View
6
Download
0
Category
Preview:
Citation preview
1© Copyright 2014 EMC Corporation. All rights reserved.
Un'efficace gestione del rischio per ottenere vantaggi competitivi
Luciano Veronese - RSA Sr. GRC Consultant
2© Copyright 2014 EMC Corporation. All rights reserved.
� I rischi sono classificati in
molteplici categorie
� I processi di gestione sono simili,
ma le metodologie di assessment
sono diversificate e supportate da
tool specializzati
� L’ERM è UNICO in una azienda e
rende necessaria una vista olistica
e aggregata per poter realmente
fornire al management il
necessario supporto decisionale,
elemento chiave per favorire un
vantaggio competitivo
FONTE: Gartner - A Risk Hierarchy for Enterprise and IT Risk Managers, 2008
L’universo dei rischi
3© Copyright 2014 EMC Corporation. All rights reserved.
Effetti “collaterali”
� Attività di integrazione ripetute
� Costi elevati
� Difficoltà di integrazione fra i tool
� Minore VISIBILITA’: il reporting è
più complesso, se non impossibile
� Difficile offrire viste aggregate
� I silos diventano un fattore di
inibizione alla automazione dei
processi GRC
� Minore efficienza dei processi
Risk Management (GRC) con strumenti puntuali
HR
CMDB
Cat. Process
iCat.Vuln.
SAP
Tool A
Tool B
Tool C
4© Copyright 2014 EMC Corporation. All rights reserved.
Risk Management il GRC integrato
HR
CMDB
Cat. Processi
Cat.Vuln.
SAP
Benefici
• Repository informativi integrati una sola volta
� RIUSO del Contesto di Business,
ottimizzazione costi
• Data Model unico e condiviso
� Maggiore VISIBILITA’, reporting più semplice
• E’ facile aggregare i dati (es rischi IT nei rischi
di Business)
• I processi GRC si possono automatizzare
� Maggiore efficienza dei processi e
COLLABORAZIONE
• Rafforza l’ACCOUNTABILITY
6© Copyright 2014 EMC Corporation. All rights reserved.
Gli ecosistemi aziendali e le minacceLo schema di riferimento
I.T.Applicazioni, Dispositivi,
Tecnologie, Storage, …
Processi, Controlli, Policy, Prodotti, Informazioni …
BUSINESS Minacce che impattano il business
Minacce che impattano l’Information Technology
(e di conseguenza il business…)
7© Copyright 2014 EMC Corporation. All rights reserved.
LivelloTecnologico
LivelloStrategico
Le tecnologie RSA supportano sia il
livello strategico sia il livello tecnologico
con prodotti integrati che condividono le
relative informazioni di contesto
La nostra visione strategica
ArchereGRC
Policy
Compliance
VulnerabilityManagement
SecurityOperations
Risk
EnterpriseManagement
BusinessContinuity
Advanced SOC/SA
Fraud RiskIntelligence
IdentityGovernance
I.T.
Applicazioni., Dispositivi,
Tecnolgie, Storage, …
Processessi, Controlli, Policy, Prodotti, Informazioni …
BUSINESS Minacce/Rischi di Business
Minacce/Rischi IT/InfoSec
9© Copyright 2014 EMC Corporation. All rights reserved.
Gestire il rischio IT: gli approcci
L’approccio tradizionale al risk management, governato da metodologie
e standard quali ISO-27005 e ISO-31000, permette sostanzialmente di
individuare “rischi potenziali”.
Grazie ad Archer eGRC, supporta l’approccio tradizionale, sia per il Business Risk sia per l’IT/InfoSec Risk
Supporta anche un “approccio pragmatico” al risk management, grazie alla stretta integrazione fra i prodotti dello stack tecnologico
Questo approccio quanto è compatibile con l’attuale livello di dinamicità e complessità del business e del mondo del malware? Quanto è in grado di intercettare i nuovi rischi?
10© Copyright 2014 EMC Corporation. All rights reserved.
L’approccio RSA per la gestione del rischio IT
Business
Asset
Business
Asset
Business
Asset
Impatto sul Business
IT Asset
IT Asset
IT Asset
Impatto Tecnico
Vulnerabilità
Vulnerabilità
Vulnerabilità
Vulnerabilità di sicurezza
Agente di Attacco
Attacco
Attacco
Attacco
Vettore di Attacco
Controllo
X
Controlli di sicurezza
Controllo
<FAIL>Attacco
Vulnerabilità
IT Asset
Business
Asset
ImpattoTecnico
Fattibile ed
efficace
Fattibile ed
efficace
Migliorare l’efficienza della rilevazione
dell’attacco
Migliorare l’efficienza della
risposta all’incidente
Prevenzione delle MinacceRilevazione
degli AttacchiRisposta eRimedio
PossibileDifficile
Si possono individuare 3 macro aree di intervento:
Modello OWASP (https://www.owasp.org/index.php/Top_10_2010-Main)
I possibili punti di intervento per mitigare i rischi
11© Copyright 2014 EMC Corporation. All rights reserved.
La “gestione pragmatica” del rischio IT� Gestione preventiva: mitiga il rischio, riducendo le vulnerabilità rilevate
(che rappresentano dei rischi reali, non potenziali)– Il rischio è ridotto agendo sulla componente di probabilità della tipica equazione di rischio
Prevenzione delle Minacce
Rilevazione degli Attacchi
Risposta eRimedio
Archer Vulnerability RiskManagement
Security Analytics
Archer Security Operations
Management
� Gestione della capacità di rilevazione e di risposta: mitiga il rischio migliorando le capacità di rilevare attacchi e l’efficienza del processo di risposta agli incidenti– Il rischio è ridotto agendo sulla componente di impatto della tipica equazione di rischio
12© Copyright 2014 EMC Corporation. All rights reserved.
Archer Vulnerability Risk ManagementMitigare i rischi (riduzione probabilità minacce) attraverso una gestione business-oriented delle vulnerabilità
SFID
E
Scoprire le
vulnerabilità
Classificare i
problemi
Indirizzare i
problemi
Monitoraggio
e Reporting
Catalogo
AssetPassi
Nessuna relazione fra dati di business e tecnologiciMancanza di un contesto e meccanismi di prioritizzazione
Mancanza di automazione e di workflow flessibileReporting inefficace e lento
VulnerabilityManagement[La soluzione RSA]
Indirizzato
dai fornitori di
Vulnerability Scanner
(Qualys, McAfee, …)
Mancanza di un
catalogo centralizzato
(o catalogo parziale)
Risultato Scansioni
Contesto
di
Business
Threat Intelligence
+
+=
Vulnerabilità
Prioritizzate
� Workflow
� KPI
� Report
� Scalabilità
� Velocità
� Precisione
Σ
14© Copyright 2014 EMC Corporation. All rights reserved.
Vantaggio competitivo? Quali i fattori ?
Automazione dei processi
Rimozione dei Silos Informativi
Individuare le aree di criticità
(rischi)
Prendere decisioni sulla
base dei risultati dell’analisi del
rischio
Visibilità: Asset, Report, Dashboard,…
Recommended