MISURARE LA SICUREZZA - AIEA · La consapevolezza: misurare per conoscere Definizione di indicatori...

1Altran Italia CONFIDENTIAL / Dicembre 2009

MISURARE LA SICUREZZA

Maurizio NastroAltran Italia - Expertise Center

IT Auditing and Risk Management26 Gennaio 2011


2. Altran in Italia

Agenda

1 – La consapevolezza: misurare per conoscere2 – Le metriche3 – L’approccio4 – La classificazione5 – La struttura6 – Esempi7 – Come visualizzare i risultati8 – Considerazioni finali


2. Altran in Italia

Agenda


4Altran Italia CONFIDENTIAL / Gennaio 2011

La consapevolezza: misurare per conoscere

Quali sono gli interventi da attuare con maggiore urgenza?

Quali sono gli interventi da attuare con maggiore urgenza?

L’outsourcer ci ha garantito di aver adottato misure di sicurezza ulteriori rispetto al passato. Ma con quali effetti concreti?

L’outsourcer ci ha garantito di aver adottato misure di sicurezza ulteriori rispetto al passato. Ma con quali effetti concreti?

Qual è il livello attuale di sicurezza dei nostri sistemi informativi?

Qual è il livello attuale di sicurezza dei nostri sistemi informativi?

Abbiamo implementato un nuovo pacchetto gestionale, o installato nuove macchine o rinnovato l’infrastruttura di rete.

Cos’è cambiato in termini di sicurezza dei dati, delle applicazioni, dei sistemi?

Abbiamo implementato un nuovo pacchetto gestionale, o installato nuove macchine o rinnovato l’infrastruttura di rete.

Cos’è cambiato in termini di sicurezza dei dati, delle applicazioni, dei sistemi?

Mancanza di punti di riferimento, di parametri attraverso i quali misurare la performance dei diversi aspetti della sicurezza aziendale

Mancanza di punti di riferimento, di parametri attraverso i quali misurare la performance dei diversi aspetti della sicurezza aziendale


La consapevolezza: misurare per conoscere

Definizione di indicatori significativi e comprensibili che permettano di misurare lo stato di sicurezza delle informazioni aziendali:

LE METRICHE

Le metriche forniscono elementi qualitativi e quantitativi per indirizzare le attività e gli investimenti in misure di sicurezza aziendale

Definizione di indicatori significativi e comprensibili che permettano di misurare lo stato di sicurezza delle informazioni aziendali:

LE METRICHE

Le metriche forniscono elementi qualitativi e quantitativi per indirizzare le attività e gli investimenti in misure di sicurezza aziendale


2. Altran in Italia

Agenda


I dati a supporto delle metriche devono essere ottenibili con facilità

I dati a supporto delle metriche devono provenire da fonti attendibili


Le Metriche

Regola 1

Regola 2

Devono essere presi in considerazione solo processi ripetibili

Coinvolgimento da parte della Direzione Aziendale

Regola 3

Regola 4

Le 4 regole fondamentali



I dati a supporto delle metriche devono provenire da fonti attendibiliRegola 1

E’ essenziale per la validità delle informazioni elaborate. I dati utilizzati a supporto delle metriche devono essere generati in modo corretto ed affidabile.Di conseguenza anche l’accesso ai dati, l’eventuale loro aggregazione e/o elaborazione deve essere effettuato solo da personale competente.

E’ essenziale per la validità delle informazioni elaborate. I dati utilizzati a supporto delle metriche devono essere generati in modo corretto ed affidabile.Di conseguenza anche l’accesso ai dati, l’eventuale loro aggregazione e/o elaborazione deve essere effettuato solo da personale competente.

Le Metriche



I dati a supporto delle metriche devono essere ottenibili con facilità

Le informazioni debbono essere acquisite con semplicità:

� garantendo accesso soltanto al personale adeguato (punto 1),� tramite la struttura delle metriche, scelte e strutturate in modo da rispondere quanto più possibile alla realtà dell’azienda.

Le informazioni debbono essere acquisite con semplicità:

� garantendo accesso soltanto al personale adeguato (punto 1),� tramite la struttura delle metriche, scelte e strutturate in modo da rispondere quanto più possibile alla realtà dell’azienda.

Le Metriche

Regola 2

Devono essere presi in considerazione solo processi ripetibili



Ciò consente:

� di confrontare risultati ottenuti in tempi diversi, tenendo traccia di eventuali progressi, anche dovuti a cambiamenti del processo stesso,� di garantire che le metriche siano sempre attuali.

Ciò consente:

� di confrontare risultati ottenuti in tempi diversi, tenendo traccia di eventuali progressi, anche dovuti a cambiamenti del processo stesso,� di garantire che le metriche siano sempre attuali.

Le Metriche

Regola 3



Coinvolgimento da parte della Direzione Aziendale

Essenziale per il corretto funzionamento di un intero sistema di gestione per la sicurezza delle informazioni.Essenziale per il corretto funzionamento di un intero sistema di gestione per

la sicurezza delle informazioni.

Le Metriche

Regola 4


2. Altran in Italia

Agenda



Il processo di sviluppo delle metriche si occupa di stabilire l’insieme iniziale delle metriche e di selezionare l’insieme delle metriche appropriate per l’organizzazione.

Il processo di implementazione delle metriche èun processo iterativo che si occupa di assicurare che determinati aspetti della sicurezza IT siano misurati per un determinato periodo di tempo.

Sviluppare le metriche

Implementare le metriche

L’approccio


2. Altran in Italia

Agenda



La Classificazione delle metriche per Area

Una metrica può essere classificata in base all’area della sicurezza delle informazioni a cui appartiene. Ad es.:

Gestione del rischio legato ad eventuale interruzione delle attivitàaziendali, al fine di proteggere i processi aziendali critici dagli effetti di avarie di rilievo dei sistemi informativi, garantendone la loro tempestiva ripresa

Continuitàaziendale

Mantenimento e/o adeguamento a compliance, obbligazioni statutarie, cogenti e contrattuali, requisiti per la sicurezza, politiche e norme aziendali

Conformità

Garanzia di accesso soltanto agli utenti autorizzati ai sistemi di informazione (propri e gestiti da terze parti), di tipo elettronico e non

Controllo Accessi

Garanzia che l’organizzazione gestisca in modo appropriato l’insieme di problematiche inerenti il rapporto tra personale aziendale (e terze parti) e sicurezza delle informazioni

Risorse Umane


La Classificazione delle metriche per tipologia

Metriche volte a dimostrare lo stato e/o il progresso nell’attuazione ed implementazione di specifici obiettivi, quali ad es. specifici controlli di sicurezza (es.: tecnologici, organizzativi), politiche, procedure, prassi, etc.

Implementa-zione

Metriche volte a monitorare se i controlli definiti funzionano correttamente, secondo quanto preventivato in fase di definizione.

Efficacia

Metriche che evidenziano le conseguenze, anche economiche, che può subire l’azienda nel caso in cui la sicurezza non sia correttamente gestita.

Impatto

Una metrica può essere etichettata in base ad una specifica tipologia:


[D]: esistenza di documentazione a supporto (procedure, policy, ...).[P]: presenza di un owner/responsabile di processo.[E]: esistenza di evidenze.[M]: presenza di commitment da parte dei vertici aziendali.[C]: presenza di determinati contenuti all’interno della documentazione.[F]: perdite finanziarie dirette[S]: sanzioni normative[T]: presenza di aspetti/feature tecnologici.[O]: perdita competitività commerciale ...

La Classificazione delle metriche per domanda

Una metrica è costituita da un insieme di domande classificate a seconda dell’argomento esaminato:


2. Altran in Italia

Agenda



Struttura delle metriche

[E] Domanda 1

...

...

Area Continuità Aziendale

Metrica 1 (implementazione)

[D] Domanda 2

[C] Domanda 3

[R] Domanda 1

...

[N] Domanda 2

[R] Domanda 3

[P] Domanda 1

...

[D] Domanda 2

[E] Domanda 3

Metrica 2 (efficacia)

Metrica 3 (impatto)

[E] Domanda 1

...

...

Area Conformità


[M] Domanda 2

[A] Domanda 3

[F] Domanda 1

...

[S] Domanda 2

[I] Domanda 3

[P] Domanda 1

...

[A] Domanda 2

[E] Domanda 3

Metrica 2 (impatto)


[R] Domanda 1

...

...

Area Controllo Accessi


[R] Domanda 2

[N] Domanda 3

[S] Domanda 1

...

[O] Domanda 2

[F] Domanda 3

[T] Domanda 1

...

[D] Domanda 2

[M] Domanda 3

Metrica 2 (impatto)


Di seguito la possibile struttura alla base delle metriche:

...


Struttura delle metriche – classificazione per area

Le metriche possono essere classificate a seconda dell’area di sicurezza cui appartengono:

[E] Domanda 1

...

...



[D] Domanda 2

[C] Domanda 3

[R] Domanda 1

...

[N] Domanda 2

[R] Domanda 3

[P] Domanda 1

...

[D] Domanda 2

[E] Domanda 3


Metrica 3 (impatto)

[E] Domanda 1

...

...

Area Conformità


[M] Domanda 2

[A] Domanda 3

[F] Domanda 1

...

[S] Domanda 2

[I] Domanda 3

[P] Domanda 1

...

[A] Domanda 2

[E] Domanda 3

Metrica 2 (impatto)


[R] Domanda 1

...

...



[R] Domanda 2

[N] Domanda 3

[S] Domanda 1

...

[O] Domanda 2

[F] Domanda 3

[T] Domanda 1

...

[D] Domanda 2

[M] Domanda 3

Metrica 2 (impatto)


...


Struttura delle metriche – classificazione per tipologia

Le metriche possono essere classificate a seconda della loro tipologia:

[E] Domanda 1

...

...



[D] Domanda 2

[C] Domanda 3

[R] Domanda 1

...

[N] Domanda 2

[R] Domanda 3

[P] Domanda 1

...

[D] Domanda 2

[E] Domanda 3


Metrica 3 (impatto)

[E] Domanda 1

...

...

Area Conformità


[M] Domanda 2

[A] Domanda 3

[F] Domanda 1

...

[S] Domanda 2

[I] Domanda 3

[P] Domanda 1

...

[A] Domanda 2

[E] Domanda 3

Metrica 2 (impatto)


[R] Domanda 1

...

...



[R] Domanda 2

[N] Domanda 3

[S] Domanda 1

...

[O] Domanda 2

[F] Domanda 3

[T] Domanda 1

...

[D] Domanda 2

[M] Domanda 3

Metrica 2 (impatto)


...


Struttura delle metriche – classificazione per domanda

Ogni metrica sarà in generale costituita da un insieme di domande, classificabili a seconda del particolare aspetto che vanno ad esaminare:

[E] Domanda 1

...

...



[D] Domanda 2

[C] Domanda 3

[R] Domanda 1

...

[N] Domanda 2

[R] Domanda 3

[P] Domanda 1

...

[D] Domanda 2

[E] Domanda 3


Metrica 3 (impatto)

[E] Domanda 1

...

...

Area Conformità


[M] Domanda 2

[A] Domanda 3

[F] Domanda 1

...

[S] Domanda 2

[O] Domanda 3

[P] Domanda 1

...

[A] Domanda 2

[E] Domanda 3

Metrica 2 (impatto)


[R] Domanda 1

...

...



[R] Domanda 2

[N] Domanda 3

[S] Domanda 1

...

[O] Domanda 2

[F] Domanda 3

[T] Domanda 1

...

[D] Domanda 2

[M] Domanda 3

Metrica 2 (impatto)


...


Definire, sulla base di una tematica di conformità (es.: normativa privacy) un insieme di metriche che coprano tutti requisiti previsti, in modo da creare una base comune di riferimento a supporto della tematica affrontata

Creare un pacchetto base di metriche che coprano tutte le aree previste da un determinato standard di settore (es.: IS027001, BS25999), così da porre le basi per:

� valutazione dell’eventuale gap tra quanto implementato e quanto previsto dallo standard,

� implementazione di un Sistema di Gestione (es.: per la Sicurezza delle Informazioni (SGSI), per la Business Continuity (SGBC) ).

Modalità di utilizzo

Scegliere determinate aree, e sviluppare opportune metriche che le coprano “verticalmente” ad un desiderato livello di profondità a seconda di particolari esigenze aziendali

Struttura delle metriche


2. Altran in Italia

Agenda

1 – La consapevolezza: misurare per conoscere2 – Le metriche3 – L’approccio4 – La classificazione5 – La struttura6 – Esempio7 – Come visualizzare i risultati8 – Considerazioni finali


Frequenza Monitoraggio Log

Descrizione Metrica La metrica ha lo scopo di verificare che l’Azienda esegua una adeguata attività di monitoraggio di log generati all’interno del sistema informativo aziendale.

Domande [A] La frequenza con la quale si effettua l’attività di monitoraggio è quella indicata nella procedura monitoraggio log?-Si-No, in quanto non si ha allineamento con quanto riportato nella procedura monitoraggio log (es.: la procedura non è aggiornata)-No, in quanto la procedura monitoraggio log non è presente

[A] Con quale frequenza si effettua l’attività di monitoraggio log?-Almeno ogni giorno per i sistemi critici, e almeno ogni 2 giorni per i restanti;-Almeno ogni giorno per i sistemi critici, e almeno ogni 3 giorni per i restanti;-Con frequenza minore di quella giornaliera indicata nei due punti precedenti per i sistemi critici.

[E] Qualora richiesta, sarebbe disponibile una evidenza che attesti l’esecuzione dell’ultima attività di monitoraggio (es.: minuta, report riassuntivo, email di riscontro, ...)?-Si-No

[T] Gli orologi di tutti i sistemi informativi adibiti al salvataggio di log sono sincronizzati con una precisa fonte temporale concordata?-Si-No

Definizione Metrica Frequenza di monitoraggio di log generati all’interno del sistema informativo aziendale.

Tipologia Metrica Implementazione

Possibili Valori Metrica 4 � Molto Basso,[5 – 6] � Basso,[7 – 9] � Medio,10 � Buono,11 � Ottimo

SchemaEsempio Metriche: area logging


IdentificativoTipologia Metrica

IdentificativoMetrica

IdentificativoTipologia Domanda

LOFM_IE131

IdentificativoArea Metrica

Esempio Metriche: area loggingDiagramma


2. Altran in Italia

Agenda

1 – La consapevolezza: misurare per conoscere2 – Le metriche3 – L’approccio4 – La classificazione5 – La struttura6 – Esempio7 – Come visualizzare i risultati8 – Considerazioni finali


Come visualizzare i risultati

Nel grafico a torta si ha una visualizzazione complessiva delle metriche, divise per area, con il corrispondente valore descritto dall’ampiezza della fette.Selezionando una fetta, si aggiorna il grafico a barre, dove sono presenti tutte le metriche per quell’area, confrontate con il proprio target.

Metriche: Classificazione per Area


Nel pie chart si ha una visualizzazionecomplessiva delle metriche, divise per tipologia.Selezionando una fetta, si aggiorna il pie chart sulla destra, dove si visualizzano tutte le metriche, divise per area, della tipologia corrispondente.

Selezionando una fetta del pie chart di destra, si aggiorna ilgrafico a barre, dove sono presenti tutte le metriche per quell’area e di quella tipologia, l’altezza della barra corrisponde al valore ed ogni valore è confrontato con il relativo target.


Metriche: Classificazione per Tipologia/Area


Nel pie chart si ha una visualizzazionecomplessiva delle metriche, divise per tipologia.Selezionando una fetta, si aggiorna il pie chart sulla destra, dove si visualizzano tutte le metriche, divise per area, della tipologia corrispondente.

Selezionando una fetta, si ottiene il corrispondentegrafico a barre, dove sono presenti tutte ledomande di metriche che appartengono alla tipologia e area selezionata, ognuna confrontata con il valore target

Metriche: Classificazione per Tipologia / Domanda

Es.: Domande Tipologia Implementazione:[D]: esistenza di documentazione a supporto (procedure, policy, ...).[P]: presenza di un owner/responsabile di processo.[M]: presenza di commitment da parte dei vertici aziendali.[E]: esistenza di evidenze.[T]: presenza di aspetti/feature tecnologici.[C]: presenza di determinati contenuti all’interno della documentazione....



2. Altran in Italia

Agenda



Consente di definire il livello di profondità e di dettaglio delle metriche in base alle esigenze ed interessi aziendali su determinati aspetti e tematiche affrontate dalle metriche stesse.

Attribuire pesi differenti alle metriche, in modo tale che le metriche ritenute più importanti contribuiscano maggiormente alla determinazione del valore dell’area (o tipologia) di cui fanno parte.

Questo tipo di approccio risulta flessibile ad adattarsi a qualunque realtà aziendale

Consente di personalizzare il processo di implementazione delle metriche, così da renderlo perfettamente adeguato alle esigenze e permettendo di evidenziare determinate aree ed aspetti ritenuti più critici.

Considerazioni 1/3

Attribuire pesi differenti alle domande delle metriche, in modo tale che le domande ritenute più importanti contribuiscano maggiormente alla determinazione del valore dell’area (o tipologia) di cui fanno parte.

Assegnare il valore target di riferimento in base alle esigenze aziendali.


Richiedere massima disponibilità e collaborazione di persone qualificate, sia nella formulazione delle domande specifiche sia in fase di risposta.

Limitare le domande a risposta multipla per semplificare l’attribuzione dei pesi.

Individuare con attenzione le aree da “verticalizzare” di più, per non eccedere nel dettagliare aspetti in realtà non essenziali.

Considerazioni 2/3

Motivare la conversione dei punteggi ottenuti in risultati sintetici: “molto basso”, “basso”, “medio”, etc , per la corretta attribuzione di ogni ramo dell’albero.

Questo tipo di approccio di conseguenza può richiedere uno sforzo importante di personalizzazione


Non solo sicurezza

Questo approccio può essere utilizzato anche per valutare l’aderenza a:� Internal procedures/ Work Instructions� linee guida (ITIL, NIST, SANS, …)� ISO20000� Sistema integrato ISO20000 /BS25999/ISO27001

Considerazioni 3/3


Date post:	04-Jun-2020
Category:	Documents
Upload:	others
View:	2 times
Download:	0 times

MISURARE LA SICUREZZA - AIEA · La consapevolezza: misurare per conoscere Definizione di indicatori...

Documents