Post on 08-Aug-2020
transcript
Come impostare una corretta Cybersecurity Governance tramite l’adozione di Framework di riferimento (Framework Nazionale / NIST)
Fabio Battelli, Partner, Deloitte Cyber Risk ServicesCISSP, CISA, CISM, ISO 27001 LA, PRINCE 2 Certified23 Marzo 2017
CyberTech Practical Workshop
© Deloitte Risk Advisory - 2017 2CyberTech Practical Workshop – Cybersecurity Governance
A livello mondiale solo 30 dei 196 Stati riconosciuti sovrani a livello internazionale hanno reso pubblica una propria cyber-strategy; a questi vanno aggiunti i documenti strategici della NATO e dell’Unione Europea…
1. Identificare e classificare le infrastrutture critiche da proteggere
2. Stabilire trattati, leggi e regole di condotta nazionali e/o internazionali ad hoc
3. Sviluppare i rapporti diplomatici e rafforzare le partnership internazionali
4. Protezione dei diritti fondamentali, sulla privacy e/o sulla libertà di espressione
5. Focus sul cyber-crime
6. Trattare il cyber-spazio come dominio di warfare
7. Creare apposite strutture politiche e decisionali per far fronte alla minaccia
8. Sviluppare deterrenza per la prevenzione dei conflitti nel cyber-spazio
9. Incrementare i livelli di sicurezza, affidabilità e resilienza delle reti e dei sistemi informatici
10. Rafforzare la condivisione delle informazioni (anche tra pubblico e privato), l’Early Warning e le capacità di Incident response
…
Principali pilastri
Fonte: I principi strategici delle politiche di cybersecurity (2013) –www.sicurezzanazionale.gov.it
© Deloitte Risk Advisory - 2017 3CyberTech Practical Workshop – Cybersecurity Governance
…In Italia, Il Cyber Security Framework Nazionale è una delle iniziative chiave per attuare gli indirizzi del Piano Strategico nazionale
La Genesi del Framework Dal Piano Nazionale al Framework Nazionale di Cyber Security
Piano Nazionale per la Protezione Cibernetica e la
Sicurezza Informatica Dicembre 2013
Quadro Strategico Nazionale per la Cyber SecurityDicembre 2013
Obiettivi per Aziende ed Organizzazioni
Permettere una autovalutazione delle capacità di Cyber Security per innalzareil livello di sicurezza complessivo nelle aziende italiane
Portare la Cyber Security e i rischi derivanti all’attenzione dei Vertici Aziendali
Obiettivi per Sistema Paese
Disporre un approccio standard per determinare un quadro sistemico nazionale del livello di rischio l’identificazione di iniziative strategiche e tattiche di trattamento
CIS-Sapienza Laboratorio Nazionale di
Cyber Security Esperti di settore
Dipartimento delle informazioni per la sicurezza (DIS) –Tavolo Tecnico Cyber (TTC)
Responsabile per verifica attuazione Piano Nazionale ha
dato mandato a
A
B
C
Cyber Security FrameworkNazionale
AttoriInput Risultato
Indirizzi Operativi interessati: Indirizzo 2 – Potenziamento … di interazione tra
soggetti pubblici e privati Indirizzo 3 – Promozione e diffusione della cultura
della Sicurezza Informatica Indirizzo 8 – Supporto alla sviluppo industriale e
tecnologico …
© Deloitte Risk Advisory - 2017 4CyberTech Practical Workshop – Cybersecurity Governance
Pur fondandosi su quanto realizzato in US dal NIST, estende la tipologia di destinatari e introduce elementi di evoluzione
NIST vs National Cyber Security Framework Focus sui Punti di Differenziazione
NIST Cyber Security FrameworkFeb. 2013
Cyber Security Framework NazionaleFeb. 2016
Infrastratture Critiche Grandi Aziende PMI
Destinatari Infrastratture Critiche
Settore Pubblico Privato
Pubblico Privato
Applicazione Volontaria Volontaria
CaratteristicheDIFFERENZIAZIONE
© Deloitte Risk Advisory - 2017 5CyberTech Practical Workshop – Cybersecurity Governance
Le Grandi Imprese beneficeranno dell’applicazione del Framework in diversi modi
Benefici per le Grandi Imprese
Agevolare il benchmark con altri operatori di settore
Benefici Descrizione
Completare benchmark tra aziende e organizzazioni operanti in settori specifici o aventi analoghe caratteristiche che possano, a livello nazionale, favorire il miglioramento dei livelli di sicurezza, abilitando contestualmente il mercato della Cyber Insurance
Portare all’attenzione del Top Management i livelli di rischio cyber alla stregua degli altri rischi aziendali che permettano Identificati gli investimenti e le risorse da mettere in campo per un adeguata riduzione del rischio
Agevolare la comunicazione con il Top Management
Incrementare i livelli di sicurezza attraverso approccio strutturato
Migliorare o definire, se non presente, un programma di cyber security in maniera strutturata e integrata, fondato sulla gestione del rischio, che possa essere implementato in presenza di modelli preesistenti di governance della security
Permettere di determinare agevolmente il livello di maturità delle attività di cyber security identificando, a seconda dei casi, gli interventi migliorativi o di razionalizzazione dei costi di sicurezza, a favore di una redistribuzione ragionata delle risorse
Identificare gli interventi migliorativi
1
2
3
4
Richiedere ai Fornitori e Partner l’applicazione di controlli di sicurezza, come ad esempio quelli identificati per la PMI, volti a garantire la sicurezza degli Asset aziendali e la protezione del business
Migliorare sicurezza della Supply Chain
5
© Deloitte Risk Advisory - 2017 6CyberTech Practical Workshop – Cybersecurity Governance
Il ruolo del Top Management è al momento cruciale nella gestione del rischio Cyber, come enfatizzato nelle raccomandazioni inserite nel Framework
Il Ruolo del Top Management nella Gestione del Rischio Cyber
Raccomandazioni Elementi principali
Cyber Risk e Top management
Coinvolgimento del Top Management/CDA nei processi di valutazione e gestione dei rischi Cyber
Piano di governo integrato della cyber security che coinvolga tutte le funzioni aziendali e le relative
aree di rischio operativo
Integrazione dei Rischi Cyber all’interno dei rischi aziendali (Enterprise Risk Management)
Risorse, Ruoli eResponsabilità
Definizione e assegnazione dei ruoli e delle responsabilità di Cyber Security (CSO, CISO, ecc.)
coerenti con i diversi livelli aziendali (Top Management, Security Governance, ICT, ecc.)
Disporre adeguate risorse economiche, coerenti con il piano di gestione dei rischi aziendali
Sviluppo capacità CERT
Punto di contatto principale dell’organizzazione in materia di cyber security, con obiettivi preventivi e
di adeguata reazione agli incidenti di sicurezza
Scambio di informazioni rilevanti e tempestive per la prevenzione e/o il contrasto della minaccia con
tutti i soggetti esterni (Istituzioni, altri CERT, community di Cyber Security, ecc.)
Sensibilizzazione e formazione del
personale
Definizione di programmi aziendali volti a promuovere la consapevolezza e la cultura della Cyber
Security a tutti i livelli aziendali
Sviluppo di esercitazioni interne e/o partecipazione a quelle di settore/nazionali per verificare e
migliorare le capacità dell’organizzazione di gestione degli eventi Cyber
© Deloitte Risk Advisory - 2017 7CyberTech Practical Workshop – Cybersecurity Governance
Modello di Governance della Cyber SecurityRelazioni tra Governo e Gestione
Nei modelli con maturità elevata la Cyber Security dovrebbe essere armonizzata tra capacità di governo e di gestione…
ESEMPLIFICATIVO
Cyber Risk e Top management
People TechnologyProcess
Direzione aziendale
Governo dellaSicurezza
Gestione dellaSicurezza
Framework di Governo
Sistemi di Gestione
Definisce i piani ed assicura i presidi di protezione in allineamento con gli indirizzistrategici del modello di governo
Definisce la direzione prioritizzando e supportando le decisioni strategiche e monitorando le performance rispetto agliobiettivi strategici e alla compliance
Business Strategy
Piano Industriale
Compliance normativa
Rischi
© Deloitte Risk Advisory - 2017 8CyberTech Practical Workshop – Cybersecurity Governance
Modello di Governance della Cyber SecurityRelazione tra Governo e Gestione
...fornendo al Top Management le leve necessarie ad indirizzare i rischi a livello strategico e lasciando alla gestione l’attuazione concreta di tali indirizzi…
ESEMPLIFICATIVO
Cyber Risk e Top management
Top Management
Piano StrategicoBusiness Strategy…
Framework di Governo
Governo
Gestione
Capability (People, Process, Technology)
Maturity Model
Iniziative
Strategic Monitoring& Planning
Business Alignment
Ottimizzazione Risorse
Risk Governance
Priorità di Governo
Ambiti di Governo
Gerarchia Normativa
Eventuali Perimetri Certificati
Processi Operativi
© Deloitte Risk Advisory - 2017 9CyberTech Practical Workshop – Cybersecurity Governance
Cyb
er
Se
cu
rity
Do
ma
ins
Esempi di
Cyber Security Best Practices and
Relevant Regulations
Identity and Access
Management
Human Resources Security
Software Development and
Maintenance
6
7
Infrastructure Design and Operations
3
2
Cyber Security Risk Management1
Business Continuity
Management
Incident Management8
9
Organizational Roles &
Responsibilities
Policy & Procedures
Strategy & Planning
Implement & Operate
A
B
C
D
Physical and Environmental
Security5
AssetManagement4
Performance MonitoringF
Awareness & Training
E Maintain & Improve
G
Cyb
er
Se
cu
rity
Do
main
s
Check
Plan
DoAct
Ma
na
gem
en
t
Pro
ce
ss
es
Source: Intellium analysis
Modello di Governance della Cyber SecurityDomini e Processi di Gestione
… a partire dall’adozione di un modello integrato derivato dalle Best Practice e dagli Standard di Security…
ESEMPLIFICATIVO
Information Security Management Systems
Risk Management Guidelines
Sector-Specific Technical or Management Requirements
Cyber Risk e Top management
© Deloitte Risk Advisory - 2017 10CyberTech Practical Workshop – Cybersecurity Governance
Interazione con il Top Management Ingaggiare il Top Management, presenziando
ai tavoli decisionali Parlare la lingua del Business, legando le
priorità di sicurezza con quelle di business Presentare i livelli di rischio Cyber Security e
alla stregua degli altri rischi aziendali Presentare indicatori di spesa di sicurezza e
KRI
Completare il Programma di Sicurezza Definire Policy, Standard e Procedure Eseguire Cyber Security Risk Management Presidiare Privacy e Compliance Presidiare il cambiamento ( implementazione di
controlli nei sistemi IT (SDLC) o predisposizione di infrastrutture di sicurezza
Gestire e coordinare la risposta agli incidenti e le Security Operations
…
…che permetta di definire ruoli e responsabilità in maniera tale che il Top Management acquisisca visibilità e controllo
Ruoli e Responsabilità di Cyber Security – CISO ESEMPLIFICATIVO
Risorse, Ruoli e Responsabilità
AD
Top Management
Consiglio di Amministrazione
Comitato Controlloe Rischi
CISOMiddle
Management
Operative
Relazionarsi con i suoi pari
Cyber Security Architetture
Strutture a riporto
Cyber Security Operations
Cyber Security Governance
FOCUS
© Deloitte Risk Advisory - 2017 11CyberTech Practical Workshop – Cybersecurity Governance
I CERT rappresentano i Team interni delle organizzazioni specializzati nella gestione degli eventi critici di Cyber Security
Ruolo del CERT
Il CERT ha la responsabilità del disegno,
esercizio e coordinamento della gestione degli
eventi critici cyber agendo da singolo punto di
contatto all’interno delle aziende
Consente uno scambio strutturato di
informazioni (Information Sharing) per
prevenire e combattere le Cyber minacce
E’ essenziale per stabilire relazioni di fiducia
con stakeholder quali:
― Altre organizzazioni e aziende
― Enti istituzionali e governativi
― Stakeholder nazionali e internazionali
Stakeholder
CERT
Other Private
Companies
Government
AgenciesOther CERTs
International
organizations
Constituency
MediaCYBER THREAT INTELLIGENCE
PROCESS Cap
abili
tyB
uild
ing
Act
ion
Detection
Preparedness and
prevention
AnalysisResponse
INCIDENTRESPONSE PROCESS
DetectionRecovery
Computer Emergency Response TeamGli Stakeholder Coinvolti e Processi Gestiti
Principali Processi
Indirizzati
ESEMPLIFICATIVO
Sviluppo capacità CERT
© Deloitte Risk Advisory - 2017 12CyberTech Practical Workshop – Cybersecurity Governance
Infine la formazione del personale riveste un ruolo sempre più cruciale per il contrasto delle minacce avanzate
Sensibilizzazione e Formazione
Il Top Management deve comunicare l’importanza legata
alla formazione e sensibilizzazione del personale
Devono essere predisposti piani di formazione per
differenti destinatari e ne deve essere monitorano il loro
completamento ed efficacia
Devono essere previste sessioni con cadenza periodica
mediante ad esempio formazione in aula e/o ricorrendo
all’utilizzo di piattaforme di e-learning
Devono essere previste esercitazioni per misurare le
capacità di Cyber Security in particolare legate alla
risposta agli incidenti
Richiami alla cyber security dovrebbero essere integrati
nelle attività quotidiane (e.g. poster, e-mail di
sensibilizzazione, sezioni dedicate su siti e portali interni)
Sensibilizzazione e Formazione del PersonaleGli Stakeholder Coinvolti e le Modalità Previste
ESEMPLIFICATIVO
Sensibilizzazione e formazione del personale
Tutto il
personale
Personale IT
e Sicurezza Formazione
in aula
e-learning
Ad-hoc per incidenti o
prevenzione
Periodiche
Alert
Portale
Destinatari
Cyber SecurityTraining and Awareness
Modalità Tempistiche
Elementi Chiave del Programma
© Deloitte Risk Advisory - 2017 13CyberTech Practical Workshop – Cybersecurity Governance
Diversamente le PMI sono il tessuto nevralgico del nostro paese, ma sono anche quelle più vulnerabili e che necessitano pertanto di maggiore attenzione
I Benefici Legati all’Adozione del Framework per PMIStato della Cyber Security nella PMI vs Benefici attesi
Fonte : (1) Studio IDC 2014 su un campione di 850 PMI tra i 6 e 500 addetti
Disporre di indicazioni essenziali – descritte in maniera
chiara e semplice – per attuare quelle di azioni essenziali da
completare per contrastare le principali e più comuni
minacce cyber al fine di :
– Proteggere la continuità delle business operations
– Salvaguardare la proprietà intellettuale e i brevetti da
concorrenza sleale
– Proteggere le informazioni dei clienti e dei dipendenti
– Ridurre le responsabilità civili / penali nei confronti di
terze parti qualora i sistemi siano compromessi e impiegati da cyber criminali per attacchi e/o attività illecite
Il benefici del Framework Nazionale
Le PMI non sono al momento sufficientemente sensibilizzate
sulle minacce e i conseguenti impatti di tipo Cyber Security.
Ne consegue una limitata assegnazione di risorse per
indirizzare il tema:
– Il 73% dedica alla protezione da minacce Cyber meno di un
decimo del budget a disposizione1
– Il 44% delle PMI non ha definito un referente interno per
la sicurezza1
I limitati controlli adottati espongono conseguentemente le
PMI ad un numero sempre maggiore di compromissioni:
– Oltre il 10% delle imprese hanno riscontrato un blocco
totale delle attività dovuto a minacce informatiche1
Quale è la situazione della PMI?
© Deloitte Risk Advisory - 2017 14CyberTech Practical Workshop – Cybersecurity Governance
Per queste è stato definito un approccio di implementazione specifico del Framework…
Confronto tra approccio per Grandi Aziende/IC e PMI Approccio standard vs semplificato
Implementare il
Piano di Azione
Determinare il Gap
tra Profilo
Attuale e a Tender
Creare il Profilo
a Tendere
Condurre
Analisi del
Rischio
Creare il Profilo
Attuale di Rischio
Identificare
Sistemi e Asset
Definire Priorità e
Ambito
Identificare gli obiettivi
di Business e le
priorità aziendali
Stabilire l’ambito di
applicazione del
programma
Identificare i sistemi e
gli asset a supporto
dei processi e le
funzioni in ambito
Creare un profilo
attuale basato sulle
categorie e sotto-
categorie del
Framework di
riferimento
attualmente
indirizzate
Condurre un processo
di analisi del rischio in
grado di identificare la
probabilità degli eventi
di Cybersecurity e
l’impatto associato
Creare un profilo a
tendere per le
categorie e sotto-
categorie ritenute di
interesse
Completare una
comparazione tra il
profilo target e quello
attuale per identificare
i gap
Determinare e attuare
il piano di azione in
grado di indirizzare i
gap emersi
Approccio per l’implementazione del FrameworkTipologie di aziende
Infrastrutture critiche e Grandi
Aziende
1
Piccola e Media
Impresa
Implementare le Subcategory a priorità alta
Analizzare
il rischio e
il profilo corrente
Identificare i sistemi e gli
asset a supporto dei
processi e le funzioni in
ambito
Determinare il profilo corrente basato sulla contestualizzazione del Framework
Analizzare il rischio associato, identificando re la probabilità degli eventi di Cyber Security e l’impatto associato
Stabilire le necessità di protezione che si traducono in un profilo target
Determinare il Gap esistenti nella gestione della Cyber Security tra profilo corrente e profilo target
Determinare e attuare il
piano di azione in grado
di indirizzare i gap emersi
Approccio semplificato per PMI
2
Fasi preliminare
Fasi standard
Verificare
l’implementazione
di una minimo set
di di controlli di
base
Implementare quei
controlli
eventualmente
mancanti
Individuare profilo target e
determinare il gap
Definire e attuare piano di azione
Identificare Sistemi e Asset
© Deloitte Risk Advisory - 2017 15CyberTech Practical Workshop – Cybersecurity Governance
…che permetta di indirizzare in maniera prioritaria aree e i controlli considerati come essenziali
Le aree prioritarie per la Cyber Security delle PMIAree di Indirizzo e Sotto Aree
2. Identificazione delle minacce
2.1 Protezione da Malware
PMIPriorità di
Cyber Security
IR
1 2
4 3
1. Identificazione degli Asset e governo della sicurezza
1.1 Identificazione degli Asset 2.2 Assegnazione Responsabilità 3.3 Conformità a Leggi e
Regolamenti
3. Protezione dei sistemi e delle infrastrutture
3.1 Protezione perimetrale3.2 Controllo Accessi3.3 Configurazione Sicura Sistemi3.4 Aggiornamento Sistemi 3.5 Formazione di Base del Personale3.6 Backup e Restore
4. Gestione degli incidenti di sicurezza
4.1 Risposta agli Incidenti di Sicurezza
Ogni aree prevede una serie di controlli e referenzia le sotto
categorie del Framework
© Deloitte Risk Advisory - 2017 16CyberTech Practical Workshop – Cybersecurity Governance
Per esempio nella sotto-area Identificazione degli Asset sono previsti controlli per gestione inventatario delle risorse
Esempio Controlli di Sicurezza 1/3 Controlli relativi alla Identificazione degli Asset
2. Identificazione delle minacce
2.1 Protezione da Malware
PMIPriorità di
Cyber Security
IR
1 2
4 3
1. Identificazione degli Asset e governo della sicurezza
1.1 Identificazione degli Asset 2.2 Assegnazione Responsabilità 3.3 Conformità a Leggi e
Regolamenti
3. Protezione dei sistemi e delle infrastrutture
3.1 Protezione perimetrale3.2 Controllo Accessi3.3 Configurazione Sicura Sistemi3.4 Aggiornamento Sistemi 3.5 Formazione di Base del Personale3.6 Backup e Restore
4. Gestione degli incidenti di sicurezza
4.1 Risposta agli Incidenti di Sicurezza
Ogni aree prevede una serie di controlli di e referenzia le sotto
categorie del Framework
Identificazione degli Asset1
1. Deve essere predisposto un inventario delle informazioni, applicazioni, sistemi e apparati presenti in azienda, sia a livello ICT che ICS qualora presenti
2. L’inventario deve rispondere ai seguenti criteri:
Sono riportate per gli Asset censiti come minimo le tipologie di informazioni trattate, la posizione, la direzione/funzione di riferimento, il responsabile, i referenti per gestione e manutenzione, …
Sono identificati i sistemi con maggiore rilevanza in termini di businesso Compliance
Sono registrati tutti i cambiamenti di stato legati agli Asset, come acquisizione, installazione, operatività e ritiro
3. L’inventario deve essere costantemente aggiornato
Fonte: (1) Cyber Security Framework Nazionale, Elaborazione Intellium
© Deloitte Risk Advisory - 2017 17CyberTech Practical Workshop – Cybersecurity Governance
Nella Configurazione Sicura dei Sistemi sono previsti invece controlli essenziali per la messa in sicurezza dei sistemi
Esempio Controlli di Sicurezza 2/3 Controlli relativi alla Configurazione Sicura dei Sistemi
2. Identificazione delle minacce
2.1 Protezione da Malware
PMIPriorità di
Cyber Security
IR
1 2
4 3
1. Identificazione degli Asset e governo della sicurezza
1.1 Identificazione degli Asset 2.2 Assegnazione Responsabilità 3.3 Conformità a Leggi e
Regolamenti
3. Protezione dei sistemi e delle infrastrutture
3.1 Protezione perimetrale3.2 Controllo Accessi3.3 Configurazione Sicura Sistemi3.4 Aggiornamento Sistemi 3.5 Formazione di Base del Personale3.6 Backup e Restore
4. Gestione degli incidenti di sicurezza
4.1 Risposta agli Incidenti di Sicurezza
Ogni aree prevede una serie di controlli di e referenzia le sotto
categorie del Framework
Configurazione Sicura Sistemi1
1. Disabilitare le utenze non strettamente necessarie, soprattutto quelle caratterizzate da privilegi elevati
2. Cambiare immediatamente le utenze non nominali e qualsiasi passwordpre-impostata dai produttori
3. Rimuovere o disabilitare il software e i servizi non necessari
4. Disabilitare le funzioni di “auto avvio”
5. Adottare un personal firewall su PC, laptop e altri dispositivi informatici di produttività personale o aziendale, bloccando le connessioni di rete non autorizzate
6. Utilizzare protocolli di rete cifrati per la gestione remota dei sistemi
7. Impostare le utenze tecniche … in maniera tale che non ne sia possibile l’utilizzo interattivo da parte di utenti
8. Attivare le funzionalità logging sui sistemi
9. Configurare i sistemi in maniera tale che non sia modificabili dall’utente
Fonte: (1) Cyber Security Framework Nazionale, Elaborazione Intellium
© Deloitte Risk Advisory - 2017 18CyberTech Practical Workshop – Cybersecurity Governance
Nella Risposta agli Incidenti di Sicurezza sono previsti invece controlli per gestione completa degli incidenti
Esempio Controlli di Sicurezza 3/3 Controlli relativi alla Risposta agli Incidenti di Sicurezza
2. Identificazione delle minacce
2.1 Protezione da Malware
PMIPriorità di
Cyber Security
IR
1 2
4 3
1. Identificazione degli Asset e governo della sicurezza
1.1 Identificazione degli Asset 2.2 Assegnazione Responsabilità 3.3 Conformità a Leggi e
Regolamenti
3. Protezione dei sistemi e delle infrastrutture
3.1 Protezione perimetrale3.2 Controllo Accessi3.3 Configurazione Sicura Sistemi3.4 Aggiornamento Sistemi 3.5 Formazione di Base del Personale3.6 Backup e Restore
4. Gestione degli incidenti di sicurezza
4.1 Risposta agli Incidenti di Sicurezza
Ogni aree prevede una serie di controlli di e referenzia le sotto
categorie del Framework
Risposta agli Incidenti di Sicurezza 1. Descrivere e rendere note a tutto il personale interessato le prassi da
adottare in caso di sospetta violazione o incidente di sicurezza (i.e. processo di gestione degli incidenti)
2. Il processo di gestione degli incidenti deve definire come minimo:
Criteri generali da adottare per riconoscere un incidente
Tipologie di incidenti con relativa scala della severità, necessarie a effettuare una prima classificazione
Elenco dei referenti interni (es. responsabile Sistemi Informativi, responsabile Comunicazione, Responsabile legale, Direzione Aziendale) ed esterni da contattare in caso di incidente
Criteri di notifica degli incidenti ai diversi referenti e criteri di risposta, relativi ruoli e responsabilità
Criteri, ruoli e responsabilità, procedure per il ripristino della situazione precedente al verificarsi dell’incidente
Fonte: (1) Cyber Security Framework Nazionale, Elaborazione Intellium
© Deloitte Risk Advisory - 2017 19CyberTech Practical Workshop – Cybersecurity Governance
This publication contains general information only, and none of the member firms of Deloitte Touche Tohmatsu
Limited, its member firms, or their related entities (collective, the “Deloitte Network”) is, by means of this
publication, rendering professional advice or services. Before making any decision or taking any action that may
affect your business, you should consult a qualified professional adviser. No entity in the Deloitte Network shall
be responsible for any loss whatsoever sustained by any person who relies on this publication.
As used in this document, “Deloitte” means Deloitte Consulting LLP, a subsidiary of Deloitte LLP. Please see
www.deloitte.com/us/about for a detailed description of the legal structure of Deloitte LLP and its subsidiaries.
Certain services may not be available to attest clients under the rules and regulations of public accounting.
Copyright © 2017 Deloitte Development LLC. All rights reserved.
Member of Deloitte Touche Tohmatsu Limited