Discussione Cyber GRC | Cos'è e di cosa si occupa

Not an engineer

Moderatore
31 Ottobre 2011
2,547
100
1,141
1,089
Cyber_GRC-v.2.png


1    Introduzione

La Cyber GRC consiste nel monitoraggio della compliance aziendale alle politiche di sicurezza informatica stabilite nella valutazione e gestione dei rischi.

Le tre principali mansioni incentrate sugli aspetti pratici della gestione del rischio Cyber sono:

  • Redazione delle politiche di sicurezza informatica
  • Valutazione del rischio Cyber
  • Verifica della compliance alle politiche di sicurezza informatica stabilite
Ciclo di vita delle mansioni:
  • Esecuzione periodica della valutazione del rischio Cyber per l'intera organizzazione o per alcuni sistemi
  • Aggiornamento della valutazione del rischio Cyber in base alla natura e alla portata delle minacce e delle CVE


1.1    Valutazione del rischio Cyber

Per condurre una valutazione del rischio Cyber è necessario:

  • Comprendere gli asset dell'organizzazione e il loro valore
  • Conoscere le modalità di archiviazione dei dati dell'organizzazione e il loro flusso tra i sistemi
  • Avere colloqui periodici con i direttori generali e con gli altri stakeholder dell'organizzazione
  • Lavorare a stretto contatto con altri team di sicurezza informatica - i.e. Cyber Defense, Cyber Intelligence
La valutazione del rischio Cyber serve quindi per identificare e valutare gli asset dell'organizzazione al fine di utilizzare queste informazioni per comprendere le minacce e i conseguenti impatti per il business e per i sistemi.



2    Competenze personali

Una breve sintesi delle competenze personali per un analista GRC.

  • Lavorare nel rispetto delle politiche e delle procedure organizzative
  • Essere in grado di tener conto di molteplici fattori complessi per giungere a conclusioni logiche
  • Presentare motivazioni logiche oggettive per il processo decisionale
  • Sostenere i colleghi nel raggiungimento di obiettivi condivisi
  • Essere sensibili quando si mettono in discussione le idee o le decisioni altrui


3    Competenze di base

Per comprendere a pieno le procedure e per poter condurre un'analisi del rischio Cyber è preferibile avere buone conoscenze nelle seguenti discipline:

  • COMPUTER NETWORK
  • OPERATING SYSTEM
  • NETWORK SECURITY
  • CLOUD SECURITY
  • IDENTITY ACCESS MANAGEMENT
  • GDPR


4    Competenze specialistiche

Una breve sintesi delle competenze specialistiche per un analista GRC.

  • Utilizzare tecniche statistiche, matematiche o finanziarie per valutare l'impatto dei possibili attacchi ai sistemi, alle infrastrutture e all'organizzazione in generale
  • Applicare le metodologie di gestione del rischio Cyber
  • Interpretare i requisiti legali e normativi integrandoli con i requisiti operativi dell'organizzazione
  • Valutare la concordanza delle procedure agli standard europei e internazionali


4.1    Governance - Compliance

Chi si occupa di Governance e di Compliance ha l'obiettivo di dirigere, supervisionare, progettare e implementare politiche e procedure per la gestione della sicurezza delle informazioni a livello aziendale.
La fase operativa deve essere conforme alla metodologia di gestione del rischio Cyber - i.e. ISO | IEC 27001 - e ai requisiti specifici del settore - i.e. PCI DSS.




4.2    Risk Management

Chi si occupa del rischio Cyber si pone come scopo quello di sviluppare strategie e controlli per la gestione del rischio Cyber e delle informazioni, tenendo conto delle esigenze dell'azienda e delle valutazioni del rischio.

Una visione d'insieme: controlli da verificare

  • Tecnici - i.e. CLOUD SECURITY, NETWORK SECURITY, IAM etc
  • Fisici - i.e. PHYSICAL SECURITY
  • Procedurali - i.e. POLICY & PROCEDURE, STANDARD etc
  • Personale - i.e. HUMAN RESOURCES


5    Considerazioni personali

Per diversi mesi ho lavorato come consulente GRC per le aziende del mondo energy dislocate sul territorio nazionale. Mi sono occupato di:

  • Gestione del rischio Cyber
# Esecuzione delle valutazioni del rischio Cyber per dispositivi OT | IoT e per le piattaforme di servizi IT
# Progettazione, sviluppo e monitoraggio dei piani di rimedio per le CVE aperte

  • Compliance
# Monitoraggio e verifica delle politiche e delle procedure adottate dalle organizzazioni al fine di rispettare gli standard nazionali imposti dall'ACN

Nonostante inizialmente fossi un po' dubbioso sulla parte operativa del lavoro, posso dire di essere piacevolmente sorpreso dalla Cyber GRC. Questa esperienza mi ha permesso di ampliare le mie conoscenze in materia di sicurezza, migliorando le mie competenze comunicative e tecniche.




6    Conclusioni

E voi cosa ne pensate di questo ruolo? Pensate sia una specializzazione valida?
Secondo voi le aziende italiane - e non - riescono a sviluppare delle strategie di sicurezza appropriate?
 

fennek

Utente Bronze
22 Gennaio 2023
39
2
30
20
Devo dire che non avevo mai sentito l'acronimo, grazie per aver condiviso!

In base alla tua esperienza, quanto è differente come ruolo da quello di un membro di un blue team?
A occhio, direi che GRC si occupa di più della comunicazione con gli stakeholder e anche di una parte "documentale", mentre un blue team è più "operativo". Ho capito bene?
 

Not an engineer

Moderatore
31 Ottobre 2011
2,547
100
1,141
1,089
Ultima modifica:
L'analista GRC si occupa della gestione dei processi in modo strategico - comprende sia la parte documentale di governance e di compliance, sia la parte di gestione del rischio.
Ovviamente le mansioni sono stabilite da ogni azienda in maniera differente. Molto spesso chi si occupa di GRC viene adoperato anche per la raccolta e l'analisi di informazioni - i.e. OSINT

Il Blue Team esegue le analisi in modo pratico e operativo.
 
  • Mi piace
Reazioni: fennek

0xbro

Super Moderatore
24 Febbraio 2017
4,222
166
3,292
1,645
# Progettazione, sviluppo e monitoraggio dei piani di rimedio per le CVE aperte
Molto interessante, volevo farti qualche domanda in più dal punto di vista operativo:
  • Di CVE ne escono a bizzeffe ogni mese: voi guardavate in autonomia solo quelle relative a determinati prodotti scelti a priori, oppure c'era qualche terza parte che vi segnalava su quale CVE operare e come?
  • I piani di rimedio che seguivate erano relativi solo a CVE e vulnerabilità note oppure anche a vulnerabilità "applicative" segnalate per esempio durante dei bug bounty/penetration test?
  • Vi capitava di lavorare a stretto contatto con quei cattivoni del "Red Team"?
 

Not an engineer

Moderatore
31 Ottobre 2011
2,547
100
1,141
1,089
Ultima modifica:
Questo dipende da che tipo di contratto si ha con il cliente. Nel mio caso le aziende erano munite di un reparto interno che si occupava del monitoraggio delle CVE note di ogni singolo prodotto.
Molte delle vuln aperte nei piani di rimedio le abbiamo ottenute direttamente dal reparto interno che eseguiva i penetration test.
Capitava spesso di svolgere mansioni di Project Management. Conseguentemente era necessario sentirci direttamente con i ragazzi del Red Team dell'organizzazione
 
  • Grazie
Reazioni: 0xbro