IT GRC, Soluzioni Risk Management
-
Upload
dflabs-srl -
Category
Technology
-
view
1.577 -
download
1
Transcript of IT GRC, Soluzioni Risk Management
Conoscere e valutare le diverse soluzionidi Risk Response
Dario V Forte, CISM, CFE, CGEIT
Founder and CEO
DFLabs
www.dfdlabs.com
About DFLabs
Specializzata in Governance Risk and Compliance dal 2004
Tre practices: Consulting, Professional Services & Technologies
Fortune 1000 Customers. Sedi in Italia, USA, Russia. Due Patent Pending negli USA ed Europa.
Agenda
Cosa comporta ideare e individuare contromisure Quali tipi di contromisure prendere in considerazione e in quali circostanze:
una proposta di risk mitigation framework. Organization and Technology soluzioni assicurative soluzioni contrattuali controllo interno
Incident Management Valutare gli impatti delle contromisure Indicatori numerici di performance sulla sicurezza Come strutturare un controllo efficace sull’effettiva applicazione delle
contromisure Il ruolo dell’Internal Auditing e del Risk Management nei sistemi di
sicurezza interni Analisi di Casi di Studio Una proposta di Risk Mitigation Framework
Risk Mitigation BenchmarkFonte: Dflabs&Terremark
Page 4
Incident Prevention and
Preparation
(Including Forensics and
Fraud)
Application Security Management
Enterprise Business Security
IT SecurityProcess Management and Support, including vulnerability management
Business Risk Management,
Policy, standards, Technologies, Legal and guidelines
Incident Response and investigation
(Including Forensics and
Fraud)
Cosa comporta ideare e individuare contromisure
Conoscenza approfondita della matrice target/rischio Conoscenza adeguata delle tipologie di contromisure
disponibili nei seguenti settori:Organization and Technologysoluzioni assicurativesoluzioni contrattualicontrollo interno
Committment aziendale almeno a C-Level
Conoscenza approfondita della matrice target/rischio
Collateral Target Information target
• User’s behaviour
• Printed material
• Pre-Public Data
Unknown Unknown
Central Database
Top and C-Lev Management
• Tbd
• TBD
HIGHLOW
HIGH
LOW
Core Applications
Organization and Technology
Organization: Si rende ormai necessaria una visibilità concreta sul rischio
informativo, con particolare riferimento a: • Information Classification Program• Costo del non investimento
Technology: Automated Incident Response GRC – Vs Incident Management Metrics Vs Alert
CONI: Cost of Non Investment – Corporate World – Average Example.
Rischio Risarcimento: 150k up to 1,5mln euro
Rischio Operativo
Basato sulla Business Impact analysis e sul Business
Continuity Plan. La media di un incidente (loss) è >75k
euro
Rischio Legale: si prevede un rischio medio di legal loss: >500k euro (somma delle sanzioni minime)
Automated Incident ResponseAutomated Incident Response
Servlets InstalledServlets Installed
Advanced Network Anomaly
Page 10
Basics: record your network once, and reuse it many times.
GRC – Vs Incident Management
Soluzioni Complementari
Soluzioni assicurative Richiedono una baseline sottoponibile ad audit Health check dei sistemi informativi Clausole “incerte” che richiedono comunque un importante intervento
in termini di investimento. Obbligatorie in alcuni casi (specie negli USA)
Soluzioni contrattuali Relativamente piu’ flessibili delle precedenti, richiedono un impegno di
preparazione e negoziazione importante (skills ed investimenti) Non sempre è ottenibile se l’esigenza primaria è quella di una
relazione win win Richiedono una gestione dinamica degli update.
Controllo interno
Il ruolo del controllo interno è fondamentale per il mantenimento della governance dei processi di rischio.
L’Esperienza diretta sul punto suggerisce un intervento simbiotico tra risk management, security, audit.
È necessaria una condivisione diretta tra i vari ruoli aziendali dei KPI e degli obiettivi di compliance.
Incident management
La gestione degli incidenti, allo stato attuale, viene ancora vista come un argomento di mera attinenza IT.
Le problematiche di sicurezza, invece, sono correlate ai seguenti aspetti generali e di dettaglio: Attacchi e violazioni di tipo informatico (Vs lg 231/01) Frodi informatiche, sia esterne sia interne (codice penale) Policy Violation (231 e 196)
Dal punto di vista della reazione, sussistono le seguenti tematiche: Incident Response Computer Forensics Data Leakage Prevention.
KPI: Need for Tools
Valutazione degli impatti Vs contromisure
Impatti: Costo riproduzione dato Costo personale interno Technical and Non Technical Repercussions (IODEF)
IODEF
Basato su RFC, IODEF è un metalinguaggio basato su XML in grado di gestire oltre 250 tipologie differenti di incident data.
Consente l’interscambio dinamico ed automatizzato, senza bisogno di traduzione, di una moltitudine di dati relativi agli incidenti di sicurezza, sia di tipo tecnico sia di tipo normativo sia di tipo economico.
È sempre piu’ utilizzato tra i vendor e gli utenti finali. Richiede un lavoro adeguato di sviluppo Il ritorno sull’eventuale investimento è qualificabile positivamemte
Controllo efficace sull’effettiva applicazione
delle contromisure
L’applicazione delle contromisure dimostra la sua efficacia se: I tempi di reazione e detection sono quantificabili e sono adeguati al
benchmark Consente la Quantificazione e qualificazione dell’Exposure
(Detection + Reaction) Esiste una supportabilità legale delle evidenze reperite.
Casi di Studio
E-discovery, lack of preparation and governance Incident Response: lack of tech and procedural
preparation Litigation: lack of coordination, Lawyers, Vs
Customer Vs Consultancy
E-discovery, lack of preparation and governance
Multinazionale. Branch italiana con dati presenti e gestiti in italia Procedimento penale negli USA. Necessità di produrre in tempi brevi (45gg) 1.3 Tb di posta elettronica. Interviene inizialmente il provider (big consultancy firm) direttamente
dagli USA. A 15gg dalla deadline, il counsel italiano “ si accorge” di un “potenziale”
problema di personal data export Il provider si defila Deadline non rispettata Azienda cliente multata, e causa contro il provider (negli USA) Lesson learned: Lack of Preparation and Governance.
Incident Response: lack of tech and procedural preparation
Azienda operante in Italia, 1200 Server. Serie di riscritture non autorizzate su filesystems. Non è possibile
ricostruire l’origine ne’ gli artifacts. Motivo: Mancanza di monitoring sul filesystem Mancanza di logging adeguato
Le uniche evidenze digitali potenzialmente utili sono state “cristallizzate” da personale interno non adeguatamente preparato ( si è proceduto ad operare direttamente su alcune evidenze originali prima di copiarle).
Risultati: Mancanza di ricostruibilità certa dell’evento e di eventuale portabilità in sede giudiziaria.
Lesson learned: Lack of Tech and Procedural Preparation. (Pre Incident Preparation, RFC 2350)
Litigation: lack of coordination, Lawyers, Vs Customer Vs Consultancy
E-discovery: evidenze accumulate dalla consulenza tecnica, e trasmesse al legale americano unitamente a consulenza tecnica.
Il Legale omette di presentare la parte digitale della consulenza Il legale viene citato per negligence L’azienda viene multata per violazione delle regole federali sulla
produzione delle digital evidences nei processi civili: Lesson learned: mancanza di preparazione e di coordinamento tra
avvocati, clienti e consulenti tecnici. Motivo: mancanza di preparazione e di procedure operative adeguate.
Risk Mitigation FrameworkFonte: Dflabs&Terremark
Page 23
Incident Prevention and Preparation
(Including Forensics and Fraud)
Pre-Incident Preparation
Application Security Management
Test Your Apps
Enterprise Business Security
IT SecurityProcess Management and Support, including vulnerability management
Know where your data are
Business Risk Management,
Policy, standards, Technologies, Legal and guidelines
Incident Response and investigation
(Including Forensics and Fraud)
Use the Right Technology
Conclusioni
Il Risk Response è ormai divenuto un must e, per quanto riguarda l’information security, rientra nella disciplina dell’incident management
Richiede un impiego di risorse di varia provenienza e un budget adeguato
L’aspetto tecnologico è sicuramente abilitante e va sviluppato in parallelo rispetto a quello organizzativo
È richiesta la massima consapevolezza da parte degli utenti finali
THANKS
Dario V Forte, CFE, CISM. CGEIT, Founder and Ceo DFLabs Italy,
www.dflabs.com