privacy e sicurezza dalla compliance alla data loss prevention
DESCRIPTION
Privacy e Sicurezza dalla compliance alla data loss prevention. Antonio Forzieri – CISSP, CISA, CISM. TSO Practice Manager, Security Practice. Agenda. Perdita di dati: lo scenario globale. 1. Difendersi dagli attacchi informatici. 2. Compliance e data loss prevention. 3. - PowerPoint PPT PresentationTRANSCRIPT
Forum PA – Privacy e Sicurezza 1
Privacy e Sicurezzadalla compliance alla data loss prevention
Antonio Forzieri – CISSP, CISA, CISMTSO Practice Manager, Security Practice
Agenda
Forum PA – Privacy e Sicurezza 2
Perdita di dati: lo scenario globale1
Difendersi dagli attacchi informatici 2
Compliance e data loss prevention3
Perdita di dati lo scenario Globale3Forum PA – Privacy e Sicurezza
I grandi temi del 2010lo scenario Globale delle minacce
4
Forum PA – Privacy e Sicurezza
5
Una semplice “equazione”Per spiegare l’universo delle minacce
INFORMAZIONIIDENTITÀ DENARO
Forum PA – Privacy e Sicurezza
Come accade tutto questo?Le fasi di un attacco mirato
CAPTUREL’attaccante accede ai dati sui sistemi poco
protetti. Installa malware o toolkit per sottrarre
dati critici
3
DISCOVERYL’attaccante realizza una
mappa dei sistemi di difesa, dall’interno
Crea un “battle plan”
2
INCURSIONL’attaccante irrompe nella rete utilizzando
malware verso sistemi vulnerabili o sfruttando
gli utenti interni.
1
EXFILTRATIONI dati vengono inviati
verso un sistema sotto il controllo dell’attaccante.
4
6Forum PA – Privacy e Sicurezza
Andamento delle minacceData Breach per settore merceologico• Hacking come causa principale di
compromissione (attacchi mirati)• Healthcare come obiettivo
maggiormente colpito. • I dati dei clienti hanno costituito l’85%
dei dati sottratti.
7
Average Number of Identities Exposed per Data Breach by Sector
Average Number of Identities Exposed per Data Breach by Cause
Volume of Data Breaches by Sector
Forum PA – Privacy e Sicurezza
La Data Loss nel Mondo
8
http://datalossdb.org
Forum PA – Privacy e Sicurezza
http://www.idtheftcenter.org
9
Compromissioni e furto di datiUno sguardo al mondo reale
Forum PA – Privacy e Sicurezza
Compromissioni e furto di datiè anche un fenomeno italiano
10
Forum PA – Privacy e Sicurezza
I dati nel Mercato NeroDove vengono venduti i dati?
11
Forum PA – Privacy e Sicurezza
Difendersi dagli attacchi informatici12
Forum PA – Privacy e Sicurezza
Security Solutions vs Threat Landscape
Prevent
Detect
Remediate
Threat Landscape
Spam
Worm
Hacker
Virus
Adware
BlendedThreat
Disgruntled Employee
Compliance Deficiencies
Forum PA – Privacy e Sicurezza
DMZ
Client Server
Ambiti da proteggere
Internet
14
Forum PA – Privacy e Sicurezza
Proteggere le infrastrutture
Proteggere le identità
VeriSign™ Identity and Authentication
Strategia di protezione vs soluzioni
Proteggere le informazioni
Gestire i sistemi
Symantec Protection Suite
Data Loss Prevention Suitee Encryption (PGP/GE)
Sviluppare e diffonderele politiche di sicurezza
Control Compliance Suite
IT Management Suite
15
Forum PA – Privacy e Sicurezza
Compliance e data loss prevention16
Forum PA – Privacy e Sicurezza
Business risk e ComplianceUno studio ha evidenziato come i 5 principali rischi legati all’IT percepiti dalle aziende sono (su un campione di > 4200 organizzazioni):
1.Perdita di dati dei propri clienti
2.Minacce di sicurezza
3.Interruzione del business
4.Profitti/customer retention
5.Non conformità legali o normative
Forum PA – Privacy e Sicurezza 17
Sono gli stessi top five sin dal 2006Il rischio sta tuttavia aumentando di anno in anno
0%
20%
40%
60%
80%
100%
5 4 3 2 1
2006 2010
L’ES
PLOS
IONE
DEI D
ATI
18
NORMATIVE E STANDARD
ORGANIZZAZIONI
SENZA CONFINI
I confini spariscono
L’organizzazione è “Anywhere”
Outsourcing e Consulenza
Rischi di non Conformità
Necessità dei controlli
I Dati sono “Everywhere”
Dati strutturati e non
Dati del cittadino
…Sicurezza e Compliance
CO
NFI
DEN
TIA
L
Data Loss Prevention
ComplianceForum PA – Privacy e Sicurezza
Convergenza tra Data Loss Prevention & Compliance
Forum PA – Privacy e Sicurezza 19
Investimenti in DLP
Riduzione dei rischi di Compliance
Data Loss Preventionl’approccio Symantec
Discover
Dove sono i miei dati confidenziali?
Monitor
Come vengono utilizzati?
Protect
Come prevenire la perdita dei dati?
Control Policy
Incident Response Team
Forum PA – Privacy e Sicurezza
Benefici della Data Loss Prevention
Localizzare le informazioni confidenziali
Ridurre il rischio di diffusione accidentale
Dimostrare la “due diligence”
Educare gli utenti nella
gestione dei dati riservati
Data Loss Prevention
Forum PA – Privacy e Sicurezza
ComplianceRaggiungere e mantenere la conformità
22
Rispondere alle necessità di conformità con regolamenti interni ed esterni
Redazione e gestione delle politiche
Regole
Applicare i controlli sistematicamente per ridurre i rischi di sicurezza e di non conformità e verificarne periodicamente l’efficacia / efficienza
Traduzione delle politiche in controlli tecnici
Controlli
Dimostrare la “due diligence” nel rispetto politiche e verificare l’attuazione dei controlli IT
Reporting (raccolta delle evidenze)
Evidenze
Forum PA – Privacy e Sicurezza
I benefici della Compliance (1)
23
Forum PA – Privacy e Sicurezza
I benefici della Compliance (2)
24
Forum PA – Privacy e Sicurezza
Evidence Management Reporting Notification
ManagementControl Execution Remediation Planning
Ongoing Compliance Management
Evidence & Compliance Reporting
Symantec Compliance ProgramSolution Framework
Procedural Control
Technical Control
IT Control Framework
Standards (COBIT, ISO 27001, etc.)
Security Policies Interne
Regulations (Privacy, JCA,
HIPPA etc.)
Compliance Demand
25
Evidence Database
Dashboard
Reporting
Forum PA – Privacy e Sicurezza
Thank you!
Copyright © 2011 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.
26
Forum PA – Privacy e Sicurezza