1 Enterprise Risk Management: è possibile ridurre il rischio senza aver fatto una data Cassification? Webesene e la protezione del data in motion Studio Informatica Forense e sicurezza Informatica Dott. Alessandro Fiorenzi Consulente Sicurezza Informatica e Computer Forensic Direttivo Delegato in tema di Computer Forensics [email protected] www.alessandrofiorenzi.it www.studioinformaticaforense.it ERM: Websense e la protezione del data in motion Milano 9 Luglio 2014 Classificazione dei dati 2 Richiede che si proceda perlomeno a: Definizione di una Policy di quali tipi di Documenti classificare Definizione di una metrica Classificazione di tutti i documenti presenti in azienda Richiede di istruire le persone che trattano i dati ad eseguire anche la classificazione (viene chiesto loro di fare un lavoro non utile al loro business, spesso questo causa resistenza nell’applicazione e valutazioni non oggettive) ERM: Websense e la protezione del data in motion Milano 9 Luglio 2014 Limiti classificazione dati 3 Policy e Metriche spesso non soggettive e non rispettano principi di oggettività e terzietà Chi classifica il documento è spesso chi lo produce, questo fa si che per bypass del controlli di processo venga assegnata una classificazione di comodo non corrispondente al reale rischio/valore Troppi documenti da classificare: nella fase iniziale ci moltissimi documenti da classificare, questo richiede molto tempo prima di essere pronti ad attivare un DLP che si basi sulla classificazione dei documenti Il rilascio di nuove versioni di documenti fa si che spesso sia mantenuta la classificazione originale anche se cambia il rischio associato. La classificazione dei dati si limita a trattare solo i contenitori dell’informazione: i documenti e non l’informazione da salvaguardare. ERM: Websense e la protezione del data in motion Milano 9 Luglio 2014 Tutela patrimonio aziendale 4 Il patrimonio aziendale è costituito da asset tangibili e asset intangibili, questi ultimo sono i più complessi da tutelare: know-how Segreti industriali Brevetti Informazioni sui clienti (profiling etc…) Informazioni sui prodotti e redditività Bandi gara Piani di sviluppo e acquisizione Software e servizi Etc… Il DLP è uno strumento di tutela e salvaguardia del patrimonio aziendale, in particolare degli asset intangibili. Le informazioni aziendali, che costituiscono valore, non si trovano solo nei documenti, ma anche sui database, nel cvs aziendale, nel crm etc….vengono usati su portali Internet e intranet, scambiati via mail su dispositivi aziendali e non. La tutela delle informazioni è un processo complesso a causa dei molti canali con cui può essere veicolata anche illecitamente ERM: Websense e la protezione del data in motion Milano 9 Luglio 2014 DLP fase 1 5 Individuare l’informazione che per l’azienda rappresenta un valore da salvaguardare Avviare la sperimentazione/analisi RiskVision POC DLP Usando le policy di default, definite dagli standard internazionali ISO 27000, PCI-DSS, Sarban Oxley etc SAE etc… e aggiungendo il matching dell’informazione che aziendalmente riteniamo importante. La context analisys del traffico dati, la correlazione con i feed di sicurezza e l’analisi heuristica permettono di individuare elementi e comportamenti sensibili per l’azienda. ERM: Websense e la protezione del data in motion Milano 9 Luglio 2014 Risultati fase 1 6 Sistematicamente si scopre che: le informazioni importanti sono trattate con leggerezza: Inviate per mail a indirizzi privati o di concorrenti Pubblicate su siti internet (forum, pastebin etc…) Trattamenti illeciti: dati sensibili o personali trattati da personale non incaricato ai termini del Dlgs. 196/2003 Dati conservati in aree non protette, duplicati su desktop e portatili e mobile Informazioni amministrative eccessivamente condivise Modalità di lavoro sconosciute Uso di sistemi p2p Uso di sistemi proxy non aziendali Uso di indirizzi email, e firma aziendale, all’interno di forum Salvataggio di utenze e password in chiaro e loro invio per email. Condivisione di dati aziendali su strumenti di IM Individuazione di agenti di minaccia interni Malware tipo zeus Tentativi di accesso a sistemi non aziendali Utilizzo di strumenti di crack e keygenerator che installano spyware Utilizzo dei portali che non prevedono la cifratura del canale di autenticazione né l’hashing della password ERM: Websense e la protezione del data in motion Milano 9 Luglio 2014 Casi Reali 7 ERM: Websense e la protezione del data in motion Milano 9 Luglio 2014 DLP fase 2 e 3 8 Fase 2: remediation Eliminare i falsi positivi: istruendo opportunamente il sistema Intervenire su ogni area evidenziata per ricondurre l’uso dell’informazione o i comportamenti a modelli in linea con la tutela dell’azienda. Intervenire sui processi Intervenire sugli Incarichi dei trattamenti Intervenire sulle persone Fase 3L: Deploy Interno Definizione/integrazione delle policy aziendali relativamente alla componente DLP, indicando i comportamenti ritenuti lesivi dell’azienda che verranno monitorati dal sistema Confronto con le rappresentanze sindacali al fine di spiegare che il DLP è uno strumento di tutela del patrimonio aziendale e che viene attivato con l’unica finalità di salvaguardia del patrimonio. Escludendo quindi ogni utilizzo teso al controllo del lavoratore nel rispetto degli articoli 3 e 4 dello statuto dei lavoratori ERM: Websense e la protezione del data in motion Milano 9 Luglio 2014 DLP: Start 9 Fase 4: mettiamo in operativo il DLP Attivare le funzionalità del DLP Presidiare con regolarità lo strumento Arricchire nel tempo l’analisi eseguita dal sistema: Raffinando e incrementando l’identificazione delle informazioni «critiche/ sensibili» Adeguando l’analisi alle richieste della compliance Adeguando l’analisi ai nuovi scenari aziendali Trattare ogni allarme come un «incident» , adottando quindi provvedimenti di remediation, di repressione e sanzionatori. ERM: Websense e la protezione del data in motion Milano 9 Luglio 2014 The Day After DLP 10 Il permanere nel tempo di allarmi, rispetto ai quali l’azienda ha effettuato dei richiami impone l’adozione di un protocollo forense che tuteli il diritto dell’azienda Avvio fase forense: Cristallizzazione delle evidenze prodotte da DLP, con relativi log Cristallizzazione delle eventuali evidenze presenti su server e/o sugli strumenti aziendali assegnati alla risorsa Analisi e Perizia Avvio procedimento disciplinare o giuridico con l’allegazione della perizia e delle evidenze informatiche ERM: Websense e la protezione del data in motion Milano 9 Luglio 2014 Grazie 11 Studio Informatica Forense Dott. Alessandro Fiorenzi Consulente Sicurezza Informatica e Computer Forensic www.alessandrofiorenzi.it www.studioinformaticaforense.it [email protected] Mobile: 348/7920172 ERM: Websense e la protezione del data in motion Milano 9 Luglio 2014