Security and The Economy
Come gestire il rischio in tempo di crisi
Strategize
Plan
Execute
Manage
Mauro Orlando
This presentation, including any supporting materials, is owned by Gartner,
Inc. and/or its affiliates and is for the sole use of the intended Gartner
audience or other authorized recipients. This presentation may contain
information that is confidential, proprietary or otherwise legally protected, and
it may not be further copied, distributed or publicly displayed without the
express written permission of Gartner, Inc. or its affiliates.
© 2009 Gartner, Inc. and/or its affiliates. All rights reserved.
Gartner Consulting
Come si evolve la spesa per la sicurezza?
No a tagli drastici anche in presenza di budget tagliati
La spesa di sicurezza rimane
pressoché in linea con gli anni passati
Cambia la distribuzione della spesa
per natura:
Security Spend as a Percent of IT Spend
• meno HW e personale
• più SW e consulenza
Distribution of Security Spend
Source: Gartner IT Key Metrics Data 2009 - Excluding Disaster Recovery
© 2009 Gartner, Inc. All Rights Reserved.
1
La sicurezza è un lusso?
Il mantenimento di un livello adeguato è una necessità
 Nei momenti di difficoltà dovuti a budget tagliati o ritardo nella loro
approvazione possono essere messe in campo alcune azioni tattiche:
 Mantenimento della protezione di base. E’ necessario individuare cosa non è
deferibile o riducibile: es. manutenzione dei firewall, sicurezza e-mail, gestione
delle vulnerabilità, aggiornamento prodotti anti-malware.
 Scendere a compromessi (assennati). E’ necessario posporre alcune iniziative
o rinunciare a componenti accessorie.
 Richiedere decisioni esplicite. E’ necessario spiegare bene le condizioni di
rischio legate alle diverse opzioni e richiedere una specifica accettazione del
nuovo profilo di rischio derivante dalle scelte di riduzione della spesa.
 Soddisfare gli adempimenti contrattuali, legali ed etici. E’ necessario mantenere
i livelli di sicurezza richiesti o annunciare esplicitamente l’impossibilità di farlo.
Aggiornare il profilo di rischio
ad ogni decisione che tagli
iniziative di sicurezza
© 2009 Gartner, Inc. All Rights Reserved.
Comunicare in modo
trasparente la situazione a
tutti gli stakeholder
Chiedere decisioni esplicite
su tutte le questioni che
influenzano il livello di rischio
2
Quali sono le sfide chiave per il 2009?
Crisi o no, la sicurezza è chiamata a fare la sua parte
 Ridurre i costi operativi
 Usare piattaforme di sicurezza
 Usare diverse opzioni di sourcing
 Supportare i cambiamenti business
 “Consumerization”
 Collaborazione sicura
 Anticipare le minacce
 Indirizzare l’imprevedibilità delle nuove minacce
 Rafforzare i meccanismi di autenticazione
 Migliorare la “data security”
 Assicurare la compliance
Source: Gartner Research
© 2009 Gartner, Inc. All Rights Reserved.
3
Ridurre i costi operativi ridistribuendo le responsabilità
Strategia per ‘operazionalizzare’ il lavoro di routine
IT Security
• Deve reagire e rispondere
velocemente
• Usa risorse costose per
affrontare nuove minacce
• Punta sull’efficacia
(doing the right things)
Nuove minacce
IT Operations
• Non predilige il cambiamento
• Sfrutta le economie di scala per
task ben definiti e ripetitivi
• Punta sull’efficienza
(doing things right)
Minacce mature
Source: Gartner Research
© 2009 Gartner, Inc. All Rights Reserved.
4
Indirizzare l’imprevedibilità delle nuove minacce
Adottare approcci selettivi per ottimizzare lo sforzo speso
 Blacklist  lista basta su firma per bloccare oggetti
conosciuti come non sicuri
 Whitelist  permettere solo ciò che è posseduto e
Bad
supportato
 Uberwhitelist  permettere tutto ciò che è conosciuto
come sicuro
 Gestire le "graylist"
Gray
 Real time categorization
 Application control
Good
Source: Gartner Research
© 2009 Gartner, Inc. All Rights Reserved.
5
Gestire i meccanismi di autenticazione efficientemente
Bilanciare costi, complessità e benefici
Certificates
+ BiometricEnabled
Smart Tokens
Authentication Strength
Digital
Signatures
Certificates
+ PIN-Protected
Smart Tokens
Biometrics + Passwords
OTP (TAN)
via phone
Inert Tokens
Transaction
Numbers
Cached
Certificates
Graphical
Passwords
Password
s
PIN-Protected
OTP Tokens
Biometrics
Source: Gartner Research
Complexity and Cost
© 2009 Gartner, Inc. All Rights Reserved.
6
Proteggere i dati con un mix di interventi bilanciato
Sfruttare i meccanismi lungo l’intera catena informativa
ABC … XYZ
Security Stack
Network
Application
Data
Host
DATA
Access
Controls
Policy
Encryption
Logical
Controls
Activity
Monitoring
and
Enforcement
Content
Monitoring
and
Filtering
Audit
Source: Gartner Research
© 2009 Gartner, Inc. All Rights Reserved.
7
Assicurare la compliance senza sprechi
Adottare un approccio integrato riconoscendo gli obiettivi ricorrenti
"Know What
You Do"
"Say What
You Know"
"Do What
You Say"
Comprendere e
documentare
processi e
politiche
Produrre i report
richiesti
Monitorare il
livello di
compliance ed i
cambiamenti nel
tempo
La maggior parte delle normative indirizzano processi, governo e
reporting, non tecnologia
Source: Gartner Research
© 2009 Gartner, Inc. All Rights Reserved.
8
Quale livello di maturità hanno raggiunto i programmi di sicurezza?
La Ricerca Gartner mostra che il percorso è lungo ma indispensabile
Il raggiungimento di un elevato livello di maturità del programma di sicurezza costituisce un percorso lungo
ed impegnativo; inoltre non può essere condotto senza far maturare tutti i processi di sicurezza
Risulta particolarmente
impegnativo il passaggio
da livelli di maturità medio
bassi a medio-alti ma i
vantaggi ottenibili sono
importanti:
• diminuzione dei rischi
• riduzione della spesa
Source: Gartner Research
© 2009 Gartner, Inc. All Rights Reserved.
9
Perché i programmi di sicurezza falliscono?
Il buonsenso lascia lo spazio a paura ed approssimazione
Interventi parziali
Interventi scoordinati
Interventi intempestivi
/
?
Source: Gartner
© 2009 Gartner, Inc. All Rights Reserved.
10
Come essere sicuri di non dimenticare niente?
Gartner propone un approccio olistico
Investment
INFO
& Payback
Architecture
Strategy
Awareness
Source: Gartner
© 2009 Gartner, Inc. All Rights Reserved.
& Culture
11
DA LUNEDI’
Strategy
er
na
nc
e
Po
Awareness
an
lic
ie
da s &
rd
s
INFO
St
M Au
on di
In
t
ve ito
st rin
ig
g
at
io
n
ov
& Payback
&
G
Investment
Architecture
gy
lo nt
o
e
n
ch ym
Te plo
de
& Culture
Strategize
• Misurate il rischio associato ad ogni euro
tagliato dal budget di sicurezza
• Valutate tutte le azioni in un contesto di
programma complessivo
• Adottate un modello per fare evolvere il
programma e controllare il mantenimento
degli obiettivi irrinunciabili
Plan
Execute
Manage
GRAZIE
[email protected]
© 2009 Gartner, Inc. All Rights Reserved.
12