Clusit

Data Security Analytics
«Tutto il merito è di quattro italiani»
Gaetano Ascenzi
AlfaGroup Chief Technology Officer
Paolo Capozucca
SEC Consulting C.E.O.

Gaetano Ascenzi
Chief Technical Officer di AlfaGroup, con la diretta responsabilità dell’ area
Ricerca e Sviluppo.
Esperto delle tematiche di analisi e organizzazione legate al Business Process
Management, ha maturato specifica esperienza nel mondo della Process
Intelligence, Business Intelligence e Security Intelligence. Coordina il gruppo di
sviluppo che realizza RHD, uno dei pochi software, totalmente italiani, legati al
BPM. A questo affianca attività di project management presso le più grandi
aziende italiane.
Si dedica ad attività divulgativa e didattica presso alcune istituzioni Scolastiche e
Universitarie; coordina, all’ Interno di Confindustria Marche, un gruppo di studio
2
Universitarie; coordina, all’ Interno di Confindustria Marche, un gruppo di studio
dedicato alla diffusione della cultura dell’ Innovazione.
«Come secondo mestiere mi dedico all’agricoltura così nessun cliente può dire:
Braccia rubate all’agricoltura…»
© CLUSIT 2013 – Data Security Analytics

OBIETTIVO DEL SEMINARIO
Data Security Analytics si sta imponendo
come elemento organizzativo per ottimizzare
e rendere efficace la raccolta e l’ analisi
dei dati legati alla sicurezza.
3
dei dati legati alla sicurezza.
L’ intervento vuole generare un punto di
vista dello stato dell’ arte, evidenziando
modalità di approccio, tecnologie disponibili e
parallelismi con altri ambiti di analisi.

Definizione di Data Security Analytics
Scenario di riferimento
Progetto
INDICE
4
Conclusioni

DEFINIZIONE DI DATA SECURITY ANALYTICS
SPIEGAZIONE INDIPENDENTE
DI DATA SECURITY ANALYTICS
Non esiste una definizione indipendente.
Curiosamente l’allocuzione nonostante sia di uso
comune non ha indotto l’ introduzione di una
definizione in Wikipedia.
Ampliando la ricerca ad ambiti specializzati come
il MIT di Boston, anche in questo caso non è
5
il MIT di Boston, anche in questo caso non è
stato possibile trovare elementi di convergenza.
Perché?
Non è che siamo di fronte alla solita situazione
degli informatici «io non lo so ma ho ragione
perché i fatti mi cosano…».
(citazione dell’ assessore Palmiro Cangini
interpretato da Paolo Cevoli)

DEFINIZIONE DI DATA SECURITY ANALYTICS
SOLO I VENDOR HANNO
DEFINITO
I principali vendor mondiali si stanno dedicando
alla Data Security Analytics attraverso precise
scelte progettuali:
• ORACLE - si focalizza sulla verifica dei dati di
controllo legati ai database
• RSA - ha un focus nell’analisi dei sistemi SIEM
• IBM - propone un set di strumenti Real time
Security Analytics redefines SIEM by combining
network monitoring, traditional log-centric
SIEM, forensics, compliance, and big data
Monitor Database Activity, Block Threats, and
Audit Efficiently Across the Enterprise …
… monitors Oracle and non-Oracle database
traffic to detect and block threats, as well as
improves compliance reporting by consolidating
audit data from databases, operating systems,
directories, and other sources …
6
• IBM - propone un set di strumenti Real timeSIEM, forensics, compliance, and big data
management and analytics
“…provides a comprehensive, integrated
approach that combines real-time correlation for
continuous insight, custom analytics across
massive structured and unstructured data, and
forensic capabilities for irrefutable evidence. The
combination can help you address advanced
persistent threats, fraud and insider threats.
IBMIBM

LO SCENARIO
Il riferimento socio-economico
La situazione dei database
Il punto di vista logico
7© CLUSIT 2013 – Data Security Analytics

LO SCENARIO – il contesto socio economico
IL CONTESTO DI
ANTROPOLOGIA DIGITALE HA
INFLUENZA
L’ individuo viene sostituito dalle comunità
«Esisti se sei in rete»
In un contesto sociale come quello attuale, si
stanno affermando discipline come l’
8
stanno affermando discipline come l’
Antropologia digitale che ha come obiettivo lo
studio dell’ interrelazione sociale mediata da
strumenti informatici.
Il risultato della correlazione sono il proliferare di
banche dati formate da dati strutturati e
destrutturati sparse geograficamente.

LE SCELTE CHE HANNO
INFLUENZATO LA DSA
A partire dall’ introduzione su scala globale della
posta elettronica si è assistito all’incremento
delle fonti dati, dei database e delle connessioni
tra individui.
Tutto questo è stato amplificato con i fenomeni di
2000
2008
9
Tutto questo è stato amplificato con i fenomeni di
Twitter, Facebook.
Il Cloud è da identificare come un punto di
passaggio che tende a razionalizzare le risorse
per poter gestire al meglio i «big Data»
introducendo nuovi problemi legati alla sicurezza
e alla obsolescenza dati.
Ora siamo ad un nuovo passaggio che per
caratteristiche tecniche e quantità di denaro
disponibile si annuncia come il più grande
intervento nel mondo ICT mai realizzato:
E’ il progetto Smart Cities.
2014
2020
2011

LE SMART CITY SARANNO IL
RIFERIMENTO ECONOMICO
PER FSE 2014-2020
Smart City è la linea di progetto individuata nel
programma di finanziamento del FSE 2014-20
che intende sviluppare tutte le tecnologie in
grado rendere più agevole, meno energivora e
più rispettosa dell’ ambiente, la vita delle
10
persone che vivono negli agglomerati urbani.
Il Fondo Sociale Europeo doterà questa linea di
sviluppo per un totale di 11 miliardi di euro in 7
anni.
video

i
LO SCENARIO INDOTTO DALLE
SMART CITY
SMART CITY è l’ unica reale linea di progetto
europea in grado di incidere sul mondo dell’ ICT
in considerazione di una dotazione economica
senza precedenti. Con il cambiamento epocale a
cui siamo e saremo sottoposti, nessuno avrà una
capacità di investimento tale da definire priorità
Sistemi per agevolare gli
anziani in un’ottica di
allungamento della vita
media.
Veicoli ad impatto limitato
in grado di valutare I
percorsi migliori
conoscendo il traffico
internet
11
i
capacità di investimento tale da definire priorità
di sviluppo capaci di entrare in concorrenza con
Smart City.
Quale impatto si genera sul Data Security
Analytics.
• sono tutti interconnessi
• sono tutti generatori/ricevitori di dati
• Sono tutti accessibili direttamente dagli utenti
sono tutti dotati di database localizzati.
Illuminazione pubblica ad
impatto zero, capace di
rilevare la presenza di
persone per regolare l’
intensità luminosa
Semafori che valutano il
traffico e provvedono alla
regolazione del flusso
veicolare attraverso un
controllo centralizzato
internet

LO SCENARIO – il punto di vista socio/economico
TREND MEDIO PERIODO
• I volumi dati macchina, i tipi di fonti e di dati
stanno esplodendo.
• Circa l’80-95% dei dati di un’organizzazione non
sono strutturati.
• I dati sono conservati secondo la logica «silos»
• Nuove tecnologie aggiungono nuovi dati
• (SmartPhone, sensori, GPS, virtualizzazione,
TREND ATTUALE
• I volumi dati macchina, i tipi di fonti e di
dati aumenteranno ulteriormente
• I dati destrutturati all’ interno delle
organizzazioni diminuirà in stretto legame
all’ introduzione di processi in grado di
gestire e correlare le informazioni (BPM).
• I dati sono conservati secondo una logica
12
• (SmartPhone, sensori, GPS, virtualizzazione,
cloud)
• I trend di Mercato rendono questi dati
interessanti per il business.
• Ognuno contiene una categorizzazione di
attività e comportamento.
• I dati sono conservati secondo una logica
sia Silos che polverizzata, quest’ultima
indotta da Smart City. Big data e Small
Data entrano a far parte di un sistema
unico.
• La partita si giocherà sulla capacità di
mettere in relazione i dati strutturati e
destrutturati affinchè IT e business Unit
siano in grado di collaborare per
abbassare il time to market.

LO SCENARIO – la situazione dei database
IL PUNTO DI VISTA DELLE
APPLICAZIONI
Data
Diversity
Data
Volume
Traditional
Tools
“ “Tra il 2009 and 2020 i dati
digitali cresceranno ad un
CAGR del 45%
IDC 2010 Storage Market View
i dati cresceranno in maniera esponenziale
13
Tools
Desired Time
to Answer
I dati non strutturati pesano più
del 90% nell’universo digitale
“ “
IDC 2011 Digital Universe Study:
Extracting Value from Chaos

IL PUNTO DI VISTA DELLE
AZIENDE/APPLICAZIONE
Nei prossimi 6 anni i dati cresceranno in maniera
esponenziale. Soprattutto per quanto riguarda i
Social Media, i sistemi Cloud e quanto
riconducibile a Smart City.
I numeri che vediamo a destra sono riferiti ai soli
Social Media che non sono ancora frequentati da
Customer Data Volume
(per day)
12 TB
6 TB
4 TB
Leading Social
Gaming Company
14
Social Media che non sono ancora frequentati da
intere aree geografiche poste nei paesi emergenti
e in quelli del «terzo mondo»
4 TB
900 GB
800 GB
1.2 TB

I DATI GENERATI DALLE
MACCHINE SONO PERVASIVI
Quasi tutte le macchine sono arrivate ad essere
generatori /Ricevitori di dati.
Tutti sono interconnessi a formare tanti «big
Data» riconnessi a contenitori logici ancor più
grandi rappresentati da sistemi Cloud oppure da
server Silos di dimensioni significative.

LO SCENARIO
CONCLUSIONI
• La Data Security Analytics rappresenta la necessaria evoluzione di
sistemi che non sono nati per analizzare ma per collezionare dati.
• Probabilmente, per l’ esplosione di quantità di dati e di tipologie di
device alcuni concetti architetturali delle applicazioni come:
Generazione dei Log, mission critical, reazione real time, dovranno
essere riscritti e adeguati allo scenario.
16
essere riscritti e adeguati allo scenario.
• Il silos dei dati è insostituibile ma dovranno essere sviluppate
tecniche di analisi in grado di combinare i grandi contenitori con i
piccoli agglomerati diffusi geograficamente.
• C’è chi ipotizza grandi elaborazioni batch centralizzate affiancate a
sistemi di filtro direttamente installati sulle periferiche.

IL PROGETTO
L’ approccio logico
Le tecnologie disponibili
Un esempio di flusso operativo di progetto
Un parallelo tra Data Security Analytics e il controllo di gestione.
Come completa il progetto di DSA
17
Come completa il progetto di DSA
Metodi di valutazione di un progetto di DSA

CERCARE E INVESTIGARE
IL PROGETTO – l’approccio logico
Investigare, trovare e risolvere i problemi il più
velocemente possibile attraverso tutta
l’organizzazione
18
caos ordine
Cercare ed investigareCercare ed investigare

MONITORAGGIO PROATTIVO
Identificare automaticamente rischi di attacco
o problemi prima che questi abbiano impatto
su clienti e servizi.
19
caos ordine
Cercare ed investigare
Monitoraggio proattivoMonitoraggio proattivo

VISIBILITA’ DELLE OPERAZIONI
Aumenta la visibilità end-to-end per tracciare e
seguire i KPI dell’IT e prendere decisioni con
informazioni migliori
Visibilità delle operazioniVisibilità delle operazioni
20
caos ordine
Monitoraggio proattivo

REAL TIME
Ottenere informazioni in real-time dai dati di
operation che abilitino decisioni consapevoli,
per massimizzare la sicurezza del sistema.
Questo elemento ha un forte impatto sul
business aziendale. Garantire un sistema
capace di generare e monitorare dati real-time,
Visibilità delle operazioni
Real Time Security AnalyticsReal Time Security Analytics
21
caos ordine
capace di generare e monitorare dati real-time,
garantisce la possibilità di avere dati affidabili
per l’ analisi di business basata sui tradizionali
strumenti come il controllo di gestione e la
business intelligence.
Monitoraggio proattivo

Un sistema informativo è composto di:
• Sistemi,
• Dati,
DATA SECURITY ANALYTICS E’
UN MODELLO DI
INTEGRAZIONE DEI DATI
IL PROGETTO – la tecnologia
Protezioni
22
• Dati,
• Applicazioni,
• Protezioni.
Un sistema di DataData SecuritySecurity AnalyticsAnalytics è un
ambiente che avvolge e protegge il sistema
informativo frapponendo tutta una serie di protezioni
ed aggregando tutti i dati e le informazioni di
controllo.Data Security AnalyticsData Security Analytics
SIEMSIEM
Sistemi
Dati
DAMDAM
Applicazioni
Protezioni

DATABASE ACTIVITY
MONITORING
DAM è una tecnologia di sicurezza applicata al
monitoraggio delle attività del database. Opera
in maniera autonoma rispetto ai sistemi di
controllo e prevenzione previsti all’ interno
della piattaforma DBMS.
DAM è tipicamente un servizio di tipo Real
time, sempre attivo.
utenti
23
time, sempre attivo.
applicazioni

DATABASE ACTIVITY
MONITORING
Il Database Activity Monitoring, permette di:
• gestire l’ accesso e un perfetto monitoraggio
dell’applicazione in maniera indipendente
dall’ architettura dell’applicazione e dei log.
• Permette di verificare l’ attività prodotta dall’
amministratore di sistema
• Deve implementare la possibilità di
utenti
24
• Deve implementare la possibilità di
individuare letture e scritture anomale
attraverso la verifica di un uso anomalo.
• Il sistema di correlazione è in grado di
raccogliere informazioni in maniera
organizzata emettendo specifici report.
applicazioni

DATABASE ACTIVITY
MONITORING
La maggior parte delle organizzazioni hanno
procedure in atto per prevenire azioni
fraudolente da parte degli amministratori di
database e di altri utenti del database con
privilegi analoghi.
La maggior parte delle organizzazioni non sono
in grado di rilevare «in silenzio» infrazioni o
utenti
25
in grado di rilevare «in silenzio» infrazioni o
incidenti
applicazioni

DATABASE ACTIVITY MONITORING
Le funzioni tipiche di un DAM sono le seguenti:
• Monitoraggio in tempo reale di fenomeni riconducibili ad attacchi e
apertura di backdoor.
• Non sensibilità alle variabili infrastrutturali come topologia della
rete e protocolli di criptazione.
• Prevenzione e blocco sulle transazioni senza essere “on-line”
• Monitoraggio continuo dei “risk-data”.
utenti
applicazioni
26
• Monitoraggio continuo dei “risk-data”.
• Aumentare la visibilità dei fenomeni all’ interno del traffico.
• Gestione del monitoraggio dei database anche in ambienti
virtualizzati o cloud dove la topologia della rete non è ben definita.
Sono inoltre disponibili, in sistemi enterprise, funzioni specializzate:
• Auditing per la verifica dei requisiti legati alle normative antifrode,
parti correlate, pagamenti con carta di credito (PCI).
• Integrazione con prodotti che operano la scansione dei dati legati
alla vulnerabilità.
applicazioni

DATABASE ACTIVITY
MONITORING
Il mercato indirizzabile e' stimato in $2Bn-
$3bn (Gartner & Forrester)
Terreno vergine: 95% del mercato target non
ha soluzioni di database security in uso
La sicurezza dei Database sta' diventando
una necessita':
Pressione per l'aderenza alle normative
27
Pressione per l'aderenza alle normative
Gravi violazioni dei dati sono riportate ogni
settimana
L'Outsourcing delle operazioni dei DB sta'
aumentando.

DEFINIZIONE DI SIEM
I sistemi di Security Information and Event
Management, è un assieme di sistemi
specializzati:
• SIM (Security Information Management).
• SEM (security Event Manager).
SIEM raccoglie una serie di tecnologie per
Search &
Investigate
Report &
Analyze
Index
Data
28
SIEM raccoglie una serie di tecnologie per
l’analisi, real-time, dei messaggi di alert
provenienti dalla rete e dalle applicazioni.
Investigate
Monitor
& Alert
Analyze
Add
Knowledge

DEFINIZIONE DI SIEM
Collezionare, indicizzare,
organizzare e correlare i dati di
tutti (nessuno escluso) i sistemi in
modo da poter:
identificare i problemi, i modelli, i
rischi e le opportunità per offrire le
migliori decisioni all’IT e al
29
migliori decisioni all’IT e al
business.
Questa è la nuova frontiera dell’IT
chiamata «OPERATIONALOPERATIONAL
INTELLIGENCEINTELLIGENCE»

SCHEMA DI SIEM
I sistemi SIEM , in genere, seguono i seguenti obiettivi
operativi:
• Raccolta e aggregazione dei dati. Aggrega i dati provenienti
dalle diverse fonti: dalla rete ai server ed alle applicazioni,
archiviando e monitorando gli eventi di maggiore valore
• Correlazione. Permette di costruire le relazioni tra gli eventi per
controllare fenomeni complessi attraverso l’ integrazione di
sorgenti diverse.
• Alert. L’ analisi automatica delle correlazioni permette di
Search &
Investigate
Report &
Analyze
Index Data
30
• Alert. L’ analisi automatica delle correlazioni permette di
valutare i fenomeni complessi in real-time
• Rappresentazione dei dati. Questi devono essere sintetizzati
in report che seguono gli obiettivi di governance e di compliance
• Conservazione. Tutti i dati sono conservati e catalogati con un
obiettivo di lungo periodo. Questo è imposto dalle necessità
investigative che si possono imporre in un periodo temporale
differente dalla manifestazione del fenomeno.
Monitor &
Alert
Add
Knowledge

IL MODELLO DI RACCOLTA DEI
DATI – HARVESTING VS
DISTILLER
Raccolta indistinta
SIEM o DAM si impone una riflessione sulla
modalità di raccolta dei dati. Possiamo distungue
due metodi:
• Raccolta indistinta caratterizzata da grandi
sistemi che «raccolgono tutto indistintamente» e
Raccolta selettiva
sistemi che «raccolgono tutto indistintamente» e
poi procedono all’ elaborazione di Big data in Big
Storage
• Raccolta selettiva, caratterizzata da una azione di
raccolta basata su regole che tendono
immediatamente a qualificare i dati e dargli valore..

DATA SECURITY ANALYTICS
utenti
applicazioni
I sistemi di DATA SECURITY ANALTYCS
raccolgono le varie fonti dati generando
contenitori di dati omogenei a disposizione di
Auditor e Security Manager per l’ analisi della
situazione e la redazione di policy e procedure
per il miglioramento del sistema.
Audit data
Custom Audit log
Auditor
Security
manager
Ms Active Directory
Report
Policy
Procedure
eventi
per il miglioramento del sistema.

È necessariamente un progetto ciclico che
può essere schematizzato utilizzando il
modello di Deming (Ciclo PDCA)
Il WORKFLOW DI UN
PROGETTO DSA
IL PROGETTO – Un Esempio

PLANPLAN
• Definizione degli obiettivi
• Analisi esigenze di compliance
• Mappa dei processi interessati
Il WORKFLOW DI UN
PROGETTO DSA
34
• Mappa dei processi interessati
• Documentazione del punto di partenza
• Pianificazione delle azioni da realizzare
• Analisi dei dati (eventualmente utilizzando
il SIEM)
• Progettazione delle regole

DODO
• Installazione delle soluzioni
• Applicazione delle regole su un
Il WORKFLOW DI UN
PROGETTO DSA
35
• Applicazione delle regole su un
sottoinsieme dei dati (ove possibile)
• Invio dei dati del DAM al SIEM
• Correlazione degli eventi
• Realizzazione di report e cruscotti

CHECKCHECK
Verifica dei risultati e confronto con gli
obiettivi
• Utilizzo degli strumenti forniti dal DAM
e dal SIEM
Il WORKFLOW DI UN
PROGETTO DSA
36
e dal SIEM
• Checklist
• Analisi grafiche
• Schemi di controllo
• KPI

ACTACT
Il WORKFLOW DI UN
PROGETTO DSA
Estensione delle regole a tutto il
patrimonio informativo
37
Ripetizione del ciclo con esame critico
per individuare le cause del non
raggiungimento e revisione delle regole
SI
NO
Obiettivi
raggiunti
?

ESISTE UN PARALLELISMO TRA
UN DATA SECURITY ANALYTICS
E DI CONTROLLO DI GESTIONE
IL PROGETTO – DSA VS controllo di gestione
Dopo aver analizzato cosa è un sistema di
Data Security Analitics si evidenzia una
somiglianza con quanto si prevede per la
realizzazione dei modelli operativi di controllo
di gestione economico/finanziario applicati all’
Controllo del
business
Controllo dei
sistemi
38
di gestione economico/finanziario applicati all’
analisi delle performance aziendali.
Quanto affermato non deve essere individuato
come un esercizio ozioso ma come una
dinamica in grado di collegare i sistemi e i dati
che generano, alle dinamiche di business dell’
azienda realizzando un unico monitoraggio
operativo
«i dati dei sistemi entrano a far parte
integrante della gestione del business
aziendale»
AFFINAMENTO
DELLA
STRATEGIA DI
COMPETITIVITA’
DELL’ AZIENDAL

SCHEMA DEL CONTROLLO DI
GESTIONE
analisi dello
analisi della storia
aziendale definizione degli
obiettivi
definizione dello
schema di
controllo
Il controllo di gestione organizza il flusso
operativo in fasi:
• Analisi dello scenario generale, attraverso
una verifica della storia aziedale.
• Definizione degli obiettivi esplicitati
attraverso la realizzazione di un modello di
controllo in grado di raccogliere, classificare e
39
analisi dello
scenario
redazione
budget
redazione della
contabilità
analitica bilanci di
contabilità analitica
contabilità
direzione
report per la
direzione
analisi dei dati
(indici di bilancio)
calcolo degli indici
verbali
controllo in grado di raccogliere, classificare e
sintetizzare le informazioni.
• Raccolta dei dati e classificazione secondo
il modello.
• Redazione di report di controllo dotati del
giusto dettaglio per evidenziare i fenomeni
senza sovraccaricare il personale di dati di
dettaglio che tendono a nascondere i
fenomeni.
• Ripianificazione degli obiettivi attraverso
una analisi continua degli indicatori.

SCHEMA DEL DATA SECURITY
ANALYTICS
Il Data Security Analytics organizza il flusso
operativo in fasi che si sovrappone con il
modello di controllo di gestione:
• Analisi dello scenario generale, si procede
alla verifica della presenza di sistemi in
grado di generare dati di controllo: DAM,
SIEM, …
analisi della storia
aziendale definizione degli
obiettivi
definizione dello
schema di
controllo
ANALISI DELLO
SCENARIO
DEFINIZIONE DEGLI OBIETTIVI RACCOLTA DEI DATI
40
SIEM, …
• Definizione degli obiettivi esplicitati
attraverso la realizzazione di un modello di
integrazione dei dati, in grado di
classificare e sintetizzare le informazioni.
• Raccolta dei dati e classificazione si
realizza secondo il modello attraverso due
tecniche: raccolta di massa, raccolta di
precisi eventi «distillati» dai sistemi in
ascolto.
• Redazione di report di controllo che
misurano le performance dei sistemi e la
tempestività delle reazioni.
analisi dello
scenario
redazione
budget
redazione della
contabilità
analitica bilanci di
contabilità analitica
contabilità
direzione
report per la
direzione
analisi dei dati
(indici di bilancio)
calcolo degli indici
verbali
REPORTING

IL PROGETTO – il controllo di gestione può completare un progetto
DSA
SIEM, DAM hanno come obiettivo la generazione
di dati elementari legati ad eventi. L’ enorme
quantità di dati impone di realizzare attraverso il
DSA, una Sintesi di obiettivi di controllo
raggiungibili attraverso una attività caratterizzata
da un equilibrio tra costo e beneficio
IL CONTROLLO DI GESTIONE
Il controllo di gestione impone la definizione del
budget come documento di sintesi degli obiettivi
da misurare secondo criteri di economicità e
praticità.
41
I modelli di controllo rispondono ad una serie di
discipline di analisi codificate in anni di attività di
ricercatori ed economisti
Il modello di controllo non risponde a regole
codifica ma a impostazioni definite dai
responsabili dei sistemi. Il rischio è di avere
sistemi che emettono dati corretti ma elaborati in
maniera sbagliata

IL PROGETTO – il controllo di gestione può completare un progetto
DSA
IL CONTROLLO DI GESTIONE
Il controllo di gestione impone di sintetizzare i
dati in report «compatti» per evidenziare il
fenomeno. Questo aspetto si esalta attraverso l’
elaborazione dei cosiddetti KPI e la redazione di
cruscotti grafici
Qualsiasi modello di controllo deve rispondere a
criteri di praticità e economicità che devono
42
criteri di praticità e economicità che devono
essere commisurati agli obiettivi da raggiungere
e alla struttura organizzativa necessaria.
Le performance del Business e le performance dei sistemi sono intimamente correlate e non è possibile
generare obiettivi senza una comunicazione tra le due aree. Un indicatore di performance dei sistemi non può
nascere se non da un attento confronto con le aree di gestione del business.
Il budget aziendale e i report di controllo economico gestionali devono cominciare a contenere gli indicatori
relativi alla sicurezza dei sistemi.
Le performance del Business e le performance dei sistemi sono intimamente correlate e non è possibile
generare obiettivi senza una comunicazione tra le due aree. Un indicatore di performance dei sistemi non può
nascere se non da un attento confronto con le aree di gestione del business.
Il budget aziendale e i report di controllo economico gestionali devono cominciare a contenere gli indicatori
relativi alla sicurezza dei sistemi.

CONCLUSIONI
Chi può adottare un sistema di Data Security Analytics ?
Chi deve adottare un sistema di Data Security Analytics ?
Ci sono indicatori che evidenziano la necessità di un sistema di
Data Security Analytics ?
Esiste uno Schema di indicatori per valutare un sistema di Data
Security Analytics ?
43
Security Analytics ?
Genera risparmi economici ?
Quali sono le obiezioni abituali?

La risposta può essere una sola: se ho dati
È NECESSARIO ADOTTARE UN
SISTEMA DSA?
CONCLUSIONI
44
La risposta può essere una sola: se ho dati
rilevanti per la mia azienda devo adottare un DSA

Qualunque azienda ha:
CHI PUO’ ADOTTARE UN
SISTEMA DI DATA SECURITY
ANALYTICS ?
CONCLUSIONI
Encrypte
d TrafficStored
45
Qualunque azienda ha:
• dati rilevanti
• almeno un minimo di
strutturazione dell’attività in
processi controllati
• necessità di comunicazione
interna ed esterna
d TrafficStored
ProceduresZero-
Day Hacks

•• SicurezzaSicurezza
•• ObblighiObblighi
CI SONO INDICATORI CHE
EVIDENZIANO LA NECESSITA’
DI UN DSA ?Criticità dei dati aziendali
Esigenze di Compliance e Certificazione
Immagine
Presenza di dati sensibili
Presenza di transazioni economiche
Criticità dei dati aziendali
Esigenze di Compliance e Certificazione
Immagine
Presenza di dati sensibili
CONCLUSIONI
46
•• ObblighiObblighi
•• OttimizzazioneOttimizzazione
Innalzamento di tutto il livello di sicurezza
Miglioramenti sui processi elaborativi
Migliore analisi dei processi decisionali
Ottimizzazione dell’organizzazione
Innalzamento di tutto il livello di sicurezza
Miglioramenti sui processi elaborativi
Migliore analisi dei processi decisionali
Ottimizzazione dell’organizzazione

Qualunque azienda abbia a cuore il suoQualunque azienda abbia a cuore il suo
business e la propria sopravvivenzabusiness e la propria sopravvivenza
Tutte le aziende che hanno strategie di
business vincenti hanno attualmente
CHI DEVE ADOTTARE UN DSA ?
L’aderenza alle leggi sulla sicurezza dei dati è obbligatoria
Molte normative, inclusa la PCI DSS per le transazioni delle carte
di credito , la Sarbanes Oxley per le aziende quotate in borsa, la
HIPPA nel settore medico e farmaceutico e molte altre
richiedono policy di revisione e di prevenzione delle
violazioni sulle basi dati delle aziende.
L’aderenza alle leggi sulla sicurezza dei dati è obbligatoria
Molte normative, inclusa la PCI DSS per le transazioni delle carte
di credito , la Sarbanes Oxley per le aziende quotate in borsa, la
HIPPA nel settore medico e farmaceutico e molte altre
richiedono policy di revisione e di prevenzione delle
CONCLUSIONI
47
business vincenti hanno attualmente
un approccio al mercato dinamico,
capace di cogliere il minimo segnale. Il
modello di DSA deve muoversi alla
stessa velocità.
Le leggi che richiedono notifica sulle violazioni dei dati sono in
ruolo negli Stati Uniti e nella UE e possono rappresentare
sanzioni significative in caso di furto e violazione delle
informazioni sensibili, in aggiunta al danno subito dalla stessa
impresa frodata.
Le leggi che richiedono notifica sulle violazioni dei dati sono in
ruolo negli Stati Uniti e nella UE e possono rappresentare
sanzioni significative in caso di furto e violazione delle
informazioni sensibili, in aggiunta al danno subito dalla stessa
impresa frodata.

«Il database è mio e una intera
batteria di firewall mi
proteggono»
LE OBIEZIONI
I DB sono sicuri?I DB sono sicuri?
• Per la Tecnologia:
• Accesso costante da diverse applicazioni ed utenti
• Impossibile da bloccare senza impattare sulla sua
accessibilità.
• Vulnerabile (SQL injection, buffer overflow)
I DB sono sicuri?I DB sono sicuri?
• Per la Tecnologia:
• Accesso costante da diverse applicazioni ed utenti
• Impossibile da bloccare senza impattare sulla sua
accessibilità.
• Vulnerabile (SQL injection, buffer overflow)
CONCLUSIONI
48
• Per I Processi
• Patches (ex. Oracle CPU) non applicate in modo
tempestivo
• Implementazione delle procedure (def./shared
pass.wd, etc.)
• Per il Personale
• La minaccia dall'interno…
• I vostri DBAs, Sys Admins, programmatori….
• Per I Processi
• Patches (ex. Oracle CPU) non applicate in modo
tempestivo
• Implementazione delle procedure (def./shared
pass.wd, etc.)
• Per il Personale
• La minaccia dall'interno…
• I vostri DBAs, Sys Admins, programmatori….

«Posso sostenere la mia
compliance senza adottare
questo strumento di controllo»
LE OBIEZIONI
• Forse questa è la situazione oggi, ma non può essere il caso
per il futuro
• Gli Auditors sono molto più restrittivi oggi
• La sicurezza dei DB sta diventando indispensabile per gli
• Forse questa è la situazione oggi, ma non può essere il caso
per il futuro
• Gli Auditors sono molto più restrittivi oggi
CONCLUSIONI
49
auditors
• Le aziende possono programmare l’utilizzo della soluzione
DAM in anticipo, rispetto ad adottarla in un periodo molto
breve come richiesto dagli auditors
auditors
• Le aziende possono programmare l’utilizzo della soluzione
DAM in anticipo, rispetto ad adottarla in un periodo molto
breve come richiesto dagli auditors

«La sicurezza dei DB non è
una priorità per noi»
LE OBIEZIONI
• Dopo aver fallito l’audit lo sarà!
• Le statistiche di VZB dimostrano che le violazioni dei DB
• Dopo aver fallito l’audit lo sarà!
• Le statistiche di VZB dimostrano che le violazioni dei DB
CONCLUSIONI
50
aumentano (>80% dei record violati)
• Si può pensare di partire con pochi DB critici contenenti dati
sensibili e poi allargarsi a tutti i dati
aumentano (>80% dei record violati)
• Si può pensare di partire con pochi DB critici contenenti dati
sensibili e poi allargarsi a tutti i dati

«Questo tipo di strumenti
richiede molto lavoro di
amministrazione del
sistema»
LE OBIEZIONI
• Non è corretto
• 80% del valore non richiede attività di amministrazione
• Esistono Compliance wizards
• Non è corretto
• 80% del valore non richiede attività di amministrazione
• Esistono Compliance wizards
CONCLUSIONI
51
• Limitazione dei falsi positivi
• La maggior parte degli alert sono di alto interesse per
l’azienda e riflettono problemi reali nei DB e nelle applicazioni
che vi accedono
• Limitazione dei falsi positivi
• La maggior parte degli alert sono di alto interesse per
l’azienda e riflettono problemi reali nei DB e nelle applicazioni
che vi accedono

«Ho capito che questo è uno
strumento di sicurezza, noi
abbiamo solo bisogno di un
tool di auditing»
LE OBIEZIONI
• Il DSA è il miglior strumento di audit al mondo
• Fornisce una copertura completa di tutte le transazioni
rilevanti (Tutte le TRX attraverso XX tabelle, tutti i XX
comandi attraverso l’intero DB, tutte le TRX attraverso l’intero
DB)
• Il DSA è il miglior strumento di audit al mondo
• Fornisce una copertura completa di tutte le transazioni
rilevanti (Tutte le TRX attraverso XX tabelle, tutti i XX
comandi attraverso l’intero DB, tutte le TRX attraverso l’intero
DB)
CONCLUSIONI
52
DB)
• Ha un minimo impatto sulle performance del DB
• È controllato dai gestori della security (Separation of Duties)
• È una soluzione unica per coprire il traffico locale e all’interno
del DB (ad esempio stored procedures, triggers, views,
etc…)
DB)
• Ha un minimo impatto sulle performance del DB
• È controllato dai gestori della security (Separation of Duties)
• È una soluzione unica per coprire il traffico locale e all’interno
del DB (ad esempio stored procedures, triggers, views,
etc…)

«Ho già investito in IPS e
strumenti generici di VA…
Non posso giustificare
ulteriori investimenti»
LE OBIEZIONI
• Questi strumenti sono importanti, ma non permettono di
raggiungere i requisiti di compliance richiesti per i DB:
• Percorso di audit completo per le informazioni sensibili
• Questi strumenti sono importanti, ma non permettono di
raggiungere i requisiti di compliance richiesti per i DB:
CONCLUSIONI
53
• Separation of Duties
• Patching di sicurezza accurato e disponibile
immediatamente
• Separation of Duties
• Patching di sicurezza accurato e disponibile
immediatamente

• Sarbanes-Oxley
• Health Insurance Portability and Accountability Act
(HIPAA)
• Basel II e Basel III
• EU Directive on Privacy and Electronic
Communications
ANALISI DEGLI OBBLIGHI
NORMATIVI E DI COMPLIANCE
CONCLUSIONI
54
Communications
• Payment Card Industry Data Security Standard (PCI
DSS)
• Provvedimento del Garante della Privacy sugli
Amministratori di sistema
• Provvedimento del Garante della Privacy sulla
Tracciabilità delle operazioni bancarie
• Dlgs. 196/2003
• ISO 27000
• SAS 70

R.O.S.I.
MATRICE DI VALUTAZIONE DI
UN DSA
«Lavoro di valutazione dei vantaggi potenziali di un
investimento in sicurezza, in particolare in sicurezza delle
informazioni»
«Lavoro di valutazione dei vantaggi potenziali di un
investimento in sicurezza, in particolare in sicurezza delle
informazioni»
IL PROGETTO – metodi di valutazione
55
Return On Security
Investments

Approccio per il calcolo degli
indicatori
UN DSA
Indicatori di performance:
KDCI = Key Direct Cost Indicator
KICI = Key Incident Cost Indicator
KMRI = Key Measurable Return indicator
KQRI = Key Qualitative Return Indicator
Indicatori di performance:
KDCI = Key Direct Cost Indicator
KICI = Key Incident Cost Indicator
KMRI = Key Measurable Return indicator
KQRI = Key Qualitative Return Indicator
56
KQRI = Key Qualitative Return IndicatorKQRI = Key Qualitative Return Indicator

UN DSA
Voci di spesa principali:
KDCI_1 Acquisto della soluzione (ammortizzato in più anni)
KDCI_2 Implementazione della soluzione
KDCI_3 Manutenzione della soluzione
Voci di spesa principali:
KDCI_1 Acquisto della soluzione (ammortizzato in più anni)
KDCI_2 Implementazione della soluzione
KDCI_3 Manutenzione della soluzione
57
Analisi dei Costi diretti per la
misura di sicurezza
KDCI_4 Costo annuale per la gestione
KDCI_5 Acquisto della piattaforma (ammortizzato in più anni)
KDCI_6 Costo della formazione annuale (costo medio della
formazione X numero di utenti)
KDCI_7 Spese di consulenza annuali
KDCI_8 Spese generali annuali
KDCI_4 Costo annuale per la gestione
KDCI_5 Acquisto della piattaforma (ammortizzato in più anni)
KDCI_6 Costo della formazione annuale (costo medio della
formazione X numero di utenti)
KDCI_7 Spese di consulenza annuali
KDCI_8 Spese generali annuali

Analisi dei costi
UN DSA
La valutazione dei costi relativi agli incidenti solitamente si
basa su analisi storiche, interne o esterne, che purtroppo
non sono sempre di facile reperimento (vedi ROSI).
KICI_1 impatti sul business:
• diminuzione delle vendite,
• diminuzione della soddisfazione dei clienti,
La valutazione dei costi relativi agli incidenti solitamente si
basa su analisi storiche, interne o esterne, che purtroppo
non sono sempre di facile reperimento (vedi ROSI).
KICI_1 impatti sul business:
• diminuzione delle vendite,
58
Analisi dei costi
legati agli incidenti
• perdita di reputazione/immagine;
KICI_1 tempo richiesto per la gestione dell’incidente;
KICI_1 spese per consulenze esterne;
KICI_1 costi di ripristino dei sistemi.
• perdita di reputazione/immagine;
KICI_1 tempo richiesto per la gestione dell’incidente;
KICI_1 spese per consulenze esterne;
KICI_1 costi di ripristino dei sistemi.

Analisi dei Ritorni quantificabili
UN DSAVoci di ricavo correlate:
KMRI_1 incremento dei profitti e/o del fatturato;
KMRI_2 aumento della produttività;
KMRI_3 riduzione dei costi associati ad incidenti ed attività di
rimedio;
KMRI_4 riduzione delle perdite finanziarie dovute a multe o
penali;
Voci di ricavo correlate:
KMRI_1 incremento dei profitti e/o del fatturato;
KMRI_2 aumento della produttività;
KMRI_3 riduzione dei costi associati ad incidenti ed attività di
rimedio;
KMRI_4 riduzione delle perdite finanziarie dovute a multe o
penali;
59
penali;
KMRI_5 riduzione dei costi operativi
• diminuzione del personale,
• riduzione dei costi hardware e software,
• riduzione dei costi di licenza e di affitto,
• riduzione dei costi di manutenzione);
KMRI_6 aumento delle prestazioni relative a processi IT e di
business (sulla base di Key Performance Indicators);
KMRI_7 aumento dell’innovazione tecnologica.
penali;
KMRI_5 riduzione dei costi operativi
• diminuzione del personale,
• riduzione dei costi hardware e software,
• riduzione dei costi di licenza e di affitto,
• riduzione dei costi di manutenzione);
KMRI_6 aumento delle prestazioni relative a processi IT e di
business (sulla base di Key Performance Indicators);
KMRI_7 aumento dell’innovazione tecnologica.

Analisi dei RitorniAnalisi dei Ritorni non quantificabilinon quantificabili
UN DSA
Indicatori che si classificano come Intangible:
KQRI_1 protezione e/o aumento della reputazione
dell’organizzazione;
KQRI_2 miglioramento del clima aziendale nonché del morale
dei propri dipendenti;
KQRI_3 riconoscimento del ruolo di leader del settore;
KQRI_4 conformità a normative, leggi o regolamenti;
KQRI_5 maggiore soddisfazione da parte del cliente finale;
Indicatori che si classificano come Intangible:
KQRI_1 protezione e/o aumento della reputazione
dell’organizzazione;
KQRI_2 miglioramento del clima aziendale nonché del morale
dei propri dipendenti;
KQRI_3 riconoscimento del ruolo di leader del settore;
KQRI_4 conformità a normative, leggi o regolamenti;
KQRI_5 maggiore soddisfazione da parte del cliente finale;
60
KQRI_6 acquisizione di specifiche competenze su tematiche
innovative.
Gli intangibili, se quantificati in maniera adeguata, sono
elementi indicatori che entrano sempre più spesso
nelle valutazioni del patrimonio aziendale.
Pertanto in fase di Merge/acquisition, audit
bancaria, sono elementi che ormai rientrano tra gli
elementi che creano o sottraggono valore.
KQRI_6 acquisizione di specifiche competenze su tematiche
innovative.
Gli intangibili, se quantificati in maniera adeguata, sono
elementi indicatori che entrano sempre più spesso
nelle valutazioni del patrimonio aziendale.
Pertanto in fase di Merge/acquisition, audit
bancaria, sono elementi che ormai rientrano tra gli
elementi che creano o sottraggono valore.

ROSI >ROSI > 11
UN DSA GENERA RISPARMI
ECONOMICI ?
Return On Security InvestmentsReturn On Security Investments
KDCI_1+ …+KDCI_n+KICI_1+
…+KICI_n
ROSIROSI =
.
KMRI_1+ …+KMRI_n+KQRI_1+
Return On Security InvestmentsReturn On Security Investments
KDCI_1+ …+KDCI_n+KICI_1+
…+KICI_n
ROSIROSI =
.
CONCLUSIONI
61
ROSI >ROSI > 11
Vantaggio per l’aziendaVantaggio per l’azienda
…+KQRI_n
…+KQRI_n

CONCLUSIONI
Data Security AnalyticsData Security Analytics
Business Development
Big Data
Big Storage
Real Time
R.O.S.I.
Smart CitySocial Media
LE PAROLE
CHIAVE
Smart CitySocial Media
Harvesting
Distiller
DamDam
SiemSieminvestigazione
Risk-Data
Controllo di gestione
Valore degli intangibili

Grazie per l’attenzione
Se siamo oggi qui dobbiamo ringraziare
questi ragazzi… ITALIANI che nel 1965
hanno costruito il primo personal
computer
© CLUSIT 2013 – Data Security Analytics 63
Quando il floppy disk si chiamava «cartolina»…

Clusit

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Clusit

Similar to Clusit (20)

More from canaleenergia

More from canaleenergia (20)

Recently uploaded

Recently uploaded (9)

Clusit