L’analisi della sicurezza informatica in ambito economico aziendale: analisi e valutazione economica dei rischi e valutazione dei costi Tipologia di investimenti e costi delle soluzioni Elio Molteni – Corradino Corradi Smau 2002 28 ottobre 2002 Introduzione Ogni organizzazione deve individuare le contromisure appropriate! contromisure Elio Molteni [email protected] => investimenti Corradino Corradi [email protected] 2 Tipologie di investimenti Tecnologie Organizzazione Formazione Consulenza Elio Molteni [email protected] Corradino Corradi [email protected] 3 Sicurezza significa Garantire il giusto “mix” in termini di : •Integrità •Disponibilità •Confidenzialità Elio Molteni [email protected] Corradino Corradi [email protected] 4 ..il “bisogno” di sicurezza! Fattore di spesa per addetto (1= mediano) Settore Dimensione (Knowledge Workers) 50 100 300 1000 3000+ Manufatturiero Servizi finanziari I D C I D C I D C I D C I D C 2 1 1 2 1 1 2 1 1 2 1 1 2 1 1 3 3 2 3 3 2 3 3 2 3 3 2 3 3 2 Pubblica amministrazione Altri servizi (telco…) 3 2 1 3 2 1 3 2 1 3 2 1 3 2 1 3 2 1 3 2 1 3 2 1 3 2 1 3 2 1 Oltre a: disponibilità, integrità e confidenzialità ==> "L" Compliancy with applicable Laws" Elio Molteni [email protected] Corradino Corradi [email protected] 5 Provvedimenti in base a IDCL (l’aspetto legale come rafforzamento dei parametri IDC) Controllo Accessi: ICL Sicurezza email: CDI Back-Up: DL Sicurezza fisica aree: D Protezione malicious code: IDLC Security training: L Incident “handling”: IDL Elio Molteni [email protected] Corradino Corradi [email protected] 6 Provvedimenti / Contromisure Contromisure tecnologiche Provvedimenti per … Protezione da malicius code, spamming, virus, worms etc. Controllo accessi firewall intrusion detection x x x x antivirus logging x x x Provvedimenti per … Protezione da malicius code, spamming, virus, worms etc. Controllo accessi sistemi di controllo accesso logico (RAS) server hardering sw (test e cluster sw sw and (HA) (analysis) (developement) release) sw maintenance (patch update) x x x Contromisure organizzative definizione di policies e risk procedure di miglioramento management sicurezza dei processi x x Elio Molteni [email protected] x x x Corradino Corradi [email protected] 7 Investimenti in base alla tipologia di azienda Investimento in tecnologia per il controllo accessi sistemi di controllo accesso Azienda stesso settore in base al intrusion logico n. dipendenti firewall detection antivirus logging (RAS) 10 dipendenti x 1000 dipendenti x x x x Elio Molteni [email protected] server hardering sw (test e cluster sw sw and (HA) (analysis) (developement) release) x sw maintenance (patch update) x x Corradino Corradi [email protected] 8 Riassumendo... ...dall’home user, alla grande azienda, per lo stesso problema si hanno differenti investimenti in: •Tecnologia •Organizzazione •Formazione •Consulenza Elio Molteni [email protected] Corradino Corradi [email protected] 9
Scarica
