Conoscere e valutare le diverse soluzioni          di Risk Response         Dario V Forte, CISM, CFE, CGEIT               ...
About DFLabs Specializzata in Governance Risk and Compliance  dal 2004 Tre practices: Consulting, Professional Services ...
Agenda Cosa comporta ideare e individuare contromisure Quali tipi di contromisure prendere in considerazione e in quali ...
Risk Mitigation Benchmark                                                                                Fonte: Dflabs&Ter...
Cosa comporta ideare e individuare contromisure Conoscenza approfondita della matrice target/rischio Conoscenza adeguata...
Conoscenza approfondita della matricetarget/rischio         Collateral Target                 Information target          ...
Organization and Technology Organization:    Si rende ormai necessaria una visibilità concreta sul rischio     informati...
CONI: Cost of Non Investment – Corporate World –                                       Average Example.Rischio Legale: si ...
Automated Incident Response             Servlets             Installed
Advanced Network                                                          AnomalyBasics: record your network once, and reu...
GRC – Vs Incident Management
Soluzioni Complementari Soluzioni assicurative    Richiedono una baseline sottoponibile ad audit    Health check dei si...
Controllo interno Il ruolo del controllo interno è fondamentale per il mantenimento della  governance dei processi di ris...
Incident management La gestione degli incidenti, allo stato attuale, viene ancora vista come  un argomento di mera attine...
KPI: Need for Tools
Valutazione degli impatti Vs contromisure Impatti:    Costo riproduzione dato    Costo personale interno    Technical ...
IODEF Basato su RFC, IODEF è un metalinguaggio basato su XML in grado di  gestire oltre 250 tipologie differenti di incid...
Controllo efficace                                           sull’effettiva applicazione                                  ...
Casi di Studio E-discovery, lack of preparation and governance Incident Response: lack of tech and procedural  preparati...
E-discovery, lack of preparation and governance   Multinazionale. Branch italiana con dati presenti e gestiti in italia ...
Incident Response: lack of tech and procedural                                          preparation Azienda operante in I...
Litigation: lack of coordination, Lawyers, Vs                               Customer Vs Consultancy E-discovery: evidenze...
Risk Mitigation Framework                                                                                              Fon...
Conclusioni Il Risk Response è ormai divenuto un must e, per  quanto riguarda l’information security, rientra nella  disc...
THANKSDario V Forte, CFE, CISM. CGEIT, Founder           and Ceo DFLabs Italy,             Info@dflabs.com              ww...
Upcoming SlideShare
Loading in …5
×

IT GRC, Soluzioni Risk Management

1,789 views
1,710 views

Published on

Cosa comporta ideare e individuare contromisure
Quali tipi di contromisure prendere in considerazione e in quali circostanze: una proposta di risk mitigation framework.
Organization and Technology
soluzioni assicurative
soluzioni contrattuali
controllo interno
Incident Management
Valutare gli impatti delle contromisure
Indicatori numerici di performance sulla sicurezza
Come strutturare un controllo efficace sull’effettiva applicazione delle contromisure
Il ruolo dell’Internal Auditing e del Risk Management nei sistemi di sicurezza interni
Analisi di Casi di Studio
Una proposta di Risk Mitigation Framework

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,789
On SlideShare
0
From Embeds
0
Number of Embeds
1,113
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

IT GRC, Soluzioni Risk Management

  1. 1. Conoscere e valutare le diverse soluzioni di Risk Response Dario V Forte, CISM, CFE, CGEIT Founder and CEO DFLabs www.dfdlabs.com
  2. 2. About DFLabs Specializzata in Governance Risk and Compliance dal 2004 Tre practices: Consulting, Professional Services & Technologies Fortune 1000 Customers. Sedi in Italia, USA, Russia. Due Patent Pending negli USA ed Europa.
  3. 3. Agenda Cosa comporta ideare e individuare contromisure Quali tipi di contromisure prendere in considerazione e in quali circostanze: una proposta di risk mitigation framework.  Organization and Technology  soluzioni assicurative  soluzioni contrattuali  controllo interno Incident Management Valutare gli impatti delle contromisure Indicatori numerici di performance sulla sicurezza Come strutturare un controllo efficace sull’effettiva applicazione delle contromisure Il ruolo dell’Internal Auditing e del Risk Management nei sistemi di sicurezza interni Analisi di Casi di Studio Una proposta di Risk Mitigation Framework
  4. 4. Risk Mitigation Benchmark Fonte: Dflabs&Terremark IncidentIT Prevention andSecurityProcess PreparationManagement and (IncludingSupport, including Enterprise Forensics andvulnerability Business Fraud) Securitymanagement Application Incident Security Response and Management investigation Business Risk Management, (Including Policy, standards, Technologies, Legal and guidelines Forensics and Fraud) Page  4
  5. 5. Cosa comporta ideare e individuare contromisure Conoscenza approfondita della matrice target/rischio Conoscenza adeguata delle tipologie di contromisure disponibili nei seguenti settori:  Organization and Technology  soluzioni assicurative  soluzioni contrattuali  controllo interno Committment aziendale almeno a C-Level
  6. 6. Conoscenza approfondita della matricetarget/rischio Collateral Target Information target Core Applications HIGH •User’s behaviour Central Database •Printed material Top and C-Lev •Pre-Public Data Management LOW HIGH •TBD •Tbd LOW Unknown Unknown
  7. 7. Organization and Technology Organization:  Si rende ormai necessaria una visibilità concreta sul rischio informativo, con particolare riferimento a: • Information Classification Program • Costo del non investimento Technology:  Automated Incident Response  GRC – Vs Incident Management  Metrics Vs Alert
  8. 8. CONI: Cost of Non Investment – Corporate World – Average Example.Rischio Legale: si prevede un Rischio Risarcimento: 150k up torischio medio di legal loss: 1,5mln euro>500k euro (somma dellesanzioni minime) Rischio Operativo Basato sulla Business Impact analysis e sul Business Continuity Plan. La media di un incidente (loss) è >75k euro
  9. 9. Automated Incident Response Servlets Installed
  10. 10. Advanced Network AnomalyBasics: record your network once, and reuse itmany times. Page  10
  11. 11. GRC – Vs Incident Management
  12. 12. Soluzioni Complementari Soluzioni assicurative  Richiedono una baseline sottoponibile ad audit  Health check dei sistemi informativi  Clausole “incerte” che richiedono comunque un importante intervento in termini di investimento.  Obbligatorie in alcuni casi (specie negli USA) Soluzioni contrattuali  Relativamente piu’ flessibili delle precedenti, richiedono un impegno di preparazione e negoziazione importante (skills ed investimenti)  Non sempre è ottenibile se l’esigenza primaria è quella di una relazione win win  Richiedono una gestione dinamica degli update.
  13. 13. Controllo interno Il ruolo del controllo interno è fondamentale per il mantenimento della governance dei processi di rischio. L’Esperienza diretta sul punto suggerisce un intervento simbiotico tra risk management, security, audit. È necessaria una condivisione diretta tra i vari ruoli aziendali dei KPI e degli obiettivi di compliance.
  14. 14. Incident management La gestione degli incidenti, allo stato attuale, viene ancora vista come un argomento di mera attinenza IT. Le problematiche di sicurezza, invece, sono correlate ai seguenti aspetti generali e di dettaglio:  Attacchi e violazioni di tipo informatico (Vs lg 231/01)  Frodi informatiche, sia esterne sia interne (codice penale)  Policy Violation (231 e 196) Dal punto di vista della reazione, sussistono le seguenti tematiche:  Incident Response  Computer Forensics  Data Leakage Prevention.
  15. 15. KPI: Need for Tools
  16. 16. Valutazione degli impatti Vs contromisure Impatti:  Costo riproduzione dato  Costo personale interno  Technical and Non Technical Repercussions (IODEF)
  17. 17. IODEF Basato su RFC, IODEF è un metalinguaggio basato su XML in grado di gestire oltre 250 tipologie differenti di incident data. Consente l’interscambio dinamico ed automatizzato, senza bisogno di traduzione, di una moltitudine di dati relativi agli incidenti di sicurezza, sia di tipo tecnico sia di tipo normativo sia di tipo economico. È sempre piu’ utilizzato tra i vendor e gli utenti finali. Richiede un lavoro adeguato di sviluppo Il ritorno sull’eventuale investimento è qualificabile positivamemte
  18. 18. Controllo efficace sull’effettiva applicazione delle contromisure L’applicazione delle contromisure dimostra la sua efficacia se:  I tempi di reazione e detection sono quantificabili e sono adeguati al benchmark  Consente la Quantificazione e qualificazione dell’Exposure (Detection + Reaction)  Esiste una supportabilità legale delle evidenze reperite.
  19. 19. Casi di Studio E-discovery, lack of preparation and governance Incident Response: lack of tech and procedural preparation Litigation: lack of coordination, Lawyers, Vs Customer Vs Consultancy
  20. 20. E-discovery, lack of preparation and governance Multinazionale. Branch italiana con dati presenti e gestiti in italia Procedimento penale negli USA. Necessità di produrre in tempi brevi (45gg) 1.3 Tb di posta elettronica. Interviene inizialmente il provider (big consultancy firm) direttamente dagli USA. A 15gg dalla deadline, il counsel italiano “ si accorge” di un “potenziale” problema di personal data export Il provider si defila Deadline non rispettata Azienda cliente multata, e causa contro il provider (negli USA) Lesson learned: Lack of Preparation and Governance.
  21. 21. Incident Response: lack of tech and procedural preparation Azienda operante in Italia, 1200 Server. Serie di riscritture non autorizzate su filesystems. Non è possibile ricostruire l’origine ne’ gli artifacts. Motivo:  Mancanza di monitoring sul filesystem  Mancanza di logging adeguato Le uniche evidenze digitali potenzialmente utili sono state “cristallizzate” da personale interno non adeguatamente preparato ( si è proceduto ad operare direttamente su alcune evidenze originali prima di copiarle). Risultati: Mancanza di ricostruibilità certa dell’evento e di eventuale portabilità in sede giudiziaria. Lesson learned: Lack of Tech and Procedural Preparation. (Pre Incident Preparation, RFC 2350)
  22. 22. Litigation: lack of coordination, Lawyers, Vs Customer Vs Consultancy E-discovery: evidenze accumulate dalla consulenza tecnica, e trasmesse al legale americano unitamente a consulenza tecnica. Il Legale omette di presentare la parte digitale della consulenza Il legale viene citato per negligence L’azienda viene multata per violazione delle regole federali sulla produzione delle digital evidences nei processi civili: Lesson learned: mancanza di preparazione e di coordinamento tra avvocati, clienti e consulenti tecnici. Motivo: mancanza di preparazione e di procedure operative adeguate.
  23. 23. Risk Mitigation Framework Fonte: Dflabs&Terremark Incident Prevention and Preparation (Including Forensics andIT SecurityProcess Fraud)Management andSupport, including Pre-Incidentvulnerability management Preparation EnterpriseKnow where Businessyour data are Security Application Security Incident Response and Management investigation (Including Forensics and Test Your Apps Fraud) Business Risk Management, Use the Right Policy, standards, Technologies, Legal and guidelines Technology Page  23
  24. 24. Conclusioni Il Risk Response è ormai divenuto un must e, per quanto riguarda l’information security, rientra nella disciplina dell’incident management Richiede un impiego di risorse di varia provenienza e un budget adeguato L’aspetto tecnologico è sicuramente abilitante e va sviluppato in parallelo rispetto a quello organizzativo È richiesta la massima consapevolezza da parte degli utenti finali
  25. 25. THANKSDario V Forte, CFE, CISM. CGEIT, Founder and Ceo DFLabs Italy, Info@dflabs.com www.dflabs.com

×