Esperienze di analisi del rischio in proggeti di Information Security

Transcript

1 INFORMATION RISK MANAGEMENT Stato dell arte e prospettive nell applicazione dell analisi del rischio ICT Esperienze di analisi del rischio in proggeti di Information Security Raoul Savastano - Responsabile Servizi Sicurezza Kpmg Advisory ADVISORY Modello generale di analisi e gestione del rischio L analisi dei rischi nei progetti di Information Security 2

2 Il processo di analisi e gestione dei rischi Eventi realmente dannosi Eventi percepiti come dannosi Eventi che si ritiene di contrastare Eventi realmente contrastati Sprechi OK Falsa sicurezza Accettazione rischio Falsa Sicurezza Verifiche Analisi dei rischi Sistema di Gestione 3 Il concetto di rischio A livello teorico, il rischio può essere definito come il prodotto scalare tra la gravità delle conseguenze che un evento dannoso può causare e la probabilità che tale evento si realizzi. Rischio = P x I P = PROBABILITA che un evento dannoso si verifichi I = IMPATTO stimato nel caso in cui l evento si verifichi 5 Impatto Monitoraggio Gestione 0 Review periodica Probabilità 4 2

3 Il rischio residuo Le contromisure adottate possono agire sia sulla probabilità di accadimento della minaccia (ad es. tramite l adozione di controlli preventivi), sia sull impatto (ad es. tramite l adozione di controlli correttivi). 5 4 Impatto 3 2 Rischio residuo Rischio potenziale Probabilità 5 Analisi e gestione dei rischi Definizione dell ambito Identificazione dei rischi Analisi dei rischi Valutazione dei rischi Trattamento dei rischi Risk Assessment Monitoraggio e valutazione periodica 6 3

4 Modello generale di analisi e gestione del rischio L analisi dei rischi nei progetti di Information Security 7 Modello di riferimento L Analisi del Rischio è effettuata seguendo una metodologia che determina il rischio associato alle informazioni gestite dai processi aziendali in base al loro valore, alle minacce cui sono sottoposte ed alle vulnerabilità dei sistemi che le elaborano. VALORE DELLE INFORMAZIONI MINACCE RISCHIO VULNERABILITA MINACCE N.B. per MACRODATO si intende un insieme minimo di informazioni o un aggregato di dati, tali da costituire un raggruppamento omogeneo per l applicazione delle misure di protezione 8 4

5 Attività principali L applicazione della metodologia prevede una sequenza definita di attività: Mappatura del processo Mappatura degli asset Analisi del rischio Gestione del rischio Input all Analisi del Rischio * * La mappatura del processo rappresenta attività strumentale alle successive fasi. macrodati applicazioni sistemi reti Valutazione dei macrodati ubicazioni altri supporti referenti Calcolo del rischio Correlazione asset 9 Relazioni tra gli elementi del modello Gli asset ottenuti tramite la mappatura del processo sono correlati costruendo le catene tecnologiche e infrastrutturali che rappresentano le dipendenze dei macrodati rispetto sia alle strutture informatiche (applicazioni, sistemi, e reti) sia alle rimanenti strutture come le ubicazioni fisiche. Processi/Sottoprocessi Macrodati Applicazioni Sistemi Reti Altri supporti Ubicazioni Rappresentazione esemplificativa Attraverso tale correlazione è possibile ottenere una valutazione di rischio composto dalle minacce e dalle vulnerabilità che insistono su ogni elemento delle catena tecnologica e infrastrutturale legate ai macrodati. 20 5

6 Modello di calcolo del rischio La valutazione del rischio si ottiene combinando opportunamente il valore dei macrodati con l insieme delle minacce e delle vulnerabilità che insistono su ogni elemento della catena tecnologica e infrastrutturale legate ai macrodati Resp. Processo Macrodati Valutazione valore dei macrodati Ref. Appl. Ref. Sistemi Applicazioni Sistemi Applicazioni Sistemi Ref. Reti Reti Reti Ref.Ubic. Ubicazioni Ubicazioni Ref. Altri Supporti Altri supporti Calcolo del rischio Il rischio del macrodato è ottenuto tramite calcolo matriciale che prevede la misurazione del rischio in funzione del valore del macrodato stesso, delle minacce cui è sottoposto e delle vulnerabilità dei supporti e delle infrastrutture che lo gestiscono: RISCHIO = f (Valutazione del macrodato, Minaccia, Vulnerabilità) 2 KARISMA Per effettuare tutte le attività previste dalla metodologia di analisi dei rischi, KPMG ha sviluppato specifico strumento software, KARISMA (KPMG Advanced Risk Management), accessibile via web. Gli utenti accedono all applicazione tramite una pagina di autenticazione: a seconda del proprio profilo, possono eseguire azioni ed operazioni differenti. 22 6

7 KARISMA mappatura dei processi e dei macrodati KARISMA consente di effettuare attività di mappatura dei processi non esclusivamente finalizzate all attività di analisi dei rischi FLUSSI PROCESSO SOTTOPROCESSO SOTTOPROCESSO SOTTOPROCESSO SOTTOPROCESSO UNITA ORGANIZZATIVE OUTSOURCER MACRODATI VINCOLI NORMATIVI VINCOLI INTERNI VINCOLI ESTERNI 23 KARISMA mappatura dell ambiente tecnologico KARISMA consente di effettuare attività di mappatura dei sistemi informatici (applicazioni, sistemi, reti) APPLICAZIONI AMBIENTE TECNOLOGICO SISTEMI RETI UBICAZIONI 24 7

8 KARISMA stima del valore delle informazioni, delle minacce e analisi delle vulnerabilità KARISMA consente la raccolta delle stime relative al valore delle informazioni, alla probabilità di accadimento delle minacce ed alle vulnerabilità presenti attraverso la compilazione di specifiche schede da parte di più utenti. MACRODATI APPLICAZIONI SISTEMI RETI VALORE MINACCE VULNERABILITA UBICAZIONI 25 KARISMA - reportistica KARISMA gestisce tutte le operazioni di elaborazione delle informazioni e produzione dei risultati. Inoltre fornisce una serie di report standard sulle principali aree di interesse (livello di rischio calcolato, aree di vulnerabilità, valore delle informazioni, distribuzione delle informazioni critiche all interno dei processi, ecc.) 26 8

9 Tool di supporto Report 27 GRAZIE PER L ATTENZIONE R. Savastano rsavastano@kpmg.it 28 9