Internet Governance Forum Online - Aldo PEDICO 7/10/2020 - Teleion
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Internet Governance Forum Online Aldo PEDICO 7/10/2020
CYBERSECURITY
PERCHÉ CYBER-SECURITY ?
1° PER TUTELARE LE ESIGENZE AZIENDALI E PERSONALI, RISPONDENDO ALLE SFIDE GLOBALI E
FRONTEGGIARE IN MODO ADEGUATO IL TERRORISMO, LA CRIMINALITÀ ORGANIZZATA E GLI ATTACCHI DI
ORDINE GENERALE SIN … (DAL 2009)
[Tratto dall'articolo «Il Paradigma: Modelli 231/2001 e Sistema Qualità Cibersicurezza» dell'Avvocato Costanza Matteuzzi e Aldo Pedico]
2° RANSOMWARE, MALWARE DISTRUTTIVO, MINACCE (THREATS) INTERNE E PERSINO ERRORI ONESTI DEGLI
UTENTI RAPPRESENTANO MINACCE CONTINUE PER LE ORGANIZZAZIONI E PER LE PERSONE
[From: NIST Cybersecurity White Paper – Securing Data Integrity Against Ransomware Attacks: Using the NIST Cybersecurity Framework and NIST Cybersecurity Practice Guides – Data
Set: NIST CWP Sec. Data Int. against Ransomware.pdf]
CYBERSECURITY CHE COSA È LA CYBER-SECURITY CYBER: sono i processi (insieme di programmi) automatizzati (siti web, telecomunicazioni, trasmissioni, posta elettronica, computer, cellulari, ecc.) e tutti i dati da essi trattati sia personali sia aziendali (in formato digitale) [NON è la CIBERNETICA! Scienza che studia l’applicazione ai sistemi automatici (robot, ecc.) dei processi mentali ed è UNA delle applicazioni della I.A. (un’altra è la cybersecurity, ecc.)] NIST SP 800-160 afferma: «Le strutture artificiali di calcolo e di comunicazione, rappresentate dal prefisso “cyber”, formano un sistema distribuito che interagisce direttamente e dinamicamente con il mondo reale che le circonda ..» SECURITY: protezione dei dati (personali e aziendali) e delle attività allo scopo di garantire sia la sicurezza degli individui [Reg. UE 2016/679] sia la continuità dei servizi aziendali
CYBERSECURITY
MAPPA PROCESSO DI SECURITY ASSESSMENT
[MIO PERCORSO MENTALE]
Comunicazione al Garante (art.
Minaccia 35, DPO art. 39 1 let.d) e let.e)
GDPR)
Rischio 6) Implica VdI
1) 8) Tentativi
Calcolo 7) Gestione
Implica intrusione IDS
del Rischio eventi
2) 5)
Impone Stabiliscono il Ciberresilienza del
rischio residuo Impatto sulle 9) Evento sistema (art. 32
Vulnerabilità Attività On
circoscritto
BC GDPR)
3) Going
Evidenzia Contromisure
4) * Tecniche sviluppo e test 10) Evento DR
Determina (art. 25 GDPR) 11) disastroso
* Prodotti protezione e Data
monitoraggio (art. 32 Breach
5) Contromisure
GDPR) Comunicazione al Garante (art.
tecniche e
* Formazione (art. 39 c.1 33 e 34 , DPO art. 39 1 let.d) e
organizzative
let.b) GDPR) let.e) GDPR)
Nota: in questo mio schema non considero gli aspetti del Sistema di Gestione dell’azienda e della struttura organizzativa del personale
4
CYBERSECURITY
CONTRO QUALI MINACCE
Tratto da: «COMPUTER TECHNOLOGY
RESEARCH CORP. – ENTERPRISEWIDE
NETWORK SECURITY – EFFECTIVE
IMPLEMENTATION AND
INTERNATIONAL STANDARD - ED.
1994»
CYBERSECURITY
CONTRO QUALI MINACCE
UN MALINTENZIONATO PUÒ ATTACCARE QUALSIASI DISPOSITIVO COLLEGATO IN RETE E,
INDIRETTAMENTE, AD UN DISPOSITIVO NON CONNESSO (TRAMITE USB, ECC.)
GLI ATTACCHI AVVENGO AI DISPOSITIVI FISICI: COMPUTER, CELLULARI, PROCESSI PRODUTTIVI,
AUTOVETTURE, APPARATI RETE, DOMESTICI, POS, ATM, ECC.
E ALLE LORO
APPLICAZIONI: FINANZIARIE (CERTIFICATI TLS, ATM, POS, CC, ECC.), PRODUZIONE,
POSTA, CLOUD, SOCIAL, ECC.
AGENDO SUI DATI O SUL SW RESIDENTI NELLA MEMORIA CENTRALE DEL
COME ? DISPOSITIVO E NELLA STORAGE (MEMORIA PERIFERICA) AD ESSO
COLLEGATOCYBERSECURITY
CALCOLO DEL RISCHIO
ASSIOMI
(A): «Sono i rischi che contano, non le vulnerabilità….»
(B): «La probabilità e l’impatto possono essere ridotti, il rischio non può essere
eliminato….»CYBERSECURITY
CALCOLO DEL RISCHIO
CI SONO 4 OPZIONI DISPONIBILI PER IL TRATTAMENTO DEL RISCHIO:
1. RIDUZIONE
(MODIFICATION)
Suggerisco di inserire queste opzioni
2. MANTENIMENTO
nel Registro dei trattamenti [art. 30 del
(RETENTION)
Reg. UE 2016/679] a dimostrazione
3. PREVENZIONE
(AVOIDANCE) delle azioni effettuate per la
Valutazione di Impatto
4. TRASFERIMENTO
(SHARING)
Rischio Residuo VdI art.
35 GDPRCYBERSECURITY
CALCOLO DEL RISCHIO
Gravità
✓ prevenzione 4
1. RISCHI CON UN ALTO LIVELLO DI GRAVITÀ E Attenzione su
✓ protezione 3
ALTA PROBABILITÀ misure di:
✓ recupero 2
1
1 2 3 4 Probabilità
2. RISCHI CON UN ALTO LIVELLO DI GRAVITÀ E Attenzione su
BASSA PROBABILITÀ misure di: ✓ prevenzione Prevenzione → Gravità
Recupero → Probabilità
3. RISCHI CON UN BASSO LIVELLO DI GRAVITÀ Attenzione su
✓ recupero
E ALTA PROBABILITÀ misure di:
4. RISCHI CON UNA BASSA GRAVITÀ E PROBABILITÀ
IN ALCUNI CASI NON SI RIESCE NÉ A PREVENIRE NÉ A PROTEGGERE:
SI PUÒ SOLO RECUPERARE! ….. RESILIENZACYBERSECURITY
CIBERRESILIENZA
DEFINIZIONE «0» DI RESILIENZA Nasce dallo studio della Scienza dei Materiali
È “la capacità di un materiale di recuperare lo stato originale a fronte di un cambiamento di stato”
Esempi: la molla, l’elastico
ULTERIORE DEFINIZIONE
L’ingegneria della resilienza informatica è una disciplina emergente di
INGEGNERIA SISTEMI SPECIALI APPLICATA + INGEGNERIA RESILIENZA + INGEGNERIA SICUREZZA DEI SISTEMICYBERSECURITY
CIBERRESILIENZA
OBIETTIVI
1. ANTICIPARE
GLI OBIETTIVI SUPPORTANO IL COLLEGAMENTO TRA LE DECISIONI DI
2. RESISTERE GESTIONE DEL RISCHIO A LIVELLO DI MISSIONE/PROCESSO AZIENDALE E DI
3. RECUPERARE SISTEMA E LA STRATEGIA DI GESTIONE DEL RISCHIO
4. ADATTARE DELL’ORGANIZZAZIONE [SP 800-39].CYBERSECURITY
ZERO TRUST (ZT) NIST SP 800-207 Zero Trust Architecture
UN MALINTENZIONATO PUÒ ATTACCARE QUALSIASI DISPOSITIVO COLLEGATO IN RETE E, INDIRETTAMENTE, AD UN
DISPOSITIVO NON CONNESSO (TRAMITE USB, ECC.)
Vi ricordate questa diapositiva? GLI ATTACCHI AVVENGO AI DISPOSITIVI FISICI: COMPUTER, CELLULARI, DISPOSITIVI GESTIONE PROCESSI PRODUTTIVI,
AUTOVETTURE, APPARATI RETE, DISPOSITIVI DOMESTICI, ECC.
E ALLE LORO
APPLICAZIONI: FINANZIARIE (CERTIFICATI TLS, ECC.), PRODUZIONE, POSTA, CLOUD, SOCIAL, ECC.
COME ? AGENDO SUI DATI O SUL SW RESIDENTI NELLA MEMORIA CENTRALE DEL DISPOSITIVO E NELLA
STORAGE (MEMORIA PERIFERICA) AD ESSO COLLEGATO
ZERO TRUSTCYBERSECURITY ZERO TRUST (ZT) NIST SP 800-207 Zero Trust Architecture PERCHÉ ZERO TRUST ? 1. L’INFRASTRUTTURA DI UN’AZIENDA È DIVENTATA PIÙ COMPLESSA. 2. UNA SINGOLA AZIENDA PUÒ GESTIRE DIVERSE RETI INTERNE, UFFICI REMOTI CON LA PROPRIA INFRASTRUTTURA LOCALE, INDIVIDUI REMOTI E/O MOBILI E SERVIZI CLOUD. 3. QUESTA COMPLESSITÀ HA SUPERATO I METODI TRADIZIONALI DI SICUREZZA DELLA RETE BASATA SUL PERIMETRO POICHÉ NON ESISTE UN PERIMETRO UNICO E FACILMENTE IDENTIFICABILE. 4. LA SICUREZZA DELLA RETE BASATA SUL PERIMETRO SI È DIMOSTRATA INSUFFICIENTE POICHÉ UNA VOLTA CHE GLI AGGRESSORI NE VIOLANO IL PERIMETRO, NON SUBISCONO OSTACOLI PER ULTERIORI MOVIMENTI TRASVERSALI.
CYBERSECURITY ZERO TRUST (ZT) NIST SP 800-207 Zero Trust Architecture PER CUI ➢ QUESTA COMPLESSITÀ PORTA ALLO SVILUPPO DI UN NUOVO MODELLO DEI PRINCIPI DELLA SICUREZZA NOTO COME “ZERO TRUST” (ZT). ➢ ZT SI CONCENTRA PRINCIPALMENTE SULLA PROTEZIONE DEI DATI MA PUÒ ESSERE AMPLIATO A TUTTE LE RISORSE AZIENDALI, COME DISPOSITIVI, INFRASTRUTTURA E UTENTI. ➢ SI PRESUME CHE UN MALINTENZIONATO SIA SEMPRE PRESENTE NELLA RETE (E … NON “SE ARRIVERÀ!”) E CHE LA RETE NON SIA PIÙ AFFIDABILE.
CYBERSECURITY
ZERO TRUST (ZT) NIST SP 800-207 Zero Trust Architecture
STORIA
➢ Defense Information Systems Agency (DISA) e il Dipartimento della difesa americano hanno
pubblicato una strategia più sicura denominata “Black Core” [BCORE] (Nucleo Nero).
➢ Il Black Core implicava il passaggio DA un modello di SICUREZZA BASATO SUL PERIMETRO A UNO INCENTRATO
SULLA SICUREZZA DELLE SINGOLE TRANSAZIONI.
➢ Jericho Forum nel 1994 ha pubblicizzato l’idea della deperimetrizzazione, limitando la fiducia implicita in base
alla posizione della rete e le limitazioni del fare affidamento su difese singole e statiche su un ampio segmento di
rete [JERICHO].
➢ I concetti di deperimetrizzazione si sono evoluti e migliorati nel più ampio concetto di ZT, che è stato
successivamente coniato da John Kindervag.
➢ ZT è il termine per descrivere varie soluzioni di sicurezza informatica che hanno spostato la sicurezza DALLA
fiducia implicita in base alla posizione della rete ALLA valutazione della fiducia sulle transazioni.
NIST a febbraio 2020 pubblica il draft SP 800-207 e, ad agosto c.a., il documento finale, disponibile gratuitamente a chiunqueCYBERSECURITY
ZERO TRUST (ZT) NIST SP 800-207 Zero Trust Architecture
DEFINIZIONI
➢ ZT: CONCETTI E IDEE PROGETTATE PER RIDURRE L’INCERTEZZA NELL’APPLICAZIONE DI
DECISIONI DI ACCESSO ACCURATE E SU RICHIESTA NEI SISTEMI E SERVIZI INFORMATIVI DI
FRONTE A UNA RETE VISTA COME COMPROMESSA.
➢ ZTA: PIANO DI SICUREZZA CHE UTILIZZA CONCETTI ZT E COMPRENDE RELAZIONI TRA I
COMPONENTI, PIANIFICAZIONE DEL FLUSSO DI LAVORO E POLICY DI ACCESSO.CYBERSECURITY
ZERO TRUST (ZT) NIST SP 800-207 Zero Trust Architecture
PRINCIPI
1. SPOSTARE LE DIFESE DI RETE DA PERIMETRI STATICI BASATI SULLA RETE PER CONCENTRARSI SU UTENTI, ASSET
E RISORSE.
2. NESSUNA FIDUCIA IMPLICITA CONCESSA ALLE RISORSE O AGLI ACCOUNT UTENTE IN BASE ESCLUSIVAMENTE
ALLA LORO POSIZIONE FISICA O DI RETE (AD ESEMPIO, RETI LOCALI RISPETTO A INTERNET).
3. LA FIDUCIA ZERO È UNA RISPOSTA ALLE TENDENZE DELLA RETE AZIENDALE CHE INCLUDONO UTENTI REMOTI E
RISORSE BASATE SU CLOUD NON PRESENTI ALL’INTERNO DI UN CONFINE DI RETE DI PROPRIETÀ AZIENDALE.
4. LA RETE NON È PIÙ VISTA COME IL COMPONENTE PRINCIPALE DELLA POSIZIONE DI SICUREZZA DELLA RISORSA.CYBERSECURITY
ZERO TRUST (ZT) NIST SP 800-207 Zero Trust Architecture
PRESUPPOSTI PER LO SVILUPPO DELLA RETE
1. L’INTERA RETE PRIVATA AZIENDALE NON È CONSIDERATA UNA ZONA DI FIDUCIA IMPLICITA.
2. I DISPOSITIVI SULLA RETE POTREBBERO NON ESSERE DI PROPRIETÀ O CONFIGURABILI DALLA
AZIENDA.
3. NESSUNA RISORSA È INTRINSECAMENTE ATTENDIBILE
4. NON TUTTE LE RISORSE AZIENDALI SI TROVANO SU UN’INFRASTRUTTURA DI PROPRIETÀ DELLA
AZIENDACYBERSECURITY
ZERO TRUST (ZT) NIST SP 800-207 Zero Trust Architecture
PRESUPPOSTI PER LO SVILUPPO DELLA RETE
5. I SOGGETTI E LE RISORSE AZIENDALI REMOTE NON POSSONO FIDARSI DELLA LORO
CONNESSIONE DI RETE LOCALE.
6. ASSET E FLUSSI DI LAVORO CHE SI SPOSTANO TRA L’INFRASTRUTTURA AZIENDALE E NON
AZIENDALE DEVONO AVERE UNA POLITICA E UNA POSIZIONE DI SICUREZZA COERENTI.CYBERSECURITY
ZERO TRUST (ZT) NIST SP 800-207 Zero Trust Architecture
OBIETTIVI DEL ZT
1. IMPEDIRE L’ACCESSO NON AUTORIZZATO RENDENDO IL CONTROLLO DEGLI ACCESSI IL PIÙ
GRANULARE POSSIBILE.
2. RIDURRE LE INCERTEZZE PONENDO ATTENZIONE ALL’AUTHENTICATION,
ALL’AUTHORIZATION E ALLA SHRINKING (RIDUZIONE) DELLE ZONE DI FIDUCIA IMPLICITE,
COSTRINGENDO AL MINIMO I RITARDI TEMPORALI NEI MECCANISMI DI AUTENTICAZIONE.
3. LIMITARE AL MINIMO PRIVILEGIO E RENDERE IL PIÙ GRANULARI POSSIBILE LE REGOLE DI
ACCESSO .CYBERSECURITY
ZERO TRUST (ZT) NIST SP 800-207 Zero Trust Architecture
MODELLO ZT
Nel modello astratto di accesso mostrato nella Figura 1, un utente o una macchina deve accedere a una risorsa aziendale. L’accesso è concesso
tramite le POLICY DECISION POINT (PDP) e l’applicazione della POLICY ENFORCEMENT POINT (PEP).
1. Il sistema deve garantire che l’utente sia autentico e la richiesta sia valida.
Figure 1: Zero Trust Access
2. Il PDP/PEP passa la corretta valutazione per consentire al soggetto di accedere
alla risorsa. Ciò implica che zero trust si applica a due aree fondamentali:
autenticazione e autorizzazione.
➢ Qual è il livello di fiducia sull’identità dell’utente per questa richiesta univoca?
➢ L’accesso alla risorsa è consentito dato il livello di fiducia nell’identità dell’utente?
➢ Il dispositivo utilizzato per la richiesta ha la corretta posizione di sicurezza?
➢ Ci sono altri fattori che dovrebbero essere considerati e che cambiano il livello di
fiducia (ad esempio, ora, posizione del soggetto, posizione di sicurezza del
soggetto)?CYBERSECURITY
ZERO TRUST (ZT) NIST SP 800-207 Zero Trust Architecture
COMPONENTI DELLA ZTA
Figure 2: Core Zero Trust Logical Components
1. il motore della politica
2. l’amministratore della politica (definiti di seguito).
I componenti logici ZTA utilizzano un piano di controllo separato
per comunicare, mentre i dati dell’applicazione vengono
comunicati su un piano dati.CYBERSECURITY
ZERO TRUST (ZT) NIST SP 800-207 Zero Trust Architecture
DESCRIZIONE DEI COMPONENTI DELLA ZTA
1. POLICY ENGINE (PE) Figure 2: Core Zero Trust Logical Components
2. POLICY ADMINISTRATOR (PA)
3. POLICY ENFORCEMENT POINT (PEP)
4. CONTINUOUS DIAGNOSTICS AND MITIGATION (CDM) SYSTEM
5. INDUSTRY COMPLIANCE SYSTEM
6. THREAT INTELLIGENCE FEED(S)
7. NETWORK AND SYSTEM ACTIVITY LOGS
8. DATA ACCESS POLICIES
9. ENTERPRISE PUBLIC KEY INFRASTRUCTURE (PKI)
10. ID MANAGEMENT SYSTEM
11. SECURITY INFORMATION AND EVENT MANAGEMENT (SIEM)
SYSTEMCYBERSECURITY
ZERO TRUST (ZT) NIST SP 800-207 Zero Trust Architecture
DESCRIZIONE DEI COMPONENTI DELLA ZTA
1. POLICY ENGINE (PE) Figure 2: Core Zero Trust Logical Components
➢ È responsabile della decisione finale di concedere l’accesso a una
risorsa per un determinato argomento.
➢ Utilizza la politica aziendale e input da fonti esterne (ad esempio,
sistemi CDM, servizi di intelligence sulle minacce descritti di
seguito) come input per un algoritmo di attendibilità per
concedere, negare o revocare l’accesso alla risorsa.
➢ È abbinato al componente dell’amministratore dei criteri.
➢ Acquisisce e registra la decisione (come approvata o negata) e
l’amministratore della politica esegue la decisione.CYBERSECURITY
ZERO TRUST (ZT) NIST SP 800-207 Zero Trust Architecture
DESCRIZIONE DEI COMPONENTI DELLA ZTA
2. POLICY ADMINISTRATOR (PA)
Figure 2: Core Zero Trust Logical Components
➢ È responsabile di stabilire e/o interrompere il percorso di
comunicazione tra un soggetto e una risorsa (tramite i comandi ai
PEP pertinenti).
➢ Genera qualsiasi autenticazione e token di autenticazione della
sessione o credenziali utilizzate da un client per accedere a una
risorsa.
➢ Autorizza o nega una sessione.
➢ Se la sessione è autorizzata, configura il PEP per consentire l’avvio
della sessione.
➢ Se la sessione è negata, segnala al PEP di interrompere la
connessione.CYBERSECURITY
ZERO TRUST (ZT) NIST SP 800-207 Zero Trust Architecture
DESCRIZIONE DEI COMPONENTI DELLA ZTA
3. POLICY ENFORCEMENT POINT (PEP) Figure 2: Core Zero Trust Logical Components
➢ Abilita, monitora e chiude le connessioni tra un soggetto e una
risorsa aziendale.
➢ Comunica con la PA per inoltrare richieste e/o ricevere
aggiornamenti delle politiche dalla PA.
➢ Il PEP può essere suddiviso in due diversi componenti: 1) il
client (ad esempio, agente su un laptop); 2) lato risorsa (ad
esempio, componente gateway di fronte alla risorsa che controlla
l’accesso) o un singolo componente del portale che agisce come
gatekeeper per i percorsi di comunicazione.CYBERSECURITY
ZERO TRUST (ZT) NIST SP 800-207 Zero Trust Architecture
DESCRIZIONE DEI COMPONENTI DELLA ZTA
4. CONTINUOUS DIAGNOSTICS AND MITIGATION (CDM) SYSTEM Figure 2: Core Zero Trust Logical Components
➢ Raccoglie informazioni sullo stato corrente dell’asset aziendale e
applica gli aggiornamenti alla configurazione e ai componenti
software.
➢ Fornisce al PE le informazioni sull’asset che effettua una
richiesta di accesso, ad esempio se sta eseguendo il sistema
operativo con patch appropriato (OS), l’integrità dei componenti
software approvati dall’azienda o la presenza di componenti non
approvati e se l’asset presenta vulnerabilità note.CYBERSECURITY
ZERO TRUST (ZT) NIST SP 800-207 Zero Trust Architecture
DESCRIZIONE DEI COMPONENTI DELLA ZTA
5. INDUSTRY COMPLIANCE SYSTEM Figure 2: Core Zero Trust Logical Components
➢ Garantisce che l’impresa rimanga conforme a qualsiasi
regime normativo a cui potrebbe rientrare (ad esempio,
FISMA, requisiti di sicurezza delle informazioni del settore
sanitario o finanziario).
➢ Include tutte le regole dei criteri che un’impresa sviluppa
per garantire la conformità.CYBERSECURITY
ZERO TRUST (ZT) NIST SP 800-207 Zero Trust Architecture
DESCRIZIONE DEI COMPONENTI DELLA ZTA
6. THREAT INTELLIGENCE FEED(S) Figure 2: Core Zero Trust Logical Components
➢ Fornisce informazioni da fonti interne o esterne che
aiutino il PE a prendere decisioni di accesso.
➢ Include anche difetti scoperti di recente nel software,
malware identificato di recente e attacchi segnalati ad
altre risorse a cui il motore dei criteri vorrà negare
l’accesso dalle risorse aziendali.CYBERSECURITY
ZERO TRUST (ZT) NIST SP 800-207 Zero Trust Architecture
DESCRIZIONE DEI COMPONENTI DELLA ZTA
7. NETWORK AND SYSTEM ACTIVITY LOGS
Figure 2: Core Zero Trust Logical Components
➢ Aggrega registri delle risorse, traffico di rete, azioni di accesso
alle risorse e altri eventi che forniscono feedback in tempo reale
(o quasi) sull’atteggiamento di sicurezza dei sistemi informativi
aziendali.
Le scansioni del monitor, il traffico di rete e i metadati sono
archiviati per la creazione di criteri contestuali, analisi forensi o
analisi successive, tali dati diventano un obiettivo per gli
aggressori.CYBERSECURITY
ZERO TRUST (ZT) NIST SP 800-207 Zero Trust Architecture
DESCRIZIONE DEI COMPONENTI DELLA ZTA
8. DATA ACCESS POLICIES Figure 2: Core Zero Trust Logical Components
➢ Sono gli attributi, le regole e le politiche sull’accesso alle
risorse aziendali.
➢ È codificato (tramite l’interfaccia di gestione) o generato
dinamicamente dal motore dei criteri.
➢ Sono il punto di partenza per autorizzare l’accesso a una
risorsa in quanto forniscono i privilegi di accesso di base per
account e applicazioni / servizi nell’azienda.
➢ Devono essere basate sui ruoli e sui bisogni definiti della
missione dell’organizzazione (ERM).CYBERSECURITY
ZERO TRUST (ZT) NIST SP 800-207 Zero Trust Architecture
DESCRIZIONE DEI COMPONENTI DELLA ZTA
9. ENTERPRISE PUBLIC KEY INFRASTRUCTURE (PKI) Figure 2: Core Zero Trust Logical Components
➢ È responsabile della generazione e della registrazione dei
certificati rilasciati dall’azienda a risorse, soggetti, servizi e
applicazioni.
➢ Include anche l’ecosistema dell’autorità di certificazione
globale e la PKI.CYBERSECURITY
ZERO TRUST (ZT) NIST SP 800-207 Zero Trust Architecture
DESCRIZIONE DEI COMPONENTI DELLA ZTA
10. ID MANAGEMENT SYSTEM Figure 2: Core Zero Trust Logical Components
➢ Crea, archivia e gestisce gli account e i record di identità (ad
esempio, server LDAP (Light Directory Access Protocol)).
➢ Contiene le informazioni necessarie sull’oggetto (ad es.
Nome, indirizzo e-mail, certificati) e altre caratteristiche
aziendali come ruolo, attributi di accesso e risorse assegnate.CYBERSECURITY
ZERO TRUST (ZT) NIST SP 800-207 Zero Trust Architecture
DESCRIZIONE DEI COMPONENTI DELLA ZTA
11. SECURITY INFORMATION AND EVENT MANAGEMENT (SIEM) Figure 2: Core Zero Trust Logical Components
SYSTEM
➢ Raccoglie informazioni incentrate sulla sicurezza per un’analisi
successiva.
➢ Questi dati vengono quindi utilizzati per perfezionare le policy e
avvisare di possibili attacchi contro le risorse aziendali.CYBERSECURITY
E L’ERM NIST IR 8286 - Integrating Cybersecurity and Enterprise Risk Management (ERM)
ERM = ENTERPRISE RISK MANAGEMENT
➢ È LA COMPRENSIONE DI TUTTI I RISCHI NEGATIVI (MINACCE) E POSITIVI (OPPORTUNITÀ).
➢ PRODURRE UN REGISTRO DEI RISCHI UTILIZZATO PER TRACCIARE E COMUNICARE LE
INFORMAZIONI.CYBERSECURITY
E L’ERM NIST IR 8286 - Integrating Cybersecurity and Enterprise Risk Management (ERM)
APPROCCIO ALL’ERM
➢ La riga superiore nella figura mostra 6
passi con le frecce che ne indicano la
sequenza.
➢ La riga inferiore di caselle spiega
l’output di ogni passaggio.
➢ L’elemento nella parte inferiore della
figura indica che la comunicazione e la
consultazione avvengono in tutte le
Figure 2: ERM Framework Example fasi.CYBERSECURITY
E L’ERM NIST IR 8286 - Integrating Cybersecurity and Enterprise Risk Management (ERM)
APPROCCIO ALL’ERM
1. IDENTIFICARE IL CONTESTO. Il contesto è l’ambiente in cui l’impresa opera ed è influenzato
dai rischi connessi.
2. IDENTIFICARE I RISCHI. (IDENTIFICARE i RISCHI POSITIVI e NEGATIVI; DETERMINARE che
cosa migliora o ostacola gli obiettivi e rischi derivanti dal mancato perseguimento.
3. ANALIZZARE I RISCHI. STIMA
4. PRIORIZZARE I RISCHI. ESPOSIZIONE
5. PIANIFICARE ED ESEGUIRE STRATEGIE DI RISPOSTA AL RISCHIO
6. MONITORARE, VALUTARE E REGOLARE.CYBERSECURITY
E L’ERM NIST IR 8286 - Integrating Cybersecurity and Enterprise Risk Management (ERM)
APPROCCIO ALL’ERM
1. IDENTIFICARE IL CONTESTO. Il contesto è l’ambiente in cui l’impresa opera ed è influenzato
dai rischi connessi.
2. IDENTIFICARE I RISCHI. (IDENTIFICARE i RISCHI POSITIVI e NEGATIVI; DETERMINARE che
cosa migliora o ostacola gli obiettivi e rischi derivanti dal mancato perseguimento.
3. ANALIZZARE I RISCHI. STIMA
4. PRIORIZZARE I RISCHI. ESPOSIZIONE
5. PIANIFICARE ED ESEGUIRE STRATEGIE DI RISPOSTA AL RISCHIO
6. MONITORARE, VALUTARE E REGOLARE.CYBERSECURITY
E L’ERM NIST IR 8286 - Integrating Cybersecurity and Enterprise Risk Management (ERM)
ALLINEARE IL RISCHIO DELLA CIBERSICUREZZA CON IL RISCHIO AZIENDALE
➢ REGISTRO DEI RISCHI PER LA CIBERSICUREZZA, AL FINE DI GESTIRE IL RISCHIO:
1. AGGREGARE RISCHI DERIVANTI DA MINACCE AVVERSE E GUASTI DEL SISTEMA (È IL CONSOLIDAMENTO DI
INFORMAZIONI SIMILI O CORRELATE)
2. NORMALIZZARE INFORMAZIONI TRA LE UNITÀ ORGANIZZATIVE PER FORNIRE AI DIRIGENTI CIÒ CHE
NECESSITA PER MISURARE LA MISSIONE, LE FINANZE E L’ESPOSIZIONE DELLA REPUTAZIONE. (È LA
CONVERSIONE DI INFORMAZIONI IN RAPPRESENTAZIONI E CATEGORIZZAZIONI COERENTI).
3. PRIORIZZARE ATTIVITÀ DI MITIGAZIONE DEL RISCHIO COMBINANDO INFORMAZIONI SUI RISCHI CON LA
MISSIONE AZIENDALE E GLI ORIENTAMENTI DI BILANCIO PER RISPOSTE APPROPRIATECYBERSECURITY E L’ERM NIST IR 8286 - Integrating Cybersecurity and Enterprise Risk Management (ERM) ALLINEARE IL RISCHIO DELLA CIBERSICUREZZA CON IL RISCHIO AZIENDALE Information Flow between System, Organization, and Enterprise Levels
CYBERSECURITY
RISCHI INFRASTRUTTURA NIST SP 800-209 Security Guidelines for Storage Infrastructure
ARCHIVIAZIONE, ELABORAZIONE E RETI COSTITUISCONO I TRE
ELEMENTI FONDAMENTALI DELL’INFRASTRUTTURA
INFORMATICA.CYBERSECURITY
RISCHI INFRASTRUTTURA NIST SP 800-209 Security Guidelines for Storage Infrastructure
ELENCO PARTICOLARI SPECIFICHE DI SICUREZZA
1. DATA PROTECTION
2. ISOLATION
3. RESTORATION ASSURANCE
4. ENCRYPTIONCYBERSECURITY
RISCHI INFRASTRUTTURA NIST SP 800-209 Security Guidelines for Storage Infrastructure
ELENCO DELLE MINACCE
1. CREDENTIAL THEFT
2. CRACKING ENCRYPTION
3. INFECTION OF MALWARE AND RANSOMWARE [IL RANSOMWARE È UN TIPO DI MALWARE]
4. BACKDOORS AND UNPATCHED VULNERABILITIES
5. PRIVILEGE ESCALATION
6. HUMAN ERROR AND DELIBERATE MISCONFIGURATIONCYBERSECURITY
RISCHI INFRASTRUTTURA NIST SP 800-209 Security Guidelines for Storage Infrastructure
ELENCO DEI RISCHI DELLA MEMORIA E DELLO STORAGE
1. DATA BREACH
2. DATA EXPOSURE
3. UNAUTHORIZED DATA ALTERATION
4. DATA CORRUPTION
5. COMPROMISING BACKUPS
6. DATA OBFUSCATION AND ENCRYPTION
7. TAMPERING OF STORAGE-RELATED LOG AND AUDIT DATA
8. DATA AVAILABILITY AND DENIAL OF SERVICECYBERSECURITY
L’UE E LA CYBERSECURITY
LA SICUREZZA DELLE INFORMAZIONI COME IMPEGNO COMUNE!
L’UE ha dettato delle regole giuridiche vincolanti volte a individuare le misure di sicurezza da attuare per la
protezione delle informazioni contenute nei sistemi informatici di un’azienda.
✓ REGOLAMENTO GENERALE PER LA PROTEZIONE DEI DATI PERSONALI [REG. (UE) 2016/679 - RGPD O
GDPR]
✓ REGOLAMENTO UE 2019/881 CIBERSICUREZZA O CYBERSECURITY ACT
✓ METODOLOGIA EDPB 1/2018 – NOTE OPERATIVE E SPECIFICHE TECNICHE PER LA PREDISPOSIZIONE ALLA
CERTIFICAZIONE
✓ MODELLO CMMC (Cybersecurity Maturity Model Certification - Carnegie Mellon University & The Johns Hopkins University Applied
Physics Laboratory LLC )
✓ EDPB GUIDELINES 6/2020 ON THE INTERPLAY OF THE SECOND PAYMENT SERVICES DIRECTIVE (PSD2) AND
THE GDPR
✓ EDPB GUIDELINES 8/2020 ON THE TARGETING OF SOCIAL MEDIA USERSGrazie per l’attenzione. aldo.pedico@teleion.it +39 348 22 44 924
Puoi anche leggere
