Dal vulnerability assessment al vulnerability management
Inserito da Manlio Torquato il Lun, 2006-10-09 05:52
Ottobre 2006 | Security
061008-manlio-vulnerability
La guida GTAG “Managing
and Auditing IT Vulnerabilities” di cui si
è recentemente
parlato
in queste pagine offre lo spunto ad interessanti osservazioni
sull’evoluzione della professione di “Security
Manager”.
Ho letto, con attenzione, durante lo scorso week-end l’ultima guida GTAG dedicata al vulnerability management. La prima cosa che mi ha colpito è stata che finalmente si passa da un approccio tecnologico (il vulnerability assessment) ad una visione manageriale (il vulnerability management, appunto). È una cambiamento che era nell’aria da tempo e che era stato anticipato (ormai anni fa) dalla promulgazione del Codice in materia di protezione dei dati personali (la cosiddetta legge sulla privacy) entrato in vigore il primo gennaio 2004 e nel quale, ad esempio, si chiede di operare in modo da prevenire le vulnerabilità e correggere difetti del software e di contrastare gli accessi abusivi ai sistemi informativi (rispettivamente punti 17 e 20 delle misure minime di sicurezza)
Tali obbligo di solito viene svolto mediante attività automatizzata di assessment delle vulnerabilità dei sistemi e specifici test di intrusione; per l’appunto il cosiddetto “vulnerabilità assessment”.
Questo approccio ha però il grave difetto di tramutarsi, nella maggior parte dei casi, in una attività una-tantum svolta a volte esclusivamente per potersi dichiarare conformi ai requisiti di legge.
Infatti il risultato dell’assessment, spesso composto da un voluminoso tabulato riportante l’elenco delle vulnerabilità riscontrate, si arena sul tavolo del responsabile si sistemi informativi (o della sicurezza) che prima o poi dovrà trovare il tempo di tradurre in azioni correttive quanto indicato dal report.
Il valore della guida GTAG è invece quello di proporre un cambiamento di strategia: l’assessment delle vulnerabilità non è un task stand alone ma deve far parte di un processo aziendale; il destinatario non è il responsabile delle tecnologie ma l’alta direzione; le attività deve essere svolte a partire dall’analisi dei rischi (per individuare gli asset da testare) e devono alimentare l’analisi dei rischi (per aggiornarne il grado di esposizione degli asset stessi.)
Ovviamente questo cambiamento richiede sforzi ed investimenti precisi:
Per IsacaRoma Newsletter ha scritto:
Contatti?
Ho letto, con attenzione, durante lo scorso week-end l’ultima guida GTAG dedicata al vulnerability management. La prima cosa che mi ha colpito è stata che finalmente si passa da un approccio tecnologico (il vulnerability assessment) ad una visione manageriale (il vulnerability management, appunto). È una cambiamento che era nell’aria da tempo e che era stato anticipato (ormai anni fa) dalla promulgazione del Codice in materia di protezione dei dati personali (la cosiddetta legge sulla privacy) entrato in vigore il primo gennaio 2004 e nel quale, ad esempio, si chiede di operare in modo da prevenire le vulnerabilità e correggere difetti del software e di contrastare gli accessi abusivi ai sistemi informativi (rispettivamente punti 17 e 20 delle misure minime di sicurezza)
Tali obbligo di solito viene svolto mediante attività automatizzata di assessment delle vulnerabilità dei sistemi e specifici test di intrusione; per l’appunto il cosiddetto “vulnerabilità assessment”.
Questo approccio ha però il grave difetto di tramutarsi, nella maggior parte dei casi, in una attività una-tantum svolta a volte esclusivamente per potersi dichiarare conformi ai requisiti di legge.
Infatti il risultato dell’assessment, spesso composto da un voluminoso tabulato riportante l’elenco delle vulnerabilità riscontrate, si arena sul tavolo del responsabile si sistemi informativi (o della sicurezza) che prima o poi dovrà trovare il tempo di tradurre in azioni correttive quanto indicato dal report.
Il valore della guida GTAG è invece quello di proporre un cambiamento di strategia: l’assessment delle vulnerabilità non è un task stand alone ma deve far parte di un processo aziendale; il destinatario non è il responsabile delle tecnologie ma l’alta direzione; le attività deve essere svolte a partire dall’analisi dei rischi (per individuare gli asset da testare) e devono alimentare l’analisi dei rischi (per aggiornarne il grado di esposizione degli asset stessi.)
Ovviamente questo cambiamento richiede sforzi ed investimenti precisi:
- occorre investire sul più ampio processo di IT risk management ed assessment (e qui ricordo i recenti articoli sul RM/RA di ENISA);
- occorre saper utilizzare, nel report finale, un linguaggio orientato al business ed ai rischi e non alla tecnologia (e qui COBIT può essere di grande aiuto);
- occorre avere un framework di riferimento del processo di “vulnerability management”.
IsacaRoma link
- IIA – sesta guida GTAG: "Managing and Auditing IT Vulnerabilities"
- ISCOM: L’analisi e la gestione dei rischi nel contesto più ampio della Security Governance
- ENISA:
Inventario delle metodologie di Risk Management / Risk Assessment
- Compliance: obblighi delle assicurazioni per la gestione dei rischi
- ENISA: il glossario del Risk Management (lettere A - E)
- ENISA: il primo database europeo per il Risk Management / Risk Assessment
- ENISA Risk Management Workshop, 13 ottobre 2006, Roma
- ISACA: Standard, direttive e procedure – l’analisi dei rischi
- AESRM: i rischi della sicurezza fisica
- Sicurezza e Compliance – l’analisi dei rischi
- ISCOM: Nuova Linee Guida sulla Risk Analysis - Approfondimenti
- Corporate governance, internal auditing, risk management: è possibile un approccio low-cost?
- KPMG: nuove sfide per la sicurezza delle informazioni
- Gestione dei rischi operativi per gli intermediari finanziari
- ISCOM - L'analisi e la gestione del rischio: principi e metodi
- COSO Enterprise Risk Management Framework
Chi è Manlio Torquato?
Manlio si occupa di sicurezza informatica da tanti anni. È tra i fondatori dell'Associazione Nazionale Esperti di Sicurezza e Compliance (ANESC)Per IsacaRoma Newsletter ha scritto:
- NIST: Guida ai Sistemi di Intrusion Detection e Prevention (IDP)
- La macchina del tempo – luglio 2004
- L’Italia secondo il Critical Information Infrastructure Protection (CIIP) Handbook
- Letture sotto l’ombrellone per i Security Manager
- Phishing – attacco all’autenticazione a due fattori
- Zero day attack
Contatti?
» email this story | printer friendly version | 1445 reads
