Effect Based Security

773 vues

Publié le

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
773
Sur SlideShare
0
Issues des intégrations
0
Intégrations
7
Actions
Partages
0
Téléchargements
9
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Effect Based Security

  1. 1. An Architecture & Security Agency Effects Based Security (EBS) Ripensare la sicurezza in una realtà complessa Security Day 2009 Corciano (PG) – 4 Dicembre 2009 Massimiliano Campita Consigliere Giuridico nelle Forze Armate Certified Information Systems Auditor - CISA IBM Certified Solutions Designer [email_address]
  2. 2. Effects Based Security Unconventional Thinkers to address Unconventional Challenges <ul><li>Indice </li></ul><ul><li>Introduzione </li></ul><ul><li>I Modelli </li></ul><ul><li>L’approccio Effects Based </li></ul><ul><li>L’Azienda e gli strumenti </li></ul>
  3. 3. Nella contingente situazione, economica e politica, di stretta interconnessione tra realtà nazionali ed internazionali è fondamentale assicurarsi che la gestione delle informazioni si trasformi in un elemento differenziante e strategico per raggiungere gli obiettivi mediante un utilizzo razionale e strutturato delle risorse, di qualunque tipologia. Stimolo alla conoscenza ed alla consapevolezza in sintesi Il nostro obiettivo Spunti di riflessione Metodologie Soluzioni tecnologiche Introduzione Effects Based Security Unconventional Thinkers to address Unconventional Challenges Stimolo a nuovi approcci La diffusione della cultura dell’informazione è certamente uno dei problemi più complessi da affrontare e quindi, eccezion fatta per alcuni enti, istituti o aziende “illuminati” , la protezione delle informazioni viene percepita solamente come un costo e non come un’opportunità per comunicare ai propri utenti la qualità dei servizi offerti o, ancora, come una necessità per evitare che dati riservati o strategici cadano in mani di avversari, concorrenti, criminali o terroristi. Si rende necessaria una GESTIONE STRUTTURATA e SICURA DELLE INFORMAZIONI
  4. 4. Effects Based Security Unconventional Thinkers to address Unconventional Challenges Il mondo è cambiato da… una sensazione di sicurezza acquisita in un mondo lineare a…una sensazione di insicurezza generalizzata Terrorismo Crisi economica E’ cambiata la percezione Criminalità Conflittualità Globale
  5. 5. Effects Based Security Unconventional Thinkers to address Unconventional Challenges Sicurezza Affrontare la complessità “ Problemi” differenti di origine diversa Affrontare la complessità “ Soluzioni” molteplici non coordinate
  6. 6. Effects Based Security Unconventional Thinkers to address Unconventional Challenges <ul><li>Indice </li></ul><ul><li>Introduzione </li></ul><ul><li>I Modelli </li></ul><ul><li>L’approccio Effects Based </li></ul><ul><li>L’Azienda e gli strumenti </li></ul>Agenda
  7. 7. Effects Based Security Unconventional Thinkers to address Unconventional Challenges La molteplici dimensioni di un'impresa, la sua complessità in termini di organizzazione, persone, strumenti ed asset, sono le vere ragioni che richiedono un progetto di globale , che affronta L’IMPLEMENTAZIONE DELLA SICUREZZA , logica, fisica, e la sua stessa complessità, adottando un approccio multidisciplinare che non richiede solamente uno strumento, una metodologia ed un processo, ma deve permeare l'intera organizzazione; una sottostima di questo impegno può portare al fallimento dell'intero progetto, con un mancato raggiungimento degli obiettivi. Identificare i livelli decisionali Livello Srategico (concettuale) Livello Tattico (logico) Livello Operativo (fisico) Cosa Fare Come Farlo Realizzazione Sicurezza - Affrontare la complessità Chi “comanda” Dove “comanda”
  8. 8. Effects Based Security Unconventional Thinkers to address Unconventional Challenges La Consapevolezza Con il concetto di Consapevolezza si intende l’acquisizione della conoscenza dell’ambiente nel quale l’organizzazione opera. Inoltre il cambiamento del contesto sociale, di quello politico, di quello internazionale dopo l’11 Settembre porta a riconsiderare le modalità di approccio alle problematiche aziendali ed in particolare quelle della sicurezza, fisica e logica. Ogni organizzazione deve infatti riconsiderare il ruolo che ricopre all’interno dell’intera infrastruttura cui appartiene tendendo ad avere il controllo delle informazioni in entrata e in uscita dalla stessa, ciò in modo che il loro utilizzo in modo conforme agli obiettivi di base porti all’organizzazione un indubbio vantaggio. <ul><li>Occorre introdurre un concetto fondamentale proprio di alcune delle dottrine militari conseguenti all’evoluzione della minaccia (guerra asimmetrica), quali: </li></ul><ul><li>Net Centric Warfare </li></ul><ul><li>Information Operations </li></ul>SITUATION AWARENESS
  9. 9. Effects Based Security Unconventional Thinkers to address Unconventional Challenges Consapevolezza e Obiettivi Perseguire e raggiungere la consapevolezza della situazione nella quale l’organizzazione opera consente di identificare con chiarezza gli obiettivi che si intende raggiungere mediante l’utilizzo di persone, metodi e tecnologie. Occorre identificare gli obiettivi da perseguire <ul><li>L’applicazione della sicurezza deve sottostare ai più alti obiettivi che l’organizzazione </li></ul><ul><li>intende perseguire. </li></ul><ul><li>Garantire la competitività ed il nome di un’azienda </li></ul><ul><li>Garantire la sicurezza e la privacy delle informazioni custodite </li></ul><ul><li>Garantire il funzionamento dell’organizzazione in quanto infrastruttura critica </li></ul><ul><li>Garantire decisioni tempestive in base a informazioni affidabili (una decisione giusta </li></ul><ul><li>al momento sbagliato è una decisione sbagliata) </li></ul>Quali esempi Una casa di moda Un’azienda alimentare Un’infrastruttura critica
  10. 10. Effects Based Security Unconventional Thinkers to address Unconventional Challenges Allo scopo di utilizzare metodi che rappresentino l’approccio globale alla soluzione del problema, abbiamo mutuato e quindi introdotto un metodo operativo, nato come concetto militare strategico , ed oggi largamente usato nei processi di business, il cosiddetto “ OODA loop ” (Observation, Orientation, Decision, Action) geniale intuizione del Col. J.Boyd La strategia di approccio Observe Decide Act Action (Test) Implicit Guidance & Control Implicit Guidance & Control Decision ( Hypothesis ) Feed Forward Feed Forward Feedback Feedback Observations Unfolding Circumstances Outside Information Unfolding Interaction With Environment Unfolding Interaction With Environment Feed Forward Orient Cultural Traditions Genetic Heritage New Information Previous Experience Analyses & Synthesis J. R. Boyd, “the Essence of Winning and Losing,” 1995.
  11. 11. Effects Based Security Unconventional Thinkers to address Unconventional Challenges <ul><li>Indice </li></ul><ul><li>Introduzione </li></ul><ul><li>I Modelli </li></ul><ul><li>L’approccio Effects Based </li></ul><ul><li>L’Azienda e gli strumenti </li></ul>Agenda
  12. 12. Effects Based Security Unconventional Thinkers to address Unconventional Challenges Definire gli Obiettivi Nella definizione degli obiettivi occorre dunque comprendere a fondo in quale contesto l’organizzazione, l’Ente, l’Azienda, opera. E quindi occorre comprendere e definire, avendo una reale consapevolezza della struttura dell’organizzazione, i processi operativi, interni ed esterni alla stessa che portano ad un’applicazione della sicurezza adeguata al contesto. Con tale concetto, inquadrato nel più ampio contesto delle Effects-Based Operations si intende, per la sicurezza, un modo diverso di pensare nel quale tutti gli specifici processi integrati sono focalizzati ai risultati da ottenere in relazione agli obiettivi piuttosto che alle singole attività per realizzare l’integrazione e l’efficacia delle misure da adottare. … in altre parole… Il processo EBS si può considerare come l’insieme delle attività per raggiungere gli effetti e dunque i risultati, che sono stati pianificati, desiderati e previsti in base ad effettive metriche in grado di valutarne l’efficacia e che realizzano gli obiettivi dell’organizzazione. una metodologia Effects Based Security (EBS)
  13. 13. Effects Based Security Unconventional Thinkers to address Unconventional Challenges Il pensiero Effects Based <ul><li>Il cosiddetto pensiero Effects-Based nel quale si inserisce il nostro approccio alla sicurezza può dunque essere riassunto </li></ul><ul><li>Chiarezza nella definizione e nell’articolazione degli obiettivi </li></ul><ul><li>Definizione degli Effetti (metriche) da raggiungere perchè gli obiettivi definiti siano conseguiti </li></ul><ul><li>Definire un piano d’azione adeguato a produrre l’effetto desiderato </li></ul><ul><li>Definire quali metriche utilizzare (in relazione ad azioni ed effetti) </li></ul><ul><li>Verifica continua sui risultati raggiunti </li></ul><ul><li>Rimodulazione, quando necessaria, di impegni e risorse dedicati </li></ul>Raggiungimento di uno stato di conoscenza e consapevolezza e controllo della realtà nella quale l’organizzazione si muove per rimodulare continuamente le azioni volte a fare in modo che la sicurezza sia uno degli elementi fondanti per il raggiungimento degli obiettivi designati si realizza “ Consapevolezza Situazionale”
  14. 14. Effects Based Security Unconventional Thinkers to address Unconventional Challenges Come si articola l’evoluzione al pensiero EB Rilevazione del problema Consapevolezza Approccio attuale Identificazione di una soluzione Azione Approccio EB Obiettivi Strategia Pianificazione Azione Analisi dei risultati Rimodulazione Risultati Vs… Effetto Situation Awareness
  15. 15. Effects Based Security Unconventional Thinkers to address Unconventional Challenges Un semplice esempio Rilevazione di un virus Si è all’interno di Un’organizzazione Approccio attuale Acquisto/installazione antivirus Eliminazione del virus Approccio EB il funzionamento dell’organizzazione Il PC deve essere sempre efficiente Piani di/adozione Antivirus adeguato Acquisto/installazione Antivirus Analisi efficacia Antivirus L’Antivirus è sempre adeguato al contesto? Il PC è sempre operativo Vs… Il PC non è attaccato da virus Controllo Situazione
  16. 16. Effects Based Security Unconventional Thinkers to address Unconventional Challenges Il ciclo OODA applicato all’approccio EBS Orient Observe Decide Act Consapevolezza Obiettivi Strategia Pianificazione Azione Analisi dei risultati Rimodulazione Risultati Effetto Situation Awareness
  17. 17. Strategia Rimodulazione Consapevolezza Pianificazione Situation Awareness Approccio EB Obiettivi Azione Analisi dei risultati Risultati Effetto Effects Based Security Unconventional Thinkers to address Unconventional Challenges Per concludere Nell’approccio EB gli Obiettivi dell’Organizzazione Sono strettamente connessi “linked” alle Azioni ed agli Effetti che si intendono raggiungere.
  18. 18. Effects Based Security Unconventional Thinkers to address Unconventional Challenges Per concludere – Dove si applica Non ci sono limiti all’applicazione di metodologie che consentano un approccio strutturato alle problematiche di sicurezza. In particolare il mutuare concetti nati con prospettive di utilizzo “estreme”, come quelle in ambito militare, consente nella trattazione delle problematiche di sicurezza, un alto grado di efficienza e l’inquadramento delle azioni in un’ottica più ampia che è quella dell’obiettivo, lo scopo, la missione dell’intera organizzazione cui afferiscono. Il concetto di Effects-Based Security è dunque inquadrato in questa visione. Alcuni ambienti di applicazione Infrastrutture Critiche Imprese, Assicurazioni, Banche, Enti ma anche… Situazioni di crisi TelCo Difesa
  19. 19. Effects Based Security Unconventional Thinkers to address Unconventional Challenges <ul><li>Indice </li></ul><ul><li>Introduzione </li></ul><ul><li>I Modelli </li></ul><ul><li>L’approccio Effects Based </li></ul><ul><li>L’Azienda e gli strumenti </li></ul>Agenda
  20. 20. Effects Based Security Unconventional Thinkers to address Unconventional Challenges I Settori di Operazione McAir Consulenza e Tecnologia nelle Architetture e nella Sicurezza McAir Architetture Sicurezza Human Resources Team Building Val.Potenziale Assesssment Centre-AC Risk Reduction Through Intelligence Security Design & Policies Data Security Enterprise Architecture Business Processs Mgmt IT Solution Design & Consulting
  21. 21. Effects Based Security Unconventional Thinkers to address Unconventional Challenges iSecurity è un soluzione software di sicurezza nativa per l’ambiente OS400/i5/OS sviluppata da Raz-Lee Security Ltd che consente di portare l’Azienda da uno stato di Risk Assessment a quello di Risk Management. iSecurity consente all’Amministratore del Servizio: è in grado di configurare il sistema secondo le regolamentazioni legate all’accesso ed all’uso dei dati sia per singolo utente che per gruppi di utenti, così come per eventi su applicazioni multiple ed in maniera centralizzata, con un tempo inferiore di almeno 10 volte rispetto ad una parametrizzazione manuale, sviluppata direttamente su OS400. E’ una soluzione in grado di rendere il sistema conforme al Provvedimento del Garante della Privacy sugli AdS. <ul><li>iSecurity è una soluzione scalabile, basata su </li></ul><ul><li>18 moduli che garantiscono la protezione dei </li></ul><ul><li>dati per ogni ambiente operativo del System i: </li></ul><ul><li>Assessment </li></ul><ul><li>Operatività degli Utenti </li></ul><ul><ul><ul><ul><li>User & PW MGT, Auth on demand, </li></ul></ul></ul></ul><ul><li>Ambiente del System i </li></ul><ul><ul><li>Firewall </li></ul></ul><ul><ul><li>Auditing Reporting </li></ul></ul><ul><ul><li>Consolidamento dei dati dei “Journal” </li></ul></ul><ul><li>Ambienti del Database e delle Applicazioni </li></ul><ul><ul><li>View, Journ. Bus. Analysis, Visualizer </li></ul></ul><ul><li>Business Intelligence Tool </li></ul><ul><ul><li>Audit </li></ul></ul><ul><ul><ul><li>Raccolta ed Analisi dei Dati degli accessi </li></ul></ul></ul><ul><ul><ul><li>Presentazione con interfaccia grafica </li></ul></ul></ul><ul><li>Difesa e Reazione da eventi non autorizzati </li></ul><ul><ul><ul><li>Capture, Action, Screen </li></ul></ul></ul>
  22. 22. Effects Based Security Unconventional Thinkers to address Unconventional Challenges World-Check è leader mondiale nelle soluzioni di riduzione strutturate di riduzione del rischio attraverso metodologie di intelligence. Oltre 3.800 istituti finanziari, comprese 49 delle 50 banche più importanti al mondo e centinaia di agenzie governative si affidano alla banca dati World-Check. Il portale da accesso alle numerose categorie a rischio tra cui figurano profili di riciclatori di denaro, terroristi, Persone politicamente esposte (i cosiddetti PEP’s), trafficanti d’armi e di droga, crimini finanziari, embargo e tutte le liste di sanzioni ufficiali elettroniche emesse dalle autorità di vigilanza dei vari paesi. World-Check è basato su metologie OSINT – Open Source Intelligence Oggi, la banca dati, comprendente persone, società e organizzazioni ad alto rischio, non viene utilizzata soltanto da fornitori di servizi finanziari, ma anche in tutti quei settori che richiedono un sistema di intelligence e valutazione dei rischi altamente strutturato. Centinaia di istituti finanziari si affidano a World-Check per migliorare le proprie analisi Anti Riciclaggio (Anti Money Laundering), in ambito KYC (Know Your Customer) e PEP (Politically Exposed Person), di verifica della clientela EED (Enhanced Due Diligence), prevenzione della frode, e di lotta al terrorismo (Counter Terrorist Financing CTF) analizzando in modo efficiente i clienti, le entità associate e le transazioni ed identificare così potenziali rischi.
  23. 23. Effects Based Security Unconventional Thinkers to address Unconventional Challenges Antiterrorismo Antifrode Antiriciclaggio Passport - Check Country-Check Anticrimine Le possibili Applicazioni
  24. 24. An Architecture & Security Agency Massimiliano Campita Consigliere Giuridico nelle Forze Armate Certified Information Systems Auditor - CISA IBM Certified Solutions Designer [email_address] Th @ nk you !

×