More Related Content More from canaleenergia (20) Recently uploaded Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore... Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore... Associazione Digital Days
Clusit1. Data Security Analytics
«Tutto il merito è di quattro italiani»
Gaetano Ascenzi
AlfaGroup Chief Technology Officer
Paolo Capozucca
SEC Consulting C.E.O.
2. Gaetano Ascenzi
Chief Technical Officer di AlfaGroup, con la diretta responsabilità dell’ area
Ricerca e Sviluppo.
Esperto delle tematiche di analisi e organizzazione legate al Business Process
Management, ha maturato specifica esperienza nel mondo della Process
Intelligence, Business Intelligence e Security Intelligence. Coordina il gruppo di
sviluppo che realizza RHD, uno dei pochi software, totalmente italiani, legati al
BPM. A questo affianca attività di project management presso le più grandi
aziende italiane.
Si dedica ad attività divulgativa e didattica presso alcune istituzioni Scolastiche e
Universitarie; coordina, all’ Interno di Confindustria Marche, un gruppo di studio
2
Universitarie; coordina, all’ Interno di Confindustria Marche, un gruppo di studio
dedicato alla diffusione della cultura dell’ Innovazione.
«Come secondo mestiere mi dedico all’agricoltura così nessun cliente può dire:
Braccia rubate all’agricoltura…»
© CLUSIT 2013 – Data Security Analytics
3. OBIETTIVO DEL SEMINARIO
Data Security Analytics si sta imponendo
come elemento organizzativo per ottimizzare
e rendere efficace la raccolta e l’ analisi
dei dati legati alla sicurezza.
3
dei dati legati alla sicurezza.
L’ intervento vuole generare un punto di
vista dello stato dell’ arte, evidenziando
modalità di approccio, tecnologie disponibili e
parallelismi con altri ambiti di analisi.
© CLUSIT 2013 – Data Security Analytics
4. Definizione di Data Security Analytics
Scenario di riferimento
Progetto
INDICE
4
Conclusioni
© CLUSIT 2013 – Data Security Analytics
5. DEFINIZIONE DI DATA SECURITY ANALYTICS
SPIEGAZIONE INDIPENDENTE
DI DATA SECURITY ANALYTICS
Non esiste una definizione indipendente.
Curiosamente l’allocuzione nonostante sia di uso
comune non ha indotto l’ introduzione di una
definizione in Wikipedia.
Ampliando la ricerca ad ambiti specializzati come
il MIT di Boston, anche in questo caso non è
5
il MIT di Boston, anche in questo caso non è
stato possibile trovare elementi di convergenza.
Perché?
Non è che siamo di fronte alla solita situazione
degli informatici «io non lo so ma ho ragione
perché i fatti mi cosano…».
(citazione dell’ assessore Palmiro Cangini
interpretato da Paolo Cevoli)
© CLUSIT 2013 – Data Security Analytics
6. DEFINIZIONE DI DATA SECURITY ANALYTICS
SOLO I VENDOR HANNO
DEFINITO
I principali vendor mondiali si stanno dedicando
alla Data Security Analytics attraverso precise
scelte progettuali:
• ORACLE - si focalizza sulla verifica dei dati di
controllo legati ai database
• RSA - ha un focus nell’analisi dei sistemi SIEM
• IBM - propone un set di strumenti Real time
Security Analytics redefines SIEM by combining
network monitoring, traditional log-centric
SIEM, forensics, compliance, and big data
Monitor Database Activity, Block Threats, and
Audit Efficiently Across the Enterprise …
… monitors Oracle and non-Oracle database
traffic to detect and block threats, as well as
improves compliance reporting by consolidating
audit data from databases, operating systems,
directories, and other sources …
6
• IBM - propone un set di strumenti Real timeSIEM, forensics, compliance, and big data
management and analytics
“…provides a comprehensive, integrated
approach that combines real-time correlation for
continuous insight, custom analytics across
massive structured and unstructured data, and
forensic capabilities for irrefutable evidence. The
combination can help you address advanced
persistent threats, fraud and insider threats.
IBMIBM
© CLUSIT 2013 – Data Security Analytics
7. LO SCENARIO
Il riferimento socio-economico
La situazione dei database
Il punto di vista logico
7© CLUSIT 2013 – Data Security Analytics
8. LO SCENARIO – il contesto socio economico
IL CONTESTO DI
ANTROPOLOGIA DIGITALE HA
INFLUENZA
L’ individuo viene sostituito dalle comunità
«Esisti se sei in rete»
In un contesto sociale come quello attuale, si
stanno affermando discipline come l’
8
stanno affermando discipline come l’
Antropologia digitale che ha come obiettivo lo
studio dell’ interrelazione sociale mediata da
strumenti informatici.
Il risultato della correlazione sono il proliferare di
banche dati formate da dati strutturati e
destrutturati sparse geograficamente.
© CLUSIT 2013 – Data Security Analytics
9. LO SCENARIO – il contesto socio economico
LE SCELTE CHE HANNO
INFLUENZATO LA DSA
A partire dall’ introduzione su scala globale della
posta elettronica si è assistito all’incremento
delle fonti dati, dei database e delle connessioni
tra individui.
Tutto questo è stato amplificato con i fenomeni di
2000
2008
9
Tutto questo è stato amplificato con i fenomeni di
Twitter, Facebook.
Il Cloud è da identificare come un punto di
passaggio che tende a razionalizzare le risorse
per poter gestire al meglio i «big Data»
introducendo nuovi problemi legati alla sicurezza
e alla obsolescenza dati.
Ora siamo ad un nuovo passaggio che per
caratteristiche tecniche e quantità di denaro
disponibile si annuncia come il più grande
intervento nel mondo ICT mai realizzato:
E’ il progetto Smart Cities.
2014
2020
2011
© CLUSIT 2013 – Data Security Analytics
10. LO SCENARIO – il contesto socio economico
LE SMART CITY SARANNO IL
RIFERIMENTO ECONOMICO
PER FSE 2014-2020
Smart City è la linea di progetto individuata nel
programma di finanziamento del FSE 2014-20
che intende sviluppare tutte le tecnologie in
grado rendere più agevole, meno energivora e
più rispettosa dell’ ambiente, la vita delle
10
persone che vivono negli agglomerati urbani.
Il Fondo Sociale Europeo doterà questa linea di
sviluppo per un totale di 11 miliardi di euro in 7
anni.
© CLUSIT 2013 – Data Security Analytics
video
11. LO SCENARIO – il contesto socio economico
i
LO SCENARIO INDOTTO DALLE
SMART CITY
SMART CITY è l’ unica reale linea di progetto
europea in grado di incidere sul mondo dell’ ICT
in considerazione di una dotazione economica
senza precedenti. Con il cambiamento epocale a
cui siamo e saremo sottoposti, nessuno avrà una
capacità di investimento tale da definire priorità
Sistemi per agevolare gli
anziani in un’ottica di
allungamento della vita
media.
Veicoli ad impatto limitato
in grado di valutare I
percorsi migliori
conoscendo il traffico
internet
11
i
capacità di investimento tale da definire priorità
di sviluppo capaci di entrare in concorrenza con
Smart City.
Quale impatto si genera sul Data Security
Analytics.
• sono tutti interconnessi
• sono tutti generatori/ricevitori di dati
• Sono tutti accessibili direttamente dagli utenti
sono tutti dotati di database localizzati.
Illuminazione pubblica ad
impatto zero, capace di
rilevare la presenza di
persone per regolare l’
intensità luminosa
Semafori che valutano il
traffico e provvedono alla
regolazione del flusso
veicolare attraverso un
controllo centralizzato
internet
© CLUSIT 2013 – Data Security Analytics
12. LO SCENARIO – il punto di vista socio/economico
TREND MEDIO PERIODO
• I volumi dati macchina, i tipi di fonti e di dati
stanno esplodendo.
• Circa l’80-95% dei dati di un’organizzazione non
sono strutturati.
• I dati sono conservati secondo la logica «silos»
• Nuove tecnologie aggiungono nuovi dati
• (SmartPhone, sensori, GPS, virtualizzazione,
TREND ATTUALE
• I volumi dati macchina, i tipi di fonti e di
dati aumenteranno ulteriormente
• I dati destrutturati all’ interno delle
organizzazioni diminuirà in stretto legame
all’ introduzione di processi in grado di
gestire e correlare le informazioni (BPM).
• I dati sono conservati secondo una logica
12
• (SmartPhone, sensori, GPS, virtualizzazione,
cloud)
• I trend di Mercato rendono questi dati
interessanti per il business.
• Ognuno contiene una categorizzazione di
attività e comportamento.
• I dati sono conservati secondo una logica
sia Silos che polverizzata, quest’ultima
indotta da Smart City. Big data e Small
Data entrano a far parte di un sistema
unico.
• La partita si giocherà sulla capacità di
mettere in relazione i dati strutturati e
destrutturati affinchè IT e business Unit
siano in grado di collaborare per
abbassare il time to market.
© CLUSIT 2013 – Data Security Analytics
13. LO SCENARIO – la situazione dei database
IL PUNTO DI VISTA DELLE
APPLICAZIONI
Data
Diversity
Data
Volume
Traditional
Tools
“ “Tra il 2009 and 2020 i dati
digitali cresceranno ad un
CAGR del 45%
IDC 2010 Storage Market View
i dati cresceranno in maniera esponenziale
13
Tools
Desired Time
to Answer
I dati non strutturati pesano più
del 90% nell’universo digitale
“ “
IDC 2011 Digital Universe Study:
Extracting Value from Chaos
© CLUSIT 2013 – Data Security Analytics
14. LO SCENARIO – la situazione dei database
IL PUNTO DI VISTA DELLE
AZIENDE/APPLICAZIONE
Nei prossimi 6 anni i dati cresceranno in maniera
esponenziale. Soprattutto per quanto riguarda i
Social Media, i sistemi Cloud e quanto
riconducibile a Smart City.
I numeri che vediamo a destra sono riferiti ai soli
Social Media che non sono ancora frequentati da
Customer Data Volume
(per day)
12 TB
6 TB
4 TB
Leading Social
Gaming Company
14
Social Media che non sono ancora frequentati da
intere aree geografiche poste nei paesi emergenti
e in quelli del «terzo mondo»
4 TB
900 GB
800 GB
1.2 TB
© CLUSIT 2013 – Data Security Analytics
15. LO SCENARIO – la situazione dei database
I DATI GENERATI DALLE
MACCHINE SONO PERVASIVI
Quasi tutte le macchine sono arrivate ad essere
generatori /Ricevitori di dati.
Tutti sono interconnessi a formare tanti «big
Data» riconnessi a contenitori logici ancor più
grandi rappresentati da sistemi Cloud oppure da
server Silos di dimensioni significative.
15© CLUSIT 2013 – Data Security Analytics
16. LO SCENARIO
CONCLUSIONI
• La Data Security Analytics rappresenta la necessaria evoluzione di
sistemi che non sono nati per analizzare ma per collezionare dati.
• Probabilmente, per l’ esplosione di quantità di dati e di tipologie di
device alcuni concetti architetturali delle applicazioni come:
Generazione dei Log, mission critical, reazione real time, dovranno
essere riscritti e adeguati allo scenario.
16
essere riscritti e adeguati allo scenario.
• Il silos dei dati è insostituibile ma dovranno essere sviluppate
tecniche di analisi in grado di combinare i grandi contenitori con i
piccoli agglomerati diffusi geograficamente.
• C’è chi ipotizza grandi elaborazioni batch centralizzate affiancate a
sistemi di filtro direttamente installati sulle periferiche.
© CLUSIT 2013 – Data Security Analytics
17. IL PROGETTO
L’ approccio logico
Le tecnologie disponibili
Un esempio di flusso operativo di progetto
Un parallelo tra Data Security Analytics e il controllo di gestione.
Come completa il progetto di DSA
17
Come completa il progetto di DSA
Metodi di valutazione di un progetto di DSA
© CLUSIT 2013 – Data Security Analytics
18. CERCARE E INVESTIGARE
IL PROGETTO – l’approccio logico
Investigare, trovare e risolvere i problemi il più
velocemente possibile attraverso tutta
l’organizzazione
18
caos ordine
Cercare ed investigareCercare ed investigare
© CLUSIT 2013 – Data Security Analytics
19. MONITORAGGIO PROATTIVO
IL PROGETTO – l’approccio logico
Identificare automaticamente rischi di attacco
o problemi prima che questi abbiano impatto
su clienti e servizi.
19
caos ordine
Cercare ed investigare
Monitoraggio proattivoMonitoraggio proattivo
© CLUSIT 2013 – Data Security Analytics
20. VISIBILITA’ DELLE OPERAZIONI
IL PROGETTO – l’approccio logico
Aumenta la visibilità end-to-end per tracciare e
seguire i KPI dell’IT e prendere decisioni con
informazioni migliori
Visibilità delle operazioniVisibilità delle operazioni
20
caos ordine
Cercare ed investigare
Monitoraggio proattivo
© CLUSIT 2013 – Data Security Analytics
21. REAL TIME
IL PROGETTO – l’approccio logico
Ottenere informazioni in real-time dai dati di
operation che abilitino decisioni consapevoli,
per massimizzare la sicurezza del sistema.
Questo elemento ha un forte impatto sul
business aziendale. Garantire un sistema
capace di generare e monitorare dati real-time,
Visibilità delle operazioni
Real Time Security AnalyticsReal Time Security Analytics
21
caos ordine
capace di generare e monitorare dati real-time,
garantisce la possibilità di avere dati affidabili
per l’ analisi di business basata sui tradizionali
strumenti come il controllo di gestione e la
business intelligence.
Cercare ed investigare
Monitoraggio proattivo
© CLUSIT 2013 – Data Security Analytics
22. Un sistema informativo è composto di:
• Sistemi,
• Dati,
DATA SECURITY ANALYTICS E’
UN MODELLO DI
INTEGRAZIONE DEI DATI
IL PROGETTO – la tecnologia
Protezioni
22
• Dati,
• Applicazioni,
• Protezioni.
Un sistema di DataData SecuritySecurity AnalyticsAnalytics è un
ambiente che avvolge e protegge il sistema
informativo frapponendo tutta una serie di protezioni
ed aggregando tutti i dati e le informazioni di
controllo.Data Security AnalyticsData Security Analytics
SIEMSIEM
Sistemi
Dati
DAMDAM
Applicazioni
Protezioni
© CLUSIT 2013 – Data Security Analytics
23. DATABASE ACTIVITY
MONITORING
IL PROGETTO – la tecnologia
DAM è una tecnologia di sicurezza applicata al
monitoraggio delle attività del database. Opera
in maniera autonoma rispetto ai sistemi di
controllo e prevenzione previsti all’ interno
della piattaforma DBMS.
DAM è tipicamente un servizio di tipo Real
time, sempre attivo.
utenti
23
time, sempre attivo.
© CLUSIT 2013 – Data Security Analytics
applicazioni
24. DATABASE ACTIVITY
MONITORING
IL PROGETTO – la tecnologia
Il Database Activity Monitoring, permette di:
• gestire l’ accesso e un perfetto monitoraggio
dell’applicazione in maniera indipendente
dall’ architettura dell’applicazione e dei log.
• Permette di verificare l’ attività prodotta dall’
amministratore di sistema
• Deve implementare la possibilità di
utenti
24
• Deve implementare la possibilità di
individuare letture e scritture anomale
attraverso la verifica di un uso anomalo.
• Il sistema di correlazione è in grado di
raccogliere informazioni in maniera
organizzata emettendo specifici report.
© CLUSIT 2013 – Data Security Analytics
applicazioni
25. DATABASE ACTIVITY
MONITORING
IL PROGETTO – la tecnologia
La maggior parte delle organizzazioni hanno
procedure in atto per prevenire azioni
fraudolente da parte degli amministratori di
database e di altri utenti del database con
privilegi analoghi.
La maggior parte delle organizzazioni non sono
in grado di rilevare «in silenzio» infrazioni o
utenti
25
in grado di rilevare «in silenzio» infrazioni o
incidenti
© CLUSIT 2013 – Data Security Analytics
applicazioni
26. DATABASE ACTIVITY MONITORING
IL PROGETTO – la tecnologia
Le funzioni tipiche di un DAM sono le seguenti:
• Monitoraggio in tempo reale di fenomeni riconducibili ad attacchi e
apertura di backdoor.
• Non sensibilità alle variabili infrastrutturali come topologia della
rete e protocolli di criptazione.
• Prevenzione e blocco sulle transazioni senza essere “on-line”
• Monitoraggio continuo dei “risk-data”.
utenti
applicazioni
26
• Monitoraggio continuo dei “risk-data”.
• Aumentare la visibilità dei fenomeni all’ interno del traffico.
• Gestione del monitoraggio dei database anche in ambienti
virtualizzati o cloud dove la topologia della rete non è ben definita.
Sono inoltre disponibili, in sistemi enterprise, funzioni specializzate:
• Auditing per la verifica dei requisiti legati alle normative antifrode,
parti correlate, pagamenti con carta di credito (PCI).
• Integrazione con prodotti che operano la scansione dei dati legati
alla vulnerabilità.
© CLUSIT 2013 – Data Security Analytics
applicazioni
27. DATABASE ACTIVITY
MONITORING
IL PROGETTO – la tecnologia
Il mercato indirizzabile e' stimato in $2Bn-
$3bn (Gartner & Forrester)
Terreno vergine: 95% del mercato target non
ha soluzioni di database security in uso
La sicurezza dei Database sta' diventando
una necessita':
Pressione per l'aderenza alle normative
27
Pressione per l'aderenza alle normative
Gravi violazioni dei dati sono riportate ogni
settimana
L'Outsourcing delle operazioni dei DB sta'
aumentando.
© CLUSIT 2013 – Data Security Analytics
28. DEFINIZIONE DI SIEM
IL PROGETTO – la tecnologia
I sistemi di Security Information and Event
Management, è un assieme di sistemi
specializzati:
• SIM (Security Information Management).
• SEM (security Event Manager).
SIEM raccoglie una serie di tecnologie per
Search &
Investigate
Report &
Analyze
Index
Data
28
SIEM raccoglie una serie di tecnologie per
l’analisi, real-time, dei messaggi di alert
provenienti dalla rete e dalle applicazioni.
Investigate
Monitor
& Alert
Analyze
Add
Knowledge
© CLUSIT 2013 – Data Security Analytics
29. DEFINIZIONE DI SIEM
IL PROGETTO – la tecnologia
Collezionare, indicizzare,
organizzare e correlare i dati di
tutti (nessuno escluso) i sistemi in
modo da poter:
identificare i problemi, i modelli, i
rischi e le opportunità per offrire le
migliori decisioni all’IT e al
29
migliori decisioni all’IT e al
business.
Questa è la nuova frontiera dell’IT
chiamata «OPERATIONALOPERATIONAL
INTELLIGENCEINTELLIGENCE»
© CLUSIT 2013 – Data Security Analytics
30. SCHEMA DI SIEM
IL PROGETTO – la tecnologia
I sistemi SIEM , in genere, seguono i seguenti obiettivi
operativi:
• Raccolta e aggregazione dei dati. Aggrega i dati provenienti
dalle diverse fonti: dalla rete ai server ed alle applicazioni,
archiviando e monitorando gli eventi di maggiore valore
• Correlazione. Permette di costruire le relazioni tra gli eventi per
controllare fenomeni complessi attraverso l’ integrazione di
sorgenti diverse.
• Alert. L’ analisi automatica delle correlazioni permette di
Search &
Investigate
Report &
Analyze
Index Data
30
• Alert. L’ analisi automatica delle correlazioni permette di
valutare i fenomeni complessi in real-time
• Rappresentazione dei dati. Questi devono essere sintetizzati
in report che seguono gli obiettivi di governance e di compliance
• Conservazione. Tutti i dati sono conservati e catalogati con un
obiettivo di lungo periodo. Questo è imposto dalle necessità
investigative che si possono imporre in un periodo temporale
differente dalla manifestazione del fenomeno.
Monitor &
Alert
Add
Knowledge
© CLUSIT 2013 – Data Security Analytics
31. IL MODELLO DI RACCOLTA DEI
DATI – HARVESTING VS
DISTILLER
IL PROGETTO – la tecnologia
Raccolta indistinta
SIEM o DAM si impone una riflessione sulla
modalità di raccolta dei dati. Possiamo distungue
due metodi:
• Raccolta indistinta caratterizzata da grandi
sistemi che «raccolgono tutto indistintamente» e
31© CLUSIT 2013 – Data Security Analytics
Raccolta selettiva
sistemi che «raccolgono tutto indistintamente» e
poi procedono all’ elaborazione di Big data in Big
Storage
• Raccolta selettiva, caratterizzata da una azione di
raccolta basata su regole che tendono
immediatamente a qualificare i dati e dargli valore..
32. DATA SECURITY ANALYTICS
IL PROGETTO – la tecnologia
utenti
applicazioni
I sistemi di DATA SECURITY ANALTYCS
raccolgono le varie fonti dati generando
contenitori di dati omogenei a disposizione di
Auditor e Security Manager per l’ analisi della
situazione e la redazione di policy e procedure
per il miglioramento del sistema.
32© CLUSIT 2013 – Data Security Analytics
Audit data
Custom Audit log
Auditor
Security
manager
Ms Active Directory
Report
Policy
Procedure
eventi
per il miglioramento del sistema.
33. È necessariamente un progetto ciclico che
può essere schematizzato utilizzando il
modello di Deming (Ciclo PDCA)
Il WORKFLOW DI UN
PROGETTO DSA
IL PROGETTO – Un Esempio
33© CLUSIT 2013 – Data Security Analytics
34. PLANPLAN
• Definizione degli obiettivi
• Analisi esigenze di compliance
• Mappa dei processi interessati
Il WORKFLOW DI UN
PROGETTO DSA
IL PROGETTO – Un Esempio
34
• Mappa dei processi interessati
• Documentazione del punto di partenza
• Pianificazione delle azioni da realizzare
• Analisi dei dati (eventualmente utilizzando
il SIEM)
• Progettazione delle regole
© CLUSIT 2013 – Data Security Analytics
35. DODO
• Installazione delle soluzioni
• Applicazione delle regole su un
Il WORKFLOW DI UN
PROGETTO DSA
IL PROGETTO – Un Esempio
35
• Applicazione delle regole su un
sottoinsieme dei dati (ove possibile)
• Invio dei dati del DAM al SIEM
• Correlazione degli eventi
• Realizzazione di report e cruscotti
© CLUSIT 2013 – Data Security Analytics
36. CHECKCHECK
Verifica dei risultati e confronto con gli
obiettivi
• Utilizzo degli strumenti forniti dal DAM
e dal SIEM
Il WORKFLOW DI UN
PROGETTO DSA
IL PROGETTO – Un Esempio
36
e dal SIEM
• Checklist
• Analisi grafiche
• Schemi di controllo
• KPI
© CLUSIT 2013 – Data Security Analytics
37. ACTACT
Il WORKFLOW DI UN
PROGETTO DSA
IL PROGETTO – Un Esempio
Estensione delle regole a tutto il
patrimonio informativo
37
Ripetizione del ciclo con esame critico
per individuare le cause del non
raggiungimento e revisione delle regole
SI
NO
Obiettivi
raggiunti
?
38. ESISTE UN PARALLELISMO TRA
UN DATA SECURITY ANALYTICS
E DI CONTROLLO DI GESTIONE
IL PROGETTO – DSA VS controllo di gestione
Dopo aver analizzato cosa è un sistema di
Data Security Analitics si evidenzia una
somiglianza con quanto si prevede per la
realizzazione dei modelli operativi di controllo
di gestione economico/finanziario applicati all’
Controllo del
business
Controllo dei
sistemi
38
di gestione economico/finanziario applicati all’
analisi delle performance aziendali.
Quanto affermato non deve essere individuato
come un esercizio ozioso ma come una
dinamica in grado di collegare i sistemi e i dati
che generano, alle dinamiche di business dell’
azienda realizzando un unico monitoraggio
operativo
«i dati dei sistemi entrano a far parte
integrante della gestione del business
aziendale»
© CLUSIT 2013 – Data Security Analytics
AFFINAMENTO
DELLA
STRATEGIA DI
COMPETITIVITA’
DELL’ AZIENDAL
39. SCHEMA DEL CONTROLLO DI
GESTIONE
IL PROGETTO – DSA VS controllo di gestione
analisi dello
analisi della storia
aziendale definizione degli
obiettivi
definizione dello
schema di
controllo
Il controllo di gestione organizza il flusso
operativo in fasi:
• Analisi dello scenario generale, attraverso
una verifica della storia aziedale.
• Definizione degli obiettivi esplicitati
attraverso la realizzazione di un modello di
controllo in grado di raccogliere, classificare e
39
analisi dello
scenario
redazione
budget
redazione della
contabilità
analitica bilanci di
contabilità analitica
contabilità
direzione
report per la
direzione
analisi dei dati
(indici di bilancio)
calcolo degli indici
verbali
controllo in grado di raccogliere, classificare e
sintetizzare le informazioni.
• Raccolta dei dati e classificazione secondo
il modello.
• Redazione di report di controllo dotati del
giusto dettaglio per evidenziare i fenomeni
senza sovraccaricare il personale di dati di
dettaglio che tendono a nascondere i
fenomeni.
• Ripianificazione degli obiettivi attraverso
una analisi continua degli indicatori.
© CLUSIT 2013 – Data Security Analytics
40. SCHEMA DEL DATA SECURITY
ANALYTICS
IL PROGETTO – DSA VS controllo di gestione
Il Data Security Analytics organizza il flusso
operativo in fasi che si sovrappone con il
modello di controllo di gestione:
• Analisi dello scenario generale, si procede
alla verifica della presenza di sistemi in
grado di generare dati di controllo: DAM,
SIEM, …
analisi della storia
aziendale definizione degli
obiettivi
definizione dello
schema di
controllo
ANALISI DELLO
SCENARIO
DEFINIZIONE DEGLI OBIETTIVI RACCOLTA DEI DATI
40
SIEM, …
• Definizione degli obiettivi esplicitati
attraverso la realizzazione di un modello di
integrazione dei dati, in grado di
classificare e sintetizzare le informazioni.
• Raccolta dei dati e classificazione si
realizza secondo il modello attraverso due
tecniche: raccolta di massa, raccolta di
precisi eventi «distillati» dai sistemi in
ascolto.
• Redazione di report di controllo che
misurano le performance dei sistemi e la
tempestività delle reazioni.
© CLUSIT 2013 – Data Security Analytics
analisi dello
scenario
redazione
budget
redazione della
contabilità
analitica bilanci di
contabilità analitica
contabilità
direzione
report per la
direzione
analisi dei dati
(indici di bilancio)
calcolo degli indici
verbali
REPORTING
41. Data Security Analytics
IL PROGETTO – il controllo di gestione può completare un progetto
DSA
SIEM, DAM hanno come obiettivo la generazione
di dati elementari legati ad eventi. L’ enorme
quantità di dati impone di realizzare attraverso il
DSA, una Sintesi di obiettivi di controllo
raggiungibili attraverso una attività caratterizzata
da un equilibrio tra costo e beneficio
IL CONTROLLO DI GESTIONE
Il controllo di gestione impone la definizione del
budget come documento di sintesi degli obiettivi
da misurare secondo criteri di economicità e
praticità.
41
I modelli di controllo rispondono ad una serie di
discipline di analisi codificate in anni di attività di
ricercatori ed economisti
Il modello di controllo non risponde a regole
codifica ma a impostazioni definite dai
responsabili dei sistemi. Il rischio è di avere
sistemi che emettono dati corretti ma elaborati in
maniera sbagliata
© CLUSIT 2013 – Data Security Analytics
42. Data Security Analytics
IL PROGETTO – il controllo di gestione può completare un progetto
DSA
IL CONTROLLO DI GESTIONE
Il controllo di gestione impone di sintetizzare i
dati in report «compatti» per evidenziare il
fenomeno. Questo aspetto si esalta attraverso l’
elaborazione dei cosiddetti KPI e la redazione di
cruscotti grafici
Qualsiasi modello di controllo deve rispondere a
criteri di praticità e economicità che devono
42
criteri di praticità e economicità che devono
essere commisurati agli obiettivi da raggiungere
e alla struttura organizzativa necessaria.
Le performance del Business e le performance dei sistemi sono intimamente correlate e non è possibile
generare obiettivi senza una comunicazione tra le due aree. Un indicatore di performance dei sistemi non può
nascere se non da un attento confronto con le aree di gestione del business.
Il budget aziendale e i report di controllo economico gestionali devono cominciare a contenere gli indicatori
relativi alla sicurezza dei sistemi.
Le performance del Business e le performance dei sistemi sono intimamente correlate e non è possibile
generare obiettivi senza una comunicazione tra le due aree. Un indicatore di performance dei sistemi non può
nascere se non da un attento confronto con le aree di gestione del business.
Il budget aziendale e i report di controllo economico gestionali devono cominciare a contenere gli indicatori
relativi alla sicurezza dei sistemi.
© CLUSIT 2013 – Data Security Analytics
43. CONCLUSIONI
Chi può adottare un sistema di Data Security Analytics ?
Chi deve adottare un sistema di Data Security Analytics ?
Ci sono indicatori che evidenziano la necessità di un sistema di
Data Security Analytics ?
Esiste uno Schema di indicatori per valutare un sistema di Data
Security Analytics ?
43
Security Analytics ?
Genera risparmi economici ?
Quali sono le obiezioni abituali?
© CLUSIT 2013 – Data Security Analytics
44. La risposta può essere una sola: se ho dati
È NECESSARIO ADOTTARE UN
SISTEMA DSA?
CONCLUSIONI
44
La risposta può essere una sola: se ho dati
rilevanti per la mia azienda devo adottare un DSA
© CLUSIT 2013 – Data Security Analytics
45. Qualunque azienda ha:
CHI PUO’ ADOTTARE UN
SISTEMA DI DATA SECURITY
ANALYTICS ?
CONCLUSIONI
Encrypte
d TrafficStored
45
Qualunque azienda ha:
• dati rilevanti
• almeno un minimo di
strutturazione dell’attività in
processi controllati
• necessità di comunicazione
interna ed esterna
d TrafficStored
ProceduresZero-
Day Hacks
© CLUSIT 2013 – Data Security Analytics
46. •• SicurezzaSicurezza
•• ObblighiObblighi
CI SONO INDICATORI CHE
EVIDENZIANO LA NECESSITA’
DI UN DSA ?Criticità dei dati aziendali
Esigenze di Compliance e Certificazione
Immagine
Presenza di dati sensibili
Presenza di transazioni economiche
Criticità dei dati aziendali
Esigenze di Compliance e Certificazione
Immagine
Presenza di dati sensibili
Presenza di transazioni economiche
CONCLUSIONI
46
•• ObblighiObblighi
•• OttimizzazioneOttimizzazione
Presenza di transazioni economiche
Innalzamento di tutto il livello di sicurezza
Miglioramenti sui processi elaborativi
Migliore analisi dei processi decisionali
Ottimizzazione dell’organizzazione
Presenza di transazioni economiche
Innalzamento di tutto il livello di sicurezza
Miglioramenti sui processi elaborativi
Migliore analisi dei processi decisionali
Ottimizzazione dell’organizzazione
© CLUSIT 2013 – Data Security Analytics
47. Qualunque azienda abbia a cuore il suoQualunque azienda abbia a cuore il suo
business e la propria sopravvivenzabusiness e la propria sopravvivenza
Tutte le aziende che hanno strategie di
business vincenti hanno attualmente
CHI DEVE ADOTTARE UN DSA ?
L’aderenza alle leggi sulla sicurezza dei dati è obbligatoria
Molte normative, inclusa la PCI DSS per le transazioni delle carte
di credito , la Sarbanes Oxley per le aziende quotate in borsa, la
HIPPA nel settore medico e farmaceutico e molte altre
richiedono policy di revisione e di prevenzione delle
violazioni sulle basi dati delle aziende.
L’aderenza alle leggi sulla sicurezza dei dati è obbligatoria
Molte normative, inclusa la PCI DSS per le transazioni delle carte
di credito , la Sarbanes Oxley per le aziende quotate in borsa, la
HIPPA nel settore medico e farmaceutico e molte altre
richiedono policy di revisione e di prevenzione delle
violazioni sulle basi dati delle aziende.
CONCLUSIONI
47
business vincenti hanno attualmente
un approccio al mercato dinamico,
capace di cogliere il minimo segnale. Il
modello di DSA deve muoversi alla
stessa velocità.
violazioni sulle basi dati delle aziende.
Le leggi che richiedono notifica sulle violazioni dei dati sono in
ruolo negli Stati Uniti e nella UE e possono rappresentare
sanzioni significative in caso di furto e violazione delle
informazioni sensibili, in aggiunta al danno subito dalla stessa
impresa frodata.
violazioni sulle basi dati delle aziende.
Le leggi che richiedono notifica sulle violazioni dei dati sono in
ruolo negli Stati Uniti e nella UE e possono rappresentare
sanzioni significative in caso di furto e violazione delle
informazioni sensibili, in aggiunta al danno subito dalla stessa
impresa frodata.
© CLUSIT 2013 – Data Security Analytics
48. «Il database è mio e una intera
batteria di firewall mi
proteggono»
LE OBIEZIONI
I DB sono sicuri?I DB sono sicuri?
• Per la Tecnologia:
• Accesso costante da diverse applicazioni ed utenti
• Impossibile da bloccare senza impattare sulla sua
accessibilità.
• Vulnerabile (SQL injection, buffer overflow)
I DB sono sicuri?I DB sono sicuri?
• Per la Tecnologia:
• Accesso costante da diverse applicazioni ed utenti
• Impossibile da bloccare senza impattare sulla sua
accessibilità.
• Vulnerabile (SQL injection, buffer overflow)
CONCLUSIONI
48
• Per I Processi
• Patches (ex. Oracle CPU) non applicate in modo
tempestivo
• Implementazione delle procedure (def./shared
pass.wd, etc.)
• Per il Personale
• La minaccia dall'interno…
• I vostri DBAs, Sys Admins, programmatori….
• Per I Processi
• Patches (ex. Oracle CPU) non applicate in modo
tempestivo
• Implementazione delle procedure (def./shared
pass.wd, etc.)
• Per il Personale
• La minaccia dall'interno…
• I vostri DBAs, Sys Admins, programmatori….
© CLUSIT 2013 – Data Security Analytics
49. «Posso sostenere la mia
compliance senza adottare
questo strumento di controllo»
LE OBIEZIONI
• Forse questa è la situazione oggi, ma non può essere il caso
per il futuro
• Gli Auditors sono molto più restrittivi oggi
• La sicurezza dei DB sta diventando indispensabile per gli
• Forse questa è la situazione oggi, ma non può essere il caso
per il futuro
• Gli Auditors sono molto più restrittivi oggi
• La sicurezza dei DB sta diventando indispensabile per gli
CONCLUSIONI
49
• La sicurezza dei DB sta diventando indispensabile per gli
auditors
• Le aziende possono programmare l’utilizzo della soluzione
DAM in anticipo, rispetto ad adottarla in un periodo molto
breve come richiesto dagli auditors
• La sicurezza dei DB sta diventando indispensabile per gli
auditors
• Le aziende possono programmare l’utilizzo della soluzione
DAM in anticipo, rispetto ad adottarla in un periodo molto
breve come richiesto dagli auditors
© CLUSIT 2013 – Data Security Analytics
50. «La sicurezza dei DB non è
una priorità per noi»
LE OBIEZIONI
• Dopo aver fallito l’audit lo sarà!
• Le statistiche di VZB dimostrano che le violazioni dei DB
• Dopo aver fallito l’audit lo sarà!
• Le statistiche di VZB dimostrano che le violazioni dei DB
CONCLUSIONI
50
aumentano (>80% dei record violati)
• Si può pensare di partire con pochi DB critici contenenti dati
sensibili e poi allargarsi a tutti i dati
aumentano (>80% dei record violati)
• Si può pensare di partire con pochi DB critici contenenti dati
sensibili e poi allargarsi a tutti i dati
© CLUSIT 2013 – Data Security Analytics
51. «Questo tipo di strumenti
richiede molto lavoro di
amministrazione del
sistema»
LE OBIEZIONI
• Non è corretto
• 80% del valore non richiede attività di amministrazione
• Esistono Compliance wizards
• Non è corretto
• 80% del valore non richiede attività di amministrazione
• Esistono Compliance wizards
CONCLUSIONI
51
• Limitazione dei falsi positivi
• La maggior parte degli alert sono di alto interesse per
l’azienda e riflettono problemi reali nei DB e nelle applicazioni
che vi accedono
• Limitazione dei falsi positivi
• La maggior parte degli alert sono di alto interesse per
l’azienda e riflettono problemi reali nei DB e nelle applicazioni
che vi accedono
© CLUSIT 2013 – Data Security Analytics
52. «Ho capito che questo è uno
strumento di sicurezza, noi
abbiamo solo bisogno di un
tool di auditing»
LE OBIEZIONI
• Il DSA è il miglior strumento di audit al mondo
• Fornisce una copertura completa di tutte le transazioni
rilevanti (Tutte le TRX attraverso XX tabelle, tutti i XX
comandi attraverso l’intero DB, tutte le TRX attraverso l’intero
DB)
• Il DSA è il miglior strumento di audit al mondo
• Fornisce una copertura completa di tutte le transazioni
rilevanti (Tutte le TRX attraverso XX tabelle, tutti i XX
comandi attraverso l’intero DB, tutte le TRX attraverso l’intero
DB)
CONCLUSIONI
52
DB)
• Ha un minimo impatto sulle performance del DB
• È controllato dai gestori della security (Separation of Duties)
• È una soluzione unica per coprire il traffico locale e all’interno
del DB (ad esempio stored procedures, triggers, views,
etc…)
DB)
• Ha un minimo impatto sulle performance del DB
• È controllato dai gestori della security (Separation of Duties)
• È una soluzione unica per coprire il traffico locale e all’interno
del DB (ad esempio stored procedures, triggers, views,
etc…)
© CLUSIT 2013 – Data Security Analytics
53. «Ho già investito in IPS e
strumenti generici di VA…
Non posso giustificare
ulteriori investimenti»
LE OBIEZIONI
• Questi strumenti sono importanti, ma non permettono di
raggiungere i requisiti di compliance richiesti per i DB:
• Percorso di audit completo per le informazioni sensibili
• Questi strumenti sono importanti, ma non permettono di
raggiungere i requisiti di compliance richiesti per i DB:
• Percorso di audit completo per le informazioni sensibili
CONCLUSIONI
53
• Percorso di audit completo per le informazioni sensibili
• Separation of Duties
• Patching di sicurezza accurato e disponibile
immediatamente
• Percorso di audit completo per le informazioni sensibili
• Separation of Duties
• Patching di sicurezza accurato e disponibile
immediatamente
© CLUSIT 2013 – Data Security Analytics
54. • Sarbanes-Oxley
• Health Insurance Portability and Accountability Act
(HIPAA)
• Basel II e Basel III
• EU Directive on Privacy and Electronic
Communications
ANALISI DEGLI OBBLIGHI
NORMATIVI E DI COMPLIANCE
CONCLUSIONI
54
Communications
• Payment Card Industry Data Security Standard (PCI
DSS)
• Provvedimento del Garante della Privacy sugli
Amministratori di sistema
• Provvedimento del Garante della Privacy sulla
Tracciabilità delle operazioni bancarie
• Dlgs. 196/2003
• ISO 27000
• SAS 70
© CLUSIT 2013 – Data Security Analytics
55. R.O.S.I.
MATRICE DI VALUTAZIONE DI
UN DSA
«Lavoro di valutazione dei vantaggi potenziali di un
investimento in sicurezza, in particolare in sicurezza delle
informazioni»
«Lavoro di valutazione dei vantaggi potenziali di un
investimento in sicurezza, in particolare in sicurezza delle
informazioni»
IL PROGETTO – metodi di valutazione
55
Return On Security
Investments
© CLUSIT 2013 – Data Security Analytics
56. Approccio per il calcolo degli
indicatori
MATRICE DI VALUTAZIONE DI
UN DSA
Indicatori di performance:
KDCI = Key Direct Cost Indicator
KICI = Key Incident Cost Indicator
KMRI = Key Measurable Return indicator
KQRI = Key Qualitative Return Indicator
Indicatori di performance:
KDCI = Key Direct Cost Indicator
KICI = Key Incident Cost Indicator
KMRI = Key Measurable Return indicator
KQRI = Key Qualitative Return Indicator
IL PROGETTO – metodi di valutazione
56
KQRI = Key Qualitative Return IndicatorKQRI = Key Qualitative Return Indicator
© CLUSIT 2013 – Data Security Analytics
57. MATRICE DI VALUTAZIONE DI
UN DSA
Voci di spesa principali:
KDCI_1 Acquisto della soluzione (ammortizzato in più anni)
KDCI_2 Implementazione della soluzione
KDCI_3 Manutenzione della soluzione
Voci di spesa principali:
KDCI_1 Acquisto della soluzione (ammortizzato in più anni)
KDCI_2 Implementazione della soluzione
KDCI_3 Manutenzione della soluzione
IL PROGETTO – metodi di valutazione
57
Analisi dei Costi diretti per la
misura di sicurezza
KDCI_4 Costo annuale per la gestione
KDCI_5 Acquisto della piattaforma (ammortizzato in più anni)
KDCI_6 Costo della formazione annuale (costo medio della
formazione X numero di utenti)
KDCI_7 Spese di consulenza annuali
KDCI_8 Spese generali annuali
KDCI_4 Costo annuale per la gestione
KDCI_5 Acquisto della piattaforma (ammortizzato in più anni)
KDCI_6 Costo della formazione annuale (costo medio della
formazione X numero di utenti)
KDCI_7 Spese di consulenza annuali
KDCI_8 Spese generali annuali
© CLUSIT 2013 – Data Security Analytics
58. Analisi dei costi
MATRICE DI VALUTAZIONE DI
UN DSA
La valutazione dei costi relativi agli incidenti solitamente si
basa su analisi storiche, interne o esterne, che purtroppo
non sono sempre di facile reperimento (vedi ROSI).
KICI_1 impatti sul business:
• diminuzione delle vendite,
• diminuzione della soddisfazione dei clienti,
La valutazione dei costi relativi agli incidenti solitamente si
basa su analisi storiche, interne o esterne, che purtroppo
non sono sempre di facile reperimento (vedi ROSI).
KICI_1 impatti sul business:
• diminuzione delle vendite,
• diminuzione della soddisfazione dei clienti,
IL PROGETTO – metodi di valutazione
58
Analisi dei costi
legati agli incidenti
• diminuzione della soddisfazione dei clienti,
• perdita di reputazione/immagine;
KICI_1 tempo richiesto per la gestione dell’incidente;
KICI_1 spese per consulenze esterne;
KICI_1 costi di ripristino dei sistemi.
• diminuzione della soddisfazione dei clienti,
• perdita di reputazione/immagine;
KICI_1 tempo richiesto per la gestione dell’incidente;
KICI_1 spese per consulenze esterne;
KICI_1 costi di ripristino dei sistemi.
© CLUSIT 2013 – Data Security Analytics
59. Analisi dei Ritorni quantificabili
MATRICE DI VALUTAZIONE DI
UN DSAVoci di ricavo correlate:
KMRI_1 incremento dei profitti e/o del fatturato;
KMRI_2 aumento della produttività;
KMRI_3 riduzione dei costi associati ad incidenti ed attività di
rimedio;
KMRI_4 riduzione delle perdite finanziarie dovute a multe o
penali;
Voci di ricavo correlate:
KMRI_1 incremento dei profitti e/o del fatturato;
KMRI_2 aumento della produttività;
KMRI_3 riduzione dei costi associati ad incidenti ed attività di
rimedio;
KMRI_4 riduzione delle perdite finanziarie dovute a multe o
penali;
IL PROGETTO – metodi di valutazione
59
penali;
KMRI_5 riduzione dei costi operativi
• diminuzione del personale,
• riduzione dei costi hardware e software,
• riduzione dei costi di licenza e di affitto,
• riduzione dei costi di manutenzione);
KMRI_6 aumento delle prestazioni relative a processi IT e di
business (sulla base di Key Performance Indicators);
KMRI_7 aumento dell’innovazione tecnologica.
penali;
KMRI_5 riduzione dei costi operativi
• diminuzione del personale,
• riduzione dei costi hardware e software,
• riduzione dei costi di licenza e di affitto,
• riduzione dei costi di manutenzione);
KMRI_6 aumento delle prestazioni relative a processi IT e di
business (sulla base di Key Performance Indicators);
KMRI_7 aumento dell’innovazione tecnologica.
© CLUSIT 2013 – Data Security Analytics
60. Analisi dei RitorniAnalisi dei Ritorni non quantificabilinon quantificabili
MATRICE DI VALUTAZIONE DI
UN DSA
Indicatori che si classificano come Intangible:
KQRI_1 protezione e/o aumento della reputazione
dell’organizzazione;
KQRI_2 miglioramento del clima aziendale nonché del morale
dei propri dipendenti;
KQRI_3 riconoscimento del ruolo di leader del settore;
KQRI_4 conformità a normative, leggi o regolamenti;
KQRI_5 maggiore soddisfazione da parte del cliente finale;
Indicatori che si classificano come Intangible:
KQRI_1 protezione e/o aumento della reputazione
dell’organizzazione;
KQRI_2 miglioramento del clima aziendale nonché del morale
dei propri dipendenti;
KQRI_3 riconoscimento del ruolo di leader del settore;
KQRI_4 conformità a normative, leggi o regolamenti;
KQRI_5 maggiore soddisfazione da parte del cliente finale;
IL PROGETTO – metodi di valutazione
60
KQRI_6 acquisizione di specifiche competenze su tematiche
innovative.
Gli intangibili, se quantificati in maniera adeguata, sono
elementi indicatori che entrano sempre più spesso
nelle valutazioni del patrimonio aziendale.
Pertanto in fase di Merge/acquisition, audit
bancaria, sono elementi che ormai rientrano tra gli
elementi che creano o sottraggono valore.
KQRI_6 acquisizione di specifiche competenze su tematiche
innovative.
Gli intangibili, se quantificati in maniera adeguata, sono
elementi indicatori che entrano sempre più spesso
nelle valutazioni del patrimonio aziendale.
Pertanto in fase di Merge/acquisition, audit
bancaria, sono elementi che ormai rientrano tra gli
elementi che creano o sottraggono valore.
© CLUSIT 2013 – Data Security Analytics
61. ROSI >ROSI > 11
UN DSA GENERA RISPARMI
ECONOMICI ?
Return On Security InvestmentsReturn On Security Investments
KDCI_1+ …+KDCI_n+KICI_1+
…+KICI_n
ROSIROSI =
.
KMRI_1+ …+KMRI_n+KQRI_1+
Return On Security InvestmentsReturn On Security Investments
KDCI_1+ …+KDCI_n+KICI_1+
…+KICI_n
ROSIROSI =
.
KMRI_1+ …+KMRI_n+KQRI_1+
CONCLUSIONI
61
ROSI >ROSI > 11
Vantaggio per l’aziendaVantaggio per l’azienda
KMRI_1+ …+KMRI_n+KQRI_1+
…+KQRI_n
KMRI_1+ …+KMRI_n+KQRI_1+
…+KQRI_n
© CLUSIT 2013 – Data Security Analytics
62. CONCLUSIONI
Data Security AnalyticsData Security Analytics
Business Development
Big Data
Big Storage
Real Time
R.O.S.I.
Smart CitySocial Media
LE PAROLE
CHIAVE
62© CLUSIT 2013 – Data Security Analytics
Smart CitySocial Media
Harvesting
Distiller
DamDam
SiemSieminvestigazione
Risk-Data
Controllo di gestione
Valore degli intangibili
63. Grazie per l’attenzione
Se siamo oggi qui dobbiamo ringraziare
questi ragazzi… ITALIANI che nel 1965
hanno costruito il primo personal
computer
© CLUSIT 2013 – Data Security Analytics 63
Quando il floppy disk si chiamava «cartolina»…