Slide n° 1 Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Milano 25 ottobre...

<Titolo presentazione> Slide n° 1

<TITOLO PRESENTAZIONE>

<Sottotitolo><Luogo><Data><Relatore/i><Distribuzione>

Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia

Milano25 ottobre 2002Claudio Gentili Security Senior Consultant Kyneste

Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Slide n° 2

Agenda

Premessa

L’approccio consulenziale

L’approccio tecnologico

Il ciclo di vita della sicurezza

CSO – Chief Security Officer


Premessa

Indagine Sirmi “Security Management: le nuove frontiere della sicurezza nell'ICT”

• il 20% degli attori intervistati dichiara di avere una politica scritta comprendente tutte le regole di sicurezza dei sistemi informativi

• il 31% degli attori intervistati dispone di una politica scritta ma limitata agli obiettivi di sicurezza

• il 30% degli attori intervistati ha un politica informale


Premessa

Indagine Sirmi “Security Management: le nuove frontiere della sicurezza nell'ICT”

Gli elementi più comuni

l'uso di password (92 %)

amministrazione di rete (83 %)

protezione e detenzione dati (83 %)

amministrazione del sistema informativo (81 %)

architettura sicura (70 %)

regole di uso delle e-mail (62 %)



La security consulting tradizionalmente si pone come obiettivo interventi di natura strategica, secondo un approccio tipicamente top down:

Identificazione e formalizzazione delle piramidi gerarchiche

Identificazione di minacce da cui proteggersi

Classificazione di beni aziendali da proteggere

Identificazione delle misure di Sicurezza funzionali da adottare

…



La scelta e l’adozione delle soluzioni strategiche si accompagna generalmente alla scelta di standard metodologici di riferimento

ITSEC (Information Technology Security Evaluation Criteria) UE 1991ISO 15408(Common Criteria)ISO 17799 (Code of Practice for Information Security Management - BS 7799 - British Standard)

…ma ancheTCSEC Orange Book (Trusted Computer Systems Evaluation Criteria) D.o.D. USA 1985CTCPEC (Canadian Trusted Computer Product Evaluation Criteria) CA 1993FC (Federal Criteria) 1992 USA



Gli attori generalmente coinvolti sono

Top managerResponsabili dell’organizzazione

(Più raramente )

Responsabili di networkResponsabili della logisticaResponsabili legali

(Molto più raramente)

Responsabili dei sistemiResponsabili degli applicativiResponsabili di auditing



I valori dell’approccio consulenziale

– Visione olistica del problema della sicurezza– Accezione di Sicurezza in termini di sistema informativo

I limiti dell’approccio consulenziale

Generalmente non è oggetto di controllo la propagazione delle direttive alle azioni puntualiGeneralmente sono carenti i meccanismi di feedback per valutare l’applicazione delle direttive



La tecnologia tradizionalmente ha come obiettivo interventi di natura tattica, secondo un approccio tendenzialmente bottom up:

Difesa perimetrale dell’infrastruttura

Difesa e compartimentazione delle porzioni inside del sistema

Data analysis

Rilevazione di vulnerabilità “atomiche”

Improvement

…



Ovviamente, anche l’approccio tecnologico si avvale di visioni strategiche



Ovviamente, anche l’approccio tecnologico si avvale di visioni strategiche

Building Module Mainframe Module WAN Module

Internet

SMTP

DNS

HTTP/SSL

ServerModule



Gli attori generalmente coinvolti sono

Responsabili dei sistemiResponsabili di networkResponsabili degli applicativi

(Più raramente )

Top manager Responsabili dell’organizzazioneResponsabili della logisticaResponsabili legali

(Molto più raramente)

Responsabili di auditing



I valori dell’approccio tecnologico

– Visione “operativa” del problema della sicurezza– Tempestività di intervento– Copertura di larga casistica di minacce

I limiti dell’approccio tecnologico

Visione settorialeCarenza di strumenti di comunicazione con il “mondo esterno”Non viene valutata la propagazione del rischio ai sistemi connessi (organizzativi e fisici)



Un modello abusato (ma sempre valido): il ciclo della sicurezza

Pianfiicazione

ControlloImplementazione

Corpora

te

Security P

olicy

SECUREMONIT

OR

AUDIT / T

EST

MANAGE & IM

PROVE

• Polic

y Develo

pment

• Polic

y Review



Il principio del “ciclo di vita della sicurezza” coordina il passaggio tra consulenza a tecnologia

• Problema: come coordinare il ciclo di vita della sicurezza?• Altro problema: come gestire gli approcci ibridi

(non top down e nemmeno bottom up)?



Il Chief Security Officer (CSO) è la figura preposta alla gestione del processo di sicurezza

Coordina gli attori (interni ed esterni)Riporta al top managementGestisce e attiva le competenzeStruttura ed alimenta i canali di comunicazione tra le differenti entità, “condividendone lo stesso linguaggio”…Gestisce e storicizza la Sicurezza come un Processo in Qualità (“…dimmi ciò che fai, e fa’ ciò che dici…”)



Il Chief Security Officer (CSO) non deve essere necessariamente una figura tecnica, ma deve possedere: (1)

Principi generali di sicurezza aziendale

Concetti di politica ed organizzazione della sicurezza del sistema informativo

Concetti di analisi del rischio, di progettazione dei sistemi di protezione e di classificazione delle informazioni

Concetti di progettazione di un piano di protezione del sistema informativo



Il Chief Security Officer (CSO) non deve essere necessariamente una figura tecnica, ma deve possedere: (2)

Elementi di architetture e loro evoluzione nel tempo;

Visibilità dello stato dell’arte in materia di information security

Visibilità dei prodotti di sicurezza disponibili sul mercato;

Competenze su norme legali ed operative di sicurezza per i sistemi distribuiti e sistemi di telecomunicazioni


Ci sono domande?

Slide n° 1 Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Milano 25 ottobre...

Documents

Transcript of Slide n° 1 Il ciclo di vita della sicurezza: dalla consulenza alla tecnologia Milano 25 ottobre...