CyberTech Practical Workshop · 2017-03-28 · Cyber Security Best Practices and Relevant...

Come impostare una corretta Cybersecurity Governance tramite l’adozione di Framework di riferimento (Framework Nazionale / NIST)

Fabio Battelli, Partner, Deloitte Cyber Risk ServicesCISSP, CISA, CISM, ISO 27001 LA, PRINCE 2 Certified23 Marzo 2017

CyberTech Practical Workshop

© Deloitte Risk Advisory - 2017 2CyberTech Practical Workshop – Cybersecurity Governance

A livello mondiale solo 30 dei 196 Stati riconosciuti sovrani a livello internazionale hanno reso pubblica una propria cyber-strategy; a questi vanno aggiunti i documenti strategici della NATO e dell’Unione Europea…

1. Identificare e classificare le infrastrutture critiche da proteggere

2. Stabilire trattati, leggi e regole di condotta nazionali e/o internazionali ad hoc

3. Sviluppare i rapporti diplomatici e rafforzare le partnership internazionali

4. Protezione dei diritti fondamentali, sulla privacy e/o sulla libertà di espressione

5. Focus sul cyber-crime

6. Trattare il cyber-spazio come dominio di warfare

7. Creare apposite strutture politiche e decisionali per far fronte alla minaccia

8. Sviluppare deterrenza per la prevenzione dei conflitti nel cyber-spazio

9. Incrementare i livelli di sicurezza, affidabilità e resilienza delle reti e dei sistemi informatici

10. Rafforzare la condivisione delle informazioni (anche tra pubblico e privato), l’Early Warning e le capacità di Incident response

…

Principali pilastri

Fonte: I principi strategici delle politiche di cybersecurity (2013) –www.sicurezzanazionale.gov.it


…In Italia, Il Cyber Security Framework Nazionale è una delle iniziative chiave per attuare gli indirizzi del Piano Strategico nazionale

La Genesi del Framework Dal Piano Nazionale al Framework Nazionale di Cyber Security

Piano Nazionale per la Protezione Cibernetica e la

Sicurezza Informatica Dicembre 2013

Quadro Strategico Nazionale per la Cyber SecurityDicembre 2013

Obiettivi per Aziende ed Organizzazioni

Permettere una autovalutazione delle capacità di Cyber Security per innalzareil livello di sicurezza complessivo nelle aziende italiane

Portare la Cyber Security e i rischi derivanti all’attenzione dei Vertici Aziendali

Obiettivi per Sistema Paese

Disporre un approccio standard per determinare un quadro sistemico nazionale del livello di rischio l’identificazione di iniziative strategiche e tattiche di trattamento

CIS-Sapienza Laboratorio Nazionale di

Cyber Security Esperti di settore

Dipartimento delle informazioni per la sicurezza (DIS) –Tavolo Tecnico Cyber (TTC)

Responsabile per verifica attuazione Piano Nazionale ha

dato mandato a

A

B

C

Cyber Security FrameworkNazionale

AttoriInput Risultato

Indirizzi Operativi interessati: Indirizzo 2 – Potenziamento … di interazione tra

soggetti pubblici e privati Indirizzo 3 – Promozione e diffusione della cultura

della Sicurezza Informatica Indirizzo 8 – Supporto alla sviluppo industriale e

tecnologico …


Pur fondandosi su quanto realizzato in US dal NIST, estende la tipologia di destinatari e introduce elementi di evoluzione

NIST vs National Cyber Security Framework Focus sui Punti di Differenziazione

NIST Cyber Security FrameworkFeb. 2013

Cyber Security Framework NazionaleFeb. 2016

Infrastratture Critiche Grandi Aziende PMI

Destinatari Infrastratture Critiche

Settore Pubblico Privato

Pubblico Privato

Applicazione Volontaria Volontaria

CaratteristicheDIFFERENZIAZIONE


Le Grandi Imprese beneficeranno dell’applicazione del Framework in diversi modi

Benefici per le Grandi Imprese

Agevolare il benchmark con altri operatori di settore

Benefici Descrizione

Completare benchmark tra aziende e organizzazioni operanti in settori specifici o aventi analoghe caratteristiche che possano, a livello nazionale, favorire il miglioramento dei livelli di sicurezza, abilitando contestualmente il mercato della Cyber Insurance

Portare all’attenzione del Top Management i livelli di rischio cyber alla stregua degli altri rischi aziendali che permettano Identificati gli investimenti e le risorse da mettere in campo per un adeguata riduzione del rischio

Agevolare la comunicazione con il Top Management

Incrementare i livelli di sicurezza attraverso approccio strutturato

Migliorare o definire, se non presente, un programma di cyber security in maniera strutturata e integrata, fondato sulla gestione del rischio, che possa essere implementato in presenza di modelli preesistenti di governance della security

Permettere di determinare agevolmente il livello di maturità delle attività di cyber security identificando, a seconda dei casi, gli interventi migliorativi o di razionalizzazione dei costi di sicurezza, a favore di una redistribuzione ragionata delle risorse

Identificare gli interventi migliorativi

1

2

3

4

Richiedere ai Fornitori e Partner l’applicazione di controlli di sicurezza, come ad esempio quelli identificati per la PMI, volti a garantire la sicurezza degli Asset aziendali e la protezione del business

Migliorare sicurezza della Supply Chain

5


Il ruolo del Top Management è al momento cruciale nella gestione del rischio Cyber, come enfatizzato nelle raccomandazioni inserite nel Framework

Il Ruolo del Top Management nella Gestione del Rischio Cyber

Raccomandazioni Elementi principali

Cyber Risk e Top management

Coinvolgimento del Top Management/CDA nei processi di valutazione e gestione dei rischi Cyber

Piano di governo integrato della cyber security che coinvolga tutte le funzioni aziendali e le relative

aree di rischio operativo

Integrazione dei Rischi Cyber all’interno dei rischi aziendali (Enterprise Risk Management)

Risorse, Ruoli eResponsabilità

Definizione e assegnazione dei ruoli e delle responsabilità di Cyber Security (CSO, CISO, ecc.)

coerenti con i diversi livelli aziendali (Top Management, Security Governance, ICT, ecc.)

Disporre adeguate risorse economiche, coerenti con il piano di gestione dei rischi aziendali

Sviluppo capacità CERT

Punto di contatto principale dell’organizzazione in materia di cyber security, con obiettivi preventivi e

di adeguata reazione agli incidenti di sicurezza

Scambio di informazioni rilevanti e tempestive per la prevenzione e/o il contrasto della minaccia con

tutti i soggetti esterni (Istituzioni, altri CERT, community di Cyber Security, ecc.)

Sensibilizzazione e formazione del

personale

Definizione di programmi aziendali volti a promuovere la consapevolezza e la cultura della Cyber

Security a tutti i livelli aziendali

Sviluppo di esercitazioni interne e/o partecipazione a quelle di settore/nazionali per verificare e

migliorare le capacità dell’organizzazione di gestione degli eventi Cyber


Modello di Governance della Cyber SecurityRelazioni tra Governo e Gestione

Nei modelli con maturità elevata la Cyber Security dovrebbe essere armonizzata tra capacità di governo e di gestione…

ESEMPLIFICATIVO


People TechnologyProcess

Direzione aziendale

Governo dellaSicurezza

Gestione dellaSicurezza

Framework di Governo

Sistemi di Gestione

Definisce i piani ed assicura i presidi di protezione in allineamento con gli indirizzistrategici del modello di governo

Definisce la direzione prioritizzando e supportando le decisioni strategiche e monitorando le performance rispetto agliobiettivi strategici e alla compliance

Business Strategy

Piano Industriale

Compliance normativa

Rischi


Modello di Governance della Cyber SecurityRelazione tra Governo e Gestione

...fornendo al Top Management le leve necessarie ad indirizzare i rischi a livello strategico e lasciando alla gestione l’attuazione concreta di tali indirizzi…

ESEMPLIFICATIVO


Top Management

Piano StrategicoBusiness Strategy…

Framework di Governo

Governo

Gestione

Capability (People, Process, Technology)

Maturity Model

Iniziative

Strategic Monitoring& Planning

Business Alignment

Ottimizzazione Risorse

Risk Governance

Priorità di Governo

Ambiti di Governo

Gerarchia Normativa

Eventuali Perimetri Certificati

Processi Operativi


Cyb

er

Se

cu

rity

Do

ma

ins

Esempi di

Cyber Security Best Practices and

Relevant Regulations

Identity and Access

Management

Human Resources Security

Software Development and

Maintenance

6

7

Infrastructure Design and Operations

3

2

Cyber Security Risk Management1

Business Continuity

Management

Incident Management8

9

Organizational Roles &

Responsibilities

Policy & Procedures

Strategy & Planning

Implement & Operate

A

B

C

D

Physical and Environmental

Security5

AssetManagement4

Performance MonitoringF

Awareness & Training

E Maintain & Improve

G

Cyb

er

Se

cu

rity

Do

main

s

Check

Plan

DoAct

Ma

na

gem

en

t

Pro

ce

ss

es

Source: Intellium analysis

Modello di Governance della Cyber SecurityDomini e Processi di Gestione

… a partire dall’adozione di un modello integrato derivato dalle Best Practice e dagli Standard di Security…

ESEMPLIFICATIVO

Information Security Management Systems

Risk Management Guidelines

Sector-Specific Technical or Management Requirements



Interazione con il Top Management Ingaggiare il Top Management, presenziando

ai tavoli decisionali Parlare la lingua del Business, legando le

priorità di sicurezza con quelle di business Presentare i livelli di rischio Cyber Security e

alla stregua degli altri rischi aziendali Presentare indicatori di spesa di sicurezza e

KRI

Completare il Programma di Sicurezza Definire Policy, Standard e Procedure Eseguire Cyber Security Risk Management Presidiare Privacy e Compliance Presidiare il cambiamento ( implementazione di

controlli nei sistemi IT (SDLC) o predisposizione di infrastrutture di sicurezza

Gestire e coordinare la risposta agli incidenti e le Security Operations

…

…che permetta di definire ruoli e responsabilità in maniera tale che il Top Management acquisisca visibilità e controllo

Ruoli e Responsabilità di Cyber Security – CISO ESEMPLIFICATIVO

Risorse, Ruoli e Responsabilità

AD

Top Management

Consiglio di Amministrazione

Comitato Controlloe Rischi

CISOMiddle

Management

Operative

Relazionarsi con i suoi pari

Cyber Security Architetture

Strutture a riporto

Cyber Security Operations

Cyber Security Governance

FOCUS


I CERT rappresentano i Team interni delle organizzazioni specializzati nella gestione degli eventi critici di Cyber Security

Ruolo del CERT

Il CERT ha la responsabilità del disegno,

esercizio e coordinamento della gestione degli

eventi critici cyber agendo da singolo punto di

contatto all’interno delle aziende

Consente uno scambio strutturato di

informazioni (Information Sharing) per

prevenire e combattere le Cyber minacce

E’ essenziale per stabilire relazioni di fiducia

con stakeholder quali:

― Altre organizzazioni e aziende

― Enti istituzionali e governativi

― Stakeholder nazionali e internazionali

Stakeholder

CERT

Other Private

Companies

Government

AgenciesOther CERTs

International

organizations

Constituency

MediaCYBER THREAT INTELLIGENCE

PROCESS Cap

abili

tyB

uild

ing

Act

ion

Detection

Preparedness and

prevention

AnalysisResponse

INCIDENTRESPONSE PROCESS

DetectionRecovery

Computer Emergency Response TeamGli Stakeholder Coinvolti e Processi Gestiti

Principali Processi

Indirizzati

ESEMPLIFICATIVO

Sviluppo capacità CERT


Infine la formazione del personale riveste un ruolo sempre più cruciale per il contrasto delle minacce avanzate

Sensibilizzazione e Formazione

Il Top Management deve comunicare l’importanza legata

alla formazione e sensibilizzazione del personale

Devono essere predisposti piani di formazione per

differenti destinatari e ne deve essere monitorano il loro

completamento ed efficacia

Devono essere previste sessioni con cadenza periodica

mediante ad esempio formazione in aula e/o ricorrendo

all’utilizzo di piattaforme di e-learning

Devono essere previste esercitazioni per misurare le

capacità di Cyber Security in particolare legate alla

risposta agli incidenti

Richiami alla cyber security dovrebbero essere integrati

nelle attività quotidiane (e.g. poster, e-mail di

sensibilizzazione, sezioni dedicate su siti e portali interni)

Sensibilizzazione e Formazione del PersonaleGli Stakeholder Coinvolti e le Modalità Previste

ESEMPLIFICATIVO

Sensibilizzazione e formazione del personale

Tutto il

personale

Personale IT

e Sicurezza Formazione

in aula

e-learning

Ad-hoc per incidenti o

prevenzione

Periodiche

Alert

Portale

Destinatari

Cyber SecurityTraining and Awareness

Modalità Tempistiche

Elementi Chiave del Programma


Diversamente le PMI sono il tessuto nevralgico del nostro paese, ma sono anche quelle più vulnerabili e che necessitano pertanto di maggiore attenzione

I Benefici Legati all’Adozione del Framework per PMIStato della Cyber Security nella PMI vs Benefici attesi

Fonte : (1) Studio IDC 2014 su un campione di 850 PMI tra i 6 e 500 addetti

Disporre di indicazioni essenziali – descritte in maniera

chiara e semplice – per attuare quelle di azioni essenziali da

completare per contrastare le principali e più comuni

minacce cyber al fine di :

– Proteggere la continuità delle business operations

– Salvaguardare la proprietà intellettuale e i brevetti da

concorrenza sleale

– Proteggere le informazioni dei clienti e dei dipendenti

– Ridurre le responsabilità civili / penali nei confronti di

terze parti qualora i sistemi siano compromessi e impiegati da cyber criminali per attacchi e/o attività illecite

Il benefici del Framework Nazionale

Le PMI non sono al momento sufficientemente sensibilizzate

sulle minacce e i conseguenti impatti di tipo Cyber Security.

Ne consegue una limitata assegnazione di risorse per

indirizzare il tema:

– Il 73% dedica alla protezione da minacce Cyber meno di un

decimo del budget a disposizione1

– Il 44% delle PMI non ha definito un referente interno per

la sicurezza1

I limitati controlli adottati espongono conseguentemente le

PMI ad un numero sempre maggiore di compromissioni:

– Oltre il 10% delle imprese hanno riscontrato un blocco

totale delle attività dovuto a minacce informatiche1

Quale è la situazione della PMI?


Per queste è stato definito un approccio di implementazione specifico del Framework…

Confronto tra approccio per Grandi Aziende/IC e PMI Approccio standard vs semplificato

Implementare il

Piano di Azione

Determinare il Gap

tra Profilo

Attuale e a Tender

Creare il Profilo

a Tendere

Condurre

Analisi del

Rischio

Creare il Profilo

Attuale di Rischio

Identificare

Sistemi e Asset

Definire Priorità e

Ambito

Identificare gli obiettivi

di Business e le

priorità aziendali

Stabilire l’ambito di

applicazione del

programma

Identificare i sistemi e

gli asset a supporto

dei processi e le

funzioni in ambito

Creare un profilo

attuale basato sulle

categorie e sotto-

categorie del

Framework di

riferimento

attualmente

indirizzate

Condurre un processo

di analisi del rischio in

grado di identificare la

probabilità degli eventi

di Cybersecurity e

l’impatto associato

Creare un profilo a

tendere per le

categorie e sotto-

categorie ritenute di

interesse

Completare una

comparazione tra il

profilo target e quello

attuale per identificare

i gap

Determinare e attuare

il piano di azione in

grado di indirizzare i

gap emersi

Approccio per l’implementazione del FrameworkTipologie di aziende

Infrastrutture critiche e Grandi

Aziende

1

Piccola e Media

Impresa

Implementare le Subcategory a priorità alta

Analizzare

il rischio e

il profilo corrente

Identificare i sistemi e gli

asset a supporto dei

processi e le funzioni in

ambito

Determinare il profilo corrente basato sulla contestualizzazione del Framework

Analizzare il rischio associato, identificando re la probabilità degli eventi di Cyber Security e l’impatto associato

Stabilire le necessità di protezione che si traducono in un profilo target

Determinare il Gap esistenti nella gestione della Cyber Security tra profilo corrente e profilo target

Determinare e attuare il

piano di azione in grado

di indirizzare i gap emersi

Approccio semplificato per PMI

2

Fasi preliminare

Fasi standard

Verificare

l’implementazione

di una minimo set

di di controlli di

base

Implementare quei

controlli

eventualmente

mancanti

Individuare profilo target e

determinare il gap

Definire e attuare piano di azione

Identificare Sistemi e Asset


…che permetta di indirizzare in maniera prioritaria aree e i controlli considerati come essenziali

Le aree prioritarie per la Cyber Security delle PMIAree di Indirizzo e Sotto Aree

2. Identificazione delle minacce

2.1 Protezione da Malware

PMIPriorità di

Cyber Security

IR

1 2

4 3

1. Identificazione degli Asset e governo della sicurezza

1.1 Identificazione degli Asset 2.2 Assegnazione Responsabilità 3.3 Conformità a Leggi e

Regolamenti

3. Protezione dei sistemi e delle infrastrutture

3.1 Protezione perimetrale3.2 Controllo Accessi3.3 Configurazione Sicura Sistemi3.4 Aggiornamento Sistemi 3.5 Formazione di Base del Personale3.6 Backup e Restore

4. Gestione degli incidenti di sicurezza

4.1 Risposta agli Incidenti di Sicurezza

Ogni aree prevede una serie di controlli e referenzia le sotto

categorie del Framework


Per esempio nella sotto-area Identificazione degli Asset sono previsti controlli per gestione inventatario delle risorse

Esempio Controlli di Sicurezza 1/3 Controlli relativi alla Identificazione degli Asset



PMIPriorità di

Cyber Security

IR

1 2

4 3



Regolamenti





Ogni aree prevede una serie di controlli di e referenzia le sotto


Identificazione degli Asset1

1. Deve essere predisposto un inventario delle informazioni, applicazioni, sistemi e apparati presenti in azienda, sia a livello ICT che ICS qualora presenti

2. L’inventario deve rispondere ai seguenti criteri:

Sono riportate per gli Asset censiti come minimo le tipologie di informazioni trattate, la posizione, la direzione/funzione di riferimento, il responsabile, i referenti per gestione e manutenzione, …

Sono identificati i sistemi con maggiore rilevanza in termini di businesso Compliance

Sono registrati tutti i cambiamenti di stato legati agli Asset, come acquisizione, installazione, operatività e ritiro

3. L’inventario deve essere costantemente aggiornato

Fonte: (1) Cyber Security Framework Nazionale, Elaborazione Intellium


Nella Configurazione Sicura dei Sistemi sono previsti invece controlli essenziali per la messa in sicurezza dei sistemi

Esempio Controlli di Sicurezza 2/3 Controlli relativi alla Configurazione Sicura dei Sistemi



PMIPriorità di

Cyber Security

IR

1 2

4 3



Regolamenti







Configurazione Sicura Sistemi1

1. Disabilitare le utenze non strettamente necessarie, soprattutto quelle caratterizzate da privilegi elevati

2. Cambiare immediatamente le utenze non nominali e qualsiasi passwordpre-impostata dai produttori

3. Rimuovere o disabilitare il software e i servizi non necessari

4. Disabilitare le funzioni di “auto avvio”

5. Adottare un personal firewall su PC, laptop e altri dispositivi informatici di produttività personale o aziendale, bloccando le connessioni di rete non autorizzate

6. Utilizzare protocolli di rete cifrati per la gestione remota dei sistemi

7. Impostare le utenze tecniche … in maniera tale che non ne sia possibile l’utilizzo interattivo da parte di utenti

8. Attivare le funzionalità logging sui sistemi

9. Configurare i sistemi in maniera tale che non sia modificabili dall’utente



Nella Risposta agli Incidenti di Sicurezza sono previsti invece controlli per gestione completa degli incidenti

Esempio Controlli di Sicurezza 3/3 Controlli relativi alla Risposta agli Incidenti di Sicurezza



PMIPriorità di

Cyber Security

IR

1 2

4 3



Regolamenti







Risposta agli Incidenti di Sicurezza 1. Descrivere e rendere note a tutto il personale interessato le prassi da

adottare in caso di sospetta violazione o incidente di sicurezza (i.e. processo di gestione degli incidenti)

2. Il processo di gestione degli incidenti deve definire come minimo:

Criteri generali da adottare per riconoscere un incidente

Tipologie di incidenti con relativa scala della severità, necessarie a effettuare una prima classificazione

Elenco dei referenti interni (es. responsabile Sistemi Informativi, responsabile Comunicazione, Responsabile legale, Direzione Aziendale) ed esterni da contattare in caso di incidente

Criteri di notifica degli incidenti ai diversi referenti e criteri di risposta, relativi ruoli e responsabilità

Criteri, ruoli e responsabilità, procedure per il ripristino della situazione precedente al verificarsi dell’incidente



This publication contains general information only, and none of the member firms of Deloitte Touche Tohmatsu

Limited, its member firms, or their related entities (collective, the “Deloitte Network”) is, by means of this

publication, rendering professional advice or services. Before making any decision or taking any action that may

affect your business, you should consult a qualified professional adviser. No entity in the Deloitte Network shall

be responsible for any loss whatsoever sustained by any person who relies on this publication.

As used in this document, “Deloitte” means Deloitte Consulting LLP, a subsidiary of Deloitte LLP. Please see

www.deloitte.com/us/about for a detailed description of the legal structure of Deloitte LLP and its subsidiaries.

Certain services may not be available to attest clients under the rules and regulations of public accounting.

Copyright © 2017 Deloitte Development LLC. All rights reserved.

Member of Deloitte Touche Tohmatsu Limited

Date post:	08-Aug-2020
Category:	Documents
Upload:	others
View:	0 times
Download:	0 times

CyberTech Practical Workshop · 2017-03-28 · Cyber Security Best Practices and Relevant...

Documents