Privacy e Sicurezza dalla compliance alla data loss prevention
Forum PA – Privacy e Sicurezza 1 Privacy e Sicurezza dalla compliance alla data loss prevention...
-
Upload
raimondo-genovese -
Category
Documents
-
view
223 -
download
0
Transcript of Forum PA – Privacy e Sicurezza 1 Privacy e Sicurezza dalla compliance alla data loss prevention...
![Page 1: Forum PA – Privacy e Sicurezza 1 Privacy e Sicurezza dalla compliance alla data loss prevention Antonio Forzieri – CISSP, CISA, CISM TSO Practice Manager,](https://reader035.fdocuments.net/reader035/viewer/2022070312/5542eb5b497959361e8c9303/html5/thumbnails/1.jpg)
Forum PA – Privacy e Sicurezza 1
Privacy e Sicurezzadalla compliance alla data loss prevention
Antonio Forzieri – CISSP, CISA, CISMTSO Practice Manager, Security Practice
![Page 2: Forum PA – Privacy e Sicurezza 1 Privacy e Sicurezza dalla compliance alla data loss prevention Antonio Forzieri – CISSP, CISA, CISM TSO Practice Manager,](https://reader035.fdocuments.net/reader035/viewer/2022070312/5542eb5b497959361e8c9303/html5/thumbnails/2.jpg)
Agenda
Forum PA – Privacy e Sicurezza 2
Perdita di dati: lo scenario globale1
Difendersi dagli attacchi informatici 2
Compliance e data loss prevention3
![Page 3: Forum PA – Privacy e Sicurezza 1 Privacy e Sicurezza dalla compliance alla data loss prevention Antonio Forzieri – CISSP, CISA, CISM TSO Practice Manager,](https://reader035.fdocuments.net/reader035/viewer/2022070312/5542eb5b497959361e8c9303/html5/thumbnails/3.jpg)
Perdita di dati lo scenario Globale
3Forum PA – Privacy e Sicurezza
![Page 4: Forum PA – Privacy e Sicurezza 1 Privacy e Sicurezza dalla compliance alla data loss prevention Antonio Forzieri – CISSP, CISA, CISM TSO Practice Manager,](https://reader035.fdocuments.net/reader035/viewer/2022070312/5542eb5b497959361e8c9303/html5/thumbnails/4.jpg)
I grandi temi del 2010lo scenario Globale delle minacce
4
Forum PA – Privacy e Sicurezza
![Page 5: Forum PA – Privacy e Sicurezza 1 Privacy e Sicurezza dalla compliance alla data loss prevention Antonio Forzieri – CISSP, CISA, CISM TSO Practice Manager,](https://reader035.fdocuments.net/reader035/viewer/2022070312/5542eb5b497959361e8c9303/html5/thumbnails/5.jpg)
5
Una semplice “equazione”Per spiegare l’universo delle minacce
INFORMAZIONIIDENTITÀ DENARO
Forum PA – Privacy e Sicurezza
![Page 6: Forum PA – Privacy e Sicurezza 1 Privacy e Sicurezza dalla compliance alla data loss prevention Antonio Forzieri – CISSP, CISA, CISM TSO Practice Manager,](https://reader035.fdocuments.net/reader035/viewer/2022070312/5542eb5b497959361e8c9303/html5/thumbnails/6.jpg)
Come accade tutto questo?
Le fasi di un attacco mirato
CAPTUREL’attaccante accede ai dati sui sistemi poco
protetti. Installa malware o toolkit per sottrarre
dati critici
3
DISCOVERYL’attaccante realizza una
mappa dei sistemi di difesa, dall’interno
Crea un “battle plan”
2
INCURSIONL’attaccante irrompe nella rete utilizzando
malware verso sistemi vulnerabili o sfruttando
gli utenti interni.
1
EXFILTRATIONI dati vengono inviati
verso un sistema sotto il controllo dell’attaccante.
4
6Forum PA – Privacy e Sicurezza
![Page 7: Forum PA – Privacy e Sicurezza 1 Privacy e Sicurezza dalla compliance alla data loss prevention Antonio Forzieri – CISSP, CISA, CISM TSO Practice Manager,](https://reader035.fdocuments.net/reader035/viewer/2022070312/5542eb5b497959361e8c9303/html5/thumbnails/7.jpg)
Andamento delle minacce
Data Breach per settore merceologico• Hacking come causa principale di
compromissione (attacchi mirati)
• Healthcare come obiettivo maggiormente colpito.
• I dati dei clienti hanno costituito l’85% dei dati sottratti.
7
Average Number of Identities Exposed per Data Breach by Sector
Average Number of Identities Exposed per Data Breach by Cause
Volume of Data Breaches by Sector
Forum PA – Privacy e Sicurezza
![Page 8: Forum PA – Privacy e Sicurezza 1 Privacy e Sicurezza dalla compliance alla data loss prevention Antonio Forzieri – CISSP, CISA, CISM TSO Practice Manager,](https://reader035.fdocuments.net/reader035/viewer/2022070312/5542eb5b497959361e8c9303/html5/thumbnails/8.jpg)
La Data Loss nel Mondo
8
http://datalossdb.org
Forum PA – Privacy e Sicurezza
http://www.idtheftcenter.org
![Page 9: Forum PA – Privacy e Sicurezza 1 Privacy e Sicurezza dalla compliance alla data loss prevention Antonio Forzieri – CISSP, CISA, CISM TSO Practice Manager,](https://reader035.fdocuments.net/reader035/viewer/2022070312/5542eb5b497959361e8c9303/html5/thumbnails/9.jpg)
9
Compromissioni e furto di datiUno sguardo al mondo reale
Forum PA – Privacy e Sicurezza
![Page 10: Forum PA – Privacy e Sicurezza 1 Privacy e Sicurezza dalla compliance alla data loss prevention Antonio Forzieri – CISSP, CISA, CISM TSO Practice Manager,](https://reader035.fdocuments.net/reader035/viewer/2022070312/5542eb5b497959361e8c9303/html5/thumbnails/10.jpg)
Compromissioni e furto di datiè anche un fenomeno italiano
10
Forum PA – Privacy e Sicurezza
![Page 11: Forum PA – Privacy e Sicurezza 1 Privacy e Sicurezza dalla compliance alla data loss prevention Antonio Forzieri – CISSP, CISA, CISM TSO Practice Manager,](https://reader035.fdocuments.net/reader035/viewer/2022070312/5542eb5b497959361e8c9303/html5/thumbnails/11.jpg)
I dati nel Mercato NeroDove vengono venduti i dati?
11
Forum PA – Privacy e Sicurezza
![Page 12: Forum PA – Privacy e Sicurezza 1 Privacy e Sicurezza dalla compliance alla data loss prevention Antonio Forzieri – CISSP, CISA, CISM TSO Practice Manager,](https://reader035.fdocuments.net/reader035/viewer/2022070312/5542eb5b497959361e8c9303/html5/thumbnails/12.jpg)
Difendersi dagli attacchi informatici
12
Forum PA – Privacy e Sicurezza
![Page 13: Forum PA – Privacy e Sicurezza 1 Privacy e Sicurezza dalla compliance alla data loss prevention Antonio Forzieri – CISSP, CISA, CISM TSO Practice Manager,](https://reader035.fdocuments.net/reader035/viewer/2022070312/5542eb5b497959361e8c9303/html5/thumbnails/13.jpg)
Security Solutions vs Threat Landscape
Prevent
DetectRemediate
Threat Landscape
Spam
Worm
Hacker
Virus
Adware
BlendedThreat
Disgruntled Employee
Compliance Deficiencies
Forum PA – Privacy e Sicurezza
![Page 14: Forum PA – Privacy e Sicurezza 1 Privacy e Sicurezza dalla compliance alla data loss prevention Antonio Forzieri – CISSP, CISA, CISM TSO Practice Manager,](https://reader035.fdocuments.net/reader035/viewer/2022070312/5542eb5b497959361e8c9303/html5/thumbnails/14.jpg)
DMZ
Client Server
Ambiti da proteggere
Internet
14
Forum PA – Privacy e Sicurezza
![Page 15: Forum PA – Privacy e Sicurezza 1 Privacy e Sicurezza dalla compliance alla data loss prevention Antonio Forzieri – CISSP, CISA, CISM TSO Practice Manager,](https://reader035.fdocuments.net/reader035/viewer/2022070312/5542eb5b497959361e8c9303/html5/thumbnails/15.jpg)
Proteggere le infrastrutture
Proteggere le identità
VeriSign™ Identity and Authentication
Strategia di protezione vs soluzioni
Proteggere le informazioni
Gestire i sistemi
Symantec Protection Suite
Data Loss Prevention Suitee Encryption (PGP/GE)
Sviluppare e diffonderele politiche di sicurezza
Control Compliance Suite
IT Management Suite
15
Forum PA – Privacy e Sicurezza
![Page 16: Forum PA – Privacy e Sicurezza 1 Privacy e Sicurezza dalla compliance alla data loss prevention Antonio Forzieri – CISSP, CISA, CISM TSO Practice Manager,](https://reader035.fdocuments.net/reader035/viewer/2022070312/5542eb5b497959361e8c9303/html5/thumbnails/16.jpg)
Compliance e data loss prevention
16
Forum PA – Privacy e Sicurezza
![Page 17: Forum PA – Privacy e Sicurezza 1 Privacy e Sicurezza dalla compliance alla data loss prevention Antonio Forzieri – CISSP, CISA, CISM TSO Practice Manager,](https://reader035.fdocuments.net/reader035/viewer/2022070312/5542eb5b497959361e8c9303/html5/thumbnails/17.jpg)
Business risk e ComplianceUno studio ha evidenziato come i 5 principali rischi legati all’IT percepiti dalle aziende sono (su un campione di > 4200 organizzazioni):
1.Perdita di dati dei propri clienti
2.Minacce di sicurezza
3.Interruzione del business
4.Profitti/customer retention
5.Non conformità legali o normative
Forum PA – Privacy e Sicurezza 17
Sono gli stessi top five sin dal 2006Il rischio sta tuttavia aumentando di anno in anno
0%
20%
40%
60%
80%
100%
5 4 3 2 1
2006 2010
![Page 18: Forum PA – Privacy e Sicurezza 1 Privacy e Sicurezza dalla compliance alla data loss prevention Antonio Forzieri – CISSP, CISA, CISM TSO Practice Manager,](https://reader035.fdocuments.net/reader035/viewer/2022070312/5542eb5b497959361e8c9303/html5/thumbnails/18.jpg)
L’E
SP
LOS
ION
E
DE
I DA
TI
18
NORMATIVE E STANDARD
OR
GA
NIZZA
ZION
I
SE
NZA
CO
NFIN
I
I confini spariscono
L’organizzazione è “Anywhere”
Outsourcing e Consulenza
Rischi di non Conformità
Necessità dei controlli
I Dati sono “Everywhere”
Dati strutturati e non
Dati del cittadino
…Sicurezza e Compliance
CO
NF
IDE
NT
IAL
Data Loss Prevention
ComplianceForum PA – Privacy e Sicurezza
![Page 19: Forum PA – Privacy e Sicurezza 1 Privacy e Sicurezza dalla compliance alla data loss prevention Antonio Forzieri – CISSP, CISA, CISM TSO Practice Manager,](https://reader035.fdocuments.net/reader035/viewer/2022070312/5542eb5b497959361e8c9303/html5/thumbnails/19.jpg)
Convergenza tra Data Loss Prevention & Compliance
Forum PA – Privacy e Sicurezza 19
Investimenti in DLP
Riduzione dei rischi di Compliance
![Page 20: Forum PA – Privacy e Sicurezza 1 Privacy e Sicurezza dalla compliance alla data loss prevention Antonio Forzieri – CISSP, CISA, CISM TSO Practice Manager,](https://reader035.fdocuments.net/reader035/viewer/2022070312/5542eb5b497959361e8c9303/html5/thumbnails/20.jpg)
Data Loss Preventionl’approccio Symantec
Discover
Dove sono i miei dati confidenziali?
Monitor
Come vengono utilizzati?
Protect
Come prevenire la perdita dei dati?
Control Policy
Incident Response Team
Forum PA – Privacy e Sicurezza
![Page 21: Forum PA – Privacy e Sicurezza 1 Privacy e Sicurezza dalla compliance alla data loss prevention Antonio Forzieri – CISSP, CISA, CISM TSO Practice Manager,](https://reader035.fdocuments.net/reader035/viewer/2022070312/5542eb5b497959361e8c9303/html5/thumbnails/21.jpg)
Benefici della Data Loss Prevention
Localizzare le informazioni confidenziali
Ridurre il rischio di diffusione accidentale
Dimostrare la “due diligence”
Educare gli utenti nella gestione dei
dati riservati
Data Loss Prevention
Forum PA – Privacy e Sicurezza
![Page 22: Forum PA – Privacy e Sicurezza 1 Privacy e Sicurezza dalla compliance alla data loss prevention Antonio Forzieri – CISSP, CISA, CISM TSO Practice Manager,](https://reader035.fdocuments.net/reader035/viewer/2022070312/5542eb5b497959361e8c9303/html5/thumbnails/22.jpg)
ComplianceRaggiungere e mantenere la conformità
22
Rispondere alle necessità di conformità con regolamenti interni ed esterni
Redazione e gestione delle politiche
Regole
Applicare i controlli sistematicamente per ridurre i rischi di sicurezza e di non conformità e verificarne periodicamente l’efficacia / efficienza
Traduzione delle politiche in controlli tecnici
Controlli
Dimostrare la “due diligence” nel rispetto politiche e verificare l’attuazione dei controlli IT
Reporting (raccolta delle evidenze)
Evidenze
Forum PA – Privacy e Sicurezza
![Page 23: Forum PA – Privacy e Sicurezza 1 Privacy e Sicurezza dalla compliance alla data loss prevention Antonio Forzieri – CISSP, CISA, CISM TSO Practice Manager,](https://reader035.fdocuments.net/reader035/viewer/2022070312/5542eb5b497959361e8c9303/html5/thumbnails/23.jpg)
I benefici della Compliance (1)
23
Forum PA – Privacy e Sicurezza
![Page 24: Forum PA – Privacy e Sicurezza 1 Privacy e Sicurezza dalla compliance alla data loss prevention Antonio Forzieri – CISSP, CISA, CISM TSO Practice Manager,](https://reader035.fdocuments.net/reader035/viewer/2022070312/5542eb5b497959361e8c9303/html5/thumbnails/24.jpg)
I benefici della Compliance (2)
24
Forum PA – Privacy e Sicurezza
![Page 25: Forum PA – Privacy e Sicurezza 1 Privacy e Sicurezza dalla compliance alla data loss prevention Antonio Forzieri – CISSP, CISA, CISM TSO Practice Manager,](https://reader035.fdocuments.net/reader035/viewer/2022070312/5542eb5b497959361e8c9303/html5/thumbnails/25.jpg)
Evidence Management Reporting Notification
ManagementControl Execution Remediation Planning
Ongoing Compliance Management
Evidence & Compliance Reporting
Symantec Compliance ProgramSolution Framework
Procedural Control
Technical Control
IT Control Framework
Standards (COBIT, ISO 27001, etc.)
Security Policies Interne
Regulations (Privacy, JCA,
HIPPA etc.)
Compliance Demand
25
Evidence Database
Dashboard
Reporting
Forum PA – Privacy e Sicurezza
![Page 26: Forum PA – Privacy e Sicurezza 1 Privacy e Sicurezza dalla compliance alla data loss prevention Antonio Forzieri – CISSP, CISA, CISM TSO Practice Manager,](https://reader035.fdocuments.net/reader035/viewer/2022070312/5542eb5b497959361e8c9303/html5/thumbnails/26.jpg)
Thank you!
Copyright © 2011 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.
26
Forum PA – Privacy e Sicurezza