<Insert Picture Here> Data Security Governance: come conciliare esigenze tecniche, obiettivi di business e vincoli di budget Andrea Gaglietto – Protiviti [email protected] Luca Mazzocchi – Saipem [email protected] Andrea Goisis – Zeropiu [email protected] Agenda • • • • • Introduzione Data Breach Data Governance Normative e Standard Le Misure di Sicurezza • Database Security • Criticità nella sicurezza del dato • L’approccio metodologico • Un caso concreto: SAIPEM • Declinazione dell’approccio • Il piano di intervento • Risultati e benefici attesi Introduzione .....L’Incremento del volume dei dati gestiti dalle aziende e dei canali a disposizione per accedervi hanno portato nuove e interessanti opportunità........ ....E al contempo, una crescita delle potenziali minacce ai requisiti di confidenzialità, integrità e disponibilità delle informazioni...... ....Diventa rilevante definire un approccio strutturato alla gestione delle informazioni, che permetta di mitigare il rischio di compromissione dell’informazioni e di subire un Data Breach..... Security Risk Process Data Data Breach Alcune Statistiche: • Circa 1 miliardo di utenti/records hanno subito data breach nel periodo 2008- 2013. • I casi di data breach malevoli hanno “ determinato un costo medio di $160 per record; gli attacchi malevoli hanno causato il costo più elevato. 2013 Data breaches - Alcuni Esempi Aprile Luglio Dicembre Una società di marketing ha subito un cyber attack massivo ai suoi sistemi, con conseguente “accesso non autorizzato ad alcuni dati di clienti”. L’attacco ha coinvolto nome, e-mail, data di nascita e password criptate, impattando su 50 milioni di utenti. Una Società francese sviluppatrice e distributrice di videogiochi mette in guardia 58 milioni di utenti rivelando di aver subito un accesso illegale ai suoi sistemi online, e quindi al suo database, che includeva il nome degli utenti, l’indirizzo e-mail e password criptate. Hacker russi sono stati in grado di ottenere 54 millioni di dati identificativi di cittadini turchi. Il comitato Turkey’s Supreme Election aveva inizialmente condiviso questi dati con le diverse parti politiche, che conservavano le informazioni su siti web non sicuri, facile preda degli hacker. Data Breach - Benchmark Distribuzione dei costi del Data Breach per settori industriali (US$) – 2013 (relativo al singolo record) Sources: Ponemon Institute. Ricerca di benchmark sponsorizzata da Symantec Costo medio per Paese delle tre principali cause del Data Breach (US$) – 2013 (relativo al singolo record) Data Governance - Minacce La Data Governance è l’insieme di processi e di strumenti tesi a garantire l’efficace gestione, in termini di valorizzazione e di protezione delle informazioni aziendali, durante il loro intero ciclo di vita. Persone Asset informativi strategici incustoditi Dipendenti infedeli Disattenzione/incuria nel modificare i dati Relative al sito Hacking Social Engineering Tecnologiche Minacce Malfunzionamento/ compromissione Hw e SW Malicious Codes Data Governance - Le esigenze Indicatori di esigenza di un programma di Data Governance: Incidenti con violazione della confidenzialità delle informazioni / Sanzioni comminate Assenza di policy e di procedure per l’adempimento degli obblighi di compliance Identificazione di criticità o di rischi nell’accesso, nella conservazione e nel trattamento delle informazioni Incidenti di sicurezza IT Operazioni straordinarie / rilevanti: fusioni, acquisizioni, dismissioni, partnership, outsourcing di processi di business / sistemi, etc. Mancanza di policy e di processi per la gestione delle informazioni: classificazione, monitoraggio, etc. Incompleta mappatura dei punti di archiviazione / replica delle informazioni aziendali e dei diritti di accesso agli stessi Rischi / criticità relativi all’infrastruttura per il monitoraggio e per il controllo dell’accesso alle informazioni (staffing, strumenti, etc.) Data Governance - Il modello Data Governance Model Implementazione delle misure di sicurezza Security Rilevazione delle informazioni e dell’architettura dei dati Risk Process Data Definizione Remediation Plan Sviluppo/ miglioramento di policy e processi di sicurezza Classificazione delle informzioni ed identificazione dei rischi Il Processo di Data Breach Scoperta dell’Incidente di Data Breach: necessaria la definizione di misure organizzative e tecnologiche a supporto della rilevazione tempestiva dell’evento di data breach Escalation Notifica • • • Risposta ex-post: organizzare e coordinare le attività del Team di risposta all’incidente di data breach definire il piano di comunicazione per la sua gestione predisporre documenti (richiesti dalle normative vigenti) da inviare al target dell’incidente Normative e Standard Circolare n. 263 di Banca d’Italia ......É definito uno standard aziendale di data governance che individua ruoli e responsabilità delle funzioni coinvolte nell’utilizzo e nel trattamento, al fine di assicurare nel continuo l’integrità, completezza e correttezza dei dati conservati e delle informazioni..... PCI DSS 3.0 Aggiornamento dello standard PCI per rispondere in modo più efficace alle nuove minacce e ai cambiamenti associati all’evoluzione del mercato. Ad esempio: • Gestione delle terze parti • Sicurezza fisica dei terminali ISO 27001:2013 Aggiornamento dello standard per la gestione sicura delle informazioni, ad esempio: Normative e Standard • Valutazione dei rischi sulla base dell’impatto derivante dalla compromissione della confidenzialità, dell’integrità e della disponibilità delle informazioni • Domini specifici relativi alla gestione della crittografia e della sicurezza delle informazioni nei rapporti con le terze parti • Gestione account e password Privacy • Regolamento UE n. 611/2013 «il fornitore notifica all’autorità nazionale competente la violazione di dati personali entro un termine di 24 ore......» • Provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali (c.d. Data breach) - 4 Aprile 2013 Le misure di sicurezza Modello di Security Data Governance Policy e Procedure di Sicurezza MISURE ORGANIZZATIVE MISURE TECNOLOGICHE Programma di comunicazione e sensibilizzazione Training Newsletter Workshop Soluzioni di sicurezza perimetrale / infrastrutturale Data Loss Prevention Crittografia Gestione accessi e profili (IAM) Log & Monitoring DRM / IRM Disaster Recovery Classificazione delle informazioni SEGRETO RISERVATO INTERNO PUBBLICO Database Security E-Learning Agenda • • • • • Introduzione Data Breach Data Governance Normative e Standard Le Misure di Sicurezza • Database Security • Criticità nella sicurezza del dato • L’approccio metodologico • Un caso concreto: SAIPEM • Declinazione dell’approccio • Il piano di intervento • Risultati e benefici attesi Zeropiu Servizi operativi ZEROPIU System integrator attivo nel campo della sicurezza logica, con focalizzazione su: • Role, Identity and Access Management • Information security • Mobile security • Infrastructure security • Servizi operativi specialistici, basati su SLA e best practice ITIL • Audit e consulenza Privacy Società certificata ISO 9001:2008 per sviluppo e servizi in ambito IT Sicurezza di: Identità digitali, Informazioni, Infrastruttura, mobile. Consulenza Progetti Il contesto Criticità Velocità di crescita dei dati Vincoli Espansione data breach Overall Exabytes * 3000 2500 Budget + 2000 1500 Compliance 1000 500 0 1986 1993 2000 2007 2013 = Reazione Aumento investimenti sicurezza * Data Breach Investigation Report 2013 – Verizon Risk Team E i dati ?? E i dati ?? La protezione del perimetro forse non basta più: • Ambienti eterogenei e poco monitorati • Informazioni sensibili non cifrate • Password condivise • Procedure di sicurezza insufficienti • Condivisione di dati “sensibili” con terze parti • Sviluppatori lavorano su dati reali Fase 1: • Kickoff meeting Necessità di un approccio strutturato Fase 2: Data Governance Model Implementazione delle misure di sicurezza • Interviste iterative Security Rilevazione delle informazioni e dell’architettur a dei dati Risk Fase 3: Process • Elaborazione risultati interviste Data Fase 4: • Presentazione risultati Assessment Definizione Remediation Plan Sviluppo/ miglioramento di policy e processi di sicurezza Classificazione delle informzioni ed identificazione dei rischi Approccio strutturato: la metodologia Fase 1: Fase 2: • Interviste iterative Fase 3: • Elaborazione risultati interviste Fase 4: • Presentazione risultati 3-8 settimane • Kickoff meeting Il metodo – Fase 1 Kickoff Meeting • Presentazione metodo; • Definizione perimetro; • Profondità dell’assessment: • di dettaglio; • per classe di servizi, • analisi di alto livello; • Pianificazione attività; • Presentazione obiettivi / risultati; • Attori coinvolti: • CIO, CISO, Compliance, DBA, Application Manager; Il metodo – Fase 2 (Interviste) Business Context: • Dettaglio dei servizi a supporto del business, processi critici e relativi dati • Analisi dell’impatto derivante da perdita di sicurezza (riservatezza, disponibilità, integrità) • Rischi inerenti per mancata conformità, di immagine o operativi • Attori: CISO, Compliance, AM Technical Context: • Numero database; • Architettura data center; • Tecnologie database, erogazione servizi, ecc.. • Storage, Sistemi operativi, ecc.. • Metodologie di accesso ai servizi • Log, SIEM • Sicurezza DB: • DB Access, Server Access, Firewall & Log Manager, Data protection, Secure Configuration (SOD, patches…) • Attori: DBA, Infrastrutture, CISO Il metodo - Fasi 3 e 4 Fase 3: Elaborazione risultati interviste • Elaborazione dati raccolti; • Raggruppamento database per classi omogenee (tipologia, versione, ecc..) • Analisi del livello di maturità • Ipotesi di modello to be • Attori: Consulenti, CISO Fase 4: Presentazione risultati Assessment • • • • • Presentazione as is - Maturity evaluation data security Opportunità di miglioramento della sicurezza Benefici attesi e tecnologie abilitanti Matrice di fattibilità e priorità di intervento Attori: CIO, CISO; Deliverables: maturity evaluation & priority matrix High Data Maturity Evaluation Encryption As Is Feasibility Secure • Level of 1 Configuration simplicity • Transformation speed Access Control 1.5 Un-formal change process and Force Named policy; security patches are not regularly applied and Accounts Access 2 configuration management is not regulated Privileged SYS / SYSTEMControl passwords Account widely used by a small number of DBA; systematic use of application passwords. DB Firewalling Recommended & Logging Production environment separated from development & test; policy and procedures for change and patch management Implement SOD for DBA 2 Named account and privileged Data management access Masking Formal DB backup implemented. DB Upgrade Data Protection 2 No other data protection at rest, in transit, on exports; production database is used for development Segregate Use of encryption ofEnviroments DB data. 3.5 Test and development data deidentified. Low DB Activity Monitoring& Blocking and Audit 2.5 Product/Capability Low Some No log management. applicative PHP controls via self developed classes. Absence of real time alerting. 4 Protect database connection from malicious SQL injections both from applications, and from direct access tools. Implement formal logging and auditing/alerting procedures. Priority/Urgence • Gap recovery opportunities between “As Is” and “Recommended” • Potential impact generated High Un caso concreto Saipem: A Leading Global EP(I)C General Contractor Revenues (2012) Backlog (31st December, 2012) 13.4 B€ 19.7 B€ Employees (31st December, 2013) Engineers & Project Managers 48,600 > 7,000 Operating in more than 60 countries, more than 50 permanent establishments, employees from 127 nationalities Drilling High quality player onshore and in niches offshore Engineering & Construction Full service EP(I)C provider Distinctive ‘frontier focus’ in Oil & Gas industries Most modern, technologically advanced offshore construction fleet Saipem: l’ICT Security • Sviluppa su base pluriennale iniziative e progetti finalizzati ad un progressivo sviluppo della sicurezza, lavorando su processi e tecnologie User EndPoint Network Service Application Data Obiettivi e vincoli Riferimenti normativi • SOX • l. 262/05 • Informazione al mercato • Responsbilità amministrativa (231/01) Riferimenti di contesto Criticità • Perimetro aziendale variabile • Sicurezza del contesto operativo • Diverse tutele legislative • Esposizione a: • frodi • sabotaggio • attacchi informatici • Operatività 24x7 Disponibilità Integrità Riservatezza Dati strutturati Saipem: applicazione metodo Settembre 2013 Ottobre 2013 Fase 1: Kickoff Meeting Ottobre 2013 Novembre 2013 Inizio 2014 Fase 2: Interviste • Presentazione metodo • Definizione perimetro: tutti i database • Modalità di analisi • generale tutti i database; • dettagliata per i database soggetti a compliance SOX • Stakeholders: CIO, CISO,Compliance Ref. Infrastrutture e DB, AM; • Infrastruttura (CISO + Ref. infrastrutture e DB): •Numero di database - 300+ database •Tipologie: Oracle, MS SQL Server, Sybase •Infrastrutture: virtualizzata, linux oriented, business continuity • Procedure di sicurezza (CISO + Ref. infrastrutture e DB): •Patch Management, Access Management, Procedure di hardening, Sistemi di controllo • Compliance (CISO, Compliance, Ref. infrastrutture e DB, AM): •Servizi / Database soggetti a SOX Fase 3: Elaborazione risultati interviste •Elaborazione dati raccolti • Stakeholders: CISO, Compliance, Ref. Infrastrutture e DB, AM Fase 4: Presentazione risultati Assessment •Raggruppamento database •Oracle (ver 9-11), MS Sql Server, Sybase •Criticità: SOX (Priorità 1), Priorità 2, Priorità 3 •Presentazione “as is” - Maturity evaluation data security •Maturity Model: posizionamento rispetto alla metodologia •Benefici attesi e tecnologie abilitanti: EUS - Vault - Masking •Preparazione modello “to be” •Matrice di fattibilità e priorità di intervento •Stakeholders: Zeropiu, CISO •Stakeholders: CIO, CISO, Compliance, Responsabile DBA, AM; •Opportunità di miglioramento della sicurezza Saipem: dal metodo ai progetti Settembre 2013 Ottobre 2013 Ottobre 2013 Vision Novembre 2013 Inizio 2014 Action Metodo Priorità 1: Segregazione dei ruoli Oracle database vault Progetto Priorità di investimento Solution Selection Scope Stakeholder analysis Comunicazione Enterprise User Security Mascheramento dati Priorità 3: Oracle Data Masking 3 mesi • • • • • Priorità 2: 4 mesi Accesso nominale Elapsed Misurazione gap Definizione della roadmap Priorità Action Verifica improvement Individuare gli obiettivi intermedi 3 mesi • • • • • •
© Copyright 2024 Paperzz