Professional Documents
Culture Documents
ver 2.1
Agenda
> Introduzione
> Obiettivi e prospettive operative
> Risk Analysis
> Gap Analysis
> Risk Management
> Il prodotto: SkyboxView Suite
> Case Study: Progetto di gestione della Sicurezza delle Informazioni per il Gruppo Hera
> Presentazione di Business-e
Introduzione
> Le aziende hanno la necessit di ridurre lesposizione al rischio dei
propri asset (materiali e immateriali)
> Per tutelare i fattori-chiave del proprio business, le aziende devono non solo
reagire ai danni che subiscono ma prevenirli attraverso politiche adeguate di
Analisi e Gestione del Rischio.
Obiettivi
Obiettivi Tattici
Proteggere le proprie risorse (umane, IT,
dati, processi, immagine) dal ripetersi di
danni;
Adeguarsi a normative (Privacy,
Telecomunicazioni, etc.);
Tutelare i vincoli contrattuali con i clienti
Obiettivi Strategici
Prevenire danni alle risorse;
Ottimizzare i processi rispetto agli
obiettivi di business;
Aumentare la competitivit (in termini di
immagine, sicurezza, soddisfazione del
cliente)
Procedure Operative
Progetti di censimento e classificazione (dati, processi IT, architetture IT)
Progetti di Analisi dei Rischi (metodologia e supporto allutilizzo del tool CRAMM)
Progetti di Gestione dei Rischi
- Piani di Sicurezza
Risk Assessment
>
>
Risk Assessment
Risk Assessment secondo la metodologia ed CRAMM (Computer Risk Analysis and Management Method)
che risulta essere conforme allo standard ISO/IEC 17799
ANALISI DEI RISCHI
FASE 1:
Identificazione e
valutazione asset
Identificazione Asset
Asset Modeling
Valutazione Asset
Rilevazione
vulnerabilit e minacce
Calcolo esposizione
al Rischio
Identificazione
Contromisure
FASE 4:
Calcolo del
Rischio Residuo
Gap Analisys
FASE 5: Piano
degli interventi
Piano degli
interventi
Risk Management
DEFINIZIONE DELLE SPECIFICHE FUNZIONALI
> Questa
Risk Management
PIANO DEGLI INTERVENTI
>
>
Risk Management
PIANO DEGLI INTERVENTI: ANALISI COSTI/BENEFICI
> Singoli
Risk Management
PIANO DEGLI INTERVENTI: CLASSIFICAZIONE PER TIPOLOGIA
>I
Risk Management
PIANO DEGLI INTERVENTI: CLASSIFICAZIONE PER PRIORITA
>I
Compliance
STEP
STEP
STEP
Reporting /
STEP
STEP
Vulnerability Assessment
Network Configuration
Threat Origins
Business Assets
STEP
Network Compliance
Device Compliance
FW Change Management
What if Modeling
STEP
Pdf Reporting
Dashboard
Auditors Reporting
Automated Process
CASE STUDY
Progetto di gestione della Sicurezza delle Informazioni
per il Gruppo Hera
Principali Attivit
- Definizione del processo di gestione della sicurezza delle
informazioni secondo lo standard ISO/IEC 27001:2005
- Definizione della Politica Generale per la Sicurezza delle
Informazioni
- Risk Assessment
- Gap analysis a norma ISO/IEC 27001:2005
- Vulnerability Assessment
- Definizione del Piano di Implementazione
Parti
Plan
interessate
Parti
interessate
Gestione
Do
Implementazione e
messa in opera del
ISMS
Manutenzione e
miglioramento del
ISMS
Monitoraggio e
revisione del ISMS
Check
della
Act
Information
Security
Risk Assessment
Lattivit di Risk Assessment stata condotta utilizzando la metodologia ed il tool software messo a disposizione
da CRAMM (Computer Risk Analysis and Management Method) che risulta essere conforme allo standard ISO/IEC
27001:2005.
Di seguito si riportano le fasi principali dellattivit:
Risk Assesment CRAMM
FASE 1:
Identificazione e
valutazione asset
Identificazione Asset
Asset Modeling
Rilevazione
vulnerabilit e minacce
FASE 3:
Generazione
Contromisure
FASE 4: Piano
degli interventi
Valutazione Asset
Identificazione e
Valutazione Asset
Calcolo esposizione
al Rischio
Livello Minacce
Vulnerabilit e
Grado di esposizione
al Rischio
Identificazione
Contromisure
Gestione
del Rischio
Piano degli
interventi
Piano degli
Intereventi
Risk Assessment
Fase 1 : Identificazione e Valutazione degli asset
Principali Step
1.
2.
Asset Modeling
Creazione un modello che schematizza le relazioni che intercorrono fra Processi, Macrodati, Software,
Hardware e Location
Ad ogni coppia MACRODATO/PROCESSO sono stati associati gli asset che supportano i macrodati del
processo, secondo il seguente schema che, a titolo esemplificativo, si riporta di seguito:
PROCESSO
MACRODATO
SOFTWARE
HARDWARE
LOCATION
Amministrazione
Archidoc
Lotus Notes
Microsoft Office
SAP
HW_Archidoc
HW_PdL_BO_Berti Pichat
HW_File_Server_Berti Pichat
HW_SAP
Finanza Operativa
Archidoc
Lotus Notes
Microsoft Office
SAP
HW_Archidoc
HW_PdL_BO_Berti Pichat
HW_File_Server_Berti Pichat
HW_SAP
Finanza Strutturata
Archidoc
Lotus Notes
Microsoft Office
SAP
HW_Archidoc
HW_PdL_BO_Berti Pichat
HW_File_Server_Berti Pichat
HW_SAP
Controllo di Gestione
Archidoc
Lotus Notes
Microsoft Office
REMA
HW_Archidoc
HW_PdL_BO_Berti Pichat
HW_File_Server_Berti Pichat
HW_REMA
Amministrazione, Finanza
e Controllo
Risk Assessment
Fase 1 : Identificazione e Valutazione degli asset
Principali Step
Valutazione degli Asset
Per ogni processo stato determinato il potenziale IMPATTO derivante dalla perdita intenzionale o
casuale della riservatezza, integrit o disponibilit delle informazioni trattate.
Di seguito si riporta un esempio dei grafici di sintesi ottenuti il cui obiettivo quello di evidenziare i dati
pi critici.
Amministrazione
Deliverable
>
>
Controllo di Gestione
Finanza Operativa
ot
fs
est
dis t
d iv
i nt
raf
d iv
div
mo n
t
c
er i n
st
rep l
i
rip m
it
rip d
es
n on
con s
i ndi
sp 1
s
i ndi
sp 2
s
i nd i
s. ..
i nd i
s. ..
mo d
pp
mo d
gp
mo d
int
i nse
r fm
i nd i
sp 1
g
Processo: Amministrazione,
Finanza e Controllo
10
9
8
7
6
5
4
3
2
1
0
i nd i
sp 2
g
3.
Finanza Strutturata
Risk Assessment
Principali Step
1.
Valori Vulnerabilit
LOW: In caso di incidente c meno del 33% di probabilit
che si realizzi il peggior scenario
MEDIUM: In caso di incidente c tra il 33% e il 66% di
probabilit che si realizzi il peggior scenario
HIGH: In caso di incidente c pi del 66% di probabilit
che si realizzi il peggior scenario
Risk Assessment
Fase 2 : Identificazione e Valutazione degli asset
Principali Step
2.
Deliverable
>
>
Deliverable
>
>
Deliverable
>
>
Il Gruppo Itway
Ravenna
Milano
Roma
Bergamo
Vicenza
Massa
Parigi
Madrid
Barcellona
Lisbona
Atene
La Forza dellintegrazione
La forza del Gruppo Itway data dall'approccio integrato con il quale si propone sul
mercato.
nell'offerta
di
CONSULENZA
& SERVIZI
BUSINESS-E
R
O
D
O
E-BUSINESS
& SECURITY
T
I
ITWAY VAD
ITWAY ACADEMY
ASSISTENZA
& FORMAZIONE
Il Profilo
Business-e costituisce l'Area Strategica d'Affari (ASA Enterprise) del Gruppo Itway
(societ quotata al TechStar di Borsa Italiana) e opera nel mercato dei Servizi ICT per
lazienda estesa.
Milano
Curno
Ravenna
Massa
Roma
Le nostre dimensioni
> Addetti: 180 professionisti
> Fatturato 2005: 19,5 M
La Mission
> Drive your e-success: insieme per volare verso il successo
> La nostra missione quella di fornire il pi valido supporto
tecnologico ai nostri clienti per lo sviluppo della loro redditivit e del
loro business, migliorandone al contempo la competitivit e la
sicurezza.
> Ottimizziamo i processi aziendali attraverso soluzioni concrete,
aiutando i clienti a governare e a proteggere la crescita dei loro
affari, per noi una missione ed al tempo stesso uno stimolo per un
costante miglioramento.
SECURITY AND
TECHNOLOGY
SOLUTIONS
OUTSOURCING
BUSINESS
SOLUTIONS
SECURITY CONSULTING
Security Governance
Pro-active Security
Risk assessment
Security solution design
BUSINESS SOLUTIONS
Security Management
Infrastructure Management
Desktop Fleet Management
Web Application
Security
Compliance Consulting
Document Management
E-Commerce e Portali
CRM e Multicanalit
Progetti Custom
Oracle Advanced Services
OUTSOURCING
Application Management
Help Desk
Presidi
Reperibilit
Security Consulting
Lofferta di Business-e si distingue perch mira apertamente ad affiancare il management di
PMI ed Enterprises nella Corporate Security Governance, attraverso un modello
originale che tiene conto di COBIT e ISO 27001.
la sicurezza pro-attiva
IPS
Exposure
a Standard e Normativa
F/W
VPN
A/V
Time
Riferimenti
www.business-e.it
info@business-e.it
RAVENNA
Viale della Lirica, 35 Tel. +39 0544 271014
ROMA
Via Valentino Mazzola, 66 Tel. +39 06 5159081
MILANO
P.zza Martiri di Via Fani, 19 - Sesto S. Giovanni (Mi) - Tel. +39 02 26261316
BERGAMO
Via Dalmine 10/a 35 Curno - Tel. +39 035 377411
MASSA
Via degli Oliveti, 110 Tel. +39 0585 790002