Cosa comporta ideare e individuare contromisure
Quali tipi di contromisure prendere in considerazione e in quali circostanze: una proposta di risk mitigation framework.
Organization and Technology
soluzioni assicurative
soluzioni contrattuali
controllo interno
Incident Management
Valutare gli impatti delle contromisure
Indicatori numerici di performance sulla sicurezza
Come strutturare un controllo efficace sull’effettiva applicazione delle contromisure
Il ruolo dell’Internal Auditing e del Risk Management nei sistemi di sicurezza interni
Analisi di Casi di Studio
Una proposta di Risk Mitigation Framework
1. Conoscere e valutare le diverse soluzioni
di Risk Response
Dario V Forte, CISM, CFE, CGEIT
Founder and CEO
DFLabs
www.dfdlabs.com
2. About DFLabs
Specializzata in Governance Risk and Compliance
dal 2004
Tre practices: Consulting, Professional Services &
Technologies
Fortune 1000 Customers.
Sedi in Italia, USA, Russia.
Due Patent Pending negli USA ed Europa.
3. Agenda
Cosa comporta ideare e individuare contromisure
Quali tipi di contromisure prendere in considerazione e in quali circostanze:
una proposta di risk mitigation framework.
Organization and Technology
soluzioni assicurative
soluzioni contrattuali
controllo interno
Incident Management
Valutare gli impatti delle contromisure
Indicatori numerici di performance sulla sicurezza
Come strutturare un controllo efficace sull’effettiva applicazione delle
contromisure
Il ruolo dell’Internal Auditing e del Risk Management nei sistemi di
sicurezza interni
Analisi di Casi di Studio
Una proposta di Risk Mitigation Framework
4. Risk Mitigation Benchmark
Fonte: Dflabs&Terremark
Incident
IT Prevention and
SecurityProcess Preparation
Management and (Including
Support, including Enterprise Forensics and
vulnerability Business Fraud)
Security
management
Application
Incident Security
Response and Management
investigation Business Risk Management,
(Including Policy, standards, Technologies, Legal and guidelines
Forensics and
Fraud)
Page 4
5. Cosa comporta ideare e individuare contromisure
Conoscenza approfondita della matrice target/rischio
Conoscenza adeguata delle tipologie di contromisure
disponibili nei seguenti settori:
Organization and Technology
soluzioni assicurative
soluzioni contrattuali
controllo interno
Committment aziendale almeno a C-Level
6. Conoscenza approfondita della matrice
target/rischio
Collateral Target Information target
Core
Applications
HIGH
•User’s behaviour Central Database
•Printed material Top and C-Lev
•Pre-Public Data Management
LOW HIGH
•TBD
•Tbd
LOW
Unknown Unknown
7. Organization and Technology
Organization:
Si rende ormai necessaria una visibilità concreta sul rischio
informativo, con particolare riferimento a:
• Information Classification Program
• Costo del non investimento
Technology:
Automated Incident Response
GRC – Vs Incident Management
Metrics Vs Alert
8. CONI: Cost of Non Investment – Corporate World –
Average Example.
Rischio Legale: si prevede un Rischio Risarcimento: 150k up to
rischio medio di legal loss: 1,5mln euro
>500k euro (somma delle
sanzioni minime)
Rischio Operativo
Basato sulla Business Impact
analysis e sul Business
Continuity Plan. La media di
un incidente (loss) è >75k
euro
12. Soluzioni Complementari
Soluzioni assicurative
Richiedono una baseline sottoponibile ad audit
Health check dei sistemi informativi
Clausole “incerte” che richiedono comunque un importante intervento
in termini di investimento.
Obbligatorie in alcuni casi (specie negli USA)
Soluzioni contrattuali
Relativamente piu’ flessibili delle precedenti, richiedono un impegno di
preparazione e negoziazione importante (skills ed investimenti)
Non sempre è ottenibile se l’esigenza primaria è quella di una
relazione win win
Richiedono una gestione dinamica degli update.
13. Controllo interno
Il ruolo del controllo interno è fondamentale per il mantenimento della
governance dei processi di rischio.
L’Esperienza diretta sul punto suggerisce un intervento simbiotico tra
risk management, security, audit.
È necessaria una condivisione diretta tra i vari ruoli aziendali dei KPI e
degli obiettivi di compliance.
14. Incident management
La gestione degli incidenti, allo stato attuale, viene ancora vista come
un argomento di mera attinenza IT.
Le problematiche di sicurezza, invece, sono correlate ai seguenti
aspetti generali e di dettaglio:
Attacchi e violazioni di tipo informatico (Vs lg 231/01)
Frodi informatiche, sia esterne sia interne (codice penale)
Policy Violation (231 e 196)
Dal punto di vista della reazione, sussistono le seguenti tematiche:
Incident Response
Computer Forensics
Data Leakage Prevention.
16. Valutazione degli impatti Vs contromisure
Impatti:
Costo riproduzione dato
Costo personale interno
Technical and Non Technical Repercussions (IODEF)
17. IODEF
Basato su RFC, IODEF è un metalinguaggio basato su XML in grado di
gestire oltre 250 tipologie differenti di incident data.
Consente l’interscambio dinamico ed automatizzato, senza bisogno di
traduzione, di una moltitudine di dati relativi agli incidenti di
sicurezza, sia di tipo tecnico sia di tipo normativo sia di tipo economico.
È sempre piu’ utilizzato tra i vendor e gli utenti finali.
Richiede un lavoro adeguato di sviluppo
Il ritorno sull’eventuale investimento è qualificabile positivamemte
18. Controllo efficace
sull’effettiva applicazione
delle contromisure
L’applicazione delle contromisure dimostra la sua efficacia se:
I tempi di reazione e detection sono quantificabili e sono adeguati
al benchmark
Consente la Quantificazione e qualificazione dell’Exposure
(Detection + Reaction)
Esiste una supportabilità legale delle evidenze reperite.
19. Casi di Studio
E-discovery, lack of preparation and governance
Incident Response: lack of tech and procedural
preparation
Litigation: lack of coordination, Lawyers, Vs
Customer Vs Consultancy
20. E-discovery, lack of preparation and governance
Multinazionale. Branch italiana con dati presenti e gestiti in italia
Procedimento penale negli USA.
Necessità di produrre in tempi brevi (45gg) 1.3 Tb di posta elettronica.
Interviene inizialmente il provider (big consultancy firm) direttamente
dagli USA.
A 15gg dalla deadline, il counsel italiano “ si accorge” di un “potenziale”
problema di personal data export
Il provider si defila
Deadline non rispettata
Azienda cliente multata, e causa contro il provider (negli USA)
Lesson learned: Lack of Preparation and Governance.
21. Incident Response: lack of tech and procedural
preparation
Azienda operante in Italia, 1200 Server.
Serie di riscritture non autorizzate su filesystems. Non è possibile
ricostruire l’origine ne’ gli artifacts. Motivo:
Mancanza di monitoring sul filesystem
Mancanza di logging adeguato
Le uniche evidenze digitali potenzialmente utili sono state
“cristallizzate” da personale interno non adeguatamente preparato ( si è
proceduto ad operare direttamente su alcune evidenze originali prima
di copiarle).
Risultati: Mancanza di ricostruibilità certa dell’evento e di eventuale
portabilità in sede giudiziaria.
Lesson learned: Lack of Tech and Procedural Preparation. (Pre
Incident Preparation, RFC 2350)
22. Litigation: lack of coordination, Lawyers, Vs
Customer Vs Consultancy
E-discovery: evidenze accumulate dalla consulenza tecnica, e
trasmesse al legale americano unitamente a consulenza tecnica.
Il Legale omette di presentare la parte digitale della consulenza
Il legale viene citato per negligence
L’azienda viene multata per violazione delle regole federali sulla
produzione delle digital evidences nei processi civili:
Lesson learned: mancanza di preparazione e di coordinamento tra
avvocati, clienti e consulenti tecnici. Motivo: mancanza di preparazione
e di procedure operative adeguate.
23. Risk Mitigation Framework
Fonte: Dflabs&Terremark
Incident Prevention and
Preparation
(Including Forensics and
IT SecurityProcess Fraud)
Management and
Support, including
Pre-Incident
vulnerability management Preparation
Enterprise
Know where Business
your data are Security
Application Security
Incident Response and Management
investigation
(Including Forensics and Test Your Apps
Fraud)
Business Risk Management,
Use the Right Policy, standards, Technologies, Legal and guidelines
Technology
Page 23
24. Conclusioni
Il Risk Response è ormai divenuto un must e, per
quanto riguarda l’information security, rientra nella
disciplina dell’incident management
Richiede un impiego di risorse di varia provenienza e
un budget adeguato
L’aspetto tecnologico è sicuramente abilitante e va
sviluppato in parallelo rispetto a quello organizzativo
È richiesta la massima consapevolezza da parte
degli utenti finali
25. THANKS
Dario V Forte, CFE, CISM. CGEIT, Founder
and Ceo DFLabs Italy,
Info@dflabs.com
www.dflabs.com