Monitorare in continuo i livelli di sicurezza: quali implicazioni?
by user
Comments
Transcript
Monitorare in continuo i livelli di sicurezza: quali implicazioni?
RISCHIO INFORMATICO E CONTINUOUS AUDITING: Monitorare in continuo i livelli di sicurezza: quali implicazioni? Alessandro Da Re, CRISC Chief Executive Officer 1 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati Quesiti • Cosa significa “Monitorare continuamente i livelli di sicurezza” ? • Come definire in maniera accettabile la descrizione olistica(1) di “Livello o indice di sicurezza”? • Cosa misuro? Le infrastrutture IT gli “apparati di sicurezza”? I Processi e le procedure di Security Governance? Il grado di affidabilità del software? • Quali le metriche? Qualitative? Quantitative? O altro? • Chi certifica che la misurazione effettuata è efficace ? 1- Relativamente a ciò che può essere chiamato "olistico", per definizione, la sommatoria funzionale delle parti è sempre maggiore/differente della somma delle prestazioni delle parti prese singolarmente. Pag.2 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati Security Index? Ma per favore… Pag.3 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati Proviamo ad immaginare… Quanto si può prevenire? Quali indicatori? Premonizioni Cognitive? Pag.4 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati Casi reali Oltre ai parametri operativi consentiti …non sempre va come auspico. Il caso “Bud Hollands” Pag.5 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati GENESI • Consapevolezza e immediatezza di informazioni sui rischi; se mancano sono il primo vero rischio per il business. • Quindi, va da se, l’esigenza del controllo è evidente perché si sa, prevenire è meglio (che curare). Security Marketing! Rappresentare efficacemente i rischi al management è un driver • •I Framework di riferimento forniscono i “parametri operativi” e gli ambiti di controllo (CobIT, ValIT, RiskIT, ISO 27001 etc.). •Risk Management e “Valore del Business”: fondamenti per la strategia di BC Da queste sintetiche ma fondamentali considerazioni è nata, nel 2000, l’idea di pensare ad un tool che fosse in grado di recepire diversi indicatori dall’ambiente, di “misurare” un “indice di sicurezza” e di relazionarlo a KPI recepite da “indicatori di Business” (Business Intelligence). Pag.6 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati Situational Awareness E’ il concetto di base nella gestione delle situazioni complesse, e consente di avere “il polso” della situazione, agire con efficacia ed efficienza, evitare situazioni di panico, prevenire. In sintesi: mantenere il controllo e la consapevolezza in qualsiasi condizione Pag.7 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati Early Warning Concetto mutuato dalla cultura militare: • Individuare le minacce prima di essere alla loro portata; • Gestire in maniera proattiva la propria infrastruttura • Prevenire gli incidenti e agire in maniera coordinata • Avere la visione completa dello scenario Pag.8 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati Definiamo; Monitorare Significa: • Conoscere l’ambiente ed il suo valore (scenario) • Scegliere uno o più framework di riferimento e confrontarlo “il più spesso possibile” • Sintesi efficace delle informazioni che ritengo strategiche • Accorgersi per tempo che “qualcosa non va” rispetto alle policy • Individuarne la causa e decidere sul rimedio nel minor tempo possibile. Il termine monitoraggio deriva dal latino monitor – oris, derivato di monere, con il significato di ammonire, avvisare, informare, consigliare. Il termine ha origine in ambiente industriale, per indicare la vigilanza continua di una macchina in funzione, mediante appositi strumenti che ne misurano le grandezze caratteristiche (velocità, consumo, produzione, ecc.). Il significato originario si è ampliato: dalla macchina all'intero processo, a tutta una struttura operativa, includendo in essa anche le risorse umane Pag.9 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati Monitorare; paradigmi Una BIA consente di valutare l’impatto sul Business che potrebbe avere un “Rischio” non correttamente gestito. Il Risk Management, evidenzia i rischi a cui sono esposti gli Asset strategici (scope) con l’obiettivo di mitigarli. MONITORARE: Determino il grado di rischio, in funzione della criticità e natura dell’asset, della probabilità e della tipologia e numero di vulnerabilità del sistema che lo ospita o dei processi che sottende… In breve: Misurare quindi in modo oggettivo (Best Practice) un ambiente soggettivo (scope) Pag.10 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati Monitorare Continuamente? “Computer Security Audit”, rappresenta quel segmento di processi organizzativi e strumenti tecnologici atti a rilevare lo “stato di salute” di un sistema informativo. Misurare il livello di sicurezza di una infrastruttura IT è da sempre stata una sfida importante, tanto più complessa quanto più esteso è l’ambiente d’analisi. Le tecniche di Audit tradizionali, prevedono dei controlli “manuali” effettuati in istanti diversi, a campione (ISO 19011) Può accadere che nel lasso di tempo che intercorre tra l’attività di controllo effettuata nell’istante T e la successiva dell’istante T1, avvengano dei fatti – ad esempio la rilevazione di una vulnerabilità in un sistema - tali per cui il livello di sicurezza si abbassa, esponendo l’infrastruttura a dei reali rischi di attacco. Pag.11 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati Monitorare Continuamente! “Continuous Audit” (CA) consente, se associato alle opportune attività di applicazione delle contromisure, di ridurre drasticamente il rischio di violazione dei sistemi e mantenere il livello di sicurezza vicino al target di riferimento. ISACA in un articolo apparso nella rivista “Information Systems Control Journal, Volume 5, 2002” dichiara: Continuous Auditing: Is It Fantasy or Reality? Continuous auditing has been defined as a methodology or framework that enables auditors (external and internal) to provide written results on the subject matter using one or a series of reports issued simultaneously. The ability to report on events in a real-time or near real-time environment can provide significant benefits to the users of audit reports Pag.12 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati Continuous Auditing Rappresenta una sfida complessa in quanto occorre: • Mantenere una ricognizione continua delle vulnerabilità sulle situazioni esistenti (Early Warning); • Controllare attivamente tutte le possano rappresentare un rischio; nuove situazioni che • Realizzare adeguate metriche per ricavare il Livello di Sicurezza complessivo, da rappresentare in modo intuitivo e immediato e in forma sia sintetica che analitica. Pag.13 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati IT Security Index??? (ma per favore 2!!!) • Non esistono standard (de facto o meno) che suggeriscano la “metrica” per definire un IT Security Index. • Tuttavia; tutto ciò che esiste è misurabile (o no?) • Allora: perché è difficile o utopico parlare di IT Security Index? • Viene spontaneo il quantum “Qualitativo”, ancorché “Quantitativo” • Presupposto 1: In presenza di Vulnerabilità, aumenta il rischio di violazione, diminuisce l’indice di sicurezza. • Presupposto 2: Audit significa evidenziare per tempo vulnerabilità (di varia natura), che possano compromettere i requisiti di sicurezza e, di conseguenza, il business. Pag.14 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati Misure: Le metriche - esperienza I rischi IT indotti dalle minacce e dalle vulnerabilità non gestite sono molteplici e di diversa natura. Misurarli tutti significa trovarsi con una plancia di comando traboccante di strumentazione ed indicatori; in caso di emergenza, l’attenzione è rivolta solo agli strumenti più importanti e facilmente visibili. un unico indicatore, pur mantenendo il dettaglio dell’informazione, rende efficace l’intervento di remediations. Una metrica adeguata pondera i singoli rischi ricavandone un unico indice, per orientare correttamente attenzione ed investimenti sui punti realmente più critici. Schema di un abitacolo del Mikoyan-Gurevich MIG-23BN Pag.15 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati Metriche Analisi Quali – Quantitativa per uniformare il monitoraggio dei Rischi IT, su infrastrutture tecnologiche complesse. In queste metriche di esempio, vengono inseriti nel calcolo dell’indice di sicurezza i fattori di rischio relativi alle vulnerabilità dei sistemi, e alla disponibilità di un “processo” associato ad una Applicazione critica. Il ”set” di metriche può essere esteso in modo significativo, assegnando di volta in volta il “peso” con il quale ognuna di essa influisce per il calcolo del livello di sicurezza in quello specifico ambiente. Security Metrics M1 Numero totale di vulnerabilità di tipo HIGH 25,0 19,2 M2 Numero di vulnerabilità per tipologia diverse di tipo HIGH 25,0 19,2 M3 Numero di vulnerabilità di tipo MID 17,5 9,3 M4 Numero di vulnerabilità diverse di tipo MID 17,5 9,3 M5 Numero di vulnerabilità di tipo LOW 7,5 3,5 M6 Numero di vulnerabilità diverse di tipo LOW 7,5 3,5 M7 Disponibilità dei singoli servizi 0 18,0 M8 Disponibilità di processo “A” (p.es. Ciclo Attivo) 0 18,0 100,0 100,0 Totale contributo sul calcolo del Security Index Pag.16 Contributo % ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati Metriche Il rischio di violazione dei sistemi aumenta considerevolmente nel caso si fosse in presenza di più vulnerabilità di diverso tipo in più host, dando quindi più possibilità di successo nell’ottenere un accesso non autorizzato ai sistemi. La metriche rendono il calcolo del SL(Security Level) indipendente dall’ambiente e dalle dimensioni dell’organizza zione Pag.17 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati Altre security Metrics? ISACA Tools: Pag.18 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati Qhawax: “El que observa o vigila con astucia” L’esperienza e le esigenze di mercato, ha portato a ragionare e sviluppare un prodotto d’ausilio al monitoraggio continuo del Rischio, cercando di realizzare ciò che in letteratura è considerata una sfida. L’azienda, completando un percorso iniziato nel 2002, ha voluto investire risorse per lo sviluppo del prodotto, portandolo a brevetto Italiano: Pag.19 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati Qhawax: L’architettura Pag.20 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati Qhawax: L’architettura di monitoraggio Pag.21 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati Qhawax: Schema Logico modulo VA MODELLO ARCHITETTURALE QHAWAX LIVELLO DI CONTROLLO GSI: Reti, Sistemi, Servizi IT e Organizzazione Cruscotto Real-Time Reports, documentazione e Allarmi Calcolo dell’indice globale di sicurezza APPLICAZIONE Valutazione dei dati raccolti per indicatore Analisi Raccolta e archiviazione dati di analisi Analisi automatica delle vulnerabilità e trend SI Network Security Index SICUREZZA INFRASTRUTTURA Security Index per ogni singolo sistema Ambito tecnologico Classificazione delle vulnerabilità Asset Inventory Sonde distribuite Pag.22 Security Server Metriche di Sicurezza ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati Dashboard La dashboard propone un Security Level complessivo. In questo esempio, il sistema evidenzia l’aggregazione della metrica “vulnerabilità di sistema”, con la possibilità di drill-down nel singolo dettaglio. Pag.23 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati Dashboard 24 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati Dashboard 25 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati I Sistemi di allerta Quali sono i giusti sistemi di allerta? Vengono presi correttamente in considerazione? L’infrastruttura organizzativa è in grado di sostenere e garantire un adeguato livello di sicurezza agli utenti? RSS Feed Early Warning E-mail Pag.26 SMS ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati Business Intelligence La Business Impact Analysis, punto di partenza valutare l’impatto che una errata gestione del rischio, può comportare. Individuare i processi “core” dell’impresa, e valuta l’impatto economico / organizzativo del loro ripristino, in caso di emergenza, in funzione del tempo (Recovery Time Objective) e della relativa perdita economica. L’idea di integrare IT Risk con la Business Intelligence consiste, in breve, nell’ottenere indicatori relativi al “valore” del processo, e porlo in relazione con i rischi rilevati e valutare: • Costi di ripristino; • RTO massimo consentito dal business; • Scenari di impatto (what if). La sensibilizzazione verso l’IT Security, avviene attraverso parametri di conto economico e di immagine (perdita / guadagno) in funzione del Rischio. Pag.27 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati Integrazione Pag.28 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati Da Idea a brevetto Abbiamo voluto premiare l’iniziativa e l’effort di questi anni, decidendo di brevettare la soluzione. Qhawax è quindi registrato dal 2008 come brevetto n° TO2008A000217 “Metodo , Apparecchio e sistema per calcolare in modo completamente automatico il livello di sicurezza di un sistema informatico”. L’analisi di applicabilità, la stesura della documentazione e la presentazione della domanda di brevetto, è stata affidata allo Studio Torta di Torino Pag.29 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati Conclusioni Ci auguriamo che il metodo proposto possa diventare oggetto di studio e di critica proattiva da parte dei colleghi: L’obiettivo è di ampliare i concetti di monitoraggio e valutazione della sicurezza, anche e soprattutto attraverso l’aggregazione di competenze. La rappresentazione grafica dell’indice di sicurezza (Security Marketing) sarà quindi “solo” il risultato di approfondimenti e considerazioni di professionisti dell’ IT Security & Audit e della Business Intelligence. Pag.30 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati CHI E’ LOGICAL SECURITY Presente nel mercato della sicurezza logica dal 2002, base su Treviso. Alcune referenze: • SAVE Aeroporti di Venezia • MAE - Unità di Crisi • Gruppo De’ Longhi • Università Cattolica S. Cuore- Roma • Crediveneto - BCC • Replay Fashion Box • Autovie Venete • GGP Italy • Gruppo Stefanel • Gruppo Despar • Gruppo Unicomm (Famila) • Gruppo Supermercati Alì • T-Systems Italia • YKK Pag.31 ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati CHI E’ LOGICAL SECURITY Un gruppo di professionisti fortemente orientati alle sviluppo di competenze dei suoi consulenti e del cliente. LOGICAL SECURITY PORTFOLIO Business Process Management IT Governance & Security Compliance Business Impact Analisys Audit IT Strategy Cost Reduction Assessment Security Operation Center Management Measuring c Expertise c Mainframe Z/OS Networking Cloud Dipartimentale IT Security Technology Access Control PKI IAM VPN (IPSEC/SSL) Recovery Backup Antivirus Firewall Business Continuity Collaborazione Elettronica - EDI Applications Pag.32 Business Intelligence ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati RISCHIO INFORMATICO E CONTINUOUS AUDITING: Monitorare in continuo i livelli di sicurezza: quali implicazioni? Grazie per l’attenzione ! 33 Alessandro Da Re, CRISC Chief Executive Officer ATED – Monitorare in continuo i livelli di sicurezza – Quali Implicazioni. Logical Security S.r.l. 2011 Tutti i diritti riservati