Luciano Veronese -RSA Sr. GRC Consultant

1© Copyright 2014 EMC Corporation. All rights reserved.

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Luciano Veronese - RSA Sr. GRC Consultant


� I rischi sono classificati in

molteplici categorie

� I processi di gestione sono simili,

ma le metodologie di assessment

sono diversificate e supportate da

tool specializzati

� L’ERM è UNICO in una azienda e

rende necessaria una vista olistica

e aggregata per poter realmente

fornire al management il

necessario supporto decisionale,

elemento chiave per favorire un

vantaggio competitivo

FONTE: Gartner - A Risk Hierarchy for Enterprise and IT Risk Managers, 2008

L’universo dei rischi


Effetti “collaterali”

� Attività di integrazione ripetute

� Costi elevati

� Difficoltà di integrazione fra i tool

� Minore VISIBILITA’: il reporting è

più complesso, se non impossibile

� Difficile offrire viste aggregate

� I silos diventano un fattore di

inibizione alla automazione dei

processi GRC

� Minore efficienza dei processi

Risk Management (GRC) con strumenti puntuali

HR

CMDB

Cat. Process

iCat.Vuln.

SAP

Tool A

Tool B

Tool C


Risk Management il GRC integrato

HR

CMDB

Cat. Processi

Cat.Vuln.

SAP

Benefici

• Repository informativi integrati una sola volta

� RIUSO del Contesto di Business,

ottimizzazione costi

• Data Model unico e condiviso

� Maggiore VISIBILITA’, reporting più semplice

• E’ facile aggregare i dati (es rischi IT nei rischi

di Business)

• I processi GRC si possono automatizzare

� Maggiore efficienza dei processi e

COLLABORAZIONE

• Rafforza l’ACCOUNTABILITY



Gli ecosistemi aziendali e le minacceLo schema di riferimento

I.T.Applicazioni, Dispositivi,

Tecnologie, Storage, …

Processi, Controlli, Policy, Prodotti, Informazioni …

BUSINESS Minacce che impattano il business

Minacce che impattano l’Information Technology

(e di conseguenza il business…)


LivelloTecnologico

LivelloStrategico

Le tecnologie RSA supportano sia il

livello strategico sia il livello tecnologico

con prodotti integrati che condividono le

relative informazioni di contesto

La nostra visione strategica

ArchereGRC

Policy

Compliance

VulnerabilityManagement

SecurityOperations

Risk

EnterpriseManagement

BusinessContinuity

Advanced SOC/SA

Fraud RiskIntelligence

IdentityGovernance

I.T.

Applicazioni., Dispositivi,

Tecnolgie, Storage, …

Processessi, Controlli, Policy, Prodotti, Informazioni …

BUSINESS Minacce/Rischi di Business

Minacce/Rischi IT/InfoSec



Gestire il rischio IT: gli approcci

L’approccio tradizionale al risk management, governato da metodologie

e standard quali ISO-27005 e ISO-31000, permette sostanzialmente di

individuare “rischi potenziali”.

Grazie ad Archer eGRC, supporta l’approccio tradizionale, sia per il Business Risk sia per l’IT/InfoSec Risk

Supporta anche un “approccio pragmatico” al risk management, grazie alla stretta integrazione fra i prodotti dello stack tecnologico

Questo approccio quanto è compatibile con l’attuale livello di dinamicità e complessità del business e del mondo del malware? Quanto è in grado di intercettare i nuovi rischi?


L’approccio RSA per la gestione del rischio IT

Business

Asset

Business

Asset

Business

Asset

Impatto sul Business

IT Asset

IT Asset

IT Asset

Impatto Tecnico

Vulnerabilità

Vulnerabilità

Vulnerabilità

Vulnerabilità di sicurezza

Agente di Attacco

Attacco

Attacco

Attacco

Vettore di Attacco

Controllo

X

Controlli di sicurezza

Controllo

<FAIL>Attacco

Vulnerabilità

IT Asset

Business

Asset

ImpattoTecnico

Fattibile ed

efficace

Fattibile ed

efficace

Migliorare l’efficienza della rilevazione

dell’attacco

Migliorare l’efficienza della

risposta all’incidente

Prevenzione delle MinacceRilevazione

degli AttacchiRisposta eRimedio

PossibileDifficile

Si possono individuare 3 macro aree di intervento:

Modello OWASP (https://www.owasp.org/index.php/Top_10_2010-Main)

I possibili punti di intervento per mitigare i rischi


La “gestione pragmatica” del rischio IT� Gestione preventiva: mitiga il rischio, riducendo le vulnerabilità rilevate

(che rappresentano dei rischi reali, non potenziali)– Il rischio è ridotto agendo sulla componente di probabilità della tipica equazione di rischio

Prevenzione delle Minacce

Rilevazione degli Attacchi

Risposta eRimedio

Archer Vulnerability RiskManagement

Security Analytics

Archer Security Operations

Management

� Gestione della capacità di rilevazione e di risposta: mitiga il rischio migliorando le capacità di rilevare attacchi e l’efficienza del processo di risposta agli incidenti– Il rischio è ridotto agendo sulla componente di impatto della tipica equazione di rischio


Archer Vulnerability Risk ManagementMitigare i rischi (riduzione probabilità minacce) attraverso una gestione business-oriented delle vulnerabilità

SFID

E

Scoprire le

vulnerabilità

Classificare i

problemi

Indirizzare i

problemi

Monitoraggio

e Reporting

Catalogo

AssetPassi

Nessuna relazione fra dati di business e tecnologiciMancanza di un contesto e meccanismi di prioritizzazione

Mancanza di automazione e di workflow flessibileReporting inefficace e lento

VulnerabilityManagement[La soluzione RSA]

Indirizzato

dai fornitori di

Vulnerability Scanner

(Qualys, McAfee, …)

Mancanza di un

catalogo centralizzato

(o catalogo parziale)

Risultato Scansioni

Contesto

di

Business

Threat Intelligence

+

+=

Vulnerabilità

Prioritizzate

� Workflow

� KPI

� Report

� Scalabilità

� Velocità

� Precisione

Σ


Vantaggio competitivo? Quali i fattori ?

Automazione dei processi

Rimozione dei Silos Informativi

Individuare le aree di criticità

(rischi)

Prendere decisioni sulla

base dei risultati dell’analisi del

rischio

Visibilità: Asset, Report, Dashboard,…

Documents

Luciano Veronese -RSA Sr. GRC Consultant