La sicurezza dei sistemi informativi aziendali

Transcript

1 DIPSIT D i p a r t i m e n t o d i S t u d i p e r l I m p r e s a e i l T e r r i t o r i o La sicurezza dei sistemi informativi aziendali Roberto Candiotto roberto.candiotto@eco.unipmn.it Working paper n. 19, luglio 2006

2 Abstract L elevato sviluppo tecnologico ha reso confortevole, sicura e gradevole buona parte del mondo occidentale, ma gli stessi progressi (nel settore dell Ict, nella mobilità e nella facilità di trasporto) portano come effetto collaterale un elevata vulnerabilità. I più recenti sviluppi degli strumenti offerti dalle tecnologie della comunicazione e dell informazione hanno favorito l adozione di sistemi aziendali progettati per realizzare un ampia integrazione di dati e di informazioni secondo un ottica processiva interfunzionale e ampliato enormemente le opportunità di interconnessione con i clienti e con i fornitori, semplificando i flussi informativi e i legami fra i processi gestionali. L imponente utilizzo di infrastrutture informatiche per creare, conservare e scambiare dati comporta, per contro, una continua e intensa esposizione a rischi. Il problema della sicurezza informatica deve essere affrontato dalle aziende secondo una visione globale e strategica che tenga in considerazione gli aspetti tecnici, organizzativi, economici e legali. Il «sistema di gestione per la sicurezza delle informazioni», articolato nei macroprocessi di pianificazione, implementazione, riesame e miglioramento, rappresenta un approccio idoneo per monitorare costantemente i processi aziendali e i sistemi informativi, garantendo il coinvolgimento delle risorse umane. 2

3 ROBERTO CANDIOTTO Professore associato presso la Facoltà di Economia di Novara dell Università del Piemonte Orientale LA SICUREZZA DEI SISTEMI INFORMATIVI AZIENDALI SOMMARIO: 1. Premessa - 2. I sistemi informativi aziendali - 3. La sicurezza dei sistemi informativi aziendali - 4. L approccio sistemico alla sicurezza delle informazioni aziendali - 5. Il sistema di gestione per la sicurezza delle informazioni 6. Conclusioni. 1. Premessa Le infrastrutture informatiche sono il mezzo più usato per creare, conservare e scambiare informazioni e una molteplicità di apparati digitali interconnessi controllano i gangli vitali dell attuale sistema sociale. Attacchi o manomissioni alle infrastrutture sulle quali sono basati i sistemi informativi possono innescare eventi negativi a catena, con conseguenze di amplissima portata. Nella «società dell informazione», aperta e interdipendente, la sicurezza è un elemento indispensabile. Attualmente, l impatto tecnologico sulla vita economico-sociale e sull ambiente di riferimento delle aziende è inevitabile. Subire passivamente questa radicale e ineluttabile evoluzione corrisponde all incapacità dei responsabili aziendali di coglierne compiutamente i molteplici vantaggi. Allo stesso tempo, occorre confrontarsi con i problemi della sicurezza informatica, considerato che le nuove tecnologie, da cui non si può più prescindere, pena una incontrovertibile perdita di competitività, oltre agli straordinari aspetti positivi, spesso implicano potenziali rischi. Il crescente ricorso alle tecnologie dell informazione e della comunicazione intrapreso dalle aziende comporta l esposizione a rischi, attacchi e minacce che, se non adeguatamente analizzati, valutati e affrontati, possono avere conseguenze negative, non soltanto in termini economici immediati, ma anche relativamente all immagine, al personale, alla perdita del patrimonio informativo e, conseguentemente, della competitività. Nasce, pertanto, la necessità per ogni organizzazione di proteggere i dati e le informazioni posseduti e trattati al fine di garantire la continuità del business e minimizzare le perdite della «non sicurezza» 1. 1 I costi della non sicurezza sono difficilmente calcolabili, ma si può facilmente stimare quanto sia oneroso per un azienda il periodo di inattività della propria rete o dei server, quanti giorni di lavoro vengono persi per controllare e rivedere dati trattati erroneamente o per fronteggiare intrusioni e 3

4 Il problema della sicurezza informatica deve essere affrontato secondo una visione globale e strategica che tenga in considerazione gli aspetti tecnici, organizzativi (formazione e sensibilizzazione del personale, individuazione e assegnazione dei ruoli, definizione delle procedure), economici e legali (normativa comunitaria, legislazione italiana, raccomandazioni, standard di riferimento, linee guida). Inoltre, è indispensabile che venga adottato un approccio idoneo a prevenire situazioni di vulnerabilità e pericolo (risk management), nonché ad affrontare e gestire emergenze insorte in seguito al manifestarsi di eventi dannosi per il patrimonio informativo. Infine, le aziende devono amministrare in modo sicuro il sistema delle informazioni anche in ottemperanza a specifici requisiti di legge. 2. I sistemi informativi aziendali Il sistema informativo aziendale, attraverso un processo continuo di trattamento di dati rappresentativi della realtà, fornisce informazioni qualificate al fine di soddisfare esigenze conoscitive interne ed esterne all azienda 2. Il sistema informativo favorisce la produzione e la distribuzione di informazioni a tutti i soggetti che in vario modo se ne servono per svolgere i propri compiti, razionalizzando così il processo decisionale per l assunzione di consapevoli provvedimenti. Per realizzare il processo di produzione delle informazioni, il sistema informativo si avvale di risorse umane e tecnologiche e si basa su un complesso di procedure per la rilevazione dei dati, l elaborazione e la trasmissione delle informazioni. Un sistema informativo, per risultare efficace e favorire la razionalità del processo decisionale aziendale, deve essere: - affidabile, idoneo a produrre informazioni esatte, chiare, accurate, verificabili (in relazione a tutte le fasi del processo di elaborazione) e corrispondenti alla realtà dalle stesse rappresentata; - selettivo, atto a fornire informazioni qualitativamente rilevanti per i responsabili dei centri decisionali e operativi; - flessibile, in grado di adeguarsi ai mutamenti dei fabbisogni informativi di ambienti caratterizzati da incertezza e dinamicità e di promuovere l evoluzione verso le più moderne tecniche di produzione e trasmissione delle informazioni; rimediare ai danni subiti, quanto gravi siano le conseguenze derivanti dalla sottrazione illecita di informazioni su progetti di rilevanza cruciale. 2 «L informazione è la base fondamentale per una consapevole amministrazione d azienda [...]. Essa viene prodotta nell ambito del sistema informativo e quindi distribuita alle aree utenti nel contenuto, nei modi e nei tempi richiesti dalle svariate esigenze di impiego» (G. FERRERO, Impresa e management, Giuffrè, Milano, 1987, pag. 191). 4

5 - tempestivo, in modo da rendere disponibili informazioni utili e convenienti all utente finale, in relazione alla sua natura e al suo utilizzo, e offrire immediate percezioni degli accadimenti della realtà aziendale e delle sue relazioni con l ambiente; - accettato da tutti gli utenti, anche in relazione al tipo di percezione che gli stessi manifestano nei confronti della validità delle conoscenze fornite. L efficienza del sistema informativo attiene alle relazioni istituibili fra il valore delle informazioni ottenute (attitudine a sollecitare la formulazione di decisioni rapide e coerenti con gli obiettivi prefissati) e i costi sostenuti per la loro produzione (quantificabili in rapporto alla struttura del sistema informativo, alle potenzialità e prestazioni delle apparecchiature e delle applicazioni informatiche, all entità delle risorse umane impiegate nelle varie fasi del processo di trattamento dei dati, ecc.). Per conferire efficienza a un sistema informativo è opportuno osservare il «principio dell utilizzazione plurima dei dati raccolti», che consiste nella rilevazione unica dei dati in ingresso e nell uso plurimo delle conoscenze prodotte, nell intento di evitare ogni possibile duplicazione di attività 3. Gli strumenti offerti dalle tecnologie informatiche hanno dapprima trovato applicazione nell ambito delle attività aziendali di tipo operativo; l entità dei volumi di dati da elaborare e la ripetitività delle operazioni di trattamento degli stessi hanno costituito dei validi presupposti per l automazione delle procedure operative. In seguito, sono stati raggiunti significativi miglioramenti nel coordinamento e controllo delle attività di progettazione e ingegnerizzazione dei prodotti, di programmazione della produzione, di avvio e controllo dell avanzamento di produzione. La complessità e il dinamismo del quadro competitivo hanno, poi, imposto l adozione di sistemi atti a supportare le attività direzionali (con riferimento al controllo di gestione e ai sistemi di reporting) e a favorire la pianificazione strategica; sono stati, così, realizzati i sistemi di supporto alle decisioni. I più recenti sviluppi degli strumenti offerti dall Ict hanno favorito l evoluzione verso gli Enterprise Resource Planning (ERP, in Italia anche conosciuti come «sistemi informativi integrati») progettati per realizzare un ampia integrazione di dati e di informazioni secondo un ottica processiva interfunzionale. Le tecnologie basate sui protocolli internet, inoltre, hanno ampliato enormemente le opportunità di interconnessione con i clienti e con i fornitori, semplificando i flussi informativi e il legame fra i processi gestionali inter-organizzativi. La visione sistemica delle modalità di svolgimento della gestione aziendale, presente in un applicativo integrato, è immediatamente percepibile da ogni operatore semplicemente svolgendo le proprie attività e registrando le transazioni pertinenti; la simultanea o successiva «interrogazione» del sistema informativo mostra l avanzamento della procedura e l influenza sulle attività svolte in altre aree, facilitando la visibilità 3 Cfr. P. PISONI, Il sistema informativo dell impresa, Giuffrè, Milano, 1979, pag

6 delle norme per l attuazione delle operazioni, la condivisione delle informazioni, il lavoro in team e la responsabilizzazione di ogni operatore ai risultati di processo. L accentramento dell archiviazione dei dati prodotti dalle transazioni in un unico database arricchisce enormemente la qualità delle informazioni estraibili, a seconda delle necessità dell organo decisore. Tutti gli operatori coinvolti a vario livello nella gestione aziendale, dotati di differenti autorizzazioni per l accesso, possono ritrovare le informazioni «critiche» per elaborare il processo decisionale di competenza, adeguando in modo coerente e autonomo il grado di approfondimento e gli attributi desiderati. L introduzione di un applicativo gestionale integrato, oltre a rappresentare una leva efficace per dare inizio alla revisione dei processi aziendali e al cambiamento organizzativo, costituisce una notevole opportunità per costruire una infrastruttura tecnologica in grado di evolvere nel tempo, di supportare lo sviluppo delle nuove occasioni di business e di avviare un circolo virtuoso per la continua e progressiva ottimizzazione delle performance. La tecnologia web e l espansione del commercio elettronico hanno influenzato profondamente sia i rapporti tra aziende e clienti (mercato Business-to-Consumer, B2C) sia quelli tra produttori (Business-to-Business, B2B), sia le relazioni interne (Businessto-Employee, B2E) portando alla nascita di un tipo di impresa «collaborativa», con la possibilità di creare nuove configurazioni di catene del valore e nuove opportunità di business. Per la gestione dell azienda estesa sono, così, comparsi gli E-ERP (Extended ERP) e le Enterprise Business Applications (EBA), basati sull architettura internet, con soluzioni che, integrando tecnicamente e funzionalmente i diversi attori, assecondano le interconnessioni (fisiche e logiche) e, grazie a funzionalità applicative orientate alla pianificazione della logistica integrata e a moduli che hanno lo scopo di intensificare le opportunità di comunicazione strutturata, conseguono il coordinamento dei processi aziendali con i fornitori e altri partner di servizi strategici (Supply Chain Management, SCM), con i clienti (Customer Relationship Management, CRM) e forniscono il supporto alla forza di vendita (Sales Force Automation, SFA); le informazioni sui clienti sono disponibili e aggiornate grazie ai sistemi ERP e, inversamente, le attività di vendita e previsionali alimentano la base dei dati dell applicativo. Il patrimonio informativo aziendale, alimentato da dati operazionali amministrati dagli ERP, dalle applicazioni SCM e CRM e da altre fonti qualificate (fra cui, sempre più, siti internet per le aziende e per particolari settori) deve poi trovare ordinata archiviazione nei database e adeguata valorizzazione attraverso sistemi di Data Warehouse (DW) e Data Webhouse, «magazzini» nei quali, attraverso l integrazione e la razionalizzazione dei dati interni ed esterni, vengono predisposti e combinati gli elementi essenziali per i moduli di Business Intelligence (BI), congegnati per supportare il processo decisionale del management. 6

7 3. La sicurezza dei sistemi informativi aziendali La sicurezza in ambito aziendale viene definita, dalle norme internazionali, come «lo studio, sviluppo e attuazione delle strategie, delle politiche e dei piani operativi volti a prevenire, fronteggiare e superare eventi in prevalenza di natura dolosa e/o colposa che possono danneggiare le risorse materiali, immateriali, organizzative e umane di cui l azienda dispone o di cui necessita per garantirsi un adeguata capacità concorrenziale nel breve, nel medio e nel lungo termine» 4. La crescente attenzione verso i problemi della sicurezza aziendale porta ad attività finalizzate alla tutela del patrimonio aziendale, a politiche proiettate al contenimento dei rischi e delle perdite economiche o finanziarie, che indiscutibilmente contribuiscono al mantenimento e all accrescimento del valore aziendale. La sicurezza, spesso vista come un incombenza imposta, viene vissuta, in senso negativo, come mero adempimento burocratico, in quanto si ritiene sia un elemento di interferenza all efficienza ed efficacia dell attività aziendale; in realtà, una corretta analisi dei benefici derivanti da una adeguata politica di salvaguardia dell integrità del patrimonio aziendale e del regolare svolgimento della gestione, evidenzia come il raggiungimento degli obiettivi di sicurezza sia la condizione sostanziale per il conseguimento delle basilari finalità aziendali. Per sicurezza di un sistema informativo si intende sia la protezione delle informazioni da rilevazioni, alterazioni, eliminazioni non autorizzate volontarie e accidentali, che il contenimento degli effetti negativi provocati dal manifestarsi di tali eventi. La conoscenza delle informazioni e del relativo valore sono, quindi, elementi indispensabili per predisporre misure protettive e per intraprendere le idonee azioni di sicurezza. Prevenire il danneggiamento, misurare la perdita o la modificazione di informazioni e recuperare tempestivamente i dati eventualmente sottratti o alterati, costituiscono, in estrema sintesi, le fondamentali misure di sicurezza richieste per la protezione dei sistemi informativi. Un sistema dedicato alla gestione delle informazioni si definisce «sicuro» quando soddisfa le seguenti proprietà: - confidenzialità, comporta la protezione dei dati trasmessi o memorizzati per evitare l intercettazione e la lettura da parte di soggetti non autorizzati. Le tecniche utilizzate per garantire la confidenzialità possono, ad esempio, essere la crittografia o il controllo degli accessi; - integrità, implica che i dati trasmessi, ricevuti o custoditi non abbiano subito manomissioni o modifiche non autorizzate. Il sistema deve essere approntato in modo tale da poter individuare e segnalare eventuali modificazioni ed errori di trasmissione. 4 UNI 10459, Funzioni e profilo del professionista della security aziendale,

8 L integrità non certifica l origine dei dati (autenticazione) ma garantisce la validità dei dati stessi, escludendone eventuali alterazioni; - disponibilità, riguarda la capacità di un dato di essere accessibile e utilizzabile a ogni richiesta proveniente da utenti autorizzati. Salvaguardare la disponibilità significa attuare tutte le tecniche per impedire intrusioni non autorizzate e per assicurare l utilizzo dei dati e dei servizi anche in caso di interruzioni involontarie, eventi imprevisti e catastrofi naturali. Le proprietà esposte costituiscono innegabilmente il nucleo di riferimento di un sistema sicuro; altri requisiti contribuiscono, comunque, a definire la sicurezza di un sistema informativo: - autenticazione, processo che consente di verificare la veridicità dell identità conclamata da un organismo o un utente; - non ripudiabilità, proprietà che caratterizza le transazioni in rete tra due parti e consiste nell impossibilità di disconoscere la paternità di un azione; - tracciabilità degli utenti, insieme dei meccanismi che permettono di attribuire inequivocabilmente un azione a un determinato utente. La sicurezza dei sistemi informativi è una questione di ampia portata culturale, che supera i confini dell ambito propriamente informatico; il tema investe dimensioni assai diversificate e cruciali della vita e del lavoro degli individui e delle organizzazioni, spaziando dal diritto alla riservatezza, alla tutela della privacy, dalla protezione del copyright, all etica. La tutela delle informazioni è un tratto della cultura organizzativa: da un lato influenza la qualità dei processi aziendali e dei servizi erogati e dall altro condiziona l immagine e la reputazione dell impresa. La protezione dei sistemi informativi è un problema che, lungi dall essere risolto tramite l esclusivo utilizzo di strumenti tecnologici, richiede l attuazione di specifiche procedure organizzative. Le decisioni circa la sicurezza informatica non devono essere esclusiva competenza del personale tecnico (a livello di scelta e di attuazione) bensì l alta direzione aziendale deve essere coinvolta in questo processo. 4. L approccio sistemico alla sicurezza delle informazioni aziendali La corretta impostazione di un sistema globale di security richiede lo sviluppo di una proiezione strategica e rappresenta un elemento essenziale nella definizione del contesto, delle priorità e delle aree critiche di intervento, ma, soprattutto, consente di trasmettere una corretta visione alla quale si dovranno ispirare le azioni successive. La pianificazione degli obiettivi di fondo della gestione prevede che si identifichino in modo altrettanto chiaro e univoco le regole generali di comportamento rispetto alle politiche di sicurezza, con particolare attenzione a quelle relative alle informazioni critiche. L analisi del profilo competitivo e l identificazione delle alternative strategiche 8

9 i di ogni business in cui l azienda opera, comportano la formulazione di scelte che coinvolgono profondamente i piani di intervento sulla sicurezza. L analisi dell ambiente di riferimento (politico, socio-culturale, economico, tecnologico, fisico, ecc.) e la valutazione degli elementi di forza e di debolezza che condizionano le scelte strategiche, influiscono sulle opzioni e sull operatività della sicurezza aziendale; nello stesso modo le strategie di sicurezza comportano vincoli e offrono opportunità alle alternative di business, configurandosi esse stesse come fonte di vantaggio competitivo. La definizione delle politiche di gestione corrente e la stesura dei piani operativi devono includere gli orientamenti delle politiche di sicurezza e prevedere livelli di affidabilità, integrità e confidenzialità delle informazioni coerenti con i progetti strategici di cambiamento, innovazione o di mantenimento della posizione competitiva. Nella pianificazione operativa devono essere previsti orizzonti temporali, riferimenti organizzativi e disponibilità economico-finanziarie per poter predisporre budget adeguati al grado di protezione indicato nei programmi strategici. FIGURA 1 Approccio sistemico alla sicurezza delle informazioni aziendali STRATEGIA Pianificazione obiettivi Politiche di sicurezza Gestione dei rischi Budget ORGANIZZAZIONE Ruoli e responsabilità Piani formativi Regole e procedure Monitoraggio No Si Si TECNOLOGIE Sicurezza risorse tecnologiche Analisi minacce Individuazione vulnerabilità Implementazione contromisure? No Si La sicurezza delle informazioni, condizionando ogni attività aziendale, deve essere prevista nella progettazione della struttura organizzativa, delle singole posizioni di lavoro e delle relazioni che favoriscono i rapporti fra le persone. Responsabile della sicurezza, responsabili e incaricati dei trattamenti, responsabili delle infrastrutture informatiche e dei sistemi informativi, sono ruoli fondamentali che, nell attuale contesto 9

10 competitivo e normativo, devono essere chiaramente identificati e considerati nella progettazione organizzativa. Il compimento di un ampio piano di sicurezza comporta la creazione e il mantenimento di un clima organizzativo nel quale ciascun soggetto, dal top management ai livelli operativi, sia fortemente motivato a rimuovere tutti i vincoli incardinati su attività ripetitive e passive, e che porti alla condivisione degli obiettivi e alla proposizione di innovativi percorsi risolutivi. Il ruolo ricoperto dalla risorsa umana impone nuovi modelli di gestione del personale che, attraverso la diffusione di informazioni e competenze, coinvolgano tutti gli attori della sicurezza. I responsabili di alto livello devono essere formati per interpretare il ruolo di «testimoni della sicurezza»; è, inoltre, indispensabile lo sviluppo di una più attenta qualità nella gestione delle persone come prerequisito per attivare la collaborazione e responsabilizzazione diffusa sui temi della sicurezza. La sicurezza è una cultura continua e una pratica costante da affidare a responsabili in grado di impostare correttamente piani strategici e programmi operativi articolati, nella consapevolezza che, comunque, una notevole parte rimane affidata allo scrupolo e alla preparazione di tutti gli utenti. 5. Il sistema di gestione per la sicurezza delle informazioni Un «Sistema di Gestione della Sicurezza delle informazioni» (SGSI), stabilendo obiettivi e politiche di sicurezza, rappresenta un approccio sistemico alla gestione della sicurezza informatica comprendendo risorse umane, processi aziendali e sistemi informativi. Gli enti internazionali di normazione hanno individuato (in particolare nella norma BS :2002) i passi fondamentali per l attuazione di un SGSI, promuovendo l approccio basato sui processi e richiamando i principi basilari contenuti nelle norme per la gestione della qualità. L approccio per processi applicato a un SGSI consente di: - identificare le esigenze di sicurezza informatica e comprendere l importanza di stabilire gli obiettivi e di definire una politica di sicurezza; - mettere in luce la necessità di implementare e controllare la gestione del rischio globale aziendale; - comprendere la rilevanza del costante monitoraggio e riesame delle performance e dell efficacia del SGSI; - focalizzare l attenzione e l impegno sul miglioramento continuo basato su misurazioni oggettive. Il SGSI si basa sul modello Plan, Do, Check, Act (PDCA), metodologia che guida il processo di mantenimento e di miglioramento continuo applicabile a ogni livello dell azienda (in particolare al sistema dei processi e a ogni singolo processo). Il PDCA si realizza attraverso un azione ciclica basata sulla reiterazione sequenziale delle quattro 10

11 fasi, strettamente associate con la pianificazione, l attuazione, il controllo e il miglioramento continuo. Un SGSI è costituito da quattro macroprocessi fondamentali (Figura 2): 1) Pianificare e progettare un SGSI (Plan) 2) Implementare e attuare un SGSI (Do) 3) Controllare e riesaminare il SGSI (Check) 4) Mantenere e migliorare il SGSI (Act). FIGURA 2 Il modello PDCA applicato al sistema per la sicurezza delle informazioni PLAN Pianificare e progettare Requisiti delle parti interessate DO Implementare e attuare Ciclo di sviluppo, mantenimento e miglioramento del SGSI Mantenere e migliorare ACT Requisiti delle parti interessate Esigenze e aspettative della sicurezza delle informazioni Fonte: BS :2002 Controllare e riesaminare CHECK Sicurezza del sistema delle informazioni 5.1. Pianificare e progettare un SGSI (Plan) In questo primo macroprocesso è necessario definire la portata, l ambito di applicazione del SGSI, tenendo conto delle caratteristiche dell organizzazione, del business, delle risorse da proteggere e delle tecnologie. Il campo d azione del SGSI può riguardare tutta l impresa, oppure parti della stessa (specifici rami, sistemi, aree) ma, in ogni caso, deve estendersi a tutti i sistemi informativi coinvolti e alle loro vie d accesso. Determinata la politica di sicurezza delle informazioni e portata a conoscenza di tutto il personale, si individuano le responsabilità, le risorse da impiegare, il patrimonio informativo da proteggere, coerentemente con i riferimenti normativi e legislativi cui ottemperare. 11

12 Il principio che deve guidare ogni politica di sicurezza dei sistemi informativi è quello per cui le azioni intraprese e le misure adottate devono sempre essere commisurate ai danni provocati dalla perdita o alterazione del patrimonio informativo. La gestione del rischio (risk management) è un aspetto che riveste un estrema importanza nella definizione di una strategia di sicurezza; oltre a riconoscere e gestire gli eventi potenzialmente dannosi, è utile anche a individuare le eventuali opportunità che altrimenti non verrebbero riconosciute e sfruttate. La gestione dei rischi risponde, quindi, sia a esigenze esterne, quali evitare gravi difficoltà dovute a sistemi di presidio dei rischi inefficaci o esposizioni a responsabilità amministrative o penali, che a esigenze interne, quali il collegamento tra obiettivi e rischi (scoprendo, cioè, i rischi che possono impedire il raggiungimento degli obiettivi), la razionalizzazione delle risorse, l identificazione delle opportunità, la riduzione di eventuali imprevisti e perdite, la valutazione dell affidabilità delle informazioni, l ottemperanza agli adempimenti normativi. Nel processo di gestione del rischio si distinguono le fasi di: - analisi del rischio (risk assessment), a sua volta articolata nell individuazione dei processi chiave, nell inventariazione e valutazione delle risorse (asset) da proteggere, nell identificazione e valutazione delle probabili minacce (in termini di metodi, strumenti e tecniche di attacco), nel riconoscimento delle vulnerabilità del sistema in relazione a minacce note e nell accertamento dei rischi; - controllo del rischio, selezionando e attuando le contromisure di sicurezza che meglio soddisfano le esigenze messe in luce nella fase precedente, nel rispetto dei vincoli economici stabiliti. Le misure implementate consentono di limitare il rischio attraverso la minimizzazione dei punti di debolezza del sistema e degli asset aziendali e delle minacce conseguenti. Il processo si conclude con il calcolo del rischio residuo e, per la parte considerata non accettabile, si valutano diverse opzioni come, ad esempio, il trasferimento a terzi dei danni derivanti dalla manifestazione di eventi negativi attraverso la stipula di polizze assicurative L analisi del rischio L analisi del rischio è definibile come la valutazione delle minacce, degli impatti e delle vulnerabilità delle informazioni e degli strumenti informatici e della probabilità del loro verificarsi. Affinché un asset informativo sia soggetto a un rischio di sicurezza, occorre che una minaccia, tramite un agente ostile, capace di sfruttare una vulnerabilità presente nella risorsa esaminata, possa recare danno in termini di: integrità, riservatezza o disponibilità 5. 5 Cfr. R. IMPERIALI, Codice della privacy: commento alla normativa sulla protezione dei dati personali, Ed. Il Sole 24 Ore, Milano, 2004, pag

13 L analisi dei rischi assume una rilevanza fondamentale in quanto i risultati dell indagine influenzeranno profondamente le scelte da effettuare e le misure da implementare per una conforme gestione del rischio (rispetto al valore attribuito alle risorse da proteggere); tende a individuare i controlli di sicurezza da implementare attraverso l applicazione degli standard internazionali valorizzando esperienze consolidate e, nel contempo, indicare modalità operative agevolmente adattabili a contesti specifici. Un utile supporto alle diverse fasi del processo di analisi dei rischi è costituito da un aggiornato database dei rischi nel quale devono confluire i dati provenienti da metodica, costante, completa e tempestiva documentazione degli incidenti, dei luoghi e dei tempi nei quali sono avvenuti, delle ragioni per le quali si sono manifestati. Per l analisi dei rischi la prassi consolidata prevede le seguenti fasi: A) l individuazione dei processi chiave; B) l identificazione e la valutazione degli asset aziendali; C) l identificazione e la valutazione delle minacce; D) l identificazione e la valutazione delle vulnerabilità; E) l accertamento dei rischi. A) L individuazione dei processi chiave Nella prima fase occorre capire quali sono gli elementi che risultano fondamentali per lo svolgimento della gestione aziendale in condizioni di efficacia e di efficienza, quali sono i processi basilari ai fini del mantenimento e del miglioramento di un adeguata capacità competitiva e su quali informazioni critiche si deve fare affidamento per il raggiungimento degli obiettivi definiti nella pianificazione strategica. Per questa ragione, è necessario predisporre una rappresentazione dell azienda come «sistema di processi». Rappresentare i processi significa individuarne gli elementi distintivi facilitando la comprensione dello svolgimento delle attività e dell ordine con cui vengono svolte, le unità organizzative interessate, gli input e gli output del processo, le risorse impiegate e l insieme ordinato dei flussi informativi che si generano. I processi di business, costituenti la catena del valore, devono essere declinati in «processi organizzativi», per descrivere il reale funzionamento dell azienda (con particolare riferimento alle attività svolte), e in «processi informatici», per delineare il modo di operare delle soluzioni informatiche nel rispetto delle regole di gestione e il livello di cooperazione (più o meno dettagliato) dei trattamenti informatici assegnati alle risorse architetturali. Per individuare il contesto da sottoporre all analisi dei rischi è indispensabile rappresentare la mappa delle soluzioni informatiche congiunta con il sistema di processi che si svolgono in azienda. 13

14 Attraverso le attuali soluzioni informatiche si possono analizzare e modellare i sistemi informativi e le loro relazioni con i processi di business, costruendo un architettura di riferimento e definendo una mappa dei sistemi informativi e dei flussi di dati. Disponendo di una visione chiara dei componenti dell architettura e del modo in cui questi interagiscono con i processi interni ed esterni, è possibile ottimizzare le proprie risorse tecnologiche a supporto dei processi critici, organizzare i progetti di miglioramento o di nuovi servizi, gestire in modo efficace l evoluzione del sistema, sempre avendo una visione chiara e aggiornata delle possibili vulnerabilità delle risorse informative. Sotto il profilo tecnico, la definizione dei diagrammi riferiti all architettura del sistema informativo permette di identificare e rappresentare l hardware esistente (server, workstation, ecc.), le «macchine» sulle quali sono installati i database e le applicazioni, le reti che collegano le macchine e di descriverne le rispettive caratteristiche. B) L identificazione e la valutazione delle risorse aziendali Fra le risorse aziendali da proteggere particolare attenzione deve essere dedicata a quelle che hanno impatti con le problematiche di sicurezza: apparati tecnologici, software e database che intervengono nel trattamento delle informazioni. In analisi si possono distinguere: luoghi fisici (in cui si trovano i sistemi di elaborazione, si svolgono i trattamenti dei dati, in cui sono conservati i dati), risorse hardware, risorse dati (archivi in formato elettronico e archivi cartacei, procedure operative e di supporto, manuali, diritti d autore e piani di continuità), risorse software 6. Le risorse individuate devono essere valutate in ordine alla loro rilevanza rispetto al contributo al raggiungimento delle finalità strategiche proprie del sistema informativo e criticità in relazione all impatto sul business aziendale (una classificazione di tipo qualitativo può definire i beni «non critici», «scarsamente critici», «critici» e «ipercritici»). Soprattutto, è indispensabile classificare gli asset e attribuire loro un valore in riferimento alla tipologia di informazioni trattate e in base ai requisiti di riservatezza, integrità e disponibilità. Le operazioni compiute portano alla conoscenza del valore delle risorse inventariate stabilito in base alle conseguenze causate dalla perdita o alterazione dell asset o al costo per il ripristino o la sostituzione. L analisi dei rischi, dal punto di vista operativo, prosegue considerando, per ciascun elemento da proteggere, i fattori di rischio cui esso è esposto. Questi scaturiranno dall analisi delle minacce che possono insidiare i luoghi fisici, le risorse hardware, le risorse dati e le risorse software inventariate precedentemente. 6 Cfr. Garante per la protezione dei dati personali, Guida alla redazione del Dps, pag

15 C) L identificazione e la valutazione delle minacce Le minacce alle quali sono sottoposte le risorse aziendali, destinate ai processi di produzione delle informazioni, consistono nell eventuale capacità di atti o di eventi fortuiti ad arrecare danni, facendo leva su punti deboli o vulnerabili, che vadano a inficiare le proprietà basilari del sistema informativo. La valutazione delle minacce è il processo che porta al riconoscimento dei potenziali eventi che possono, a vario modo, nuocere al patrimonio informativo. La prima attività consiste nell individuazione e nella classificazione delle possibili minacce, effettuata in funzione della sorgente (ad esempio interna o esterna), della natura (volontaria o involontaria), della tipologia del danno che possono cagionare (con effetti diretti sulla risorsa, oppure indiretti e manifestati attraverso contaminazione, indisponibilità delle informazioni), delle varie modalità di attacco (social engineering, denial of services, software maliziosi, identificazione di password, accessi non autorizzati, ecc.) e della relativa complessità (articolazione, difficoltà di riconoscimento, ecc.). A ogni minaccia, potenzialmente dannosa per la sicurezza dei dati, individuata e classificata, si associano degli indicatori al fine di valutare globalmente le possibili conseguenze e la gravità in relazione al contesto fisico ambientale di riferimento e agli strumenti elettronici utilizzati. A questo punto, se si vuole avere una prima stima intorno ai pericoli più o meno imminenti e pertinenti a ogni risorsa, si possono attribuire, a ogni risorsa prima censita e valutata (in base alla classe di criticità dell informazione in funzione della riservatezza, integrità e disponibilità), gli indicatori relativi al livello di esposizione alle minacce. D) L identificazione e la valutazione delle vulnerabilità La classificazione delle possibili minacce porta alla valutazione dei punti di debolezza che possono essere illecitamente o accidentalmente utilizzati durante un attacco; la vulnerabilità, infatti, origina danni solo se vi è una corrispondente minaccia che la sfrutta. Le vulnerabilità sono fortemente riconducibili alle caratteristiche e alle proprietà delle risorse, e consistono in una condizione dell ambiente fisico e tecnologico che consente alla minaccia di concretizzarsi; si riscontrano negli aspetti tecnici e di natura organizzativa connessi allo svolgimento dei processi e delle procedure e al fattore umano che li sovraintende. Nella fase di identificazione si individuano, classificandole, le vulnerabilità che possono essere minacciate, per poi valutarle, assegnando, con coerenti criteri di misurazione, adeguati parametri riferiti alla fragilità e agevolezza con la quale possono essere scoperte e sfruttate e all impatto dannoso che ne deriverebbe. 15

16 Le vulnerabilità possono attribuirsi alla collocazione geografica delle risorse e ai luoghi fisici dove sono collocate le infrastrutture e dove si realizzano i processi aziendali, o all ambiente tecnologico. Il fattore umano rappresenta, spesso, una delle più rilevanti vulnerabilità (scarso livello di sensibilizzazione e competenza del personale, incuria nell utilizzo degli strumenti, ecc). La vulnerabilità può essere stimata secondo una scala di valori che tenga in considerazione la maggiore o minore semplicità con la quale le minacce possono introdursi. E) L accertamento dei rischi L obiettivo, e passo conclusivo della fase di analisi dei rischi, è la definizione della misura del rischio. La misura del rischio scaturisce dall effetto combinato dei suoi fattori determinanti: il valore attribuito a ogni risorsa, il livello delle minacce e l entità delle vulnerabilità correlate. Per ottenere una valutazione del rischio globale che tenga conto della probabilità che le minacce, sfruttando le vulnerabilità, provochino un impatto dannoso sulle risorse aziendali, è proficuo costruire la matrice di rischio di Tavola 1. TAVOLA 1 Matrice del rischio incombente sulle risorse Minacce Risorse Risorsa A Risorsa B Risorsa C Risorsa Minaccia 1 Minaccia 2 Minaccia Vulnerabilità Vulnerabilità Vulnerabilità Probabilità Probabilità Probabilità Impatto Impatto Impatto Rischio Rischio Rischio Vulnerabilità Vulnerabilità Vulnerabilità Probabilità Probabilità Probabilità Impatto Impatto Impatto Rischio Rischio Rischio Vulnerabilità Vulnerabilità Vulnerabilità Probabilità Probabilità Probabilità Impatto Impatto Impatto Rischio Rischio Rischio Vulnerabilità Vulnerabilità Vulnerabilità Probabilità Probabilità Probabilità Impatto Impatto Impatto Rischio Rischio Rischio 16

17 L operatore che deve esprimere la valutazione ben conscio che la matrice accoglie termini quali-quantitativi di natura soggettiva se ne avvale come valido supporto per la sistematizzazione delle diverse variabili e delle stime intermedie e la considera una solida base per esprimere l apprezzamento sulla necessità di misure di sicurezza e per fornire, anche alla luce della professionalità e dell esperienza personali, una scala di priorità, che, tenute in considerazione le sempre limitate risorse, orientino la scelta dei provvedimenti da adottare Il controllo del rischio I risultati conseguiti nell analisi dei rischi portano alla determinazione di adeguate contromisure di sicurezza allo scopo di ridurre il livello delle vulnerabilità presenti e di evitare, o contenere, gli effetti dannosi dei rischi valutati e, per quanto possibile, ridurre le probabilità di manifestazione degli eventi. Una contromisura consiste in uno specifico intervento tecnico od organizzativo posto in essere per prevenire, contrastare o ridurre gli effetti relativi a una specifica minaccia, ma anche nelle attività di verifica e controllo nel tempo, essenziali per assicurarne l efficacia. Durante la fase del controllo del rischio, intrinsecamente collegata a quella di analisi e valutazione, viene definito il livello massimo di rischio accettabile e vengono individuate le strategie da adottare per ridurre il rischio al di sotto di tale livello. Un rischio è ritenuto accettabile quando gli oneri per proteggere le risorse sono stimati eccessivi in relazione al valore della risorsa da proteggere. Nel considerare il valore della risorsa da proteggere è indispensabile contemplare non solo il valore intrinseco del bene, ma, soprattutto, l importanza della sua funzione per lo svolgimento delle attività e dei processi più o meno critici per il raggiungimento delle finalità aziendali. Le contromisure che vengono individuate rappresentano il profilo di protezione di ciascun asset. La selezione di opportune misure di sicurezza deve tener conto del livello dei rischi associati a ciascuna minaccia individuata e del grado di sicurezza che la contromisura può assicurare; la stima e il confronto con le misure già esistenti permette di riconoscere eventuali lacune o ridondanze. Concretamente il controllo del rischio può prevedere azioni proiettate a: - evitare il rischio. Pur essendo di difficile attuazione, si eludono le attività che portano ad affrontare in vario modo fattori pericolosi, eliminando, all origine, la causa del rischio; - ridurre il rischio. Essendo tutt altro che agevole eliminare sistematicamente il rischio, si agisce sulle componenti dello stesso cercando di ridurre la probabilità che si verifichi l evento dannoso e/o l impatto che questo avrebbe sulle risorse. Il rischio 17

18 residuo deve essere ricondotto a un livello minore di quello ritenuto accettabile. Ciò sottintende la scelta e l attuazione di contromisure appropriate; - accettare il rischio. Nella consapevolezza che non è possibile innalzare barriere che rendano un sistema completamente sicuro (a motivo anche dei costi per le strutture e per l eccessivo rallentamento che molte procedure operative subirebbero), bisogna prendere in considerazione l eventualità che l accadimento dannoso si verifichi e accollarsene responsabilmente le conseguenze e gli oneri derivanti; - trasferire il rischio, o meglio, le conseguenze onerose derivanti dalla manifestazione del rischio. FIGURA 3 Rappresentazione grafica dei possibili interventi per ridurre il rischio Probabilità Rischio iniziale Rischio residuo Impatto Vulnerabilità Per ridurre l esposizione al rischio si ricorre a provvedimenti concernenti la prevenzione e la protezione. Le misure di prevenzione riguardano quel complesso di interventi indirizzati a contrastare il verificarsi di accadimenti avversi, posti in essere per ridurre la probabilità dell avverarsi dell evento dannoso. La natura di salvaguardia delle misure impone che, per minimizzare i rischi, esse siano adottate in via preventiva. I meccanismi di prevenzione rafforzano la difesa durante l operatività del sistema attraverso un azione cautelativa, volta a non rendere possibili situazioni potenzialmente pericolose. 18

19 Per proteggere le risorse si ricorre a interventi al fine di rendere minimi i danni nel caso in cui l evento temuto abbia la possibilità di manifestarsi. In altri termini, si tende a ridurre l effetto dell impatto sulla risorsa. Il giusto equilibrio tra misure di prevenzione e misure di protezione va ricercato, per ogni rischio specifico o per classi omogenee di rischi, considerando se è più rilevante la componente relativa alla frequenza di manifestazione delle minacce oppure se è più opportuno incidere sulle ricadute negative che gli inconvenienti comportano. Gli aspetti da considerare per vagliare le contromisure appropriate sono: l idoneità a ostacolare i rischi individuati; la conformità agli standard di sicurezza e ai modelli di riferimento definiti dalle norme specifiche (criteri TCSEC, ITSEC, ISO 17799, BS 7799); il livello di rischio residuo considerato accettabile; l impatto economico conseguente all implementazione e al mantenimento rapportato al valore della risorsa da proteggere. Un piano per la protezione efficace e completo dovrà basarsi su interventi inerenti l organizzazione e su strumenti e tecniche per la sicurezza delle reti e delle apparecchiature per l elaborazione delle informazioni Implementare e attuare un SGSI (Do) In questo macroprocesso trovano attuazione le politiche di sicurezza definite, le contromisure selezionate, i controlli stabiliti, le procedure da seguire. L impegno dell organizzazione è, quindi, rivolto a: - formulare e implementare un piano di gestione del rischio che individui le idonee azioni da intraprendere, i ruoli e le responsabilità del personale coinvolto, le risorse necessarie; - adottare le contromisure vagliate; - sviluppare programmi per la formazione e la sensibilizzazione del personale alle problematiche della sicurezza, determinando le competenze necessarie a svolgere i diversi incarichi e compiti, provvedendo alla preparazione di personale idoneo ad assumere tali ruoli, documentando il processo di addestramento e acquisizione di capacità, esperienza e consapevolezza; - gestire le attività svolte e le risorse necessarie a implementare, governare e mantenere il SGSI, ad attuare validi metodi per garantire la sicurezza informatica, a ottemperare precise disposizioni normative e legislative, ad adempiere alle obbligazioni contrattuali, a realizzare correttamente i controlli previsti, a revisionare il sistema (in caso di necessità) e intraprendere adeguate azioni correttive; - applicare le misure e i controlli che consentano una rapida individuazione di incidenti riguardanti la sicurezza informatica e che offrano tempestive opportunità di intervento. 19

20 5.3. Controllare e riesaminare il SGSI (Check) La verifica dell efficacia e della validità nel tempo delle misure di sicurezza adottate è una fase fondamentale del processo della gestione della sicurezza; infatti, in un contesto tecnologico in rapida evoluzione è necessario avere le massime garanzie circa l adeguatezza delle difese impiegate con particolare riferimento alla varietà delle sempre nuove minacce e alla prontezza con la quale si individuano e sfruttano nuove vulnerabilità. Il costante monitoraggio permette di comprendere se le contromisure sono effettivamente in grado di ridurre il rischio fino ai livelli desiderati e di rilevare tempestivamente eventuali aggressioni che palesino vulnerabilità non considerate in fase di analisi dei rischi, sottostime degli impatti delle minacce, errori nei parametri per il calcolo del livello di rischio, oppure difetti negli strumenti di protezione o scorrettezze nell attivazione degli stessi. Il processo deve, quindi, fornire le informazioni necessarie affinché possano essere avviate idonee azioni correttive. Il processo di verifica è contemporaneamente un processo di apprendimento che dovrà avvalersi di efficaci strumenti di segnalazione degli incidenti e che richiede la creazione di una banca dati nella quale tali segnalazioni sono raccolte, insieme a ogni altra informazione ritenuta utile ai fini di una completa comprensione delle cause degli incidenti stessi. All arricchirsi della banca dati degli incidenti, le informazioni raccolte permetteranno di affinare la conoscenza statistica dei fenomeni di interesse e, sulla base del confronto tra i valori attesi del danno e l entità del danno effettivamente subito, monitorare costantemente la validità delle soluzioni adottate al variare nel tempo delle condizioni 7. Le verifiche riguardo la conformità degli standard di sicurezza fisica, logica e organizzativa e delle norme comportamentali stabilite nelle politiche di sicurezza con quanto effettivamente reso operante (audit di sicurezza), devono compiersi con periodicità fissa, richiedono competenze specifiche e l impiego di personale di elevata professionalità. L auditing richiede, come prerequisito, che l azienda si sia dotata di regole scritte e abbia definito ruoli e responsabilità; inoltre, è opportuno che tali verifiche vengano svolte da personale non direttamente responsabile del sistema informativo oggetto di verifica. Spesso l audit di sicurezza, proprio per garantire un esame imparziale e incondizionato, viene commissionato ad aziende esterne specializzate con comprovata esperienza o a enti di certificazione. Le verifiche di sicurezza forniscono una fonte oggettiva di dati che, presentati senza filtri al top management, vengono utilizzati per individuare azioni correttive. Tutte le informazioni rilevate dovranno confluire nell analisi del rischio e dovranno essere di supporto al management per poter individuare gli interventi da compiere. 7 Periodi tratti da ISCOM, La sicurezza delle reti nelle infrastrutture critiche, 2005, pag