privacy e sicurezza dalla compliance alla data loss prevention

Forum PA – Privacy e Sicurezza 1

Privacy e Sicurezzadalla compliance alla data loss prevention

Antonio Forzieri – CISSP, CISA, CISMTSO Practice Manager, Security Practice

Agenda


Perdita di dati: lo scenario globale1

Difendersi dagli attacchi informatici 2

Compliance e data loss prevention3

Perdita di dati lo scenario Globale3Forum PA – Privacy e Sicurezza

I grandi temi del 2010lo scenario Globale delle minacce

4

Forum PA – Privacy e Sicurezza

5

Una semplice “equazione”Per spiegare l’universo delle minacce

INFORMAZIONIIDENTITÀ DENARO


Come accade tutto questo?Le fasi di un attacco mirato

CAPTUREL’attaccante accede ai dati sui sistemi poco

protetti. Installa malware o toolkit per sottrarre

dati critici

3

DISCOVERYL’attaccante realizza una

mappa dei sistemi di difesa, dall’interno

Crea un “battle plan”

2

INCURSIONL’attaccante irrompe nella rete utilizzando

malware verso sistemi vulnerabili o sfruttando

gli utenti interni.

1

EXFILTRATIONI dati vengono inviati

verso un sistema sotto il controllo dell’attaccante.

4

6Forum PA – Privacy e Sicurezza

Andamento delle minacceData Breach per settore merceologico• Hacking come causa principale di

compromissione (attacchi mirati)• Healthcare come obiettivo

maggiormente colpito. • I dati dei clienti hanno costituito l’85%

dei dati sottratti.

7

Average Number of Identities Exposed per Data Breach by Sector

Average Number of Identities Exposed per Data Breach by Cause

Volume of Data Breaches by Sector


La Data Loss nel Mondo

8

http://datalossdb.org


http://www.idtheftcenter.org

9

Compromissioni e furto di datiUno sguardo al mondo reale


Compromissioni e furto di datiè anche un fenomeno italiano

10


I dati nel Mercato NeroDove vengono venduti i dati?

11


Difendersi dagli attacchi informatici12


Security Solutions vs Threat Landscape

Prevent

Detect

Remediate

Threat Landscape

Spam

Worm

Hacker

Virus

Adware

BlendedThreat

Disgruntled Employee

Compliance Deficiencies


DMZ

Client Server

Ambiti da proteggere

Internet

14


Proteggere le infrastrutture

Proteggere le identità

VeriSign™ Identity and Authentication

Strategia di protezione vs soluzioni

Proteggere le informazioni

Gestire i sistemi

Symantec Protection Suite

Data Loss Prevention Suitee Encryption (PGP/GE)

Sviluppare e diffonderele politiche di sicurezza

Control Compliance Suite

IT Management Suite

15


Compliance e data loss prevention16


Business risk e ComplianceUno studio ha evidenziato come i 5 principali rischi legati all’IT percepiti dalle aziende sono (su un campione di > 4200 organizzazioni):

1.Perdita di dati dei propri clienti

2.Minacce di sicurezza

3.Interruzione del business

4.Profitti/customer retention

5.Non conformità legali o normative


Sono gli stessi top five sin dal 2006Il rischio sta tuttavia aumentando di anno in anno

0%

20%

40%

60%

80%

100%

5 4 3 2 1

2006 2010

L’ES

PLOS

IONE

DEI D

ATI

18

NORMATIVE E STANDARD

ORGANIZZAZIONI

SENZA CONFINI

I confini spariscono

L’organizzazione è “Anywhere”

Outsourcing e Consulenza

Rischi di non Conformità

Necessità dei controlli

I Dati sono “Everywhere”

Dati strutturati e non

Dati del cittadino

…Sicurezza e Compliance

CO

NFI

DEN

TIA

L

Data Loss Prevention

ComplianceForum PA – Privacy e Sicurezza

Convergenza tra Data Loss Prevention & Compliance


Investimenti in DLP

Riduzione dei rischi di Compliance

Data Loss Preventionl’approccio Symantec

Discover

Dove sono i miei dati confidenziali?

Monitor

Come vengono utilizzati?

Protect

Come prevenire la perdita dei dati?

Control Policy

Incident Response Team


Benefici della Data Loss Prevention

Localizzare le informazioni confidenziali

Ridurre il rischio di diffusione accidentale

Dimostrare la “due diligence”

Educare gli utenti nella

gestione dei dati riservati

Data Loss Prevention


ComplianceRaggiungere e mantenere la conformità

22

Rispondere alle necessità di conformità con regolamenti interni ed esterni

Redazione e gestione delle politiche

Regole

Applicare i controlli sistematicamente per ridurre i rischi di sicurezza e di non conformità e verificarne periodicamente l’efficacia / efficienza

Traduzione delle politiche in controlli tecnici

Controlli

Dimostrare la “due diligence” nel rispetto politiche e verificare l’attuazione dei controlli IT

Reporting (raccolta delle evidenze)

Evidenze


I benefici della Compliance (1)

23


I benefici della Compliance (2)

24


Evidence Management Reporting Notification

ManagementControl Execution Remediation Planning

Ongoing Compliance Management

Evidence & Compliance Reporting

Symantec Compliance ProgramSolution Framework

Procedural Control

Technical Control

IT Control Framework

Standards (COBIT, ISO 27001, etc.)

Security Policies Interne

Regulations (Privacy, JCA,

HIPPA etc.)

Compliance Demand

25

Evidence Database

Dashboard

Reporting


Thank you!

Copyright © 2011 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.

This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.

26


privacy e sicurezza dalla compliance alla data loss prevention

Documents

furto di dati

sicurezzai dati

exfiltrationi dati

perdita di dati

dati sottratti

dati dei clienti

sicurezza7la data loss

data loss prevention16forum