SlideShare a Scribd company logo

IT GRC, Soluzioni Risk Management

Download as PPTX, PDF
DFLABS SRL
DFLABS SRL

Cosa comporta ideare e individuare contromisure Quali tipi di contromisure prendere in considerazione e in quali circostanze: una proposta di risk mitigation framework. Organization and Technology soluzioni assicurative soluzioni contrattuali controllo interno Incident Management Valutare gli impatti delle contromisure Indicatori numerici di performance sulla sicurezza Come strutturare un controllo efficace sull’effettiva applicazione delle contromisure Il ruolo dell’Internal Auditing e del Risk Management nei sistemi di sicurezza interni Analisi di Casi di Studio Una proposta di Risk Mitigation Framework

Technology
1 of 25
Conoscere e valutare le diverse soluzioni di Risk Response Dario V Forte, CISM, CFE, CGEIT Founder and CEO DFLabs www.dfdlabs.com
About DFLabs  Specializzata in Governance Risk and Compliance dal 2004  Tre practices: Consulting, Professional Services & Technologies  Fortune 1000 Customers.  Sedi in Italia, USA, Russia.  Due Patent Pending negli USA ed Europa.
Agenda  Cosa comporta ideare e individuare contromisure  Quali tipi di contromisure prendere in considerazione e in quali circostanze: una proposta di risk mitigation framework.  Organization and Technology  soluzioni assicurative  soluzioni contrattuali  controllo interno  Incident Management  Valutare gli impatti delle contromisure  Indicatori numerici di performance sulla sicurezza  Come strutturare un controllo efficace sull’effettiva applicazione delle contromisure  Il ruolo dell’Internal Auditing e del Risk Management nei sistemi di sicurezza interni  Analisi di Casi di Studio  Una proposta di Risk Mitigation Framework
Risk Mitigation Benchmark Fonte: Dflabs&Terremark Incident IT Prevention and SecurityProcess Preparation Management and (Including Support, including Enterprise Forensics and vulnerability Business Fraud) Security management Application Incident Security Response and Management investigation Business Risk Management, (Including Policy, standards, Technologies, Legal and guidelines Forensics and Fraud) Page  4
Cosa comporta ideare e individuare contromisure  Conoscenza approfondita della matrice target/rischio  Conoscenza adeguata delle tipologie di contromisure disponibili nei seguenti settori:  Organization and Technology  soluzioni assicurative  soluzioni contrattuali  controllo interno  Committment aziendale almeno a C-Level
Conoscenza approfondita della matrice target/rischio Collateral Target Information target Core Applications HIGH •User’s behaviour Central Database •Printed material Top and C-Lev •Pre-Public Data Management LOW HIGH •TBD •Tbd LOW Unknown Unknown
Organization and Technology  Organization:  Si rende ormai necessaria una visibilità concreta sul rischio informativo, con particolare riferimento a: • Information Classification Program • Costo del non investimento  Technology:  Automated Incident Response  GRC – Vs Incident Management  Metrics Vs Alert
CONI: Cost of Non Investment – Corporate World – Average Example. Rischio Legale: si prevede un Rischio Risarcimento: 150k up to rischio medio di legal loss: 1,5mln euro >500k euro (somma delle sanzioni minime) Rischio Operativo Basato sulla Business Impact analysis e sul Business Continuity Plan. La media di un incidente (loss) è >75k euro
Automated Incident Response Servlets Installed
Advanced Network Anomaly Basics: record your network once, and reuse it many times. Page  10
GRC – Vs Incident Management
Soluzioni Complementari  Soluzioni assicurative  Richiedono una baseline sottoponibile ad audit  Health check dei sistemi informativi  Clausole “incerte” che richiedono comunque un importante intervento in termini di investimento.  Obbligatorie in alcuni casi (specie negli USA)  Soluzioni contrattuali  Relativamente piu’ flessibili delle precedenti, richiedono un impegno di preparazione e negoziazione importante (skills ed investimenti)  Non sempre è ottenibile se l’esigenza primaria è quella di una relazione win win  Richiedono una gestione dinamica degli update.
Controllo interno  Il ruolo del controllo interno è fondamentale per il mantenimento della governance dei processi di rischio.  L’Esperienza diretta sul punto suggerisce un intervento simbiotico tra risk management, security, audit.  È necessaria una condivisione diretta tra i vari ruoli aziendali dei KPI e degli obiettivi di compliance.
Incident management  La gestione degli incidenti, allo stato attuale, viene ancora vista come un argomento di mera attinenza IT.  Le problematiche di sicurezza, invece, sono correlate ai seguenti aspetti generali e di dettaglio:  Attacchi e violazioni di tipo informatico (Vs lg 231/01)  Frodi informatiche, sia esterne sia interne (codice penale)  Policy Violation (231 e 196)  Dal punto di vista della reazione, sussistono le seguenti tematiche:  Incident Response  Computer Forensics  Data Leakage Prevention.
KPI: Need for Tools
Valutazione degli impatti Vs contromisure  Impatti:  Costo riproduzione dato  Costo personale interno  Technical and Non Technical Repercussions (IODEF)
IODEF  Basato su RFC, IODEF è un metalinguaggio basato su XML in grado di gestire oltre 250 tipologie differenti di incident data.  Consente l’interscambio dinamico ed automatizzato, senza bisogno di traduzione, di una moltitudine di dati relativi agli incidenti di sicurezza, sia di tipo tecnico sia di tipo normativo sia di tipo economico.  È sempre piu’ utilizzato tra i vendor e gli utenti finali.  Richiede un lavoro adeguato di sviluppo  Il ritorno sull’eventuale investimento è qualificabile positivamemte
Controllo efficace sull’effettiva applicazione delle contromisure  L’applicazione delle contromisure dimostra la sua efficacia se:  I tempi di reazione e detection sono quantificabili e sono adeguati al benchmark  Consente la Quantificazione e qualificazione dell’Exposure (Detection + Reaction)  Esiste una supportabilità legale delle evidenze reperite.
Casi di Studio  E-discovery, lack of preparation and governance  Incident Response: lack of tech and procedural preparation  Litigation: lack of coordination, Lawyers, Vs Customer Vs Consultancy
E-discovery, lack of preparation and governance  Multinazionale. Branch italiana con dati presenti e gestiti in italia  Procedimento penale negli USA.  Necessità di produrre in tempi brevi (45gg) 1.3 Tb di posta elettronica.  Interviene inizialmente il provider (big consultancy firm) direttamente dagli USA.  A 15gg dalla deadline, il counsel italiano “ si accorge” di un “potenziale” problema di personal data export  Il provider si defila  Deadline non rispettata  Azienda cliente multata, e causa contro il provider (negli USA)  Lesson learned: Lack of Preparation and Governance.
Incident Response: lack of tech and procedural preparation  Azienda operante in Italia, 1200 Server.  Serie di riscritture non autorizzate su filesystems. Non è possibile ricostruire l’origine ne’ gli artifacts. Motivo:  Mancanza di monitoring sul filesystem  Mancanza di logging adeguato  Le uniche evidenze digitali potenzialmente utili sono state “cristallizzate” da personale interno non adeguatamente preparato ( si è proceduto ad operare direttamente su alcune evidenze originali prima di copiarle).  Risultati: Mancanza di ricostruibilità certa dell’evento e di eventuale portabilità in sede giudiziaria.  Lesson learned: Lack of Tech and Procedural Preparation. (Pre Incident Preparation, RFC 2350)
Litigation: lack of coordination, Lawyers, Vs Customer Vs Consultancy  E-discovery: evidenze accumulate dalla consulenza tecnica, e trasmesse al legale americano unitamente a consulenza tecnica.  Il Legale omette di presentare la parte digitale della consulenza  Il legale viene citato per negligence  L’azienda viene multata per violazione delle regole federali sulla produzione delle digital evidences nei processi civili:  Lesson learned: mancanza di preparazione e di coordinamento tra avvocati, clienti e consulenti tecnici. Motivo: mancanza di preparazione e di procedure operative adeguate.
Risk Mitigation Framework Fonte: Dflabs&Terremark Incident Prevention and Preparation (Including Forensics and IT SecurityProcess Fraud) Management and Support, including Pre-Incident vulnerability management Preparation Enterprise Know where Business your data are Security Application Security Incident Response and Management investigation (Including Forensics and Test Your Apps Fraud) Business Risk Management, Use the Right Policy, standards, Technologies, Legal and guidelines Technology Page  23
Conclusioni  Il Risk Response è ormai divenuto un must e, per quanto riguarda l’information security, rientra nella disciplina dell’incident management  Richiede un impiego di risorse di varia provenienza e un budget adeguato  L’aspetto tecnologico è sicuramente abilitante e va sviluppato in parallelo rispetto a quello organizzativo  È richiesta la massima consapevolezza da parte degli utenti finali
THANKS Dario V Forte, CFE, CISM. CGEIT, Founder and Ceo DFLabs Italy, Info@dflabs.com www.dflabs.com

Recommended

Data Breach e Garante Privacy: Problemi e soluzioni
Data Breach e Garante Privacy: Problemi e soluzioniData Breach e Garante Privacy: Problemi e soluzioni
Data Breach e Garante Privacy: Problemi e soluzioniDFLABS SRL
 
Sicurezza delle Informazioni
Sicurezza delle InformazioniSicurezza delle Informazioni
Sicurezza delle Informazioniluca menini
 
RISK CENTER - Rischio operativo nel settore Bancario
RISK CENTER - Rischio operativo nel settore BancarioRISK CENTER - Rischio operativo nel settore Bancario
RISK CENTER - Rischio operativo nel settore BancarioNexen
 
SIEM visione complessiva
SIEM visione complessivaSIEM visione complessiva
SIEM visione complessivaSergio Leoni
 
Last Pw Siem 2
Last Pw Siem 2Last Pw Siem 2
Last Pw Siem 2Pierluigi Sartori
 
Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e reteLuca Moroni ✔✔
 
Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityVilma Pozzi
 
Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations CenterSylvio Verrecchia - IT Security Engineer
 

Recommended

Data Breach e Garante Privacy: Problemi e soluzioni
Data Breach e Garante Privacy: Problemi e soluzioniData Breach e Garante Privacy: Problemi e soluzioni
Data Breach e Garante Privacy: Problemi e soluzioniDFLABS SRL
 
Sicurezza delle Informazioni
Sicurezza delle InformazioniSicurezza delle Informazioni
Sicurezza delle Informazioniluca menini
 
RISK CENTER - Rischio operativo nel settore Bancario
RISK CENTER - Rischio operativo nel settore BancarioRISK CENTER - Rischio operativo nel settore Bancario
RISK CENTER - Rischio operativo nel settore BancarioNexen
 
SIEM visione complessiva
SIEM visione complessivaSIEM visione complessiva
SIEM visione complessivaSergio Leoni
 
Last Pw Siem 2
Last Pw Siem 2Last Pw Siem 2
Last Pw Siem 2Pierluigi Sartori
 
Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e reteLuca Moroni ✔✔
 
Isab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityIsab informatica strategie di Cyber Security
Isab informatica strategie di Cyber SecurityVilma Pozzi
 
Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations CenterSylvio Verrecchia - IT Security Engineer
 
Caso 3
Caso 3Caso 3
Caso 3Luca Moroni ✔✔
 
Webinar sicurezza nei social network
Webinar sicurezza nei social networkWebinar sicurezza nei social network
Webinar sicurezza nei social networkMatteo Barberi
 
Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06Pietro Monti
 
Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.Davide Del Vecchio
 
Business Defence / Per proteggere il vostro lavoro, mettiamo a fuoco la situa...
Business Defence / Per proteggere il vostro lavoro, mettiamo a fuoco la situa...Business Defence / Per proteggere il vostro lavoro, mettiamo a fuoco la situa...
Business Defence / Per proteggere il vostro lavoro, mettiamo a fuoco la situa...BusinessDefence
 
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Simone Onofri
 
Premio Forum PA - IPZS - BC/DR e CypSec
Premio Forum PA - IPZS - BC/DR e CypSecPremio Forum PA - IPZS - BC/DR e CypSec
Premio Forum PA - IPZS - BC/DR e CypSecMaurizio Quattrociocchi
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Marco Guardigli
 
Proteggere l'azienda dai rischi sconosciuti
Proteggere l'azienda dai rischi sconosciutiProteggere l'azienda dai rischi sconosciuti
Proteggere l'azienda dai rischi sconosciutiSymantec Italia
 
SMB Protection Guide
SMB Protection GuideSMB Protection Guide
SMB Protection GuideSymantec Italia
 
Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017SMAU
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic srl
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict securityLuca Moroni ✔✔
 
Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...
Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...
Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...Symantec Italia
 
Articolo Information Security 17 gen feb 2013 pp 42-45
Articolo Information Security 17 gen feb 2013 pp 42-45Articolo Information Security 17 gen feb 2013 pp 42-45
Articolo Information Security 17 gen feb 2013 pp 42-45Luca Moroni ✔✔
 
Go2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo BarghiniGo2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo BarghiniAFB Net
 
Aziende poco pronte alla cyber insurance
Aziende poco pronte alla cyber insuranceAziende poco pronte alla cyber insurance
Aziende poco pronte alla cyber insuranceLuca Moroni ✔✔
 
Il DLP, uno strumento di difesa del patrimonio informativo aziendale
Il DLP, uno strumento di difesa del patrimonio informativo aziendaleIl DLP, uno strumento di difesa del patrimonio informativo aziendale
Il DLP, uno strumento di difesa del patrimonio informativo aziendaleBabel
 
IPE-EY "Basel III Framework: New Standardised Approach for Credit Risk" 2015
IPE-EY "Basel III Framework: New Standardised Approach for Credit Risk" 2015IPE-EY "Basel III Framework: New Standardised Approach for Credit Risk" 2015
IPE-EY "Basel III Framework: New Standardised Approach for Credit Risk" 2015IPE Business School
 
RISK CENTER - Rischio Operativo e strumenti Assicurativi
RISK CENTER - Rischio Operativo e strumenti AssicurativiRISK CENTER - Rischio Operativo e strumenti Assicurativi
RISK CENTER - Rischio Operativo e strumenti AssicurativiNexen
 
Le basi del project management
Le basi del project managementLe basi del project management
Le basi del project managementSQcuola di Blog
 
Project Risk Management
Project Risk ManagementProject Risk Management
Project Risk ManagementMarkos Mulat G
 

More Related Content

What's hot

Webinar sicurezza nei social network
Webinar sicurezza nei social networkWebinar sicurezza nei social network
Webinar sicurezza nei social networkMatteo Barberi
 
Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06Pietro Monti
 
Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.Davide Del Vecchio
 
Business Defence / Per proteggere il vostro lavoro, mettiamo a fuoco la situa...
Business Defence / Per proteggere il vostro lavoro, mettiamo a fuoco la situa...Business Defence / Per proteggere il vostro lavoro, mettiamo a fuoco la situa...
Business Defence / Per proteggere il vostro lavoro, mettiamo a fuoco la situa...BusinessDefence
 
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Simone Onofri
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Marco Guardigli
 
Proteggere l'azienda dai rischi sconosciuti
Proteggere l'azienda dai rischi sconosciutiProteggere l'azienda dai rischi sconosciuti
Proteggere l'azienda dai rischi sconosciutiSymantec Italia
 
Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017SMAU
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic srl
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict securityLuca Moroni ✔✔
 
Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...
Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...
Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...Symantec Italia
 
Articolo Information Security 17 gen feb 2013 pp 42-45
Articolo Information Security 17 gen feb 2013 pp 42-45Articolo Information Security 17 gen feb 2013 pp 42-45
Articolo Information Security 17 gen feb 2013 pp 42-45Luca Moroni ✔✔
 
Go2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo BarghiniGo2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo BarghiniAFB Net
 
Aziende poco pronte alla cyber insurance
Aziende poco pronte alla cyber insuranceAziende poco pronte alla cyber insurance
Aziende poco pronte alla cyber insuranceLuca Moroni ✔✔
 
Il DLP, uno strumento di difesa del patrimonio informativo aziendale
Il DLP, uno strumento di difesa del patrimonio informativo aziendaleIl DLP, uno strumento di difesa del patrimonio informativo aziendale
Il DLP, uno strumento di difesa del patrimonio informativo aziendaleBabel
 

What's hot (18)

Caso 3
Caso 3Caso 3
Caso 3
 
Webinar sicurezza nei social network
Webinar sicurezza nei social networkWebinar sicurezza nei social network
Webinar sicurezza nei social network
 
Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06Security summit2015 evoluzione della sicurezza inail- v06
Security summit2015 evoluzione della sicurezza inail- v06
 
Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.Come realizzare e gestire un Security Operations Center.
Come realizzare e gestire un Security Operations Center.
 
Business Defence / Per proteggere il vostro lavoro, mettiamo a fuoco la situa...
Business Defence / Per proteggere il vostro lavoro, mettiamo a fuoco la situa...Business Defence / Per proteggere il vostro lavoro, mettiamo a fuoco la situa...
Business Defence / Per proteggere il vostro lavoro, mettiamo a fuoco la situa...
 
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
 
Premio Forum PA - IPZS - BC/DR e CypSec
Premio Forum PA - IPZS - BC/DR e CypSecPremio Forum PA - IPZS - BC/DR e CypSec
Premio Forum PA - IPZS - BC/DR e CypSec
 
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
Guardigli Sicurezza Nell Informatica Aziendale 3 4 Nov 2005
 
Proteggere l'azienda dai rischi sconosciuti
Proteggere l'azienda dai rischi sconosciutiProteggere l'azienda dai rischi sconosciuti
Proteggere l'azienda dai rischi sconosciuti
 
SMB Protection Guide
SMB Protection GuideSMB Protection Guide
SMB Protection Guide
 
Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017Giulio Vada G Data - SMAU Milano 2017
Giulio Vada G Data - SMAU Milano 2017
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship Presentation
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict security
 
Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...
Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...
Symantec Endpoint Protection: la tecnologia Antivirus Symantec di nuova gener...
 
Articolo Information Security 17 gen feb 2013 pp 42-45
Articolo Information Security 17 gen feb 2013 pp 42-45Articolo Information Security 17 gen feb 2013 pp 42-45
Articolo Information Security 17 gen feb 2013 pp 42-45
 
Go2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo BarghiniGo2Tec - Security assessment e normative - Riccardo Barghini
Go2Tec - Security assessment e normative - Riccardo Barghini
 
Aziende poco pronte alla cyber insurance
Aziende poco pronte alla cyber insuranceAziende poco pronte alla cyber insurance
Aziende poco pronte alla cyber insurance
 
Il DLP, uno strumento di difesa del patrimonio informativo aziendale
Il DLP, uno strumento di difesa del patrimonio informativo aziendaleIl DLP, uno strumento di difesa del patrimonio informativo aziendale
Il DLP, uno strumento di difesa del patrimonio informativo aziendale
 

Viewers also liked

IPE-EY "Basel III Framework: New Standardised Approach for Credit Risk" 2015
IPE-EY "Basel III Framework: New Standardised Approach for Credit Risk" 2015IPE-EY "Basel III Framework: New Standardised Approach for Credit Risk" 2015
IPE-EY "Basel III Framework: New Standardised Approach for Credit Risk" 2015IPE Business School
 
RISK CENTER - Rischio Operativo e strumenti Assicurativi
RISK CENTER - Rischio Operativo e strumenti AssicurativiRISK CENTER - Rischio Operativo e strumenti Assicurativi
RISK CENTER - Rischio Operativo e strumenti AssicurativiNexen
 
Le basi del project management
Le basi del project managementLe basi del project management
Le basi del project managementSQcuola di Blog
 
Project Risk Management
Project Risk ManagementProject Risk Management
Project Risk ManagementMarkos Mulat G
 
Risk Management
Risk ManagementRisk Management
Risk Managementcgeorgeo
 

Viewers also liked (6)

IPE-EY "Basel III Framework: New Standardised Approach for Credit Risk" 2015
IPE-EY "Basel III Framework: New Standardised Approach for Credit Risk" 2015IPE-EY "Basel III Framework: New Standardised Approach for Credit Risk" 2015
IPE-EY "Basel III Framework: New Standardised Approach for Credit Risk" 2015
 
RISK CENTER - Rischio Operativo e strumenti Assicurativi
RISK CENTER - Rischio Operativo e strumenti AssicurativiRISK CENTER - Rischio Operativo e strumenti Assicurativi
RISK CENTER - Rischio Operativo e strumenti Assicurativi
 
Le basi del project management
Le basi del project managementLe basi del project management
Le basi del project management
 
Project Risk Management
Project Risk ManagementProject Risk Management
Project Risk Management
 
Risk Management
Risk ManagementRisk Management
Risk Management
 
Project management
Project managementProject management
Project management
 

Similar to IT GRC, Soluzioni Risk Management

ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskM2 Informatica
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
Disaster recovery-seminar
Disaster recovery-seminarDisaster recovery-seminar
Disaster recovery-seminarEnrico Parisini
 
Managed Security Services vs In house management
Managed Security Services vs In house managementManaged Security Services vs In house management
Managed Security Services vs In house managementPierluigi Sartori
 
Gestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIGestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIStefano Bendandi
 
Sicurezza Integrata Dedagroup
Sicurezza Integrata DedagroupSicurezza Integrata Dedagroup
Sicurezza Integrata DedagroupDedagroup
 
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber SecurityEnrico Memmo
 
Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischio
Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischioCyber Risk Assessment: Rileva, Intervieni e Previeni il rischio
Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischioMarcoViscardi6
 
iDialoghi - Social Media Security Management
iDialoghi - Social Media Security Management iDialoghi - Social Media Security Management
iDialoghi - Social Media Security Management iDIALOGHI
 
Safe check up - Firmware_aggiornamento - 22feb2012
Safe check up - Firmware_aggiornamento - 22feb2012Safe check up - Firmware_aggiornamento - 22feb2012
Safe check up - Firmware_aggiornamento - 22feb2012M.Ela International Srl
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliConsulthinkspa
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Marco Pirrone
 
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...acaporro
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDIALOGHI
 
Security Summit Rome 2011
Security Summit Rome 2011Security Summit Rome 2011
Security Summit Rome 2011Marco Morana
 
Cyber-Security.pdf
Cyber-Security.pdfCyber-Security.pdf
Cyber-Security.pdfCentoOff
 
Italia cybersecury framework
Italia cybersecury frameworkItalia cybersecury framework
Italia cybersecury frameworkmariodalco
 

Similar to IT GRC, Soluzioni Risk Management (20)

ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
 
LA GESTIONE DELLA SICUREZZA
LA GESTIONE DELLA SICUREZZALA GESTIONE DELLA SICUREZZA
LA GESTIONE DELLA SICUREZZA
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
Disaster recovery-seminar
Disaster recovery-seminarDisaster recovery-seminar
Disaster recovery-seminar
 
Managed Security Services vs In house management
Managed Security Services vs In house managementManaged Security Services vs In house management
Managed Security Services vs In house management
 
Gestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMIGestione dei rischi: analisi di un modello semplificato per le PMI
Gestione dei rischi: analisi di un modello semplificato per le PMI
 
Sicurezza Integrata Dedagroup
Sicurezza Integrata DedagroupSicurezza Integrata Dedagroup
Sicurezza Integrata Dedagroup
 
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber Security
 
Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischio
Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischioCyber Risk Assessment: Rileva, Intervieni e Previeni il rischio
Cyber Risk Assessment: Rileva, Intervieni e Previeni il rischio
 
iDialoghi - Social Media Security Management
iDialoghi - Social Media Security Management iDialoghi - Social Media Security Management
iDialoghi - Social Media Security Management
 
Safe check up - Firmware_aggiornamento - 22feb2012
Safe check up - Firmware_aggiornamento - 22feb2012Safe check up - Firmware_aggiornamento - 22feb2012
Safe check up - Firmware_aggiornamento - 22feb2012
 
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendaliPrevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
Prevenzione degli attacchi informatici che coinvolgono dati sensibili aziendali
 
Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013Consulthink at ICT Security Forum 2013
Consulthink at ICT Security Forum 2013
 
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
ICT Security Forum 2013 - Prevenzione degli attacchi informatici che coinvolg...
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security Consulting
 
Padova13 luca moroni3
Padova13 luca moroni3Padova13 luca moroni3
Padova13 luca moroni3
 
Security Summit Rome 2011
Security Summit Rome 2011Security Summit Rome 2011
Security Summit Rome 2011
 
Cyber-Security.pdf
Cyber-Security.pdfCyber-Security.pdf
Cyber-Security.pdf
 
Italia cybersecury framework
Italia cybersecury frameworkItalia cybersecury framework
Italia cybersecury framework
 

More from DFLABS SRL

Cyber Crime Conference 2017 - DFLabs Supervised Active Intelligence - Andrea ...
Cyber Crime Conference 2017 - DFLabs Supervised Active Intelligence - Andrea ...Cyber Crime Conference 2017 - DFLabs Supervised Active Intelligence - Andrea ...
Cyber Crime Conference 2017 - DFLabs Supervised Active Intelligence - Andrea ...DFLABS SRL
 
DFlabs corporate profile 01-2013
DFlabs corporate profile 01-2013DFlabs corporate profile 01-2013
DFlabs corporate profile 01-2013DFLABS SRL
 
Targeted  &  Persistent  Attacks  in  EU
Targeted  &  Persistent  Attacks  in  EU Targeted  &  Persistent  Attacks  in  EU
Targeted  &  Persistent  Attacks  in  EU DFLABS SRL
 
Using the IncMan Suite to Manage the Reporting of Cyber Security Risks and In...
Using the IncMan Suite to Manage the Reporting of Cyber Security Risks and In...Using the IncMan Suite to Manage the Reporting of Cyber Security Risks and In...
Using the IncMan Suite to Manage the Reporting of Cyber Security Risks and In...DFLABS SRL
 
L'evoluzione degli standard in materia di computer forensics e investigazioni...
L'evoluzione degli standard in materia di computer forensics e investigazioni...L'evoluzione degli standard in materia di computer forensics e investigazioni...
L'evoluzione degli standard in materia di computer forensics e investigazioni...DFLABS SRL
 
Dario Forte's SST Moscow Keynote
Dario Forte's SST Moscow KeynoteDario Forte's SST Moscow Keynote
Dario Forte's SST Moscow KeynoteDFLABS SRL
 
Using Encase for Digital Investigations
Using Encase for Digital InvestigationsUsing Encase for Digital Investigations
Using Encase for Digital InvestigationsDFLABS SRL
 
Iamers presentation-2
Iamers presentation-2Iamers presentation-2
Iamers presentation-2DFLABS SRL
 
PTK 1.0 official presentation
PTK 1.0 official presentationPTK 1.0 official presentation
PTK 1.0 official presentationDFLABS SRL
 

More from DFLABS SRL (10)

Cyber Crime Conference 2017 - DFLabs Supervised Active Intelligence - Andrea ...
Cyber Crime Conference 2017 - DFLabs Supervised Active Intelligence - Andrea ...Cyber Crime Conference 2017 - DFLabs Supervised Active Intelligence - Andrea ...
Cyber Crime Conference 2017 - DFLabs Supervised Active Intelligence - Andrea ...
 
DFlabs corporate profile 01-2013
DFlabs corporate profile 01-2013DFlabs corporate profile 01-2013
DFlabs corporate profile 01-2013
 
Targeted  &  Persistent  Attacks  in  EU
Targeted  &  Persistent  Attacks  in  EU Targeted  &  Persistent  Attacks  in  EU
Targeted  &  Persistent  Attacks  in  EU
 
Using the IncMan Suite to Manage the Reporting of Cyber Security Risks and In...
Using the IncMan Suite to Manage the Reporting of Cyber Security Risks and In...Using the IncMan Suite to Manage the Reporting of Cyber Security Risks and In...
Using the IncMan Suite to Manage the Reporting of Cyber Security Risks and In...
 
L'evoluzione degli standard in materia di computer forensics e investigazioni...
L'evoluzione degli standard in materia di computer forensics e investigazioni...L'evoluzione degli standard in materia di computer forensics e investigazioni...
L'evoluzione degli standard in materia di computer forensics e investigazioni...
 
Dario Forte's SST Moscow Keynote
Dario Forte's SST Moscow KeynoteDario Forte's SST Moscow Keynote
Dario Forte's SST Moscow Keynote
 
Using Encase for Digital Investigations
Using Encase for Digital InvestigationsUsing Encase for Digital Investigations
Using Encase for Digital Investigations
 
Iamers presentation-2
Iamers presentation-2Iamers presentation-2
Iamers presentation-2
 
PTK 1.0 official presentation
PTK 1.0 official presentationPTK 1.0 official presentation
PTK 1.0 official presentation
 
D.I.M.
D.I.M.D.I.M.
D.I.M.
 

Recently uploaded

Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...Associazione Digital Days
 
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”Associazione Digital Days
 
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...Associazione Digital Days
 
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...Associazione Digital Days
 
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...Associazione Digital Days
 
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...Associazione Digital Days
 
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...Associazione Digital Days
 
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...Associazione Digital Days
 
Programma Biennale Tecnologia 2024 Torino
Programma Biennale Tecnologia 2024 TorinoProgramma Biennale Tecnologia 2024 Torino
Programma Biennale Tecnologia 2024 TorinoQuotidiano Piemontese
 

Recently uploaded (9)

Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
 
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
 
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
 
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
 
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
 
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
 
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
 
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
 
Programma Biennale Tecnologia 2024 Torino
Programma Biennale Tecnologia 2024 TorinoProgramma Biennale Tecnologia 2024 Torino
Programma Biennale Tecnologia 2024 Torino
 

IT GRC, Soluzioni Risk Management

  • 1. Conoscere e valutare le diverse soluzioni di Risk Response Dario V Forte, CISM, CFE, CGEIT Founder and CEO DFLabs www.dfdlabs.com
  • 2. About DFLabs  Specializzata in Governance Risk and Compliance dal 2004  Tre practices: Consulting, Professional Services & Technologies  Fortune 1000 Customers.  Sedi in Italia, USA, Russia.  Due Patent Pending negli USA ed Europa.
  • 3. Agenda  Cosa comporta ideare e individuare contromisure  Quali tipi di contromisure prendere in considerazione e in quali circostanze: una proposta di risk mitigation framework.  Organization and Technology  soluzioni assicurative  soluzioni contrattuali  controllo interno  Incident Management  Valutare gli impatti delle contromisure  Indicatori numerici di performance sulla sicurezza  Come strutturare un controllo efficace sull’effettiva applicazione delle contromisure  Il ruolo dell’Internal Auditing e del Risk Management nei sistemi di sicurezza interni  Analisi di Casi di Studio  Una proposta di Risk Mitigation Framework
  • 4. Risk Mitigation Benchmark Fonte: Dflabs&Terremark Incident IT Prevention and SecurityProcess Preparation Management and (Including Support, including Enterprise Forensics and vulnerability Business Fraud) Security management Application Incident Security Response and Management investigation Business Risk Management, (Including Policy, standards, Technologies, Legal and guidelines Forensics and Fraud) Page  4
  • 5. Cosa comporta ideare e individuare contromisure  Conoscenza approfondita della matrice target/rischio  Conoscenza adeguata delle tipologie di contromisure disponibili nei seguenti settori:  Organization and Technology  soluzioni assicurative  soluzioni contrattuali  controllo interno  Committment aziendale almeno a C-Level
  • 6. Conoscenza approfondita della matrice target/rischio Collateral Target Information target Core Applications HIGH •User’s behaviour Central Database •Printed material Top and C-Lev •Pre-Public Data Management LOW HIGH •TBD •Tbd LOW Unknown Unknown
  • 7. Organization and Technology  Organization:  Si rende ormai necessaria una visibilità concreta sul rischio informativo, con particolare riferimento a: • Information Classification Program • Costo del non investimento  Technology:  Automated Incident Response  GRC – Vs Incident Management  Metrics Vs Alert
  • 8. CONI: Cost of Non Investment – Corporate World – Average Example. Rischio Legale: si prevede un Rischio Risarcimento: 150k up to rischio medio di legal loss: 1,5mln euro >500k euro (somma delle sanzioni minime) Rischio Operativo Basato sulla Business Impact analysis e sul Business Continuity Plan. La media di un incidente (loss) è >75k euro
  • 9. Automated Incident Response Servlets Installed
  • 10. Advanced Network Anomaly Basics: record your network once, and reuse it many times. Page  10
  • 11. GRC – Vs Incident Management
  • 12. Soluzioni Complementari  Soluzioni assicurative  Richiedono una baseline sottoponibile ad audit  Health check dei sistemi informativi  Clausole “incerte” che richiedono comunque un importante intervento in termini di investimento.  Obbligatorie in alcuni casi (specie negli USA)  Soluzioni contrattuali  Relativamente piu’ flessibili delle precedenti, richiedono un impegno di preparazione e negoziazione importante (skills ed investimenti)  Non sempre è ottenibile se l’esigenza primaria è quella di una relazione win win  Richiedono una gestione dinamica degli update.
  • 13. Controllo interno  Il ruolo del controllo interno è fondamentale per il mantenimento della governance dei processi di rischio.  L’Esperienza diretta sul punto suggerisce un intervento simbiotico tra risk management, security, audit.  È necessaria una condivisione diretta tra i vari ruoli aziendali dei KPI e degli obiettivi di compliance.
  • 14. Incident management  La gestione degli incidenti, allo stato attuale, viene ancora vista come un argomento di mera attinenza IT.  Le problematiche di sicurezza, invece, sono correlate ai seguenti aspetti generali e di dettaglio:  Attacchi e violazioni di tipo informatico (Vs lg 231/01)  Frodi informatiche, sia esterne sia interne (codice penale)  Policy Violation (231 e 196)  Dal punto di vista della reazione, sussistono le seguenti tematiche:  Incident Response  Computer Forensics  Data Leakage Prevention.
  • 15. KPI: Need for Tools
  • 16. Valutazione degli impatti Vs contromisure  Impatti:  Costo riproduzione dato  Costo personale interno  Technical and Non Technical Repercussions (IODEF)
  • 17. IODEF  Basato su RFC, IODEF è un metalinguaggio basato su XML in grado di gestire oltre 250 tipologie differenti di incident data.  Consente l’interscambio dinamico ed automatizzato, senza bisogno di traduzione, di una moltitudine di dati relativi agli incidenti di sicurezza, sia di tipo tecnico sia di tipo normativo sia di tipo economico.  È sempre piu’ utilizzato tra i vendor e gli utenti finali.  Richiede un lavoro adeguato di sviluppo  Il ritorno sull’eventuale investimento è qualificabile positivamemte
  • 18. Controllo efficace sull’effettiva applicazione delle contromisure  L’applicazione delle contromisure dimostra la sua efficacia se:  I tempi di reazione e detection sono quantificabili e sono adeguati al benchmark  Consente la Quantificazione e qualificazione dell’Exposure (Detection + Reaction)  Esiste una supportabilità legale delle evidenze reperite.
  • 19. Casi di Studio  E-discovery, lack of preparation and governance  Incident Response: lack of tech and procedural preparation  Litigation: lack of coordination, Lawyers, Vs Customer Vs Consultancy
  • 20. E-discovery, lack of preparation and governance  Multinazionale. Branch italiana con dati presenti e gestiti in italia  Procedimento penale negli USA.  Necessità di produrre in tempi brevi (45gg) 1.3 Tb di posta elettronica.  Interviene inizialmente il provider (big consultancy firm) direttamente dagli USA.  A 15gg dalla deadline, il counsel italiano “ si accorge” di un “potenziale” problema di personal data export  Il provider si defila  Deadline non rispettata  Azienda cliente multata, e causa contro il provider (negli USA)  Lesson learned: Lack of Preparation and Governance.
  • 21. Incident Response: lack of tech and procedural preparation  Azienda operante in Italia, 1200 Server.  Serie di riscritture non autorizzate su filesystems. Non è possibile ricostruire l’origine ne’ gli artifacts. Motivo:  Mancanza di monitoring sul filesystem  Mancanza di logging adeguato  Le uniche evidenze digitali potenzialmente utili sono state “cristallizzate” da personale interno non adeguatamente preparato ( si è proceduto ad operare direttamente su alcune evidenze originali prima di copiarle).  Risultati: Mancanza di ricostruibilità certa dell’evento e di eventuale portabilità in sede giudiziaria.  Lesson learned: Lack of Tech and Procedural Preparation. (Pre Incident Preparation, RFC 2350)
  • 22. Litigation: lack of coordination, Lawyers, Vs Customer Vs Consultancy  E-discovery: evidenze accumulate dalla consulenza tecnica, e trasmesse al legale americano unitamente a consulenza tecnica.  Il Legale omette di presentare la parte digitale della consulenza  Il legale viene citato per negligence  L’azienda viene multata per violazione delle regole federali sulla produzione delle digital evidences nei processi civili:  Lesson learned: mancanza di preparazione e di coordinamento tra avvocati, clienti e consulenti tecnici. Motivo: mancanza di preparazione e di procedure operative adeguate.
  • 23. Risk Mitigation Framework Fonte: Dflabs&Terremark Incident Prevention and Preparation (Including Forensics and IT SecurityProcess Fraud) Management and Support, including Pre-Incident vulnerability management Preparation Enterprise Know where Business your data are Security Application Security Incident Response and Management investigation (Including Forensics and Test Your Apps Fraud) Business Risk Management, Use the Right Policy, standards, Technologies, Legal and guidelines Technology Page  23
  • 24. Conclusioni  Il Risk Response è ormai divenuto un must e, per quanto riguarda l’information security, rientra nella disciplina dell’incident management  Richiede un impiego di risorse di varia provenienza e un budget adeguato  L’aspetto tecnologico è sicuramente abilitante e va sviluppato in parallelo rispetto a quello organizzativo  È richiesta la massima consapevolezza da parte degli utenti finali
  • 25. THANKS Dario V Forte, CFE, CISM. CGEIT, Founder and Ceo DFLabs Italy, Info@dflabs.com www.dflabs.com