Un'efficace gestione del rischio per ottenere vantaggi ... · Dimostrare come una efficace gestione...

1 © Copyright 2014 EMC Corporation. All rights reserved.

@RSAItalia

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Luciano Veronese - RSA Technology Consultant

Marco Casazza - RSA Technology Consultant


@RSAItalia

Obiettivi della presentazione

Dimostrare come una efficace gestione dei rischi aziendali può contribuire al vantaggio competitivo di una

organizzazione.

Illustrare come la visione e le tecnologie di RSA sono in grado di gestire in modo efficace sia i rischi di business sia i rischi legati alla tecnologia considerandone le relazioni.


@RSAItalia

Vantaggio competitivo? Quali i fattori ?

Automazione dei processi

Rimozione dei Silos Informativi

Individuare le aree di criticità

(rischi)

Prendere decisioni sulla

base dei risultati dell’analisi del

rischio

Visibilità: Asset, Report, Dashboard,…


@RSAItalia

Qualche definizione… Business: insieme dei processi, politiche, controlli, governance, […] che caratterizzano una organizzazione, l’ambito in cui opera

IT: l’insieme delle tecnologie a supporto delle attività del Business

Rischio

Business Rischio = f (Probabilità evento, Impatto creato)

IT/InfoSec Rischio = f (Valore asset, Probabilità minaccia, Vulnerabilità dell’asset, Impatto)

•  Evento=Minaccia che si manifesta (es. sfrutta la vulnerabilità di un asset) •  Un rischio esiste nella misura in cui esiste una minaccia! Note


@RSAItalia

L’universo dei rischi �  I rischi sono classificati in molteplici categorie come

Enterprise Risk, Operational Risk, IT-Risk, InfoSec Risk

�  I processi di gestione sono simili, ma le metodologie di assessment sono spesso specializzate

Sicurezza delle Informazioni

Rischi Progetto Sviluppi Applicativi

Rischi IT

Rischi Investimento

(spesa)

Rischi di Infrastruttura

Confidenzialità Integrità

Disponibilità

�  I rischi IT sono solitamente classificati come parte degli Operational Risk e a loro volta classificati in


@RSAItalia

La continuità operativa �  Riguarda un particolare tipo di rischi: quelli caratterizzati da

eventi a bassa frequenza ed alto impatto –  Possono determinare la chiusura di un’organizzazione per l’incapacità

di raggiungere i propri obiettivi (di produzione, di servizi, ecc.)

�  I piani sono le azioni di remediation associate ai rischi individuati e per i processi critici individuati

�  In una visione globale dei rischi aziendali, essi fanno parte dei rischi operativi


@RSAItalia

Quali minacce (o sfide) ? •  Pressione normativa, inefficienza, costi •  Sfide a livello di sistema paese •  Processi manuali (scarsa automazione) •  Silos informativi (difficoltà di comunicazione) •  Scarsa visibilità: difficoltà decisionale

Minacce che impattano il Business

•  Advanced Threats •  Frodi •  Denial of Service •  Indisponibilità di sistemi

Minacce che impattano l’IT

In generale, anche la mancanza di allineamento fra IT e Business è una minaccia per la competitività !


@RSAItalia

Quali impatti? �  InfoSec: perdita di Confidenzialità, Integrità, Disponibilità

�  Immagine aziendale e reputazione

�  Perdite economiche

�  Impatti sulla sicurezza del sistema paese (ad es. perdita di informazioni sensibili)

�  Furti di proprietà intellettuale (ad es. perdita diretta di competitività)

�  Mancata erogazione di servizi essenziali

�  …


@RSAItalia

Come affrontare gli scenari di rischio indotti dalle minacce


@RSAItalia

Gli ecosistemi aziendali e le minacce Lo schema di riferimento

I.T. Applicazioni, Dispositivi,

Tecnologie, Storage, …

Processi, Controlli, Policy, Prodotti, Informazioni …

BUSINESS Minacce che impattano il business

Minacce che impattano l’Information Technology (e di conseguenza il business…)


@RSAItalia

Livello Tecnologico

Livello Strategico

Le tecnologie RSA supportano sia il livello strategico sia il livello tecnologico con prodotti altamente integrati che condividono le relative informazioni di contesto

La nostra visione strategica

Archer eGRC

Policy

Compliance

Vulnerability Management

Security Operations

Risk

Enterprise Management

Business Continuity

Advanced SOC/SA

Fraud Risk Intelligence

Identity Governance

I.T. Applicazioni.,

Dispositivi, Tecnolgie, Storage, …

Processessi, Controlli, Policy, Prodotti, Informazioni …

BUSINESS Minacce/ Rischi di Business

Minacce/ Rischi IT/InfoSec


@RSAItalia

Rischio di Business e IT

Rischi di Business

Minacce sul Business

Rischi IT/InfoSec

Minacce IT/InfoSec

Cre

ano

Impatti sul Business

Impatti sull’IT

Integrati in…

Supporta l’analisi di…

Supporta l’analisi tradizionale e…

Vantaggio Competitivo


@RSAItalia

La visione di RSA abilita l’approccio che caratterizza il massimo livello di maturità

Diversi modi di affrontare le minacce

Livello 1 Difesa Perimetrale

•  Focus su controlli puntuali

•  Approccio molto TATTICO

Livello 2 Difesa orientata alla Compliance

•  Controlli determinati in base ai requisiti di compliance

•  Mentalità delle checklist

Livello 3 Difesa sulla base del rischio IT/InfoSec

•  Controlli determinati dai processi di IT/InfoSec Risk Management

Livello 4 Difesa sulla base del rischio di Business

•  E’ considerata la relazione fra Business Risk e IT Risk

•  Approccio molto STRATEGICO

Si possono individuare diversi approcci nell’affrontare le sfide indotte dalle minacce nel corso del tempo o sulla base del livello di maturità aziendale.


@RSAItalia

Gestire il rischio IT: gli approcci L’approccio tradizionale al risk management, governato da metodologie e standard quali ISO-27005 e ISO-31000, permette sostanzialmente di individuare “rischi potenziali”: il fine è l’allocazione dei controlli!

NOTA: le minacce tecnologiche, come le Advanced Threats, possono creare un impatto sugli asset tecnologici (e quindi sul business) SOLO se esiste una vulnerabilità che può essere da loro sfruttata!

Grazie ad Archer eGRC, supporta l’approccio tradizionale, sia per il Business Risk sia per l’IT/InfoSec Risk

Supporta anche un approccio “pragmatico” al risk management, grazie alla stretta integrazione fra i prodotti dello stack tecnologico


@RSAItalia

L’approccio RSA per la gestione del rischio IT

Business Asset

Business Asset

Business Asset

Impatto sul Business

IT Asset

IT Asset

IT Asset

Impatto Tecnico

Vulnerabilità

Vulnerabilità

Vulnerabilità

Vulnerabilità di sicurezza

Agente di Attacco

Attacco

Attacco

Attacco

Vettore di Attacco

Controllo

Controlli di sicurezza

Controllo Attacco

Vulnerabilità

IT Asset

Business Asset

Impatto Tecnico

Fattibile ed efficace

Fattibile ed efficace

Migliorare l’efficienza della rilevazione

dell’attacco

Migliorare l’efficienza della

risposta all’incidente

Prevenzione delle Minacce Rilevazione degli Attacchi

Risposta e Rimedio

Possibile Difficile

Si possono individuare 3 macro aree di intervento:

Modello OWASP (https://www.owasp.org/index.php/Top_10_2010-Main)

I possibili punti di intervento per mitigare i rischi


@RSAItalia

La “gestione pragmatica” del rischio IT �  Gestione preventiva: mitiga il rischio, riducendo le vulnerabilità rilevate

(che rappresentano dei rischi reali, non potenziali) –  Il rischio è ridotto agendo sulla componente di probabilità della tipica equazione di rischio

Prevenzione delle Minacce

Rilevazione degli Attacchi

Risposta e Rimedio

Archer Vulnerability Risk Management

Security Analytics

Archer Security Operations

Management

�  Gestione della capacità di rilevazione e di risposta: mitiga il rischio migliorando le capacità di rilevare attacchi e l’efficienza del processo di risposta agli incidenti –  Il rischio è ridotto agendo sulla componente di impatto della tipica equazione di rischio


@RSAItalia

Archer Vulnerability Risk Management Mitigare i rischi (riduzione probabilità minacce) attraverso una gestione business-oriented delle vulnerabilità

SFI

DE

Scoprire le vulnerabilità

Classificare i problemi

Indirizzare i problemi

Monitoraggio e Repor;ng

Catalogo Asset P

assi

Nessuna relazione fra da; di business e tecnologici Mancanza di un contesto e meccanismi di priori;zzazione

Mancanza di automazione e di workflow flessibile Repor;ng inefficace e lento

Vulnerability Management [La soluzione RSA]

Indirizzato dai fornitori di

Vulnerability Scanner (Qualys, McAfee, …)

Mancanza di un catalogo centralizzato (o catalogo parziale)

Risultato Scansioni Contesto

di Business

Threat Intelligence

+ + = Vulnerabilità

Priori;zzate ü  Workflow ü  KPI ü  Report

ü  Scalabilità ü  Velocità ü  Precisione

Σ


@RSAItalia

Archer SecOps (Security Operations Management) Mitigare i rischi (impatto delle minacce) rendendo più efficace il processo di risposta agli incidenti

Ruo

li (U

ser

Pers

onas

) S

ecO

ps

Orchestrare &

Gestire

Analisti del SOC Analista L1 Analista L2

Analista di Threat Intelligence

Gestione del SOC

Responsabile del SOC CISO/CSO

Team Inter-Funzione

CIO Resp. di Business Resp. Privacy Conformità Legale Resp. Personale

Soluzione costruita attorno al concetto di “User Persona”


@RSAItalia

Misurare il rischio IT in tempo reale

�  Grazie alla integrazione tra le diverse tecnologie, il nostro approccio consente di rappresentare metriche (KRI) che abilitano scenari di gestione dei rischi in tempo reale

Indicatori e Metriche

RSA IT Security Risk Management

RSA Archer GRC

Risultati delle scansioni

Flussi di mitigazione

Correlazione delle minacce

Scalabilità Prev

enzi

one Vulnerability Risk

Incidenti & Investigazioni

Gestione dei Breach

Gestione delle Crisi

Gestione del SOC

Risposta

Security Operations

Gli approcci tradizionali al Risk Management utilizzano tecniche di assessment condotte 1 o 2 volte l’anno

•  I rischi sono rilevati con una bassa frequenza… •  … che spesso non è compatibile con la dinamicità

sempre maggiore delle organizzazioni


@RSAItalia

L’approccio IT Security Risk Management per legare il Rischio di Business al Rischio IT

IT-‐SRM Advanced SOC

•  Security Analy;cs •  Servizi Advanced Cyber

Defense •  ECAT •  Data Loss Preven;on

Governance Risk Compliance

•  Conformità norma;va •  Rischi Opera;vi •  Rischi di terze par; •  Con;nuità Opera;va •  Audit

•  Security Opera/ons Management (SecOps) •  Vulnerability Risk Management (VRM)


@RSAItalia

Conclusioni

Vantaggio competitivo? = Saper prendere le giuste decisioni !

1

Individuare le aree critiche = Identificare i rischi di Business

2

Considerare anche i rischi IT indotti da minacce come le Advanced Threat, integrandoli nei rischi di Business

3 La nostra visione e le nostre

tecnologie supportano la gestione sia del rischio di Business, sia dei rischi IT

4

Rischio Business <-> Rischio IT:

•  Allineamento costante grazie ad una integrazione che prevede lo scambio di informazioni di contesto

•  Supporto di un processo decisionale in tempo reale che è uno degli abilitatori primari per ottenere un vantaggio competitivo

5


@RSAItalia

DEMO Esempio di implementazione di un workflow di processo nell’ambito “Risk Management” con il coinvolgimento di diversi attori (quali Risk Manager e Risk Owner), ognuno con una propria vista dedicata.

Un'efficace gestione del rischio per ottenere vantaggi ... · Dimostrare come una efficace gestione...

Documents

Transcript of Un'efficace gestione del rischio per ottenere vantaggi ... · Dimostrare come una efficace gestione...