effect based security

AnArchitecture & Security

Agency

Effects Based Security (EBS)

Ripensare la sicurezza in una realtà complessa

Effects Based Security

Unconventional Thinkers to address Unconventional Challenges

Indice Introduzione I Modelli L’approccio Effects Based L’Azienda e gli strumenti

Nella contingente situazione, economica e politica, di stretta interconnessione tra realtà nazionali ed internazionali è fondamentale assicurarsi che la gestione delle informazioni si trasformi in un elemento differenziante e strategico per raggiungere gli obiettivi mediante un utilizzo razionale e strutturato delle risorse, di qualunque tipologia.

Stimolo alla conoscenzaed alla consapevolezza

in sintesi

Il nostro obiettivo

Spunti di riflessione Metodologie Soluzioni tecnologiche

IntroduzioneEffects Based Security


Stimolo a nuovi approcci

La diffusione della cultura dell’informazione è certamente uno dei problemi più complessi da affrontare e quindi, eccezion fatta per alcuni enti, istituti o aziende “illuminati” , la protezione delle informazioni viene percepita solamente come un costo e non come un’opportunità per comunicare ai propri utenti la qualità dei servizi offerti o, ancora, come una necessità per evitare che dati riservati o strategici cadano in mani di avversari, concorrenti, criminali o terroristi.

Si rende necessaria una

GESTIONE STRUTTURATA e SICURA DELLE INFORMAZIONI



Il mondo è cambiato

da…una sensazione

di sicurezza acquisita in un mondo lineare

a…una sensazione di insicurezza generalizzata

Terrorismo Crisi economica

E’ cambiata la percezione

CriminalitàConflittualità Globale



SicurezzaAffrontare la complessità

“Problemi” differentidi origine diversa

Affrontare la complessità

“Soluzioni” molteplicinon coordinate




Agenda



La molteplici dimensioni di un'impresa, la sua complessità in termini di organizzazione,persone, strumenti ed asset, sono le vere ragioni che richiedono un progetto di globale, che affronta L’IMPLEMENTAZIONE DELLA SICUREZZA, logica, fisica, e la sua stessa complessità, adottando un approccio multidisciplinare che non richiede solamente uno strumento, una metodologia ed un processo, ma deve permeare l'intera organizzazione; una sottostima di questo impegno può portare al fallimento dell'intero progetto, con un mancato raggiungimento degli obiettivi.

Identificare

i livelli decisionali

Livello Srategico

(concettuale)

Livello Tattico(logico)

Livello Operativo

(fisico)

Cosa Fare

Come Farlo

Realizzazione

Sicurezza - Affrontare la complessità

Chi “comanda”

Dove “comanda”



La ConsapevolezzaCon il concetto di Consapevolezza si intende l’acquisizione della conoscenza dell’ambiente nel quale l’organizzazione opera.Inoltre il cambiamento del contesto sociale, di quello politico, di quello internazionale dopo l’11 Settembre porta a riconsiderare le modalità di approccio alle problematiche aziendali ed in particolare quelle della sicurezza, fisica e logica.

Ogni organizzazione deve infatti riconsiderare il ruolo che ricopre all’interno dell’intera infrastruttura cui appartiene tendendo ad avere il controllo delle informazioni in entrata e in uscita dalla stessa, ciò in modo che il loro utilizzo in modo conforme agli obiettivi di base porti all’organizzazione un indubbio vantaggio.

Occorre introdurre un concetto fondamentale proprio di alcune delle dottrine militari conseguenti all’evoluzione della minaccia (guerra asimmetrica), quali:Net Centric WarfareInformation Operations

SITUATION AWARENESS



Consapevolezza e ObiettiviPerseguire e raggiungere la consapevolezza della situazione nella quale l’organizzazione opera consente di identificare con chiarezza gli obiettivi che si intende raggiungere mediante l’utilizzo di persone, metodi e tecnologie.

Occorre identificare gli obiettivi da perseguireL’applicazione della sicurezza deve sottostare ai più alti obiettivi che l’organizzazione intende perseguire. Garantire la competitività ed il nome di un’azienda Garantire la sicurezza e la privacy delle informazioni custodite Garantire il funzionamento dell’organizzazione in quanto infrastruttura critica Garantire decisioni tempestive in base a informazioni affidabili (una decisione giustaal momento sbagliato è una decisione sbagliata)

Quali esempi

Una casa di moda Un’azienda alimentare Un’infrastruttura critica



Observe Decide Act

Action(Test)

ImplicitGuidance& Control

ImplicitGuidance& Control

Decision(Hypothesis)

FeedForward

FeedForward

Feedback

Feedback

Observations

UnfoldingCircumstances

OutsideInformation

UnfoldingInteraction

WithEnvironment

UnfoldingInteraction

WithEnvironment

FeedForward

Orient

CulturalTraditions

GeneticHeritage

NewInformation Previous

Experience

Analyses &Synthesis

J. R. Boyd, “the Essence of Winning and Losing,” 1995.

Allo scopo di utilizzare metodi che rappresentino l’approccio globale alla soluzione del problema, abbiamo mutuato e quindi introdotto un metodo operativo, nato come concetto militare strategico , ed oggi largamente usato nei processi di business, il cosiddetto “OODA loop” (Observation, Orientation, Decision, Action) geniale intuizione del Col. J.Boyd

La strategia di approccio




Agenda



Definire gli ObiettiviNella definizione degli obiettivi occorre dunque comprendere a fondo in quale contesto l’organizzazione, l’Ente, l’Azienda, opera.E quindi occorre comprendere e definire, avendo una reale consapevolezza della struttura dell’organizzazione, i processi operativi, interni ed esterni alla stessa che portano ad un’applicazione della sicurezza adeguata al contesto.

Con tale concetto, inquadrato nel più ampio contesto delle Effects-Based Operations si intende, per la sicurezza, un modo diverso di pensare nel quale tutti gli specifici processi integrati sono focalizzati ai risultati da ottenere in relazione agli obiettivi piuttosto che alle singole attività per realizzare l’integrazione e l’efficacia delle misure da adottare.

…in altre parole…

Il processo EBS si può considerare come l’insieme delle attività per raggiungere gli effetti e dunque i risultati, che sono stati pianificati, desiderati e previsti in base ad effettive metriche in grado di valutarne l’efficacia e che realizzano gli obiettivi dell’organizzazione.

una metodologia

Effects Based Security (EBS)



Il pensiero Effects BasedIl cosiddetto pensiero Effects-Based nel quale si inserisce il nostro approccio alla sicurezza può dunque essere riassunto

Chiarezza nella definizione e nell’articolazione degli obiettiviDefinizione degli Effetti (metriche) da raggiungere perchè gli obiettivi definiti siano conseguitiDefinire un piano d’azione adeguato a produrre l’effetto desideratoDefinire quali metriche utilizzare (in relazione ad azioni ed effetti) Verifica continua sui risultati raggiuntiRimodulazione, quando necessaria, di impegni e risorse dedicati

Raggiungimento di uno stato di conoscenza e consapevolezza e controllo della realtà nella quale l’organizzazione si muove per rimodulare continuamente le azioni volte a fare in modo che la sicurezza sia uno degli elementi fondanti per il raggiungimento degli obiettivi designati

si realizza

“Consapevolezza Situazionale”



Come si articola l’evoluzione al pensiero EB

Rilevazione del problema

Consapevolezza

Approccio attuale

Identificazione di una soluzione

Azione

Approccio EB

Obiettivi

Strategia

Pianificazione

Azione

Analisi dei risultati

Rimodulazione

Risultati

Vs…

Effetto

SituationAwareness



Un semplice esempio

Rilevazione di un virus

Si è all’interno diUn’organizzazione

Approccio attuale

Acquisto/installazione antivirus

Eliminazione del virus

Approccio EB

il funzionamento dell’organizzazione

Il PC deve essere sempre efficiente

Piani di/adozione Antivirus adeguato

Acquisto/installazioneAntivirus

Analisi efficaciaAntivirus

L’Antivirus è sempre adeguato al contesto?

Il PC è sempre operativo

Vs…

Il PC non è attaccatoda virus

ControlloSituazione



Il ciclo OODA applicato all’approccio EBS

Consapevolezza

Obiettivi

Strategia

Pianificazione

Azione


Rimodulazione

Risultati

Effetto

SituationAwareness

Orient

Observe

Decide

Act

Strategia Rimodulazione

Consapevolezza

PianificazioneSituationAwareness

Approccio EB

Obiettivi

Azione


Risultati

Effetto



Per concludereNell’approccio EBgli Obiettivi dell’OrganizzazioneSono strettamente connessi “linked” alle Azioni ed agli Effetti che si intendono raggiungere.



Per concludere – Dove si applica

Non ci sono limiti all’applicazione di metodologie che consentano un approccio strutturato alle problematiche di sicurezza. In particolare il mutuare concetti nati con prospettive di utilizzo “estreme”, come quelle in ambito militare, consente nella trattazione delle problematiche di sicurezza, un alto grado di efficienza e l’inquadramento delle azioni in un’ottica più ampia che è quella dell’obiettivo, lo scopo, la missione dell’intera organizzazione cui afferiscono.Il concetto di Effects-Based Security è dunque inquadrato in questa visione.

Alcuni ambienti di applicazione

Infrastrutture Critiche

Imprese, Assicurazioni, Banche, Enti ma anche…

Situazioni di crisiTelCo Difesa




Agenda



I Settori di Operazione

McAirConsulenza e Tecnologia nelle Architetture e nella Sicurezza

McAir

Architetture Sicurezza Human Resources

Team Building Val.Potenziale

Assesssment Centre-AC Risk Reduction

Through Intelligence Security Design &

Policies

Data Security Enterprise ArchitectureBusiness Processs Mgmt

IT Solution Design & Consulting



iSecurity è un soluzione software di sicurezza nativa per l’ambiente OS400/i5/OS sviluppata da Raz-Lee Security Ltd che consente di portare l’Azienda da uno stato di Risk Assessment a quello di Risk Management.

iSecurity consente all’Amministratore del Servizio: è in grado di configurare il sistema secondo le regolamentazioni legate all’accesso ed all’uso dei dati sia per singolo utente che per gruppi di utenti, così come per eventi su applicazioni multiple ed in maniera centralizzata, con un tempo inferiore di almeno 10 volte rispetto ad una parametrizzazione manuale, sviluppata direttamente su OS400.E’ una soluzione in grado di rendere il sistema conforme al Provvedimento del Garante della Privacy sugli AdS.

iSecurity è una soluzione scalabile, basata su18 moduli che garantiscono la protezione dei dati per ogni ambiente operativo del System i: Assessment Operatività degli Utenti

User & PW MGT, Auth on demand, Ambiente del System i

Firewall Auditing Reporting Consolidamento dei dati dei “Journal”

Ambienti del Database e delle Applicazioni View, Journ. Bus. Analysis, Visualizer

Business Intelligence ToolAudit

Raccolta ed Analisi dei Dati degli accessi Presentazione con interfaccia grafica

Difesa e Reazione da eventi non autorizzati Capture, Action, Screen



World-Check è leader mondiale nelle soluzioni di riduzione strutturate di riduzione del rischio attraverso metodologie di intelligence.

Oltre 3.800 istituti finanziari, comprese 49 delle 50 banche più importanti al mondo e centinaia di agenzie governative si affidano alla banca dati World-Check.Il portale da accesso alle numerose categorie a rischio tra cui figurano profili di riciclatori di denaro, terroristi, Persone politicamente esposte (i cosiddetti PEP’s), trafficanti d’armi e di droga, crimini finanziari, embargo e tutte le liste di sanzioni ufficiali elettroniche emesse dalle autorità di vigilanza dei vari paesi.

World-Check è basato su metologie OSINT – Open Source Intelligence

Oggi, la banca dati, comprendente persone, società e organizzazioni ad alto rischio, non viene utilizzata soltanto da fornitori di servizi finanziari, ma anche in tutti quei settori che richiedono un sistema di intelligence e valutazione dei rischi altamente strutturato. Centinaia di istituti finanziari si affidano a World-Check per migliorare le proprie analisi Anti Riciclaggio (Anti Money Laundering), in ambito KYC (Know Your Customer) e PEP (Politically Exposed Person), di verifica della clientela EED (Enhanced Due Diligence), prevenzione della frode, e di lotta al terrorismo (Counter Terrorist Financing CTF) analizzando in modo efficiente i clienti, le entità associate e le transazioni ed identificare così potenziali rischi.



Antiterrorismo

AntifrodeAntiriciclaggio

Passport - CheckCountry-Check

Anticrimine

Le possibili Applicazioni

An Architecture & Security

Agency

Th@nk you !

effect based security

Documents