CONVERGENZA TRA SAFETY E SICUREZZA FISICA, LOGICA E ORGANIZZATIVA - (più Business Controls) AIIC - COLLOQUIA Università Roma Tre 24 Novembre 2016 ...
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
CONVERGENZA TRA
SAFETY E SICUREZZA
FISICA, LOGICA E ORGANIZZATIVA
(più Business Controls)
AIIC – COLLOQUIA
Università Roma Tre
24 Novembre 2016
Claudio Pantaleo
Corporate Senior Security Executive
® 2008 - 2016 Claudio Pantaleo CSO, MdL
CONVERGENZA TRA
SAFETY E SICUREZZA
FISICA, LOGICA E ORGANIZZATIVA
• RUOLO DEL PUBBLICO E DEL PRIVATO NELLA SICUREZZA
• LA SICUREZZA ORGANIZZATIVA NELL'EPOCA DEL CONTENIMENTO
DELLA SPESA
• CONVERGENZA DEI BUSINESS CONTROLS, DELLA TECNOLOGIA,
DELLE POLICY E PROCEDURE, DELLA STRUTTURA ORGANIZZATIVA
E DEI CONTROLLI DI SICUREZZA
® 2008 - 2016 Claudio Pantaleo CSO, MdL
IL NUOVO CONTESTO IN CUI OPERANO LE AZIENDE
La tutela del Patrimonio Plurilocalizzazione produttiva
Attività e dipendenti in più Nazioni
Produzione delegata ad altri (Terzo mondo, Vendors,..)
Tecnologie
Miniaturizzazione
Commercializzazione Mondiale
Conversione in valuta
-Viaggi + telefono, Web, Video
Globalizzazione del Mercato
Aumento attori interagenti (Distributori, Agenti, Concessionari,
Rivenditori, Consulenti, etc)
Utilizzo del canale telematico Internet
Nuove tendenze organizzative
Down-Sizing, Outsourcing, Vendorizzazioni
Utilizzo collaboratori non dipendenti
Rapporti di lavoro anomali / innovativi (telelavoro)
Spazi interni assegnati a Vendors
Concorrenzialità atipica
Ex dipendenti e fornitori (temporanei - w/e jobs)
potrebbero essere impegnati nello stesso mercato
® 2008 - 2016 Claudio Pantaleo CSO, MdL
IL NUOVO CONTESTO IN CUI OPERANO LE AZIENDE
Plurilocalizzazione produttiva
Tecnologie
Globalizzazione del Mercato
Nuove tendenze organizzative
Concorrenzialità atipica
Scenario di crescente instabilità politica, discontinuità di
business ed aumentata esigenza di sicurezza personale
® 2008 - 2016 Claudio Pantaleo CSO, MdL
INTERNET: INFRASTRUTTURA MONDIALE
Potenzialità & Problemi
11/88 Robert Morris - 6000 cpu down
03/99 Melissa - Primo Virus in Rete
Furto apparati IT
Trojan Horses, Worm, Back door
Saturazione Risorse DOS, DDOS,
Accessi non autorizzati rete, applicazioni e dati
uso non autorizzato risorse
Pirateria / Frode informatica
Annullamento delle distanze Modifica non autorizzata dei dati
geografiche Lettura impropria dei dati
Dictionary attack, Time bomb
Diffusione delle informazioni
Collaborazione/interazione di Intercettazione Informazioni Sensibili / Privacy
individui via computer Sabotaggio
Phishing
Compromissione Immagine Aziendale
Insiders, Hackers, Crimine Organizzato
Spionaggio Industriale, Terrorismo, Intelligence
Information Brokers
Scenario di crescente instabilità politica, discontinuità di business ed aumentata esigenza di sicurezza personale
® 2008 - 2016 Claudio Pantaleo CSO, MdL
CYBER: INFRASTRUTTURA MONDIALE
Potenzialità & Problemi
ACQUA, ELETTRICITÀ, GAS
Aumentata Apertura all’Esterno
SISTEMA BANCARIO E FINANZIARIO
Cogliere Nuove Opportunità
Danni Economici COMUNICAZIONI VOCE / DATI
Scompiglio Scoperta di Nuove Minacce / Rischi
Degradazione delle capacità
di risposta e difesa
Direttamente governate e FERROVIE, PORTI, AEROPORTI
controllate da Computers su ALTRE INFRASTRUTTURE
vaste reti di Information CRITICHE
Systems
Aumentata Esposizione Aziendale in Termini
di Probabilità e Impatto
SERVIZI DI EMERGENZA
® 2008 - 2016 Claudio Pantaleo CSO, MdL
IMPORTANZA E ADEGUAMENTO DELLE RISPOSTE
Approccio Logico Fisico Organizzativo
Strutture Esterne Development
Strutture Interne Sviluppo
Envelop Devono Essere
Chiusura su se stessi Integrate
Analisi/Risposta
® 2008 - 2016 Claudio Pantaleo CSO, MdL
Security Management
Nuovi Scenari e Nuovi Rischi
8
© Claudio Pantaleo
® 2008 - 2016 Claudio Pantaleo CSO, MdL
[Scenario Sicurezza Globale
• I contesti economici e sociali che stiamo vivendo ed i recenti
attacchi informatici portati verso entità commerciali,
infrastrutturali e di governo ci aiutano a correlare,
comprendere ed assimilare quanto è accaduto
• Essi forniscono una visibilità sui nuovi trend che faranno parte
degli aspetti che dovremo gestire
• Dovremo gestire, in modo preventivo, i nostri sistemi e le
nostre organizzazioni a tutela delle informazioni necessarie al
business d’impresa o alla operatività della struttura servizi
9
© Claudio Pantaleo
® 2008 - 2016 Claudio Pantaleo CSO, MdL[Le aziende sono cambiate
Le Aziende non sono più degli organismi monolitici/statici
• sono, sempre di più, degli organismi fluidi, nei quali le
informazioni aziendali sono pervasive, distribuite e disponibili
ovunque
Fusioni, acquisizioni, down-sizing, esternalizzazioni, logistica
distribuita, interdipendenza ed interconnettività rappresentano
elementi che generano una frammentazione estesa della
organizzazione
• Essa deve seguire l’informazione all’interno di tale sistema per
garantirne, in ogni punto di questo network, il corretto livello di
protezione
10
© Claudio Pantaleo
® 2008 - 2016 Claudio Pantaleo CSO, MdL[Extended Enterprise
Lo sviluppo e la convergenza di nuove piattaforme applicative
su Web e su mobile, le nuove tecnologie come il Mobile e
Cloud Computing ed i nuovi sistemi di social networking hanno
cambiato il concetto di “physical boundary” delle Aziende
Tale modello rende, ovviamente, disponibili nuove
opportunità, ma anche notevoli nuovi rischi per il business
poiché tali strumenti innovativi introducono anche innovativi
vettori di attacco
11
© Claudio Pantaleo
® 2008 - 2016 Claudio Pantaleo CSO, MdL[Skill & Aggiornamento
L’evoluzione tecnologica così rapida rende necessario un
aggiornamento continuo delle risorse addette alla Security,
proprio per prevenire la carenza di skill adeguati a gestire la
protezione della organizzazione nel prossimo futuro
12
© Claudio Pantaleo
® 2008 - 2016 Claudio Pantaleo CSO, MdL[I rischi aumentano?
• In un mondo aziendale così profondamente interconnesso,
intelligente e tecnologicamente avanzato, si incrementano la
nostra efficienza e la nostra capacità di connessione e di
business su scala globale, ma anche i rischi e i pericoli
diventano sofisticati e difficili da intercettare
• I criminali adeguano le loro strutture e le loro strategie al
contesto da attaccare
• La criminalità è molto focalizzata e sofisticata: prima
dell’attacco, studia i propri obiettivi prendendosi tutto il tempo
necessario per acquisire, all’interno del sistema, le
informazioni di cui necessita e pianificare le migliori strategie
di attacco
13
© Claudio Pantaleo
® 2008 - 2016 Claudio Pantaleo CSO, MdL[APT – Advanced Persistent Threat
Gli APT fanno riferimento ad
organizzazioni complesse
(gruppi criminali, Stati,
terroristi) che hanno le
capacità, le motivazioni e le
risorse finanziarie per
indirizzare un attacco in
modo costante ed efficace
verso una specifica entità,
per eseguire azioni di
spionaggio industriale,
sabotaggio, estorsione, etc.
I vettori di attacco possono
essere diversi (tecnici e non
tecnici) e le tecniche
utilizzate sono difficilmente
rilevabili
14
© Claudio Pantaleo
® 2008 - 2016 Claudio Pantaleo CSO, MdLAttacchi alle Infrastrutture Critiche
Ogni anno, aumentano gli attacchi alle Infrastrutture Critiche
La pervasività̀ della rete delle infrastrutture critiche implica che
tutti i settori di business siano soggetti ai rischi di tali
infrastrutture (i miei rischi sono anche quelli di chi mi precede – environment dinamico)
Le componenti Telecomunicazione, Energia e Trasporti
rappresentano dei pilastri fondamentali del sistema delle
Infrastrutture Critiche:
• un loro cedimento potrebbe avere un effetto domino
devastante con conseguenze umane, socio-politiche ed
economiche impredicibili
15
© Claudio Pantaleo
® 2008 - 2016 Claudio Pantaleo CSO, MdL“Adaptive capacity of an organization in a
complex and changing environment”.
Da Resilienza a Resilienza Organizzativa
La Capacità di un’Organizzazione in grado di Adattarsi in un
ambiente Complesso ed Evolutivo.
Di conseguenza, questa Capacità (competenza) di Resistere (ai
rischi) in Ambiente Complesso ed Evolutivo, può riferirsi a
qualsiasi tipo di organizzazione (grande, piccola, pubblica,
privata, governativa, ecc)
16
© Claudio Pantaleo
® 2008 - 2016 Claudio Pantaleo CSO, MdLEV O L U Z IO N E D E L L A MIN A C C IA
--- - ---
IM P O R T A N Z A E A D E G U A M E N T O
DELLE RISPOSTE
® 2008 - 2016 Claudio Pantaleo CSO, MdL….
La Sicurezza deve
adeguarsi a nuovi
scenari che ne
condizionano le
scelte e le soluzioni,
sia all’interno che
all’esterno
dell’Impresa
® 2008 - 2016 Claudio Pantaleo CSO, MdLDAL RISK MANAGEMENT ALLA BUSINESS CONTINUITY,
PASSANDO PER LA GESTIONE DELLE CRISI
• In molte Imprese, l’occuparsi di alcuni aspetti di …
Strategies
Security
Internal
Internal Audit, Controlli, Rischi, Security, Safety
Safety
Processi di
Audit
o Strategie a medio/lungo termine avviene in Sicurezza
modo isolato
• Tali argomenti vengono affrontati Processi di
singolarmente e spesso in modo tale da non Business
considerarne le strette interrelazioni.
Le Imprese devono imparare a guardare a
queste aree tra loro interconnesse e ad
occuparsi di esse in maniera più strutturata,
combinata ed ovviamente correlata.
® 2008 - 2016 Claudio Pantaleo CSO, MdL 191
Analisi dei Rischi
L’intera figura è
Necessita una squadra di Persone Esperte e Competenti
realizzata attraverso
l’interazione con tutti
Mettere assieme più
Prospettive
Nessuna
Prospettiva è
sufficiente
Oggi le persone sono molto specializzate nel loro specifico campo di attività,
e in alcune occasioni, possono perdere di vista l’intera prospettiva
® 2008 - 2016 Claudio Pantaleo CSO, MdLI Principi della Protezione del Patrimonio
FILOSOFIA OPERATIVA
DA A
Singoli ingranaggi che si
muovono in modo Un motore perfettamente
autonomo… funzionante
Sistema dei Sistemi &
Sistemi & Procedure Procedura delle Procedure
® 2008 - 2016 Claudio Pantaleo CSO, MdL 21TANTI TIPI DI ORGANIZZAZIONI…
22
® 2008 - 2016 Claudio Pantaleo CSO, MdLSecurity is a lot
® 2008 - 2016 Claudio Pantaleo CSO, MdLSecurity is a lot
HILLCREST SECURITY GROUP, LLC
www.HillcrestSecurityGroup.com
® 2008 - 2016 Claudio Pantaleo CSO, MdLContesto normativo 1942
& 2011 Art. 2087 1948
Regulatory Framework Decreto
Legislativo
C.C. Art. 32 e 41 2012
(non esaustivi) Costituz. Ddl
61 I.C. 3270/2012
1955
2009 D.P.R.
Decreto 547
Legislativo ISO 27001 ISO 31010 2013
L OT 106 (ISMS) Risk Relazioni
ISO 27037 Management Annuali
Governo &
2008 SA8000 ISO 28002
Comitato
1970 Parlamentare di
D.Lgs 81 Social Security Controllo
Testo Unico, Accountability NIST – Legge 300
Management
Direttiva BS 25999 SP800 Statuto
A
2008/114/CE
Supply Lavoratori
Business Family
Infr. Critiche Chain
Continuity (cyber sec)
management
ISO 14001
I S
EMAS 152/1975
Environmental
2007 management
Policy TULPS “ordine 1985
Protection
Legge against Piracy (Leggi pubblico” Direttive
124 (Decreto Min.
Difesa 1.09.2011
Pubblica Europee
S E C UR I T Y
NMP) Sicurezza)
ANSI – ISA 99 155/2005
(ICS-Scada) “contrasto
Certificazioni
2005 IEC-62443 Terrorismo 1994
Professionali
Normativa Internazionale”
Decreto
ADR, R.D. Legislativo
2007,2009 Best 626
1952/35
practices
“Guardie SEC(2010) 1626
“penetration
Risk Assessment
giurate” and Mapping testing”
Guidelines for
2003 Disaster
Management 1995
Decreto
Legislativo
UNI
196 10459
2002 2001 2000
Codice Decreto Legge
ISPS Legislativo 397
231
® 2008 - 2016 Claudio Pantaleo CSO, MdLNon “se”, ma “quando”
ci attaccheranno
• La consapevolezza dei rischi
rappresenta uno dei punti di
Rilevare i Rischi forza, che ci rende coscienti
sia delle minacce che
incombono sui nostri Asset e,
ancor più importante, delle
nostre vulnerabilità.
© Claudio Pantaleo
® 2008 - 2016 Claudio Pantaleo CSO, MdLTEST DI VULNERABILITÀ
Obiettivi:
• Rilevare le vulnerabilità dei sistemi dell’organizzazione
• Verificare la validità dei processi di management
• Proteggere in modo nativo da attacchi conosciuti
© Claudio Pantaleo
® 2008 - 2016 Claudio Pantaleo CSO, MdLTEST DI INTRUSIONE
Obiettivi:
• Controllare se le contromisure applicate siano efficaci
• Rilevare, oltre alle vulnerabilità dei sistemi, quelle di tipo
organizzativo / procedurale
• Simulare le attività di un potenziale attaccante per
acquisire informazioni utilizzando tecniche di social
engineering, trashing o intrusione fisica o logica
© Claudio Pantaleo
Dal film “The Great Robbery” - 1903 ® 2008 - 2016 Claudio Pantaleo CSO, MdLIMPARARE DAGLI INCIDENTI
in un contesto estremamente dinamico e VELOCE
nei suoi cambiamenti e nelle sue azioni
® 2008 - 2016 Claudio Pantaleo CSO, MdL
© Claudio PantaleoNegli ultimi anni, gli attacchi sono aumentati nel numero,
nella VELOCITA’, nell‘intensità e nella”intelligenza”
COMPUTER FRAUD
CYBERCRIME
® 2008 - 2016 Claudio Pantaleo CSO, MdLPezzo di filo lungo 11.8 pollici (29,972 cm) Inches - Centimetri
La lunghezza rappresenta un nanosecondo: La distanza massima che la luce o l'elettricità 1 2,54
possono percorrere in un miliardesimo di secondo. 11,8 29,972
1 nanosecondo = 1 milliardesimo di secondo
1.000.000.000 ==> 29,972 cm
in 1 secondo ==> 29.972.000.000 cm
in 1 secondo :100 ==> 299.720.000 metri
in 1 secondo :1.000 ==> 299.720 km
(convenzionalmente indicato come 300.000 km/Sec)
La distanza tra l‘Equatore e uno dei due poli è di circa 10.000 km,
in 1 secondo questa tratta viene effettuata 30 volte,
ossia 15 volte andata e ritorno Equatore-PoloNord-Equatore
La lunghezza dell‘Equatore Terrestre è di circa 40.075 Km,
in 1 secondo vengono effettuati 7,5 giri intorno alla terra
L‘Equatore Terrestre è uno dei cinque paralleli di riferimento ed è quello più lungo in assoluto
(con il Circolo Polare Artico , il Tropico del -Cancro,
® 2008 il Tropico
2016 Claudio del Capricorno
Pantaleo CSO, MdL e il Circolo Polare Antartico)In un Mondo VELOCISSIMO, noi siamo ancora organizzati in SILOS di competenze
Privato nella Sicurezza
Pubblico nella Sicurezza
® 2008 - 2016 Claudio Pantaleo CSO, MdLOgni SILOS presenta al Board
con le proprie metodologie e priorità
® 2008 - 2016 Claudio Pantaleo CSO, MdLDiventa necessario impostare un approccio unico, a tutto campo
Modalità Reattiva
Modalità
CentrataReattiva
sull’Evento Modalità Proattiva
Centrata
Rispostasull’Evento
Post-Evento Centrata sugli Obiettivi
Risposta Post-Evento
Ripensamento Indicatori Predittivi
Ripensamento
Transazionale Lungimiranza
Transazionale
Protezione dei Valori Strategica
Protezione dei Valori Creazione del valore
® 2008 - 2016 Claudio Pantaleo CSO, MdLSicurezza
Business Sicurezza
Logica
Controls Informatica
Sicurezza
Fisica
Convergenza
Safety
Policy & Tecnologia 626 - 231
Procedure
© Claudio Pantaleo
® 2008 - 2016 Claudio Pantaleo CSO, MdLDiventa necessario impostare un approccio unico, a tutto campo
La gestione della sicurezza globale, fornisce la risposta alle nuove sfide alla sicurezza
Riconoscimento Immediato dei Pericoli
Identificazione delle situazione di rischio "on time"
Gestione delle situazioni
Cooperazione Pubblico e Privato, Nazionale e
Prevenzione Coordinata
Internazionale
Convergenza Creare fiducia
Security Management
nella ICT Security
Sicurezza Sensibilizzazione alla Sicurezza e al concetto
di Sicurezza Globale
Sicurezza Fisica
Audit e Monitoraggio Processi di gestione degli incidenti
CERT - Computer Emergency Response Team
Valutazione e riconoscimento dei rischi
Controlli di Sicurezza
Individuazione di abusi e frodi
Affrontare e Gestire gli Incidenti di Sicurezza
Efficace sistema di comunicazione interno / esterno
Investigazioni
Crisis Management
® 2008 - 2016 Claudio Pantaleo CSO, MdLDiventa necessario impostare un approccio unico, a tutto campo
La nostra risposta strategica è nella SECURITY CONVERGENCE
coinvolgendo ogni attore anche se poco partecipativo
Pensando sempre in modo olistico
Solo lavorando insieme e convergente e sopra ogni
potremmo identificare e organizzazione o funzione aziendale
gestire i più variegati rischi !!
Convergenza
nella
Sicurezza
Avendo cura ad integrare
la sicurezza in ogni processo Coinvolgendo ogni attore
aziendale, in ogni progetto, in ogni anche se poco partecipativo
strategia e ovviamente nel lavoro quotidiano
Rilevazione Frodi - Sicurezza delle Informazioni - Privacy - ICT Security - Network Security
Emergency Management - Crisis Management - Sicurezza Fisica - Human Resources Security
Event Protection - Personal Protection - Analisi e investigazione dei casi
® 2008 - 2016 Claudio Pantaleo CSO, MdLDiventa necessario impostare un approccio unico, a tutto campo
La Convergenza inizia da ognuno di noi !
Adottare soluzioni e misure cross-funzionali
Condivisione delle Informazioni
Integrazione dei Processi
di Sicurezza Convergenza Snellimento, razionalizzazione
nella e miglioramento olistico delle
Sicurezza attività
Sviluppo di elevata
professionalità e strette Attenta valutazione olistica dei
collaborazioni professionali rischi e delle priorità
Promuovere la cultura della Convergenza in tutte le Funzioni e Strutture
Allineamento strategico:
La Sicurezza come principio per tutte le attività quotidiane
® 2008 - 2016 Claudio Pantaleo CSO, MdLDiventa necessario impostare un approccio unico, a tutto campo
Solo la Convergenza e la Cooperazione creano punti di forza
Vogare tutti nella stessa direzione !!
Convergenza
nella
Sicurezza
® 2008 - 2016 Claudio Pantaleo CSO, MdLImportanza e Adeguamento delle Risposte
I PILASTRI FONDAMENTALI
Organizzazione della Sicurezza delle Informazioni
Prevenire, rilevare e contrastare i rischi di business ed operativi
Catena di comando, operativa e di controllo priva di debolezze
Disegno dei processi di sicurezza all’interno di una matrice RACI
Responsible, Accountable, Consulted, Informed
Politiche, Procedure, Linee Guida
Classificazione delle informazioni
La rilevazione dei rischi: non è il ‘’se’’, ma il ‘’quando’’ accadrà
Test di Vulnerabilità e di Intrusione
Imparare dagli incidenti
Il Controllo e la Compliance
Il fattore umano
® 2008 - 2016 Claudio Pantaleo CSO, MdLLa Convergenza porterà benefici
a tutta l’Organizzazione
41
® 2008 - 2016 Claudio Pantaleo CSO, MdLLa Convergenza porterà benefici
a tutta l’Organizzazione
Protezione fisica degli assets
Percezione del Mercato
Protezione delle Informazioni
Resilienza Operativa Efficacia Operativa
Immagine, Reputaz., Buon Nome
Valore x Stakeholder
Salute & Safety
Comprensione del Business
Protezione Info Vitali
Protezione del Marchio
Manutenzione processi & Reputazione
& attività vitali Risposta Efficace alle
Riduzione Costi Crisi Conformità: Legale,
42
Vantaggio Competitivo
Effettiva Comprensione Protezione delle Contrattuale, Codici,
Protezione delle Persone dell’Organizzazione Compiti, Regolamenti, ..
Persone
® 2008 - 2016 Claudio Pantaleo CSO, MdLLa Convergenza porterà benefici
a tutta l’Organizzazione
Protection physical assets
Market perception
Information Protection
Operational Resilience Operational effectiveness
Stakeholder Value Image, Reputation,, Name
Health & Safety
Understanding of Business
Vital records protected
Maintenance of vital Effective Responce to
processes & activities Brend & Reputation Crisis
Protection
Competitive advantage Cost Reduction Compliance: Legal,
Real Understanding Contract, Codes,
Protection of People of the Organization Protection of People Rules, Regulatory, ..
Crisis Report Back Ups Employees Test chiamata CMT,
Awareness Revisione Procedure
43
Processes P&P, BP, Technology,
Maintenance CMT time Techniques, ,,,, look CMT workshops, Periodical simulation
for updates Calling Tree &
Simulations, Role
CMT Team Training of crisis scenarios
Backup Specifici
Plays, ….
® 2008 - 2016 Claudio Pantaleo CSO, MdLLa Convergenza porterà benefici
a tutta l’Organizzazione
Importanza e Adeguamento delle Risposte
PREVENZIONE,
…. cerchiamo di non dimenticare che:
Noè iniziò a costruire l’arca
prima che iniziasse a piovere !!
Vi ringrazio per l’attenzione
claudio_pantaleo@libero.it
Thank you for your time 44
® 2008 - 2016 Claudio Pantaleo CSO, MdLSTRATEGIC DIRECTION
Don’t stop thinking about tomorrow
Yesterday is gone
---------------------
A1
Guardare avanti effectiveness
senza
increase
perdere di vista la coda
of our field
security force
® 2008 - 2016 Claudio Pantaleo CSO, MdL® 2008 - 2016 Claudio Pantaleo CSO, MdL
Puoi anche leggere
