Gestione dei rischi. Analisi di un modello semplificato per le PMI

Transcript

1 Gestione dei rischi Analisi di un modello semplificato per le PMI

2 Licenza e condizioni di uso I contenuti di questa presentazione devono intedersi sottoposti ai termini della licenza Creative Commons 2.5, secondo le clausole della Attribuzione - Non Commerciale Condividi allo stesso modo, e ne sono consentiti gli utilizzi esplicitati nella licenza medesima. E' possibile prendere visione della sintesi dei diritti concessi mediante tale licenza all'indirizzo Copia integrale della licenza è invece disponibile all'indirizzo 2

3 Scenario di partenza Le piccole e medie imprese rappresentano in Europa ed in Italia la maggior parte del tessuto imprenditoriale e costituiscono la chiave per lo sviluppo socio economico del nostro paese e dell'intero continente. Le PMI nascono sulla base di un idea imprenditoriale ma sono spesso caratterizzate da risorse economiche limitate e da sistemi di business eterogenei ed indipendenti. Anche per le PMI le informazioni, ed i sistemi hardware e software che le gestiscono, costituiscono una preziosa risorsa di business che, in quanto tale, necessita di una adeguata protezione. 3

4 Problematiche ricorrenti Per poter gestire e proteggere in modo strategico le informazioni le PMI devono, dapprima, comprenderne il valore per i propri sistemi di business e, successivamente, utilizzare un framework per valutare ed implementare le politiche di sicurezza più consone. A causa della notevole dinamicità del modello di sviluppo delle PMI le problematiche di sicurezza non sono prese in considerazione durante la fase di startup. Policies e framework per la pianificazione e l'implementazione della sicurezza ed il disaster recovery sono del tutto mancanti o eccessivamente semplificati o frammentari. 4

5 Le cause La conoscenza dei rischi legati alla sicurezza delle informazioni a volte è circoscritta ai soli virus/antivirus. Esiste una distorta percezione dei rischi imputabile alla limitata dimensione del business e dei suoi asset. Spesso il management non ha conoscenza degli standard e considera la sicurezza come un insieme di interventi tecnici finalizzati al backup dei dati e ad azioni di contrasto nei confronti dei virus. I framework per la gestione dei rischi sono per lo più orientati verso le necessità delle entità di maggiori dimensioni e molto costosi da attuare. 5

6 Le cause (continua) A causa del budget limitato le PMI non possiedono le risorse necessarie per indirizzare e risolvere le problematiche di sicurezza nello stesso modo delle organizzazioni di più grandi dimensioni, pur avendo accesso però alla stessa tecnologia utilizzata da queste ultime ed essendo pertanto complessivamente più esposte ai relativi rischi. I processi per valutare gli attuali livelli di sicurezza, individuare le opportune contromisure tecnologiche ed organizzative e ponderare la loro efficacia in termini di costi/benefici sono piuttosto complessi. 6

7 Gli effetti Se non propriamente valutate e debitamente indirizzate, le problematiche di sicurezza possono facilmente condurre alla compromissione della riservatezza, integrità e disponibilità degli asset informativi aziendali. Più della metà delle PMI ha subito negli ultimi anni almeno un incidente di sicurezza. Questi incidenti possono avere riflessi negativi, anche molto seri, sul business e sulla sua percezione da parte del pubblico ed integrare, a loro volta, fattispecie di violazione di leggi, regolamenti ed obblighi contrattuali da cui derivano, inevitabilmente, responsabilità civili e/o penali. 7

8 Il modello proposto da ENISA ENISA, l'agenzia Europea per la sicurezza delle reti e delle informazioni, propone per le PMI un modello semplificato per l'analisi e la gestione dei rischi. L'approccio, basato in parte sulla metodologia OCTA- VE, è adattato ai tipici ambienti ed alle necessità che caratterizzano le PMI e si articola in tecniche di assessment e di pianificazione della sicurezza basate sull'applicazione di un profilo di rischio prevalente. Il metodo di lavoro si concentra sui rischi del contesto di business tipico e si focalizza sulle problematiche operative e strategiche della gestione del rischio. 8

9 Vantaggi Possibilità di raggiungere livelli di sicurezza accettabili a fronte di un moderato sforzo organizzativo e di gestione. Riduzione dei costi, rispetto ad un approccio più tradizionale, con possibilità di esternalizzare i relativi processi, senza che ciò abbia un peso eccessivo sul budget. Possibilità di applicazione anche da parte di un team non esperti per via delle semplificazioni introdotte. Possibilità di applicazione anche in contesti diversi dalle PMI (ad es. studi/associazioni professionali). 9

10 Vantaggi (continua) Praticità del modello grazie alle seguenti caratteristiche: Il profilo di rischio può essere facilmente identificato e definisce il contesto di rischio nel quale una determinata organizzazione opera; Gli asset tipici sono agevolmente determinati; Le minacce sono piuttosto tipizzate e, una volta raggruppate, trovano applicazione come generici profili di rischio per un numero elevato di PMI; La protezione degli asset per mezzo delle contromisure viene favorita dall'esistenza e dall'applicazione di appositi controlli predefiniti; 10

11 Obiettivi Migliorare i livelli di sicurezza delle PMI europee accelerando la loro transizione verso una cultura integrata di gestione dei rischi. Soddisfare i requisiti di business e di contesto ed i condizionamenti tipicamente presenti negli ambienti delle PMI. Focalizzare l'attenzione sugli asset critici ed i rischi più elevati. Sviluppare una metodologia di analisi e gestione del rischio indipendente dalle contromisure (i controlli utilizzabili possono essere Octave,ISO17799,NIST,ecc..). 11

12 Avvertenze e considerazioni Il modello proposto mantiene una sua validità soltanto se adottato in un ottica di pianificazione della sicurezza a breve/medio termine e come mezzo per approntare, in modo veloce ed efficace, le contromisure a protezione dei componenti di business più critici. Anche se il modello copre i rischi più significanti ai quali sono di regola esposte le PMI, la sua adozione duratura, in sostituzione di un assessment più completo e dettagliato dei rischi, viene sconsigliata, soprattutto negli ambienti maggiormente caratterizzati da una certa complessità operativa, strutturale e tecnologica. 12

13 Analisi del modello Per l'analisi delle problematiche tecnologiche ed organizzative viene proposto un approccio suddiviso in quattro fasi: 1. Selezione del profilo di rischio; 2. Identificazione degli asset critici; 3. Selezione dei controlli; 4. Implementazione e gestione; Il corretto svolgimento delle prime due fasi, entrambe svolte mediante l'ausilio di apposite tabelle sinottiche, è fondamentale per la riuscita dell'intero processo. 13

14 Selezione del profilo di rischio Durante questa fase viene individuato il profilo di rischio prevalente mediante l'ausilio di criteri predefiniti che prendono in considerazione quattro aree: 1. Rischi legali: scaturiscono dalla violazione o dalla mancanza di conformità a leggi, regolamenti, obblighi contruattuali e standard di settore; 2. Rischi di stabilità finanziaria: sono relativi alla carenza di infrastrutture di gestione e produzione e di risorse così come alla inappropriata gestione della sicurezza delle informazioni; 3. Rischi di produttività: sono relativi alla scarsa applicazione di procedure e controlli di base ed investono non 14

15 Selezione del profilo di rischio soltanto gli aspetti tecnologici ma anche quelli organizzativi; 4. Rischi di reputazione: riguardano un asset intangibile ma di primaria importanza per il successo del business come la reputazione e la fedeltà della clientela; Ciascuna delle aree è suddivisa in tre classi di rischio: alto, medio, basso (vedi tabelle sinottiche 1 e 2). Per ogni area viene identificato il relativo livello di rischio. Il livello di rischio più alto individuato costituisce il profilo di rischio complessivo dell'organizzazione. 15

16 Tabella sinottica (1) Area di rischio Alto Medio Basso Legale Produttività L'organizzazione gestisce dati ed informazioni della clientela di natura personale e sensibile, inclusi dati di natura medica e dati critici, così come definiti dalla legislazione europea. L'organizzazione impiega più di 100 dipendenti che hanno la necessità quotidiana di accedere alle applicazioni ed ai servizi di business. L'organizzazione gestisce dati della clientela di natura personale ma non sensibile. L'organizzazione impiega più di 50 dipendenti che hanno la necessità quotidiana di accedere alle applicazioni ed ai servizi di business. L'organizzazione non gestisce altri dati di natura personale se non quelli relativi ai propri dipendenti. L'organizzazione impiega meno di 10 dipendenti che hanno la necessità quotidiana di accedere alle applicazioni ed ai servizi di business. 16

17 Tabella sinottica (2) Area di rischio Alto Medio Basso Stabilità finanziaria Reputazione I ricavi annuali dell'organizzazione eccedono i 25 milioni di euro e/o le transazioni finanziarie con terze parti o clienti formano parte integrante del business come processo interno. L'indisponibilità o la qualità del servizio influenzano direttamente il business e/o più del 70% della clientela gode di un accesso online ai prodotti ed ai servizi che formano oggetto del business. I ricavi annuali dell'organizzazione non superano i 25 milioni di euro. I ricavi annuali della organizzazione non eccedono i 5 milioni di euro. L'indisponibilità o la L'indisponibilità o la qualità del servizio qualità del servizio possono non possono influenzare influenzare indirettamente il direttamente o business e/o meno indirettamente il del 5% della business o i clientela gode di un risultati. accesso online ai prodotti ed ai servizi che formano oggetto del business. 17

18 Identificazione degli asset Durante questa fase vengono selezionati gli asset più importanti per l'organizzazione definiti come critici poiché fondamentali per il raggiungimento degli obiettivi di business. Per ciascuno degli asset è necessario procedere ad una valutazione dei requisiti di sicurezza in termini di confidenzialità, integrità e disponibilità al fine di sottolinearne l'importanza. Alcuni asset possono dipendere per la loro operatività da altri asset/componenti i quali, ovviamente, dovranno ricevere analoga protezione dei principali. 18

19 Tipologie di asset (1) Si possono considerare, a livello esemplificativo, le seguenti tipologie: Sistemi: elaborano e memorizzano le informazioni. Sono critici quelli ritenuti essenziali per la continuità operativa dei servizi di business e per l'offerta di prodotti, quelli che memorizzano informazioni di business critiche (dati della clientela, informazioni proprietarie) o che sono esposti al mondo esterno. Reti: periferiche e dispositivi necessari per il funzionamento della rete. Sono critici quelli che supportano il funzionamento di applicazioni o sistemi critici oppure quelli condivisi con terze parti o reti insicure. 19

20 Tipologie di asset (2) Persone: individui facenti parte della organizzazione considerati in relazione alle proprie capacità, conoscenze, esperienze e formazione. Sono critiche quelle persone che esplicano un ruolo chiave nei processi operativi o di produzione. Applicazioni: sono parte integrante dell'offerta di prodotti o di servizi. Sono critiche quelle il cui malfunzionamento od interruzione provocano severe ripercussioni o congestione dei processi da esse dipendenti. Esempi: sistemi (server, workstation,...); reti (router, switch,...); persone (risorse umane, ICT, ricerca e sviluppo,...); applicazioni (controlli finanziari, commercio elettronico,...). 20

21 Selezione dei controlli di sicurezza Durante questa fase vengono selezionati i controlli appropriati in relazione al profilo di rischio, agli asset critici ed ai loro requisiti di sicurezza. I controlli proposti nell'ambito del modello sono tratti dalla metodologia OCTAVE in virtù della loro semplicità di uso (possono però essere adottati anche altri controlli come ad es. quelli ISO 17799). I controlli sono suddivisi in due categorie: Organizzativi: si applicano orizzontalmente alla organizzazione degli asset. Basati sugli asset: sono specifici in quanto indirizzati alla protezione dei singoli asset. 21

22 Selezione dei controlli di sicurezza I primi sono selezionati con riferimento al livello individuato per ciascuna delle categorie di rischio (legale, finanziario, ecc...) - Fig. 1. I secondi invece si applicano per livello complessivo di rischio ed i requisiti di sicurezza degli asset e sono dunque raggruppati per profilo di rischio, categoria dell'asset e requisiti di sicurezza Fig. 2. La lista dei controlli organizzativi e specifici del modello OCTAVE è allegata in appendice al documento ENI- SA Risk Management: Information package for SME's) scaricabile dall'indirizzo indicato nelle sezione risorse. 22

23 Controlli organizzativi (Fig. 1) 23

24 Controlli relativi agli asset (Fig. 2) 24

25 Implementazione e gestione Durante questa fase viene pianificata l'applicazione pratica dei controlli di sicurezza precedentemente individuati. In relazione alle risorse disponibili la pianificazione può essere adattata per priorità tenendo conto di vari criteri quali: Le necessità di adeguamento (compliance) La strategicità in relazione agli obiettivi di business Il risparmio dei costi La riduzione dei rischi Altri specifici per la singola organizzazione 25

26 Risorse Sito istituzionale ENISA: ENISA Risk Assessment & Management: Risk Management Information Package for SME: 26