Chi si occupa di gestire la sicurezza e di supportarne l’integrazione con il business, necessita di affrontare tale tematica in prospettiva di gestione del rischio, integrando ed analizzando un numero sempre più crescente di informazioni.
Pericoli di attacchi di tipo criminoso o fraudolento, sono in realtà solo una parte, se pur importante, delle “minacce” da affrontare, ma la prospettiva maggiore che la Governance della Sicurezza cerca di affrontare riguarda problematiche di conformità a normative, individuazione di carenze di processo, buchi di procedure, errori umani ed i conseguenti danni.
L’IT Security Management è il processo della Governance ICT predisposto a queste problematiche e il suo scopo è definire e gestire un adeguato livello di sicurezza delle informazioni nell’ambito della progettazione, sviluppo ed erogazione dei servizi informatici a supporto del business aziendale.
Le caratteristiche di un processo di Gestione della Sicurezza sono:
– Una connotazione Multidisciplinare e Trasversale: Organizzazione, Processi, Infrastrutture, Persone, Terze Parti
– Non solo prevenzione di errori umani e/o procedure, infiltrazioni e attacchi, ma arbitro della corretta interazione tra i processi di business e scambio delle informazioni
– Obiettivi che devono essere raggiunti in un simile contesto generalizzabili come
* Gestione e Controllo degli Assets
* Raccolta, Classificazione e Correlazione degli Eventi di Sicurezza
* Controllo della Qualità di Processi e Servizi
* Aderenza a Normative, Standard e Best Practice (Compliance)
* Mitigazione dei Rischi e Controllo dei Piani di Azione
Quando si parla di “Livello Adeguato di Sicurezza” si vuol rappresentare la ricerca del giusto bilanciamento tra il bisogno di aumentare il business e le prestazioni (con modifiche al sistema azienda che introducono rischi); i Controlli e le contromisure che introducono vincoli o limitazioni o ritardi ai normali processi operativi; il Costo della Sicurezza (e della non-sicurezza); il mantenimento della compliance a normative.
Da questo punto di vista c’è stata una evoluzione della gestione della Sicurezza in tre macro-fasi:
Passato e Odierno: IT Security
– Approccio Event-Driven
– Focus sui Rischi Tecnologici e Infrastrutturali
– Pianificazione su sviluppi tecnologici e gestione incidenti di sicurezza
– Comunicazione verso vulnerabilità tecnologiche e contromisure
Odierno: Information Security
– Approccio “Control”-Driven
– Focus su Rischi Tecnologici e Informativi (confidenzialità, disponibilità, integrità)
– Pianificazione e allineamento al Business come reazione ad azioni di funzioni auditing
Desiderato: Information Risk Governance
– Governance Framework
– Approccio completamente (business) Risk-Driven
– Rischi tecnologici e informativi parte di una gestione integrata dei rischi
La necessità di un governo complessivo delle tematiche di sicurezza con gestione integrata dei rischi nasce anche dal fatto che chi si occupa di gestire la sicurezza si trova a dover affrontare un numero sempre più crescente di informazioni, provenienti altresì da fonti diverse: Eventi di Sicurezza Fisica, Eventi di Sicurezza Logica, Eventi di Sicurezza trasversali.
(cliccare sull’immagine per visualizzarla correttamente)
L’approccio SAS alla governance della Sicurezza nasce dalla consapevolezza che tale Governance richiede un monitoraggio trasversale, dove sia possibile tenere conto di dati di Sicurezza sia Logica che Fisica, orientata alla gestione integrata dei rischi. Questo porta al dover gestire la raccolta ed organizzazione di una “varietà” di dati ed informazioni estremamente ampia e dinamica.
Questo porta alla necessità di Tecniche Analitiche per mettere assieme tutti questi dati ed identificare comportamenti anomali e/o esplorare e costruire regole capaci di segnalare fenomeni di sicurezza rilevanti e complessi.
(cliccare sull’immagine per visualizzarla correttamente)
Inoltre il concetto di bilanciamento che è spesso legato alla gestione dell’approssimazione porta automaticamente a dover utilizzare processi e tecniche di Risk Management, per poter gestire costo ed efficacia della sicurezza
Infine, vista l’esigenza di disegnare, affinare e perseguire un piano di sicurezza e una strategia a più livelli aziendali, è importante utilizzare anche tecniche di Performance Management per poter rappresentare, misurare e comunicare la strategia e valutare il comportamento del Sistema di Gestione della Sicurezza.
La soluzione SAS per l’IT Security Management applica tecniche di Data Integration e principi di Risk e Performance Management a questo specifico contesto per realizzare una piattaforma di Security Intelligence le cui funzionalità possono essere sintetizzate nei seguenti punti:
– Gestione delle informazioni strutturate, e non, utili alla definizione e mantenimento del modello di rischio della sicurezza;
– Repository centralizzato di Security Intelligence rappresentante il modello di Sicurezza, configurabile, scalabile ed estendibile nel tempo;
– Motore di accesso, validazione e Storicizzazione nel repository centrale dei dati a dettaglio relativi:
* Agli eventi ed incidenti di sicurezza registrati nei sistemi aziendali
* Alle anagrafiche dei dati di configurazione / asset dei dispositivi di sicurezza;
* Ai dati provenienti dal mondo IT (sistemi, applicazioni, rete), o altre fonti gestionali; Grazie agli “adapter” compresi nella soluzione è possibile accedere sia ai DB su cui sono registrati gli eventi che leggere log di sistemi e firewall, weblogs, etc.
– Assessment periodico dei rischi e dei controlli, dagli eventi provenienti dai vari processi aziendali e collezionati in precedenza, oppure attraverso la Compilazione di questionari, gestendone il Workflow di validazione;
– Il Motore Analitico in grado di fare data-exploration, di effettuare correlazione degli eventi, analisi predittive, clustering, e la gestione dei modelli statistici effettuabile tramite interfaccia utente;
– Esplorazione interattiva dei dati di rischio e potenziali cause, con la possibilità per l’utente di creare liberamente grafici, modelli di simulazione e controlli, per l’ausilio all’ottimizzazione dei Processi di Business con varie metodologie
– Produzione e gestione di indicatori di livelli di rischio e performance e qualità dei controlli;
– Monitoraggio dei piani di azione e delle iniziative di riduzione del rischio;
– Gestione delle Regole di identificazione degli Eventi di sicurezza rilevanti:
* Regole User-Driven, ovvero definite direttamente dall’utente esperto di Sicurezza
* Regole Data-Driven, ovvero utilizzando i modelli statistici ottenuti in fase di Analytics
* Produzione e distribuzione a livello web e/o documentale (pdf) dei risultati delle analisi di rischio, di stato sicurezza (KPI), di analisi degli eventi;
Nella figura sottostante, una schematizzazione della interazione, da parte di utenti esperti via Client, con il repository di Sicurezza e il motore di esplorazione dei dati e modelli analitici
(cliccare sull’immagine per visualizzarla correttamente)
Il Sistema di Security Intelligence interagisce con tutti i sistemi e stakeholder di sicurezza Aziendale ed è utile al raggiungimento dei seguenti obiettivi:
– Miglioramento della comprensione degli incidenti complessi, individuando pattern, correlazioni, elementi in comune non evidenziati al momento dell’incidente;
– Individuazione di fenomeni anomali e/o critici, tramite modelli statistici o codifica di regole gestite da esperti di sicurezza;
– Condivisione di strumenti ed azioni con altre funzioni aziendali, al fine di valutare i rischi dalle diverse prospettive con la relativa mitigazione del rischio di sicurezza degli ambiti coinvolti;
– Monitoraggio dei livelli di rischio e del livello di esposizione aziendale, mediante attività di collezionamento, storicizzazione e visualizzazione di KPI (Key Performance Indicators) e KRI (Key Risk Indicator);
– Predisposizione del monitoraggio del Sistema di Gestione della Sicurezza, attraverso un sistema di KPI votato alla gestione delle performance del Sistema;
– Predisposizione del monitoraggio delle iniziative orientate alla mitigazione dei rischi di sicurezza nell’ambito del piano strategico aziendale, attraverso un sistema di Performance Management dedicato (esempio sotto)
(cliccare sull’immagine per visualizzarla correttamente)
Il Sistema di Security Intelligence ha una dimensione “Enterprise” ed ha lo scopo di centralizzare e correlare informazioni di natura diversa, i cui risultati sono di interesse per tutti gli stakeholder coinvolti.
Pertanto si attendono i seguenti benefici
Security Officers:
– visione integrata e coerente di Aree e Processi critici, Rischi
– Identificazione delle azioni necessarie al contenimento dei rischi e raggiungimento della compliance
– Monitoraggio dei piani di azione e recupero
– Valutazione della efficienza ed efficacia di Controlli e Contromisure
– Valutazione dei danni e delle perdite
Auditing:
– Evidenza dei piani di azione e recupero e del loro stato di avanzamento, controlli e contromisure che sono stati adottati
– Assessment mediante questionari e domande dirette
– Verifica del livello di applicazione e aderenza alle Normative
ICT Operation:
– Valutazione della tempestività nella risoluzione degli incidenti e produrre l’evidenza delle cause degli incidenti di sicurezza
– Predisposizione i dati di dettaglio per l’analisi degli incidenti
– Predisposizione Report e Dossier dettagliati
