This presentation, including any supporting materials, is owned by Gartner, Inc. and/or its affiliates and is for the sole use of the intended Gartner.
Post on 02-May-2015
216 Views
Preview:
Transcript
This presentation, including any supporting materials, is owned by Gartner, Inc. and/or its affiliates and is for the sole use of the intended Gartner audience or other authorized recipients. This presentation may contain information that is confidential, proprietary or otherwise legally protected, and it may not be further copied, distributed or publicly displayed without the express written permission of Gartner, Inc. or its affiliates.© 2009 Gartner, Inc. and/or its affiliates. All rights reserved.
S t r a t e g i z e P l a n E x e c u t e M a n a g e
Security and The EconomyCome gestire il rischio in tempo di crisi
Mauro OrlandoGartner Consulting
2© 2009 Gartner, Inc. All Rights Reserved.
Come si evolve la spesa per la sicurezza?No a tagli drastici anche in presenza di budget tagliati
Security Spend as a Percent of IT Spend
Distribution of Security Spend
Source: Gartner IT Key Metrics Data 2009 - Excluding Disaster Recovery
La spesa di sicurezza rimane
pressoché in linea con gli anni passati
Cambia la distribuzione della spesa
per natura:
• meno HW e personale
• più SW e consulenza
La spesa di sicurezza rimane
pressoché in linea con gli anni passati
Cambia la distribuzione della spesa
per natura:
• meno HW e personale
• più SW e consulenza
3© 2009 Gartner, Inc. All Rights Reserved.
La sicurezza è un lusso?Il mantenimento di un livello adeguato è una necessità
Nei momenti di difficoltà dovuti a budget tagliati o ritardo nella loro approvazione possono essere messe in campo alcune azioni tattiche:
Mantenimento della protezione di base. E’ necessario individuare cosa non è deferibile o riducibile: es. manutenzione dei firewall, sicurezza e-mail, gestione delle vulnerabilità, aggiornamento prodotti anti-malware.
Scendere a compromessi (assennati). E’ necessario posporre alcune iniziative o rinunciare a componenti accessorie.
Richiedere decisioni esplicite. E’ necessario spiegare bene le condizioni di rischio legate alle diverse opzioni e richiedere una specifica accettazione del nuovo profilo di rischio derivante dalle scelte di riduzione della spesa.
Soddisfare gli adempimenti contrattuali, legali ed etici. E’ necessario mantenere i livelli di sicurezza richiesti o annunciare esplicitamente l’impossibilità di farlo.
Aggiornare il profilo di rischio
ad ogni decisione che tagli
iniziative di sicurezza
Aggiornare il profilo di rischio
ad ogni decisione che tagli
iniziative di sicurezza
Comunicare in modo
trasparente la situazione a
tutti gli stakeholder
Comunicare in modo
trasparente la situazione a
tutti gli stakeholder
Chiedere decisioni esplicite
su tutte le questioni che
influenzano il livello di rischio
Chiedere decisioni esplicite
su tutte le questioni che
influenzano il livello di rischio
4© 2009 Gartner, Inc. All Rights Reserved.
Quali sono le sfide chiave per il 2009?Crisi o no, la sicurezza è chiamata a fare la sua parte
Ridurre i costi operativi
Usare piattaforme di sicurezza
Usare diverse opzioni di sourcing
Supportare i cambiamenti business
“Consumerization”
Collaborazione sicura
Anticipare le minacce
Indirizzare l’imprevedibilità delle nuove minacce
Rafforzare i meccanismi di autenticazione
Migliorare la “data security”
Assicurare la compliance
Source: Gartner Research
5© 2009 Gartner, Inc. All Rights Reserved.
Ridurre i costi operativi ridistribuendo le responsabilitàStrategia per ‘operazionalizzare’ il lavoro di routine
IT Operations• Non predilige il cambiamento
• Sfrutta le economie di scala per task ben definiti e ripetitivi
• Punta sull’efficienza (doing things right)
IT Security• Deve reagire e rispondere
velocemente
• Usa risorse costose per affrontare nuove minacce
• Punta sull’efficacia (doing the right things)
Minacce matureNuove minacce
Source: Gartner Research
6© 2009 Gartner, Inc. All Rights Reserved.
Indirizzare l’imprevedibilità delle nuove minacce Adottare approcci selettivi per ottimizzare lo sforzo speso
Blacklist lista basta su firma per bloccare oggetti conosciuti come non sicuri
Whitelist permettere solo ciò che è posseduto e supportato
Uberwhitelist permettere tutto ciò che è conosciuto come sicuro
Gestire le "graylist"
Real time categorization
Application control
Bad
Gray
Good
Source: Gartner Research
7© 2009 Gartner, Inc. All Rights Reserved.
Gestire i meccanismi di autenticazione efficientementeBilanciare costi, complessità e benefici
Certificates+ Biometric-
EnabledSmart Tokens
DigitalSignatures
Complexity and Cost
Aut
hent
icat
ion
Str
engt
h
Passwords
GraphicalPasswords
OTP (TAN)via phone
CachedCertificates
Biometrics
PIN-ProtectedOTP Tokens
Biometrics + Passwords
Certificates+ PIN-ProtectedSmart Tokens
TransactionNumbers
Inert Tokens
Source: Gartner Research
8© 2009 Gartner, Inc. All Rights Reserved.
Proteggere i dati con un mix di interventi bilanciato Sfruttare i meccanismi lungo l’intera catena informativa
DataData
Security Stack
HostHost
ApplicationApplication
NetworkNetwork
Access Controls
Content Monitoring
and Filtering
Activity Monitoring
and Enforce-
ment
Logical Controls
Encryption
Policy Audit
DATA
ABC … XYZ
Source: Gartner Research
9© 2009 Gartner, Inc. All Rights Reserved.
"Do What "Do What You Say"You Say""Do What "Do What You Say"You Say"Monitorare il
livello di compliance ed i cambiamenti nel
tempo
La maggior parte delle normative indirizzano processi, governo e reporting, non tecnologia
"Say What "Say What You Know"You Know""Say What "Say What You Know"You Know"
Produrre i report richiesti
"Know What"Know What You Do"You Do"
"Know What"Know What You Do"You Do"
Comprendere e documentare
processi e politiche
Assicurare la compliance senza sprechiAdottare un approccio integrato riconoscendo gli obiettivi ricorrenti
Source: Gartner Research
10© 2009 Gartner, Inc. All Rights Reserved.
Quale livello di maturità hanno raggiunto i programmi di sicurezza?La Ricerca Gartner mostra che il percorso è lungo ma indispensabile
Source: Gartner Research
Il raggiungimento di un elevato livello di maturità del programma di sicurezza costituisce un percorso lungo
ed impegnativo; inoltre non può essere condotto senza far maturare tutti i processi di sicurezza
Il raggiungimento di un elevato livello di maturità del programma di sicurezza costituisce un percorso lungo
ed impegnativo; inoltre non può essere condotto senza far maturare tutti i processi di sicurezza
Risulta particolarmente
impegnativo il passaggio
da livelli di maturità medio
bassi a medio-alti ma i
vantaggi ottenibili sono
importanti:
• diminuzione dei rischi
• riduzione della spesa
Risulta particolarmente
impegnativo il passaggio
da livelli di maturità medio
bassi a medio-alti ma i
vantaggi ottenibili sono
importanti:
• diminuzione dei rischi
• riduzione della spesa
11© 2009 Gartner, Inc. All Rights Reserved.
Perché i programmi di sicurezza falliscono?Il buonsenso lascia lo spazio a paura ed approssimazione
Interventi parzialiInterventi parziali
Interventi scoordinatiInterventi scoordinati
Interventi intempestiviInterventi intempestivi / ?
Source: Gartner
12© 2009 Gartner, Inc. All Rights Reserved.
Come essere sicuri di non dimenticare niente?Gartner propone un approccio olistico
Strategy
GovernanceIn
vestmen
t
& P
ayback
Policie
s &
Standar
ds
Awareness
& Culture
Audit
Monitoring
& Investigation
Arc
hit
ectu
reTec
hnology
deplo
ymen
t
INFO
Source: Gartner
13© 2009 Gartner, Inc. All Rights Reserved.
S t r a t e g i z e P l a n E x e c u t e M a n a g e
GRAZIEmauro.orlando@gartner.com
DA LUNEDI’
• Misurate il rischio associato ad ogni euro tagliato dal budget di sicurezza
• Valutate tutte le azioni in un contesto di programma complessivo
• Adottate un modello per fare evolvere il programma e controllare il mantenimento degli obiettivi irrinunciabili
Strategy
Governance
Inve
stmen
t
& P
ayb
ack
Policie
s &
Standar
ds
Awareness
& Culture
Audit
Monitoring
& Investigation
Arc
hit
ec
ture
Technolo
gy
deplo
ymen
t
INFO
top related