PresentazioneCavalieriDigitaliSafeWars-CISO.pptx

CORPORATE PRESENTATION 2015 WWW.COMMITSOFTWARE.IT
(dis) avventure nella
Galassia Digitale
powered by

QUALE
GALASSIA?

Impariamo qualcosa da
uno degli attacchi più riusciti della storia
basati sulla vulnerabilità

3 BBY 1 BBY 0 BBY

«E ricorda questo: il
bisogno imperiale di
controllo è così disperato
perché è così innaturale.
La tirannia richiede uno
sforzo costante.
Si rompe, perde colpi.
L'autorità è fragile.
L'oppressione è la
maschera della paura.»
tratto dal Manifesto di Nemik

GRAN MOFF
TARKIN
DIRETTORE
KRENNIC
SICUREZZA

ciò che pensa il C-level
spendiamo poco per favore
[il mio MBO è sull'EBITDA]
riduciamo ragionevolmente il rischio e
non mettiamo in difficoltà la
continuità aziendale
• non sono graditi blocchi per
attacco, ma nemmeno blocchi per
update/upgrade

ciò che pensa l’esperto cyber-security
non voglio spiegare a chi non capisce
[non ho un MBO, mi fanno baloccare]
risolvo il prossimo problema, così torno
a...
ho configurato già tutto al meglio, ma
devo comprare quel nuovo strumento
«figo» che farà molte cose in automatico
e così sarò ancora più impenetrabile

Quale approccio sbagliato?
«Non ne posso più di ascoltare il pessimismo del team IT, che non
comprendo fino in fondo, e che secondo me non è un rischio reale...»
• NON ENTRARE NEL MERITO
• FEDE NELL’ORDINE

Quale approccio sbagliato?
«I manager ci considerano poco, non vogliono mai pianificare
investimenti e lavoriamo sempre in emergenza»
• NON DIFENDERE LE PROPRIE SCELTE
• CREDERE NELLA TECNOLOGIA

Aggiungi un pizzico di compliance…

OBBLIGO
SCELTA
VOLONTARIA
MIGLIORAMENT
O

come reagisce il manager
«cavolo adesso anche la sanzione, oltre a mille rotture»

come reagisce l'esperto
«io non ho niente da fare... la nostra architettura IT è super-sicura»

UN’OCCASIONE PERSA

10 ambiti di applicazione misure NIS2
Politiche analisi rischi e sicurezza sistemi
Valutazione continua delle minacce e implementazione controlli
proporzionati
Gestione incidenti
Procedure di rilevamento, risposta e notifica entro 24 ore alle autorità
Continuità operativa, backup, disaster recovery
Piani di ripristino con RTO e RPO definiti, testati periodicamente
Sicurezza supply chain
Valutazione e monitoraggio continuo dei fornitori critici
Sicurezza acquisizione, sviluppo, manutenzione
Security by design in tutti i processi di sviluppo software
Valutazione efficacia misure
Audit periodici e metriche di sicurezza misurabili
Igiene informatica e formazione
Awareness continua per tutti i dipendenti, non solo IT
Politiche crittografia
Protezione dati in transito e a riposo con standard moderni
Sicurezza risorse umane e controllo accessi
Principio del privilegio minimo e segregazione dei ruoli
MFA e comunicazioni protette
Autenticazione multi-fattore obbligatoria per accessi critici

cosa sbaglia il manager
• perde di vista la possibilità di avere linee guida per non "tralasciare"
nessuno aspetto e un'occasione per elevare la cultura di tutti i
dipendenti sul tema sicurezza

cosa sbaglia l'esperto
• non coglie l'importanza di rendere sistematico il suo contributo in
azienda e di poter ridurre la possibilità di errori umani (sui quali ha
poche possibilità di scampo)

chi fa da «intermediario» tra questi due
personaggi?
CISO:
Chief
Information
Security
Officer

CRO/CAE CIO/CTO
Commerciale
Marketing
HR
Legale
CFO
CONSIGLIO DI
AMMINISTRAZIONE
AMMINISTRATORE
DELEGATO
Mantenere l’Alta Direzione
informata sul livello attuale e
sul potenziale impatto
aziendale dei rischi informatici.
Creare valore gestendo i costi per
mantenere l'azienda al sicuro
Rispettare i requisiti legali, compresi gli aspetti di
sicurezza informatica.
Consentire l'innovazione riducendo
l'esposizione alle minacce
informatiche
Sensibilizzare i dipendenti al cyber e
assumere profili specializzati
Innovare tenendo conto di come gestire
l'attività con interruzioni minime.
Salvaguardare la reputazione aziendale
promuovendo la crescita e gestire la comunicazione
in caso di violazione.
Responsabile della
sicurezza informatica
(CISO)

Il ruolo del CISO
24
Il ruolo centrale del CISO nella difesa dell'azienda dalle minacce informatiche richiede tre caratteristiche chiave per
avere il giusto supporto nel coordinamento con l'ampia rete di stakeholder richiesti
Allineamento dei progetti informatici e della valutazione dei rischi con il business,
promozione della consapevolezza informatica.
Proteggere gli asset aziendali sviluppando una comprensione del panorama delle minacce e
promuovendo azioni per mitigare le vulnerabilità all'interno dell'organizzazione, come l'implementazione
di soluzioni tecnologiche e l'adozione di standard nazionali e internazionali.
Il CISO deve possedere e bilanciare tre caratteristiche principali: supportare il raggiungimento della strategia aziendale (Strategia),
proteggere gli asset aziendali attraverso la selezione e la corretta gestione delle tecnologie adeguate (Protezione) e garantire un
adeguato supporto alle strategie di business, minimizzando il rischio cibernetico (Consigliere).
APPROCCIO
Garantire il coordinamento tra la strategia aziendale e la strategia informatica,
guidando gli investimenti per un'efficace gestione del rischio informatico.
STRATEGIA
CONSIGLIERE
PROTEZIONE

Le attività del CISO
Oltre alle aree di intervento principali, il CISO è anche responsabile della gestione del personale addetto alla sicurezza informatica, della gestione del
budget, dei programmi di formazione e sensibilizzazione e della gestione delle terze parti, che sono trasversali ai pilastri identificati, con ciascuno che
influenza e rafforza gli altri.
Obiettivi principali del CISO
GESTIONE DEI PROGETTI E DEI
RISCHI INFORMATICI
Gestire il rischio informatico e il programma: Stabilire linee
guida chiare e implementare soluzioni appropriate per
mitigare il rischio informatico, tenendo d'occhio il budget e
l'efficacia.
Garanzia dei progetti critici: Garantire che i progetti chiave
raggiungano gli obiettivi prefissati entro i tempi e il budget
previsti, fornire indicazioni in caso di necessità di azioni
correttive.
Definizione degli obiettivi strategici: Garantire che gli
obiettivi dichiarati siano efficaci e allineati alle esigenze
aziendali, attraverso una revisione periodica.
REVISIONE E AGGIORNAMENTO
DELLA STRATEGIA
Innovazione e adattamento: Garantire che le principali
attività aziendali, le innovazioni e i lanci di prodotto abbiano
il supporto adeguato per la cybersecurity.
Definizione della roadmap informatica: Assicurarsi che i
principali stakeholder siano allineati con la strategia di
cybersecurity, i suoi obiettivi e i tempi di attuazione previsti.
Gestione dei processi: Assicurare che i processi di sicurezza
raggiungano i KPI desiderati e garantire un monitoraggio e
una supervisione adeguati (SLA, KPI, budget).
OPERAZIONI QUOTIDIANE
Politiche e procedure: Definire, implementare e aggiornare
le politiche, le procedure e gli standard di sicurezza per
garantire che soddisfino le esigenze aziendali attuali, le
minacce rilevanti e i requisiti normativi.
Monitoraggio e risposta alla sicurezza: Gestire le attività di
monitoraggio della sicurezza e rispondere agli incidenti in
modo tempestivo ed efficace per ridurre al minimo
l'impatto sul business.
Gestione delle relazioni: Stabilire e mantenere una rete di
pari di alta qualità per garantire azioni tempestive ed
efficaci, tra cui CTO, CIO, legali, ecc.

REGOLE & PROCESSI
TECNOLOGIA
SICUREZZA
CULTURA
+
CONSAPEVOLEZZA

#awareness
#organization
#empowerment
#security

Questions?

PresentazioneCavalieriDigitaliSafeWars-CISO.pptx

More Related Content

Similar to PresentazioneCavalieriDigitaliSafeWars-CISO.pptx

PresentazioneCavalieriDigitaliSafeWars-CISO.pptx

Editor's Notes