CRAMM. Fase 2 Analisi di vulnerabilità, misura del rischio

Transcript

1 CRAMM CRAMM (Computer Risk Analysis and Management Method)è stato sviluppato nel 1985 da CCTA (Central Computer and Telecommunication Agency). Attualmente è alla versione 5.1, adeguata alla ISO Sono presenti 600 copie distribuite ed è in uso in 23 Paesi CRAMM consta di oltre 400 tipologie di asset, di 25 differenti tipi di impatto, 38 tipologie di minacce e di 7 differenti misure di rischio. CRAMM è una libreria di contromisure che contiene più di 3500 controlli divisi in strumenti automatici per la generazione di politiche di sicurezza e di documentazione della sicurezza, strumenti di monitoraggio e Business Continuity e Disaster Recovery. La metodologia utilizzata da CRAMM è raffigurata nella seguente figura: La metodologia utilizzata consta di tre fasi cosi suddivise: Fase 1: a) identificazione e valutazione degli asset; b) architettura di rete, asset fisici, applicativi, dati e processi aziendali; c) associazione degli asset (asset modeling); d) Valutazione degli impatti. Fase 2 Analisi di vulnerabilità, misura del rischio Fase 3 Contromisure Nella fase I vengono effettuare le seguenti azioni: 1) l identificazione e Valutazione degli Asset;

2 2) il censimento dei dati, dei processi aziendali, dell architettura di rete, degli asset fisici e degli applicativi; 3) l Asset modeling: dopo aver rilevato e censito tutti gli asset aziendali vengono creati dei modelli che schematizzano le relazioni che intercorrono fra i dati, i processi che li utilizzano e le apparecchiature hardware e software tramite le quali i dati vengono elaborati. In questo modo è possibile valutare la criticità dei dispositivi fisici atti al trattamento del dato stesso; 4) Valutazione degli Asset: occorre determinare i potenziali impatti di eventuali indisponibilità, divulgazioni o modifiche dei dati aziendali e di stimarne i relativi effetti. Ogni asset individuato ha un preciso valore per l organizzazione e questo valore può essere misurato in termini di impatti che potrebbero risultare se la riservatezza, l integrità o la disponibilità di un dato venisse compromessa. Passiamo ora ad esaminare la catalogazione dei processi e degli asset cosi come si evince dal seguente diagramma di flusso: Macrodati Dopo aver individuato i processi, si censiscono i dati e si individua il loro percorso attraverso i processi. Modellizzazione degli asset Per evidenziare la relazione tra i dati di un processo e tutti gli applicativi, i server e i dispositivi di rete che permettono l elaborazione e la trasmissione dei dati, ad ogni coppia MACRODATO/PROCESSO vengono associati gli asset che supportano i macrodati del processo (vedi figura successiva).

3 Valutazione degli impatti Il primo modulo della metodologia si conclude con la valutazione degli impatti. Tramite questo processo di valutazione è possibile determinare i potenziali impatti di eventuali indisponibilità, divulgazioni o modifiche dei dati aziendali e di stimarne i relativi effetti. I dati vengono valutati tramite questionari ed interviste al personale competente. Normalmente gli impatti sono considerati in una scala da 1 a 10. Il valore da attribuire può derivare da una analisi quantitativa o qualitativa. Esempi di impatto sono i seguenti: 1) indisponibilità dei dati; 2) indisponibilità dei dati per un tempo pari a 15 minuti (15M); 3) distruzione dei dati (perdita dell informazione); 4) distruzione dei dati fino all ultimo backup andato a buon fine (B); 5) diffusione non autorizzata dei dati (violazione della riservatezza); 6) accesso non autorizzato ai dati da parte di persone interne alla società (I); 7) accesso non autorizzato ai dati da parte di persone che hanno un rapporto contrattuale con la società (C); 8) accesso non autorizzato ai dati da parte di persone esterne alla società (O); 9) modifiche ed errori sui dati; 10) errori involontari (accidentali) di piccola portata, quali ad esempio errori di battitura, duplicazioni (SE); 11) errori involontari (accidentali) di vasta portata, quali ad esempio errori di programmazione (WE); 12) errori volontari di modifica dell informazione memorizzata o trasmessa (DM); 13) trasmissione dei dati; 14) inserimento di messaggi falsi (In); 15) ripudio, da parte del mittente, di aver spedito i dati (Or); 16) ripudio, da parte del destinatario, di ricezione dati (Rc); 17) mancata consegna o spedizione dei dati (Nd); 18) replica dei dati (Rp); 19) errore di instradamento dei messaggi (Mr); 21) consegna accidentale o volontaria di messaggi fuori sequenza (Os); 22) rispetto/obblighi di Legge:conseguenze relative alla violazione del Rispetto della Legge e degli Obblighi di Legge; 23) efficienza operativa: conseguenze sulla corretta operatività dei processi del sistema; 24) normativa in materia di privacy:conseguenze relative alla violazione delle Leggi in materia di privacy;

4 25) perdita di Immagine: conseguenze relative a perdita di immagine per la società. Fase II La fase II presenta le seguenti caratteristiche: 1) analisi vulnerabilità e minacce; calcolo misura del rischio; 2) rilevazione grado di vulnerabilità e minaccia. Oltre alla valutazione degli impatti, gli altri due fattori chiave che contribuiscono alla determinazione della misura del rischio cui è soggetto il patrimonio informativo dell azienda, sono il livello di minaccia e di vulnerabilità. E necessario a questo punto effettuare il calcolo di esposizione al rischio. Il calcolo è effettuato sulla base dei livelli di impatto, di minaccia e di vulnerabilità calcolati in precedenza. Le minacce sono catalogate nella seguente tabella:

5 I valori possono essere attribuiti direttamente per ogni asset, riportando il valore ritenuto più opportuno e congruo sulla base della definizione di minaccia, da intendersi come l eventualità che la vulnerabilità sia sfruttata da un soggetto o da un entità al di fuori del controllo dell organizzazione e produca effetti deleteri in termini finanziari o di perdita d immagine. Nel caso che si utilizzi il questionario prodotto dall applicativo, il tool ne calcola direttamente il valore. La misura del rischio cui è esposto il sistema informativo viene determinata considerando l impatto sugli asset, il livello delle minacce che gravano sugli asset, il livello di vulnerabilità degli asset alle minacce. Il valore viene elaborato automaticamente da CRAMM sulla base di una tabella. I valori della misura del rischio sono compresi nell intervallo tra 1 e 7, ove i valori sono da considerarsi i più critici. Si veda la seguente tabella:

6 Per ogni minaccia (ID + Descrizione) e per ogni Asset, si calcola la misura del rischio Cramm. Dopo aver misurato il rischio, è possibile individuare le associazioni minaccia-asset che hanno lo stesso valore di rischio e, quindi, stabilire delle priorità. Fase III L fase III analizza in dettaglio la generazione delle contromisure. A fronte dei risultati ottenuti dall analisi del rischio è possibile selezionare una particolare strategia di gestione del rischio. Può essere effettuato anche un report sulle contromisure esistenti con valutazione sull efficacia e correttezza. Obiettivo di questa fase è stabilire la corretta strategia di gestione e identificare le corrette contromisure da implementare al fine di abbattere i rischi rilevati. Nel due grafici successivi vengono esaminato un report sulle contromisure ed alcune indicazioni. Conclusione CRAMM Le contromisure individuate tengono conto anche delle attività svolte durante le fasi 1 e 2 (interviste con il personale, compilazione dei questionari, informazioni raccolte nel corso delle riunioni). Le

7 contromisure individuate nell analisi sono da considerarsi come dei suggerimenti per abbassare il livello del rischio residuo e, pertanto, non sono da considerarsi vincolanti. La realizzazione delle contromisure di sicurezza suggerite, non dovrebbe di norma avvenire senza che sia effettuata una preventiva valutazione dei costi e dei benefici e uno studio di fattibilità. Resta comunque da valutare, caso per caso, quali siano eventuali attori da coinvolgere nella pianificazione delle contromisure. Le singole contromisure descritte potrebbero non essere direttamente applicabili alla realtà propria dell ente o difficili da attuare (ad es. alcune misure di sicurezza di tipo fisico a difesa del perimetro degli edifici). Dottor Antonio Guzzo Responsabile CED del Comune di Praia a Mare