PIATTAFORMA RISK MANAGEMENT I Risk

Transcript

1 PIATTAFORMA RISK MANAGEMENT I Risk

2 Metodologia di analisi Specializzazione Modellizzazione Valutazione del rischio Gestione del rischio Terminologia e ruoli Architettura tecnologica Screenshoot del prodotto Pianificazione e deliverables

3 METODOLOGIA DI ANALISI Le fasi del Risk Assessment con i Risk 1 Specializzazione (Definizione del Contesto e sua qualificazione) 2 Modellizzazione di Processi, Informazioni, Asset (componenti di sicurezza) e libreria dei Controlli (ovvero creazione, manutenzione, riuso di una specifica Sessione ); 3 Valutazione del rischio: Stima del valore dei Beni Primari ovvero i soggetti dell analisi (matrice RID) Individuazione degli Asset ovvero delle risorse tecnologiche, umane, materiali e immateriali utilizzate per la fruizione dei beni primari. Stima delle Minacce che incombono sugli Asset Stima di importanza e livello di applicazione dei Controlli per la riduzione delle minacce 4 Gestione del rischio: Accettazione, trasferimento o mitigazione del rischio Applicazione delle Contromisure per la riduzione del rischio

4 FASE 1 SPECIALIZZAZIONE - Le fasi del Risk Assessment con i Risk Scelta della normativa di riferimento ISO 27001, OWASP, privacy D.Lgs 196/2003 Accettazione / personalizzazione della definizione dei beni primari ISO = Processi / Informazioni, Privacy = Trattamenti / Banche dati, OWASP = Software factory / Applicazioni SW Accettazione / estensione delle tipologie di Asset standard previsti nel contesto Accettazione / estensione delle tipologie di Minacce standard previsti nel contesto Accettazione / estensione dei Controlli standard previsti dalla norma di riferimento

5 FASE 1 SPECIALIZZAZIONE - Esempi di tipologie di Asset e Minacce Contesto metodologico ISO Privacy OWASP Tipologia di Asset Minacce Sistema integrato di sicurezza logica Banche Dati Applicazioni Generiche (controlli di base) Hardware sistemi IT Ambiente applicativo Applicazioni C - C++ Risorse umane critiche Sistemi di accesso Applicazioni Java Banche dati e Sistemi di storage Sistema Applicazioni Javascript Rete Intranet Supporti di backup Applicazioni JSP Reti esterne e Internet Ubicazione delle Copie Applicazioni PL-SQL-Oracle Applicazioni e ambienti applicativi Ubicazione delle applicazioni Apache Tomcat SW di base e middleware Software Factory Violazione delle politiche di sicurezza Violazione aspetti organizzativi Errori nella classificazione e controllo dei beni Sottrazione di credenziali di autenticazione Carenza di consapevolezza, disattenzione o incuria Comportamenti sleali o fraudolenti M01 Minacce di tipo generale M02 Vulnerabilità comuni a tutti i linguaggi minacce specifiche ambienti C C++ Errori o abusi del personale Errore materiale minacce specifiche ambienti Java Minacce fisiche ed ambientali Azione di virus informatici o di programmi suscettibili di recare danno M05 Ambienti Javascript

6 FASE 1 SPECIALIZZAZIONE - Esempi di controlli Contesto metodologico ISO Privacy OWASP E' stato approvato dalla Direzione, pubblicato e comunicato a tutti i dipendenti e alle terze parti coinvolte, un documento di Politica della sicurezza? Le regole di utilizzo delle risorse per ciascun utente sono state definite e comunicate per iscritto agli utenti? Sono state adottate le tecniche di mitigazione per la vulnerabilità di tipo Buffer Overflow? La Politica per la sicurezza delle informazioni è rivista ad intervalli pianificati e qualora si verifichino significativi cambiamenti nella organizzazione o nelle tecnologie ITC? Gli utenti/sistemi dispongono di parole chiave univoche, a loro solamente riservate e da loro solamente riconosciute? Sono state adottate le tecniche di mitigazione per la vulnerabilità di tipo Command Injection? Controlli La Direzione supporta attivamente la sicurezza all'interno dell'organizzazione? Gli utenti/sistemi possono scambiarsi username e password tra loro? Sono state adottate le tecniche di mitigazione per la vulnerabilità di tipo Improper Input Validation? I responsabili aziendali ai diversi livelli si coordinano in relazione alla sicurezza delle informazioni? Le responsabilità della sicurezza sono assegnate in modo chiaro? Le credenziali di autenticazione sono state sostituite da altri sistemi (es. riconoscimento biometrico dell'incaricato con codice identificativo o con parola chiave)? Le credenziali di autenticazione sono univocamente assegnate o associate individualmente ad un solo utente/sistema? Sono state adottate le tecniche di mitigazione per la vulnerabilità di tipo Cross Site Scripting (XSS)? Sono state adottate le tecniche di mitigazione per la vulnerabilità di tipo Race Condition?

7 FASE 1I MODELLIZZAZIONE - scelta/modifica/creazione di una specifica Sessione Creazione di una sessione (un ambiente di analisi) con i dati specifici del perimetro di analisi di interesse (es: azienda, divisioni, dipartimenti, ). Caricamento dei beni primari ISO 27001: processi informazioni OWASP: Software factory- applicativi - linguaggi di sviluppo privacy D.Lgs 196/2003: trattamenti base dati Individuazione dei proprietari dei beni primari oggetto della valutazione Caricamento degli Asset e individuazione dei proprietari

8 FASE 1I MODELLIZZAZIONE - Legami logici tra gli elementi della Sessione Asset Minacce Controlli Categoria Categoria Beni primari sottocategoria sottocategoria sottocategoria sottocategoria Tipologia asset asset asset minaccia minaccia minaccia controllo controllo controllo Tipologia asset asset minaccia controllo controllo

9 FASE 1II VALUTAZIONE - Stima del valore dei Beni Primari 1 Ora 1 Giorno 5 Giorni Oltre Riservatezza Integrità Matrice per la valutazione degli impatti (RID) Disponibilità Il valore del bene si calcola stimando l impatto Sociale (danno alla collettività) Legale (non rispetto delle leggi) Di immagine Impatto su altri processi Economico che si avrebbe nel caso di: Perdita di Disponibilità Perdita di Riservatezza Perdita di Integrità Esempio di scala dei valori Danno Sociale Leggi Immagine Processi Economico 1 Trascurabile: Le conseguenze sono di nessuna o modesta entità. 2 Basso: Le conseguenze possono essere riassorbite, all interno della Direzione Sistemi informativi, senza impatti con l esterno. 3 Medio: Le conseguenze interessano altre Direzioni ma non hanno un impatto significativo nei riguardi dell utenza. 4 Alto: Le conseguenze si propagano al pubblico creando disagi. 5 Non recuperabile: Le conseguenze comportano danni non recuperabili. Esempio: ritardo nei pagamenti ai cittadini.

10 FASE 1II VALUTAZIONE - Raccolta delle informazioni su Minacce e Controlli Stima delle Minacce EF : Frequenza storica 1= Rarissimo 2= Sporadico 3= Poco frequente 4= Frequente 5= Molto frequente EC: Livello attuale della minaccia 1= Inerte 2= Poco attiva 3= Attiva 4= Preoccupante 5= Allarmante Stima della rilevanza e del livello di applicazione dei Controlli sugli Asset ER = Grado di rilevanza 1= Marginale 2= Poco influente 3= Influente 4= Rilevante 5= Determinante ES = Livello di applicazione 1= Nullo 2= Pianificato/parziale 3= Realizzato 4= Riconosciuto 5= Integrato Esempio di classificazione del livello di applicazione di un controllo 1 = Nullo Il controllo non è attualmente applicato. 2 = Pianificato / parziale Il controllo è in piano o in corso di sviluppo. 3 = Realizzato Il controllo è in esercizio ma ci sono significativi casi nei quali non è applicato. 4 = Riconosciuto Il controllo è sempre applicato salvo sporadiche eccezioni 5 = Integrato Il controllo fa parte del processo: è applicato automaticamente e non è eludibile

11 FASE 1V GESTIONE DEL RISCHIO Analisi e azioni di miglioramento Analisi dei risultati : Ranking del rischio dei Beni Primari e degli Asset, Ranking del livello di applicazione dei Controlli. Azioni di miglioramento: Accettazione, trasferimento o mitigazione del rischio Applicazione delle contromisure per la riduzione del rischio.

12 TERMINOLOGIA E CONCETTI IN I RISK Contesto/i di analisi: Ambiente di lavoro per una specifica analisi costituito da librerie precaricate di Controlli, Minacce, Tipologie di Asset standard in aderenza a specifiche metodologie o a riconosciute best practices. Sessioni di analisi: Istanze di analisi nell ambito di un contesto. Impatto: Stima indiretta del valore di un bene primario ottenuta stimando il danno che si avrebbe nel caso di perdita di: Riservatezza, Integrità, Disponibilità. Asset: Risorse tecnologiche, umane, materiali e immateriali utilizzate per la fruizione dei beni. Sono raggruppati in tipologie che condividono le stesse minacce e gli stessi controlli Minacce: Azioni in grado di danneggiare gli Asset. Controlli: Valutazioni delle misure di sicurezza in essere riferite ad ogni singolo asset il base alla sua tipologia. Rischio: Livello di esposizione considerando il valore degli asset e lo stato di applicazione dei controlli in essere. Analisi di miglioramento: Riduzione di livelli di rischio ottenuta migliorando l efficacia dei controlli esistenti o con l introduzione di nuove contromisure. Contromisura: azione di mitigazione del rischio caratterizzata da un obiettivo e da una data di implementazione

13 SISTEMA DI PRIVILEGI UTENTE IN I RISK I profili che il Sistema di Gestione della Metodologia di Analisi del Rischio implementa sono: Amministratore: profilo dedicato al provisioning degli utenti; non ha alcuna visibilità sulle fasi di analisi del rischio. Risk Assessment Owner (RAO): offre la funzionalità di creazione e gestione del Contesto di analisi di cui è owner. Definisce il gruppo di lavoro. L utente con questo profilo interviene in tutte le fasi del processo di analisi. Gli utenti appartenenti ad un gruppo di lavoro, relativamente ad un Contesto, possono avere i seguenti privilegi: Risk Analyst: rappresenta la figura esperta che si occupa della fase di specializzazione dove estende le librerie standard fornite dal sistema. Context Specialist: rappresenta il conoscitore del contesto di cui si vuole effettuare l analisi. Tra i context specialist si potrà individuare una figura generica dedicata alla modellizzazione e figure tecniche o di business dedicate alla compilazione dei questionari delle Minacce e delle Vulnerabilità ed alla compilazione del questionario degli Impatti. Manager: figura con la responsabilità di approvare i risultati prodotti per il contesto di analisi considerato.

14 ARCHITETTURA TECNOLOGICA DELLA PIATTAFORMA I RISK Architettura Web Based Compatibilità con i browser più recenti Architettura Java JEE (Apache/WebSphere) + Microsoft Sql Server Consolle di gestione centralizzata Importazioni / esportazioni standard su template MS Excel Autenticazione (LDAP) Profilatura Scalabilità Gestione del DB su SAN