash Soluzione SIEM funzionalmente completa con le caratteristiche necessarie sia per i clienti Large-Enterprise sia per il Mid-market Se da un lato privilegia la rapiditagrave di attivazione dallrsquoaltro deve consolidare lrsquointegrazione delle funzionalitagrave di log management rese disponibili a metagrave 2007 Lrsquoattuale posizionamento nel quadrante dei ldquochallengersrdquo egrave motivata da Gartnerreg con la carenza nellrsquoambito del log management che egrave stato sviluppato successivamente allrsquoultima valutazione Gartnerreg Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo software-based
RSA (Ex Network Intelligence) ndash Soluzione leader che puograve soddisfare esigenze SEM e SIM grazie alla sua architettura particolarmente performante Vanta una rapiditagrave di attivazione essendo una soluzione appliance-based ma proprio per questo paga lo scotto di essere meno flessibile nelle architetture complesse del cliente e dove siano richieste funzionalitagrave estese per un Security Operations Center Inclusione nella short-list essendo una soluzione completa e una delle leader di tipo appliance-based
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management35
Request for Information Il modello
Requested functionality or characteristics
Functionalities
Setup of the managed environment Real time security analisys and alerting
Centralized managementForensics amp AnalisysLog ManagementReportingIncident handling
Technical characteristics
Performance and scalabilityRedundant and distributed configurationsLow level of intrusionAuthenticationAuthorizationInternal database management Storing and Archiving of the Security Events and LogsSupported storage devicesMaintenance of Security DevicesRapid deployment and personalizationSupport of encryptionSuggested configuration
Other characteristics
Vendor leadership and awardCustomerrsquos reference in the Italian MarketSupport service
Type of Security Devices
Vendor Model Utilization Note Standard or custom support
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management36
Request for Information Il metodo di calcolo
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Valutazione attribuita ad ogni funzionalitagrave o caratteristicabull0 = funzionalitagrave non disponibilebull1 = supporto minimo della funzionalitagravebull2 = supporto parziale della funzionalitagravebull3 = supporto completo della funzionalitagrave
Requested functionality or characteristicsPeso(1-3)
RSA enVisionnetForensics nFX
SIM|One
Note
Valutazne (0-3) Valutazne (0-3)
Functionalities
Technical characteristics
Other characteristics
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Peso attribuito ad ogni funzionalitagrave o caratteristicabull1 = minima importanza per Informatica Trentinabull2 = media importanza per Informatica Trentinabull3 = massima importanza per Informatica Trentina
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management37
Agenda
Il Contesto di riferimento
Esigenze
Obiettivi del PW
Il Progetto
Definizione requisiti
Analisi
Scelta Tecnologica
Definizione e mappatura KPI
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management38
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management39
Definizione e Mappatura KPI
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management40
Definizione e Mappatura KPI
Board CISO IT managers IT staffInformation
security staff
Communicate with business
Identify and manage risk
Measure performance
Demonstrate compliance
Measure controls
Justifyvalue information security
Manage information security
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon
Corso di Alta Formazione in Information Security Management41
Domande
DomandeAra F طFالCب Italian أيFJة bicم
ΕρωτήσειςGreek
iquestPreguntasSpanish
вопросыRussian
10508611050861Japanese
QuestionsEnglish
tupoQghachmeyKlingon