misurare la sicurezza - aiea · la consapevolezza: misurare per conoscere definizione di indicatori...
TRANSCRIPT
1Altran Italia CONFIDENTIAL / Dicembre 2009
MISURARE LA SICUREZZA
Maurizio NastroAltran Italia - Expertise Center
IT Auditing and Risk Management26 Gennaio 2011
2Altran Italia CONFIDENTIAL / Dicembre 2009
2. Altran in Italia
Agenda
1 – La consapevolezza: misurare per conoscere2 – Le metriche3 – L’approccio4 – La classificazione5 – La struttura6 – Esempi7 – Come visualizzare i risultati8 – Considerazioni finali
3Altran Italia CONFIDENTIAL / Dicembre 2009
2. Altran in Italia
Agenda
1 – La consapevolezza: misurare per conoscere2 – Le metriche3 – L’approccio4 – La classificazione5 – La struttura6 – Esempi7 – Come visualizzare i risultati8 – Considerazioni finali
4Altran Italia CONFIDENTIAL / Gennaio 2011
La consapevolezza: misurare per conoscere
Quali sono gli interventi da attuare con maggiore urgenza?
Quali sono gli interventi da attuare con maggiore urgenza?
L’outsourcer ci ha garantito di aver adottato misure di sicurezza ulteriori rispetto al passato. Ma con quali effetti concreti?
L’outsourcer ci ha garantito di aver adottato misure di sicurezza ulteriori rispetto al passato. Ma con quali effetti concreti?
Qual è il livello attuale di sicurezza dei nostri sistemi informativi?
Qual è il livello attuale di sicurezza dei nostri sistemi informativi?
Abbiamo implementato un nuovo pacchetto gestionale, o installato nuove macchine o rinnovato l’infrastruttura di rete.
Cos’è cambiato in termini di sicurezza dei dati, delle applicazioni, dei sistemi?
Abbiamo implementato un nuovo pacchetto gestionale, o installato nuove macchine o rinnovato l’infrastruttura di rete.
Cos’è cambiato in termini di sicurezza dei dati, delle applicazioni, dei sistemi?
Mancanza di punti di riferimento, di parametri attraverso i quali misurare la performance dei diversi aspetti della sicurezza aziendale
Mancanza di punti di riferimento, di parametri attraverso i quali misurare la performance dei diversi aspetti della sicurezza aziendale
5Altran Italia CONFIDENTIAL / Gennaio 2011
La consapevolezza: misurare per conoscere
Definizione di indicatori significativi e comprensibili che permettano di misurare lo stato di sicurezza delle informazioni aziendali:
LE METRICHE
Le metriche forniscono elementi qualitativi e quantitativi per indirizzare le attività e gli investimenti in misure di sicurezza aziendale
Definizione di indicatori significativi e comprensibili che permettano di misurare lo stato di sicurezza delle informazioni aziendali:
LE METRICHE
Le metriche forniscono elementi qualitativi e quantitativi per indirizzare le attività e gli investimenti in misure di sicurezza aziendale
6Altran Italia CONFIDENTIAL / Dicembre 2009
2. Altran in Italia
Agenda
1 – La consapevolezza: misurare per conoscere2 – Le metriche3 – L’approccio4 – La classificazione5 – La struttura6 – Esempi7 – Come visualizzare i risultati8 – Considerazioni finali
I dati a supporto delle metriche devono essere ottenibili con facilità
I dati a supporto delle metriche devono provenire da fonti attendibili
7Altran Italia CONFIDENTIAL / Gennaio 2011
Le Metriche
Regola 1
Regola 2
Devono essere presi in considerazione solo processi ripetibili
Coinvolgimento da parte della Direzione Aziendale
Regola 3
Regola 4
Le 4 regole fondamentali
8Altran Italia CONFIDENTIAL / Gennaio 2011
Le 4 regole fondamentali
I dati a supporto delle metriche devono provenire da fonti attendibiliRegola 1
E’ essenziale per la validità delle informazioni elaborate. I dati utilizzati a supporto delle metriche devono essere generati in modo corretto ed affidabile.Di conseguenza anche l’accesso ai dati, l’eventuale loro aggregazione e/o elaborazione deve essere effettuato solo da personale competente.
E’ essenziale per la validità delle informazioni elaborate. I dati utilizzati a supporto delle metriche devono essere generati in modo corretto ed affidabile.Di conseguenza anche l’accesso ai dati, l’eventuale loro aggregazione e/o elaborazione deve essere effettuato solo da personale competente.
Le Metriche
9Altran Italia CONFIDENTIAL / Gennaio 2011
Le 4 regole fondamentali
I dati a supporto delle metriche devono essere ottenibili con facilità
Le informazioni debbono essere acquisite con semplicità:
� garantendo accesso soltanto al personale adeguato (punto 1),� tramite la struttura delle metriche, scelte e strutturate in modo da rispondere quanto più possibile alla realtà dell’azienda.
Le informazioni debbono essere acquisite con semplicità:
� garantendo accesso soltanto al personale adeguato (punto 1),� tramite la struttura delle metriche, scelte e strutturate in modo da rispondere quanto più possibile alla realtà dell’azienda.
Le Metriche
Regola 2
Devono essere presi in considerazione solo processi ripetibili
10Altran Italia CONFIDENTIAL / Gennaio 2011
Le 4 regole fondamentali
Ciò consente:
� di confrontare risultati ottenuti in tempi diversi, tenendo traccia di eventuali progressi, anche dovuti a cambiamenti del processo stesso,� di garantire che le metriche siano sempre attuali.
Ciò consente:
� di confrontare risultati ottenuti in tempi diversi, tenendo traccia di eventuali progressi, anche dovuti a cambiamenti del processo stesso,� di garantire che le metriche siano sempre attuali.
Le Metriche
Regola 3
11Altran Italia CONFIDENTIAL / Gennaio 2011
Le 4 regole fondamentali
Coinvolgimento da parte della Direzione Aziendale
Essenziale per il corretto funzionamento di un intero sistema di gestione per la sicurezza delle informazioni.Essenziale per il corretto funzionamento di un intero sistema di gestione per
la sicurezza delle informazioni.
Le Metriche
Regola 4
12Altran Italia CONFIDENTIAL / Dicembre 2009
2. Altran in Italia
Agenda
1 – La consapevolezza: misurare per conoscere2 – Le metriche3 – L’approccio4 – La classificazione5 – La struttura6 – Esempi7 – Come visualizzare i risultati8 – Considerazioni finali
13Altran Italia CONFIDENTIAL / Gennaio 2011
Il processo di sviluppo delle metriche si occupa di stabilire l’insieme iniziale delle metriche e di selezionare l’insieme delle metriche appropriate per l’organizzazione.
Il processo di implementazione delle metriche èun processo iterativo che si occupa di assicurare che determinati aspetti della sicurezza IT siano misurati per un determinato periodo di tempo.
Sviluppare le metriche
Implementare le metriche
L’approccio
14Altran Italia CONFIDENTIAL / Dicembre 2009
2. Altran in Italia
Agenda
1 – La consapevolezza: misurare per conoscere2 – Le metriche3 – L’approccio4 – La classificazione5 – La struttura6 – Esempi7 – Come visualizzare i risultati8 – Considerazioni finali
15Altran Italia CONFIDENTIAL / Gennaio 2011
La Classificazione delle metriche per Area
Una metrica può essere classificata in base all’area della sicurezza delle informazioni a cui appartiene. Ad es.:
Gestione del rischio legato ad eventuale interruzione delle attivitàaziendali, al fine di proteggere i processi aziendali critici dagli effetti di avarie di rilievo dei sistemi informativi, garantendone la loro tempestiva ripresa
Continuitàaziendale
Mantenimento e/o adeguamento a compliance, obbligazioni statutarie, cogenti e contrattuali, requisiti per la sicurezza, politiche e norme aziendali
Conformità
Garanzia di accesso soltanto agli utenti autorizzati ai sistemi di informazione (propri e gestiti da terze parti), di tipo elettronico e non
Controllo Accessi
Garanzia che l’organizzazione gestisca in modo appropriato l’insieme di problematiche inerenti il rapporto tra personale aziendale (e terze parti) e sicurezza delle informazioni
Risorse Umane
16Altran Italia CONFIDENTIAL / Gennaio 2011
La Classificazione delle metriche per tipologia
Metriche volte a dimostrare lo stato e/o il progresso nell’attuazione ed implementazione di specifici obiettivi, quali ad es. specifici controlli di sicurezza (es.: tecnologici, organizzativi), politiche, procedure, prassi, etc.
Implementa-zione
Metriche volte a monitorare se i controlli definiti funzionano correttamente, secondo quanto preventivato in fase di definizione.
Efficacia
Metriche che evidenziano le conseguenze, anche economiche, che può subire l’azienda nel caso in cui la sicurezza non sia correttamente gestita.
Impatto
Una metrica può essere etichettata in base ad una specifica tipologia:
17Altran Italia CONFIDENTIAL / Gennaio 2011
[D]: esistenza di documentazione a supporto (procedure, policy, ...).[P]: presenza di un owner/responsabile di processo.[E]: esistenza di evidenze.[M]: presenza di commitment da parte dei vertici aziendali.[C]: presenza di determinati contenuti all’interno della documentazione.[F]: perdite finanziarie dirette[S]: sanzioni normative[T]: presenza di aspetti/feature tecnologici.[O]: perdita competitività commerciale ...
La Classificazione delle metriche per domanda
Una metrica è costituita da un insieme di domande classificate a seconda dell’argomento esaminato:
18Altran Italia CONFIDENTIAL / Dicembre 2009
2. Altran in Italia
Agenda
1 – La consapevolezza: misurare per conoscere2 – Le metriche3 – L’approccio4 – La classificazione5 – La struttura6 – Esempi7 – Come visualizzare i risultati8 – Considerazioni finali
19Altran Italia CONFIDENTIAL / Gennaio 2011
Struttura delle metriche
[E] Domanda 1
...
...
Area Continuità Aziendale
Metrica 1 (implementazione)
[D] Domanda 2
[C] Domanda 3
[R] Domanda 1
...
[N] Domanda 2
[R] Domanda 3
[P] Domanda 1
...
[D] Domanda 2
[E] Domanda 3
Metrica 2 (efficacia)
Metrica 3 (impatto)
[E] Domanda 1
...
...
Area Conformità
Metrica 1 (implementazione)
[M] Domanda 2
[A] Domanda 3
[F] Domanda 1
...
[S] Domanda 2
[I] Domanda 3
[P] Domanda 1
...
[A] Domanda 2
[E] Domanda 3
Metrica 2 (impatto)
Metrica 3 (implementazione)
[R] Domanda 1
...
...
Area Controllo Accessi
Metrica 1 (efficacia)
[R] Domanda 2
[N] Domanda 3
[S] Domanda 1
...
[O] Domanda 2
[F] Domanda 3
[T] Domanda 1
...
[D] Domanda 2
[M] Domanda 3
Metrica 2 (impatto)
Metrica 3 (implementazione)
Di seguito la possibile struttura alla base delle metriche:
...
20Altran Italia CONFIDENTIAL / Gennaio 2011
Struttura delle metriche – classificazione per area
Le metriche possono essere classificate a seconda dell’area di sicurezza cui appartengono:
[E] Domanda 1
...
...
Area Continuità Aziendale
Metrica 1 (implementazione)
[D] Domanda 2
[C] Domanda 3
[R] Domanda 1
...
[N] Domanda 2
[R] Domanda 3
[P] Domanda 1
...
[D] Domanda 2
[E] Domanda 3
Metrica 2 (efficacia)
Metrica 3 (impatto)
[E] Domanda 1
...
...
Area Conformità
Metrica 1 (implementazione)
[M] Domanda 2
[A] Domanda 3
[F] Domanda 1
...
[S] Domanda 2
[I] Domanda 3
[P] Domanda 1
...
[A] Domanda 2
[E] Domanda 3
Metrica 2 (impatto)
Metrica 3 (implementazione)
[R] Domanda 1
...
...
Area Controllo Accessi
Metrica 1 (efficacia)
[R] Domanda 2
[N] Domanda 3
[S] Domanda 1
...
[O] Domanda 2
[F] Domanda 3
[T] Domanda 1
...
[D] Domanda 2
[M] Domanda 3
Metrica 2 (impatto)
Metrica 3 (implementazione)
...
21Altran Italia CONFIDENTIAL / Gennaio 2011
Struttura delle metriche – classificazione per tipologia
Le metriche possono essere classificate a seconda della loro tipologia:
[E] Domanda 1
...
...
Area Continuità Aziendale
Metrica 1 (implementazione)
[D] Domanda 2
[C] Domanda 3
[R] Domanda 1
...
[N] Domanda 2
[R] Domanda 3
[P] Domanda 1
...
[D] Domanda 2
[E] Domanda 3
Metrica 2 (efficacia)
Metrica 3 (impatto)
[E] Domanda 1
...
...
Area Conformità
Metrica 1 (implementazione)
[M] Domanda 2
[A] Domanda 3
[F] Domanda 1
...
[S] Domanda 2
[I] Domanda 3
[P] Domanda 1
...
[A] Domanda 2
[E] Domanda 3
Metrica 2 (impatto)
Metrica 3 (implementazione)
[R] Domanda 1
...
...
Area Controllo Accessi
Metrica 1 (efficacia)
[R] Domanda 2
[N] Domanda 3
[S] Domanda 1
...
[O] Domanda 2
[F] Domanda 3
[T] Domanda 1
...
[D] Domanda 2
[M] Domanda 3
Metrica 2 (impatto)
Metrica 3 (implementazione)
...
22Altran Italia CONFIDENTIAL / Gennaio 2011
Struttura delle metriche – classificazione per domanda
Ogni metrica sarà in generale costituita da un insieme di domande, classificabili a seconda del particolare aspetto che vanno ad esaminare:
[E] Domanda 1
...
...
Area Continuità Aziendale
Metrica 1 (implementazione)
[D] Domanda 2
[C] Domanda 3
[R] Domanda 1
...
[N] Domanda 2
[R] Domanda 3
[P] Domanda 1
...
[D] Domanda 2
[E] Domanda 3
Metrica 2 (efficacia)
Metrica 3 (impatto)
[E] Domanda 1
...
...
Area Conformità
Metrica 1 (implementazione)
[M] Domanda 2
[A] Domanda 3
[F] Domanda 1
...
[S] Domanda 2
[O] Domanda 3
[P] Domanda 1
...
[A] Domanda 2
[E] Domanda 3
Metrica 2 (impatto)
Metrica 3 (implementazione)
[R] Domanda 1
...
...
Area Controllo Accessi
Metrica 1 (efficacia)
[R] Domanda 2
[N] Domanda 3
[S] Domanda 1
...
[O] Domanda 2
[F] Domanda 3
[T] Domanda 1
...
[D] Domanda 2
[M] Domanda 3
Metrica 2 (impatto)
Metrica 3 (implementazione)
...
23Altran Italia CONFIDENTIAL / Gennaio 2011
Definire, sulla base di una tematica di conformità (es.: normativa privacy) un insieme di metriche che coprano tutti requisiti previsti, in modo da creare una base comune di riferimento a supporto della tematica affrontata
Creare un pacchetto base di metriche che coprano tutte le aree previste da un determinato standard di settore (es.: IS027001, BS25999), così da porre le basi per:
� valutazione dell’eventuale gap tra quanto implementato e quanto previsto dallo standard,
� implementazione di un Sistema di Gestione (es.: per la Sicurezza delle Informazioni (SGSI), per la Business Continuity (SGBC) ).
Modalità di utilizzo
Scegliere determinate aree, e sviluppare opportune metriche che le coprano “verticalmente” ad un desiderato livello di profondità a seconda di particolari esigenze aziendali
Struttura delle metriche
24Altran Italia CONFIDENTIAL / Dicembre 2009
2. Altran in Italia
Agenda
1 – La consapevolezza: misurare per conoscere2 – Le metriche3 – L’approccio4 – La classificazione5 – La struttura6 – Esempio7 – Come visualizzare i risultati8 – Considerazioni finali
25Altran Italia CONFIDENTIAL / Gennaio 2011
Frequenza Monitoraggio Log
Descrizione Metrica La metrica ha lo scopo di verificare che l’Azienda esegua una adeguata attività di monitoraggio di log generati all’interno del sistema informativo aziendale.
Domande [A] La frequenza con la quale si effettua l’attività di monitoraggio è quella indicata nella procedura monitoraggio log?-Si-No, in quanto non si ha allineamento con quanto riportato nella procedura monitoraggio log (es.: la procedura non è aggiornata)-No, in quanto la procedura monitoraggio log non è presente
[A] Con quale frequenza si effettua l’attività di monitoraggio log?-Almeno ogni giorno per i sistemi critici, e almeno ogni 2 giorni per i restanti;-Almeno ogni giorno per i sistemi critici, e almeno ogni 3 giorni per i restanti;-Con frequenza minore di quella giornaliera indicata nei due punti precedenti per i sistemi critici.
[E] Qualora richiesta, sarebbe disponibile una evidenza che attesti l’esecuzione dell’ultima attività di monitoraggio (es.: minuta, report riassuntivo, email di riscontro, ...)?-Si-No
[T] Gli orologi di tutti i sistemi informativi adibiti al salvataggio di log sono sincronizzati con una precisa fonte temporale concordata?-Si-No
Definizione Metrica Frequenza di monitoraggio di log generati all’interno del sistema informativo aziendale.
Tipologia Metrica Implementazione
Possibili Valori Metrica 4 � Molto Basso,[5 – 6] � Basso,[7 – 9] � Medio,10 � Buono,11 � Ottimo
SchemaEsempio Metriche: area logging
26Altran Italia CONFIDENTIAL / Gennaio 2011
IdentificativoTipologia Metrica
IdentificativoMetrica
IdentificativoTipologia Domanda
LOFM_IE131
IdentificativoArea Metrica
Esempio Metriche: area loggingDiagramma
27Altran Italia CONFIDENTIAL / Dicembre 2009
2. Altran in Italia
Agenda
1 – La consapevolezza: misurare per conoscere2 – Le metriche3 – L’approccio4 – La classificazione5 – La struttura6 – Esempio7 – Come visualizzare i risultati8 – Considerazioni finali
28Altran Italia CONFIDENTIAL / Gennaio 2011
Come visualizzare i risultati
Nel grafico a torta si ha una visualizzazione complessiva delle metriche, divise per area, con il corrispondente valore descritto dall’ampiezza della fette.Selezionando una fetta, si aggiorna il grafico a barre, dove sono presenti tutte le metriche per quell’area, confrontate con il proprio target.
Metriche: Classificazione per Area
29Altran Italia CONFIDENTIAL / Gennaio 2011
Nel pie chart si ha una visualizzazionecomplessiva delle metriche, divise per tipologia.Selezionando una fetta, si aggiorna il pie chart sulla destra, dove si visualizzano tutte le metriche, divise per area, della tipologia corrispondente.
Selezionando una fetta del pie chart di destra, si aggiorna ilgrafico a barre, dove sono presenti tutte le metriche per quell’area e di quella tipologia, l’altezza della barra corrisponde al valore ed ogni valore è confrontato con il relativo target.
Come visualizzare i risultati
Metriche: Classificazione per Tipologia/Area
30Altran Italia CONFIDENTIAL / Gennaio 2011
Nel pie chart si ha una visualizzazionecomplessiva delle metriche, divise per tipologia.Selezionando una fetta, si aggiorna il pie chart sulla destra, dove si visualizzano tutte le metriche, divise per area, della tipologia corrispondente.
Selezionando una fetta, si ottiene il corrispondentegrafico a barre, dove sono presenti tutte ledomande di metriche che appartengono alla tipologia e area selezionata, ognuna confrontata con il valore target
Metriche: Classificazione per Tipologia / Domanda
Es.: Domande Tipologia Implementazione:[D]: esistenza di documentazione a supporto (procedure, policy, ...).[P]: presenza di un owner/responsabile di processo.[M]: presenza di commitment da parte dei vertici aziendali.[E]: esistenza di evidenze.[T]: presenza di aspetti/feature tecnologici.[C]: presenza di determinati contenuti all’interno della documentazione....
Come visualizzare i risultati
31Altran Italia CONFIDENTIAL / Dicembre 2009
2. Altran in Italia
Agenda
1 – La consapevolezza: misurare per conoscere2 – Le metriche3 – L’approccio4 – La classificazione5 – La struttura6 – Esempi7 – Come visualizzare i risultati8 – Considerazioni finali
32Altran Italia CONFIDENTIAL / Gennaio 2011
Consente di definire il livello di profondità e di dettaglio delle metriche in base alle esigenze ed interessi aziendali su determinati aspetti e tematiche affrontate dalle metriche stesse.
Attribuire pesi differenti alle metriche, in modo tale che le metriche ritenute più importanti contribuiscano maggiormente alla determinazione del valore dell’area (o tipologia) di cui fanno parte.
Questo tipo di approccio risulta flessibile ad adattarsi a qualunque realtà aziendale
Consente di personalizzare il processo di implementazione delle metriche, così da renderlo perfettamente adeguato alle esigenze e permettendo di evidenziare determinate aree ed aspetti ritenuti più critici.
Considerazioni 1/3
Attribuire pesi differenti alle domande delle metriche, in modo tale che le domande ritenute più importanti contribuiscano maggiormente alla determinazione del valore dell’area (o tipologia) di cui fanno parte.
Assegnare il valore target di riferimento in base alle esigenze aziendali.
33Altran Italia CONFIDENTIAL / Gennaio 2011
Richiedere massima disponibilità e collaborazione di persone qualificate, sia nella formulazione delle domande specifiche sia in fase di risposta.
Limitare le domande a risposta multipla per semplificare l’attribuzione dei pesi.
Individuare con attenzione le aree da “verticalizzare” di più, per non eccedere nel dettagliare aspetti in realtà non essenziali.
Considerazioni 2/3
Motivare la conversione dei punteggi ottenuti in risultati sintetici: “molto basso”, “basso”, “medio”, etc , per la corretta attribuzione di ogni ramo dell’albero.
Questo tipo di approccio di conseguenza può richiedere uno sforzo importante di personalizzazione
34Altran Italia CONFIDENTIAL / Gennaio 2011
Non solo sicurezza
Questo approccio può essere utilizzato anche per valutare l’aderenza a:� Internal procedures/ Work Instructions� linee guida (ITIL, NIST, SANS, …)� ISO20000� Sistema integrato ISO20000 /BS25999/ISO27001
Considerazioni 3/3
35Altran Italia CONFIDENTIAL / Gennaio 2011