Conoscere e valutare le diverse soluzionidi Risk Response

Dario V Forte, CISM, CFE, CGEIT

Founder and CEO

DFLabs

www.dfdlabs.com

About DFLabs

Specializzata in Governance Risk and Compliance dal 2004

Tre practices: Consulting, Professional Services & Technologies

Fortune 1000 Customers. Sedi in Italia, USA, Russia. Due Patent Pending negli USA ed Europa.

Agenda

Cosa comporta ideare e individuare contromisure Quali tipi di contromisure prendere in considerazione e in quali circostanze:

una proposta di risk mitigation framework. Organization and Technology soluzioni assicurative soluzioni contrattuali controllo interno

Incident Management Valutare gli impatti delle contromisure Indicatori numerici di performance sulla sicurezza Come strutturare un controllo efficace sull’effettiva applicazione delle

contromisure Il ruolo dell’Internal Auditing e del Risk Management nei sistemi di

sicurezza interni Analisi di Casi di Studio Una proposta di Risk Mitigation Framework

Risk Mitigation BenchmarkFonte: Dflabs&Terremark

Page 4

Incident Prevention and

Preparation

(Including Forensics and

Fraud)

Application Security Management

Enterprise Business Security

IT SecurityProcess Management and Support, including vulnerability management

Business Risk Management,

Policy, standards, Technologies, Legal and guidelines

Incident Response and investigation

(Including Forensics and

Fraud)

Cosa comporta ideare e individuare contromisure

Conoscenza approfondita della matrice target/rischio Conoscenza adeguata delle tipologie di contromisure

disponibili nei seguenti settori:Organization and Technologysoluzioni assicurativesoluzioni contrattualicontrollo interno

Committment aziendale almeno a C-Level

Conoscenza approfondita della matrice target/rischio

Collateral Target Information target

• User’s behaviour

• Printed material

• Pre-Public Data

Unknown Unknown

Central Database

Top and C-Lev Management

• Tbd

• TBD

HIGHLOW

HIGH

LOW

Core Applications

Organization and Technology

Organization: Si rende ormai necessaria una visibilità concreta sul rischio

informativo, con particolare riferimento a: • Information Classification Program• Costo del non investimento

Technology: Automated Incident Response GRC – Vs Incident Management Metrics Vs Alert

CONI: Cost of Non Investment – Corporate World – Average Example.

Rischio Risarcimento: 150k up to 1,5mln euro

Rischio Operativo

Basato sulla Business Impact analysis e sul Business

Continuity Plan. La media di un incidente (loss) è >75k

euro

Rischio Legale: si prevede un rischio medio di legal loss: >500k euro (somma delle sanzioni minime)

Automated Incident ResponseAutomated Incident Response

Servlets InstalledServlets Installed

Advanced Network Anomaly

Page 10

Basics: record your network once, and reuse it many times.

GRC – Vs Incident Management

Soluzioni Complementari

Soluzioni assicurative Richiedono una baseline sottoponibile ad audit Health check dei sistemi informativi Clausole “incerte” che richiedono comunque un importante intervento

in termini di investimento. Obbligatorie in alcuni casi (specie negli USA)

Soluzioni contrattuali Relativamente piu’ flessibili delle precedenti, richiedono un impegno di

preparazione e negoziazione importante (skills ed investimenti) Non sempre è ottenibile se l’esigenza primaria è quella di una

relazione win win Richiedono una gestione dinamica degli update.

Controllo interno

Il ruolo del controllo interno è fondamentale per il mantenimento della governance dei processi di rischio.

L’Esperienza diretta sul punto suggerisce un intervento simbiotico tra risk management, security, audit.

È necessaria una condivisione diretta tra i vari ruoli aziendali dei KPI e degli obiettivi di compliance.

Incident management

La gestione degli incidenti, allo stato attuale, viene ancora vista come un argomento di mera attinenza IT.

Le problematiche di sicurezza, invece, sono correlate ai seguenti aspetti generali e di dettaglio: Attacchi e violazioni di tipo informatico (Vs lg 231/01) Frodi informatiche, sia esterne sia interne (codice penale) Policy Violation (231 e 196)

Dal punto di vista della reazione, sussistono le seguenti tematiche: Incident Response Computer Forensics Data Leakage Prevention.

KPI: Need for Tools

Valutazione degli impatti Vs contromisure

Impatti: Costo riproduzione dato Costo personale interno Technical and Non Technical Repercussions (IODEF)

IODEF

Basato su RFC, IODEF è un metalinguaggio basato su XML in grado di gestire oltre 250 tipologie differenti di incident data.

Consente l’interscambio dinamico ed automatizzato, senza bisogno di traduzione, di una moltitudine di dati relativi agli incidenti di sicurezza, sia di tipo tecnico sia di tipo normativo sia di tipo economico.

È sempre piu’ utilizzato tra i vendor e gli utenti finali. Richiede un lavoro adeguato di sviluppo Il ritorno sull’eventuale investimento è qualificabile positivamemte

Controllo efficace sull’effettiva applicazione

delle contromisure

L’applicazione delle contromisure dimostra la sua efficacia se: I tempi di reazione e detection sono quantificabili e sono adeguati al

benchmark Consente la Quantificazione e qualificazione dell’Exposure

(Detection + Reaction) Esiste una supportabilità legale delle evidenze reperite.

Casi di Studio

E-discovery, lack of preparation and governance Incident Response: lack of tech and procedural

preparation Litigation: lack of coordination, Lawyers, Vs

Customer Vs Consultancy

E-discovery, lack of preparation and governance

Multinazionale. Branch italiana con dati presenti e gestiti in italia Procedimento penale negli USA. Necessità di produrre in tempi brevi (45gg) 1.3 Tb di posta elettronica. Interviene inizialmente il provider (big consultancy firm) direttamente

dagli USA. A 15gg dalla deadline, il counsel italiano “ si accorge” di un “potenziale”

problema di personal data export Il provider si defila Deadline non rispettata Azienda cliente multata, e causa contro il provider (negli USA) Lesson learned: Lack of Preparation and Governance.

Incident Response: lack of tech and procedural preparation

Azienda operante in Italia, 1200 Server. Serie di riscritture non autorizzate su filesystems. Non è possibile

ricostruire l’origine ne’ gli artifacts. Motivo: Mancanza di monitoring sul filesystem Mancanza di logging adeguato

Le uniche evidenze digitali potenzialmente utili sono state “cristallizzate” da personale interno non adeguatamente preparato ( si è proceduto ad operare direttamente su alcune evidenze originali prima di copiarle).

Risultati: Mancanza di ricostruibilità certa dell’evento e di eventuale portabilità in sede giudiziaria.

Lesson learned: Lack of Tech and Procedural Preparation. (Pre Incident Preparation, RFC 2350)

Litigation: lack of coordination, Lawyers, Vs Customer Vs Consultancy

E-discovery: evidenze accumulate dalla consulenza tecnica, e trasmesse al legale americano unitamente a consulenza tecnica.

Il Legale omette di presentare la parte digitale della consulenza Il legale viene citato per negligence L’azienda viene multata per violazione delle regole federali sulla

produzione delle digital evidences nei processi civili: Lesson learned: mancanza di preparazione e di coordinamento tra

avvocati, clienti e consulenti tecnici. Motivo: mancanza di preparazione e di procedure operative adeguate.

Risk Mitigation FrameworkFonte: Dflabs&Terremark

Page 23

Incident Prevention and Preparation

(Including Forensics and Fraud)

Pre-Incident Preparation

Application Security Management

Test Your Apps

Enterprise Business Security

IT SecurityProcess Management and Support, including vulnerability management

Know where your data are

Business Risk Management,

Policy, standards, Technologies, Legal and guidelines

Incident Response and investigation

(Including Forensics and Fraud)

Use the Right Technology

Conclusioni

Il Risk Response è ormai divenuto un must e, per quanto riguarda l’information security, rientra nella disciplina dell’incident management

Richiede un impiego di risorse di varia provenienza e un budget adeguato

L’aspetto tecnologico è sicuramente abilitante e va sviluppato in parallelo rispetto a quello organizzativo

È richiesta la massima consapevolezza da parte degli utenti finali

THANKS

Dario V Forte, CFE, CISM. CGEIT, Founder and Ceo DFLabs Italy,

Info@dflabs.com

www.dflabs.com