18.03.2014_gaglietto-goisis-mazzocchi

<Insert Picture Here>
Data Security Governance: come conciliare esigenze tecniche,
obiettivi di business e vincoli di budget
Andrea Gaglietto – Protiviti
[email protected]
Luca Mazzocchi – Saipem
[email protected]
Andrea Goisis – Zeropiu
[email protected]
Agenda
•
•
•
•
•
Introduzione
Data Breach
Data Governance
Normative e Standard
Le Misure di Sicurezza
• Database Security
• Criticità nella sicurezza del dato
• L’approccio metodologico
• Un caso concreto: SAIPEM
• Declinazione dell’approccio
• Il piano di intervento
• Risultati e benefici attesi
Introduzione
.....L’Incremento del volume dei dati gestiti
dalle aziende e dei canali a disposizione per
accedervi hanno portato nuove e
interessanti opportunità........
....E al contempo, una crescita delle
potenziali minacce ai requisiti di
confidenzialità, integrità e disponibilità
delle informazioni......
....Diventa rilevante definire un approccio
strutturato alla gestione delle informazioni,
che permetta di mitigare il rischio di
compromissione dell’informazioni e di
subire un Data Breach.....
Security
Risk
Process
Data
Data Breach
Alcune Statistiche:
• Circa 1 miliardo di utenti/records hanno
subito data breach nel periodo 2008-
2013.
• I casi di data breach malevoli hanno
“
determinato un costo medio di $160 per
record; gli attacchi malevoli hanno
causato il costo più elevato.
2013 Data breaches - Alcuni Esempi
Aprile
Luglio
Dicembre
Una società di marketing ha subito un cyber attack massivo ai suoi sistemi, con
conseguente “accesso non autorizzato ad alcuni dati di clienti”. L’attacco ha coinvolto
nome, e-mail, data di nascita e password criptate, impattando su 50 milioni di utenti.
Una Società francese sviluppatrice e distributrice di videogiochi mette in guardia 58
milioni di utenti rivelando di aver subito un accesso illegale ai suoi sistemi online, e quindi
al suo database, che includeva il nome degli utenti, l’indirizzo e-mail e password criptate.
Hacker russi sono stati in grado di ottenere 54 millioni di dati identificativi di cittadini
turchi. Il comitato Turkey’s Supreme Election aveva inizialmente condiviso questi dati con
le diverse parti politiche, che conservavano le informazioni su siti web non sicuri, facile
preda degli hacker.
Data Breach - Benchmark
Distribuzione dei costi del Data Breach per settori industriali (US$) – 2013
(relativo al singolo record)
Sources: Ponemon Institute. Ricerca di benchmark sponsorizzata da Symantec
Costo medio per Paese delle tre principali cause del Data Breach (US$) – 2013
(relativo al singolo record)
Data Governance - Minacce
La Data Governance è l’insieme di processi e di strumenti tesi a garantire l’efficace gestione, in termini di
valorizzazione e di protezione delle informazioni aziendali, durante il loro intero ciclo di vita.
Persone
Asset informativi
strategici incustoditi
Dipendenti infedeli
Disattenzione/incuria
nel modificare i dati
Relative al sito
Hacking
Social Engineering
Tecnologiche
Minacce
Malfunzionamento/
compromissione Hw e SW
Malicious Codes
Data Governance - Le esigenze
Indicatori di esigenza di un programma di Data
Governance:
Incidenti con violazione della confidenzialità delle informazioni /
Sanzioni comminate
Assenza di policy e di procedure per l’adempimento degli obblighi di
compliance
Identificazione di criticità o di rischi nell’accesso, nella conservazione e
nel trattamento delle informazioni
Incidenti di sicurezza IT
Operazioni straordinarie / rilevanti: fusioni, acquisizioni, dismissioni,
partnership, outsourcing di processi di business / sistemi, etc.
Mancanza di policy e di processi per la gestione delle informazioni:
classificazione, monitoraggio, etc.
Incompleta mappatura dei punti di archiviazione / replica delle
informazioni aziendali e dei diritti di accesso agli stessi
Rischi / criticità relativi all’infrastruttura per il monitoraggio e per il
controllo dell’accesso alle informazioni (staffing, strumenti, etc.)
Data Governance - Il modello
Data Governance Model
Implementazione
delle misure di
sicurezza
Security
Rilevazione
delle
informazioni e
dell’architettura
dei dati
Risk
Process
Data
Definizione
Remediation
Plan
Sviluppo/
miglioramento
di policy e
processi di
sicurezza
Classificazione
delle
informzioni ed
identificazione
dei rischi
Il Processo di Data Breach
Scoperta dell’Incidente di Data Breach:
necessaria la definizione di misure organizzative e tecnologiche
a supporto della rilevazione tempestiva dell’evento di data breach
Escalation
Notifica
•
•
•
Risposta ex-post:
organizzare e coordinare le attività del Team di risposta all’incidente di data breach
definire il piano di comunicazione per la sua gestione
predisporre documenti (richiesti dalle normative vigenti) da inviare al target dell’incidente
Normative e Standard
Circolare n. 263 di Banca d’Italia
......É definito uno standard aziendale di data governance che individua ruoli e
responsabilità delle funzioni coinvolte nell’utilizzo e nel trattamento, al fine di assicurare
nel continuo l’integrità, completezza e correttezza dei dati conservati e delle
informazioni.....
PCI DSS 3.0
Aggiornamento dello standard PCI per rispondere
in modo più efficace alle nuove minacce e ai
cambiamenti associati all’evoluzione del mercato.
Ad esempio:
• Gestione delle terze parti
• Sicurezza fisica dei terminali
ISO 27001:2013
Aggiornamento dello standard per la gestione
sicura delle informazioni, ad esempio:
Normative
e
Standard
• Valutazione dei rischi sulla base dell’impatto
derivante dalla compromissione della
confidenzialità, dell’integrità e della
disponibilità delle informazioni
• Domini specifici relativi alla gestione della
crittografia e della sicurezza delle informazioni
nei rapporti con le terze parti
• Gestione account e password
Privacy
• Regolamento UE n. 611/2013 «il fornitore notifica all’autorità nazionale competente la
violazione di dati personali entro un termine di 24 ore......»
• Provvedimento in materia di attuazione della disciplina sulla comunicazione delle
violazioni di dati personali (c.d. Data breach) - 4 Aprile 2013
Le misure di sicurezza
Modello di Security Data
Governance
Policy e Procedure di
Sicurezza
MISURE
ORGANIZZATIVE
MISURE
TECNOLOGICHE
Programma di comunicazione
e sensibilizzazione
Training
Newsletter
Workshop
Soluzioni di sicurezza
perimetrale /
infrastrutturale
Data Loss Prevention
Crittografia
Gestione accessi e
profili (IAM)
Log & Monitoring
DRM / IRM
Disaster Recovery
Classificazione delle
informazioni
SEGRETO
RISERVATO
INTERNO
PUBBLICO
Database Security
E-Learning
Agenda
•
•
•
•
•
Introduzione
Data Breach
Data Governance
Normative e Standard
Le Misure di Sicurezza
• Database Security
• Criticità nella sicurezza del dato
• L’approccio metodologico
• Un caso concreto: SAIPEM
• Declinazione dell’approccio
• Il piano di intervento
• Risultati e benefici attesi
Zeropiu
Servizi
operativi
ZEROPIU
System integrator attivo nel
campo della sicurezza logica,
con focalizzazione su:
• Role, Identity and Access
Management
• Information security
• Mobile security
• Infrastructure security
• Servizi operativi specialistici,
basati su SLA e best practice
ITIL
• Audit e consulenza Privacy
Società certificata ISO
9001:2008 per sviluppo e
servizi in ambito IT
Sicurezza di:
Identità digitali,
Informazioni,
Infrastruttura,
mobile.
Consulenza
Progetti
Il contesto
Criticità
Velocità di crescita dei dati
Vincoli
Espansione data breach
Overall Exabytes
*
3000
2500
Budget
+
2000
1500
Compliance
1000
500
0
1986 1993 2000 2007 2013
=
Reazione
Aumento investimenti sicurezza
* Data Breach Investigation Report 2013 – Verizon Risk Team
E i dati ??
E i dati ??
La protezione del perimetro forse non basta più:
•
Ambienti eterogenei e poco monitorati
•
Informazioni sensibili non cifrate
•
Password condivise
•
Procedure di sicurezza insufficienti
•
Condivisione di dati “sensibili” con terze parti
•
Sviluppatori lavorano su dati reali
Fase 1:
• Kickoff meeting
Necessità di un
approccio strutturato
Fase 2:
Data Governance Model
Implementazione
delle misure di
sicurezza
• Interviste iterative
Security
Rilevazione
delle
informazioni e
dell’architettur
a dei dati
Risk
Fase 3:
Process
• Elaborazione risultati interviste
Data
Fase 4:
• Presentazione risultati Assessment
Definizione
Remediation
Plan
Sviluppo/
miglioramento
di policy e
processi di
sicurezza
Classificazione
delle
informzioni ed
identificazione
dei rischi
Approccio strutturato: la metodologia
Fase 1:
Fase 2:
• Interviste iterative
Fase 3:
• Elaborazione risultati interviste
Fase 4:
• Presentazione risultati
3-8 settimane
• Kickoff meeting
Il metodo – Fase 1
Kickoff Meeting
• Presentazione metodo;
• Definizione perimetro;
• Profondità dell’assessment:
• di dettaglio;
• per classe di servizi,
• analisi di alto livello;
• Pianificazione attività;
• Presentazione obiettivi / risultati;
• Attori coinvolti:
• CIO, CISO, Compliance, DBA, Application Manager;
Il metodo – Fase 2 (Interviste)
Business Context:
• Dettaglio dei servizi a supporto del business, processi critici e relativi dati
• Analisi dell’impatto derivante da perdita di sicurezza (riservatezza, disponibilità,
integrità)
• Rischi inerenti per mancata conformità, di immagine o operativi
• Attori: CISO, Compliance, AM
Technical Context:
• Numero database;
• Architettura data center;
• Tecnologie database, erogazione servizi, ecc..
• Storage, Sistemi operativi, ecc..
• Metodologie di accesso ai servizi
• Log, SIEM
• Sicurezza DB:
• DB Access, Server Access, Firewall & Log Manager, Data protection, Secure
Configuration (SOD, patches…)
• Attori: DBA, Infrastrutture, CISO
Il metodo - Fasi 3 e 4
Fase 3: Elaborazione risultati interviste
• Elaborazione dati raccolti;
• Raggruppamento database per classi omogenee
(tipologia, versione, ecc..)
• Analisi del livello di maturità
• Ipotesi di modello to be
• Attori: Consulenti, CISO
Fase 4: Presentazione risultati
Assessment
•
•
•
•
•
Presentazione as is - Maturity evaluation data security
Opportunità di miglioramento della sicurezza
Benefici attesi e tecnologie abilitanti
Matrice di fattibilità e priorità di intervento
Attori: CIO, CISO;
Deliverables: maturity evaluation & priority matrix
High
Data
Maturity Evaluation
Encryption
As Is
Feasibility
Secure
• Level
of
1
Configuration
simplicity
• Transformation
speed
Access
Control
1.5
Un-formal change process and
Force Named
policy; security patches are not
regularly applied and Accounts Access
2
configuration management is not
regulated
Privileged
SYS / SYSTEMControl
passwords
Account
widely used by a small
number
of DBA; systematic use of
application passwords.
DB Firewalling
Recommended
& Logging
Production environment
separated from development &
test; policy and procedures for
change and patch management
Implement
SOD for DBA
2 Named account and privileged
Data management
access
Masking
Formal DB backup implemented. DB Upgrade
Data
Protection
2
No other data protection at rest,
in transit, on exports; production
database is used for
development
Segregate
Use of encryption ofEnviroments
DB data.
3.5 Test and development data deidentified.
Low
DB Activity
Monitoring&
Blocking and
Audit
2.5
Product/Capability
Low Some
No log management.
applicative PHP controls via self
developed classes. Absence of
real time alerting.
4
Protect database connection
from malicious SQL injections
both from applications, and from
direct access tools. Implement
formal logging and
auditing/alerting procedures.
Priority/Urgence
• Gap recovery opportunities between
“As Is” and “Recommended”
• Potential impact generated
High
Un caso concreto
Saipem: A Leading Global EP(I)C General Contractor
 Revenues (2012)
Backlog (31st December, 2012)
13.4 B€
19.7 B€
 Employees (31st December, 2013)
Engineers & Project Managers
48,600
> 7,000
Operating in more than 60 countries,
more than 50 permanent establishments,
employees from 127 nationalities
Drilling
High quality player onshore
and in niches offshore
Engineering & Construction
Full service EP(I)C provider
 Distinctive ‘frontier focus’
in Oil & Gas industries
 Most modern, technologically
advanced offshore construction fleet
Saipem: l’ICT Security
• Sviluppa su base pluriennale iniziative e progetti finalizzati ad un progressivo
sviluppo della sicurezza, lavorando su processi e tecnologie
User
EndPoint
Network
Service
Application
Data
Obiettivi e vincoli
Riferimenti
normativi
• SOX
• l. 262/05
• Informazione al
mercato
• Responsbilità
amministrativa
(231/01)
Riferimenti
di
contesto
Criticità
• Perimetro aziendale
variabile
• Sicurezza del
contesto operativo
• Diverse tutele
legislative
• Esposizione a:
• frodi
• sabotaggio
• attacchi informatici
• Operatività 24x7
Disponibilità
Integrità
Riservatezza
Dati
strutturati
Saipem: applicazione metodo
Settembre 2013
Ottobre 2013
Fase 1: Kickoff Meeting
Ottobre 2013
Novembre 2013
Inizio 2014
Fase 2: Interviste
• Presentazione metodo
• Definizione perimetro: tutti i database
• Modalità di analisi
• generale tutti i database;
• dettagliata per i database soggetti a compliance SOX
• Stakeholders: CIO, CISO,Compliance Ref. Infrastrutture e
DB, AM;
• Infrastruttura (CISO + Ref. infrastrutture e DB):
•Numero di database - 300+ database
•Tipologie: Oracle, MS SQL Server, Sybase
•Infrastrutture: virtualizzata, linux oriented, business continuity
• Procedure di sicurezza (CISO + Ref. infrastrutture e DB):
•Patch Management, Access Management, Procedure di
hardening, Sistemi di controllo
• Compliance (CISO, Compliance, Ref. infrastrutture e DB, AM):
•Servizi / Database soggetti a SOX
Fase 3: Elaborazione risultati interviste
•Elaborazione dati raccolti
• Stakeholders: CISO, Compliance, Ref. Infrastrutture e DB, AM
Fase 4: Presentazione risultati
Assessment
•Raggruppamento database
•Oracle (ver 9-11), MS Sql Server, Sybase
•Criticità: SOX (Priorità 1), Priorità 2, Priorità 3
•Presentazione “as is” - Maturity evaluation data security
•Maturity Model: posizionamento rispetto alla
metodologia
•Benefici attesi e tecnologie abilitanti: EUS - Vault - Masking
•Preparazione modello “to be”
•Matrice di fattibilità e priorità di intervento
•Stakeholders: Zeropiu, CISO
•Stakeholders: CIO, CISO, Compliance, Responsabile DBA,
AM;
•Opportunità di miglioramento della sicurezza
Saipem: dal metodo ai progetti
Settembre 2013
Ottobre 2013
Ottobre 2013
Vision
Novembre 2013
Inizio 2014
Action
Metodo
Priorità 1:
Segregazione dei ruoli
Oracle database vault
Progetto
Priorità di investimento
Solution Selection
Scope
Stakeholder analysis
Comunicazione
Enterprise User Security
Mascheramento dati
Priorità 3:
Oracle Data Masking
3 mesi
•
•
•
•
•
Priorità 2:
4 mesi
Accesso nominale
Elapsed
Misurazione gap
Definizione della roadmap
Priorità
Action
Verifica improvement
Individuare gli obiettivi intermedi
3 mesi
•
•
•
•
•
•