Privacy e Sicurezza
dalla compliance alla data loss prevention
Antonio Forzieri – CISSP, CISA, CISM
TSO Practice Manager, Security Practice
Forum PA – Privacy e Sicurezza
1
Agenda
1
Perdita di dati: lo scenario globale
2
Difendersi dagli attacchi informatici
3
Compliance e data loss prevention
Forum PA – Privacy e Sicurezza
2
Perdita di dati lo scenario Globale
Forum PA – Privacy e Sicurezza
3
I grandi temi del 2010
lo scenario Globale delle minacce





Forum PA – Privacy e Sicurezza
4
Una semplice “equazione”
Per spiegare l’universo delle minacce
Forum PA – Privacy e Sicurezza
5
Come accade tutto questo?
Le fasi di un attacco mirato
1
3
2
4
INCURSION
DISCOVERY
CAPTURE
EXFILTRATION
L’attaccante irrompe
nella rete utilizzando
malware verso sistemi
vulnerabili o sfruttando
gli utenti interni.
L’attaccante realizza una
mappa dei sistemi di
difesa, dall’interno
L’attaccante accede ai
dati sui sistemi poco
protetti. Installa
malware o toolkit per
sottrarre dati critici
I dati vengono inviati
verso un sistema sotto il
controllo dell’attaccante.
Forum PA – Privacy e Sicurezza
Crea un “battle plan”
6
Andamento delle minacce
Data Breach per settore merceologico
• Hacking come causa principale di
compromissione (attacchi mirati)
• Healthcare come obiettivo
maggiormente colpito.
• I dati dei clienti hanno costituito l’85%
dei dati sottratti.
Average Number of Identities Exposed per Data Breach by Cause
Volume of Data Breaches by Sector
Forum PA – Privacy e Sicurezza
Average Number of Identities Exposed per Data Breach by Sector
7
La Data Loss nel Mondo
Forum PA – Privacy e Sicurezza
8
Compromissioni e furto di dati
Uno sguardo al mondo reale
Forum PA – Privacy e Sicurezza
9
Compromissioni e furto di dati
è anche un fenomeno italiano
Forum PA – Privacy e Sicurezza
10
I dati nel Mercato Nero
Dove vengono venduti i dati?
Forum PA – Privacy e Sicurezza
11
Difendersi dagli attacchi informatici
Forum PA – Privacy e Sicurezza
12
Security Solutions vs Threat Landscape
Hacker
Blended
Threat
Spam
Virus
Worm
Adware
Forum PA – Privacy e Sicurezza
Disgruntled
Employee
Compliance
Deficiencies
Ambiti da proteggere
Internet
Forum PA – Privacy e Sicurezza
14
Strategia di protezione vs soluzioni
Sviluppare e diffondere
le politiche di sicurezza
Proteggere le informazioni
Proteggere le
identità
Gestire i sistemi
Proteggere le infrastrutture
Forum PA – Privacy e Sicurezza
Control Compliance Suite
Data Loss Prevention Suite
e Encryption (PGP/GE)
VeriSign™ Identity and
Authentication
IT Management Suite
Symantec Protection Suite
15
Compliance e data loss prevention
Forum PA – Privacy e Sicurezza
16
Business risk e Compliance
Uno studio ha evidenziato come i 5 principali rischi legati all’IT percepiti dalle
aziende sono (su un campione di > 4200 organizzazioni):
2010
2006
1.Perdita di dati dei propri clienti
2.Minacce di sicurezza
100%
3.Interruzione del business
80%
4.Profitti/customer retention
60%
5.Non conformità legali o normative
40%
20%
0%
5
4
3
2
1
Sono gli stessi top five sin dal 2006
Il rischio sta tuttavia aumentando di anno in anno
Forum PA – Privacy e Sicurezza
17
CONFIDENTIAL
…Sicurezza e Compliance
NORMATIVE E
STANDARD
Rischi di non
Conformità
Necessità dei controlli
Forum PA – Privacy e Sicurezza
18
Convergenza tra
Data Loss Prevention & Compliance
Forum PA – Privacy e Sicurezza
19
Data Loss Prevention
l’approccio Symantec
Dove sono i miei dati
confidenziali?
Forum PA – Privacy e Sicurezza
Come vengono
utilizzati?
Come prevenire la
perdita dei dati?
Benefici della Data Loss Prevention
Localizzare le
informazioni
confidenziali
Forum PA – Privacy e Sicurezza
Ridurre il rischio
di diffusione
accidentale
Dimostrare la
“due diligence”
Educare gli utenti
nella gestione dei
dati riservati
Compliance
Raggiungere e mantenere la conformità
Redazione e gestione delle
politiche
Traduzione delle politiche
in controlli tecnici
Reporting (raccolta delle
evidenze)
Rispondere alle necessità di conformità
con regolamenti interni ed esterni
Applicare i controlli sistematicamente
per ridurre i rischi di sicurezza e di non
conformità e verificarne periodicamente
l’efficacia / efficienza
Dimostrare la “due diligence” nel
rispetto
politiche
e
verificare
l’attuazione dei controlli IT
Forum PA – Privacy e Sicurezza
22
I benefici della Compliance (1)
Forum PA – Privacy e Sicurezza
23
I benefici della Compliance (2)
Forum PA – Privacy e Sicurezza
24
Symantec Compliance Program
Solution Framework
Forum PA – Privacy e Sicurezza
25
Thank you!
Copyright © 2011 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in
the U.S. and other countries. Other names may be trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied,
are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.
Forum PA – Privacy e Sicurezza
26