LA SICUREZZA INFORMATICA

Transcript

1 LA SICUREZZA INFORMATICA Ing. Gianfranco Pontevolpe CNIPA Programma L analisi dei rischi Valutazione/certificazione della sicurezza La sicurezza nella contrattualistica La gestione dell emergenza 2 1

2 Programma L analisi dei rischi Valutazione/certificazione della sicurezza La sicurezza nella contrattualistica La gestione dell emergenza 3 Il problema Fruibilità (interoperabilità) Efficienza Sicurezza affidabilità dello strumento elettronico tutela nei confronti di possibili truffe Utilizzo corretto delle informazioni (privacy) Quali soluzioni adottare? 4 2

3 Il ciclo Plan-Do-Check-Act Analizzare le esigenze i rischi Pianificare Attuare Verificare Agire 5 Esempi di pianificazione Piano di business Documento di programmazione economica Piano della qualità Documento programmatico della sicurezza Analisi dei rischi Piano operativo 6 3

4 Obiettivi della pianificazione Razionalizzare gli interventi Condividere gli obiettivi Condividere i processi Mantenere traccia del processo decisionale Disporre di uno strumento per verificare il raggiungimento degli obiettivi Pedisporre i piani finanziari 7 I costi per la sicurezza 100% livello di sicurezza costi 8 4

5 La pianificazione della sicurezza nella PA Gli obiettivi di sicurezza nel caso della PA devono essere considerati in un ottica di bilanciamento tra rischi e costi per la collettività La pianificazione degli interventi nelle singole amministrazioni deve tenere in conto le strategie governative in termini di sicurezza il bisogno di fiducia nei confronti delle istituzioni Il Comitato tecnico nazionale per la sicurezza nelle pubbliche amministrazioni ha l obiettivo di delineare le strategie governative e formulare proposte su interventi finalizzati a migliorare il livello di sicurezza 9 La sicurezza - approccio canonico Analisi del rischio beni vulnerabilità minacce Scelta delle contromisure Verifica 10 5

6 La confusione terminologica Termini generali ISO Fornitori Pianificazione Verifica (assessment) Miglior. continuo Valutazione dei rischi (risk assessment) Verifica della sicurezza (security auditing) Risk analysis Risk assessment Vulnerability assessment Security assessment Security audit Gap analysis Security benchmarking Security snapshot 11 Gli elementi dell analisi del rischio bene (o asset) ciò che bisogna salvaguardare (persone, oggetti, software, informazioni, ecc.) vulnerabilità caratteristiche dei sistemi e dei processi che, in particolari condizioni, possono comportare la perdita di riservatezza, integrità o disponibilità delle informazioni minacce possibili eventi non desiderati che portano alla perdita di riservatezza, integrità o disponibilità delle informazioni 12 6

7 Il rischio Il rischio è la probabilità che una minaccia nei confronti di un bene si attui sfruttando una vulnerabilità del sistema 13 I metodi di valutazione dei rischi Quantitativi valore dei beni in termini economici analisi in base ad algoritmi matematici scelte secondo criteri oggettivi Qualitativi valore dei beni in termini relativi (alto, medio, basso) analisi in base a tabelle scelte secondo criteri qualitativi 14 7

8 Esempio di analisi quantitativa Bene: autovettura, valore Vulnerabilità: trasportabilità Minaccia: furto Senza antifurto Con bloccapedali Con antifurto satellitare Statistica furti annui per vetture Probabilità furto (rischio) Esposizione economica al rischio Costo annuo della protezione ,01 0,002 0, , Limiti dei metodi basati su analisi quantitativa Difficoltà nel monetizzare il valore dei beni Necessità di statistiche Difficilmente applicabile ad eventi con probalità molto bassa Nel caso della pubblica amministrazione Il rapporto costi/benefici non deve essere valutato nell ambito del singolo ente ma nel contesto generale dell economia del paese 16 8

9 Esempio di analisi qualitativa Bene: documenti amministrativi (memorizzati su server NT) Vulnerabilità: accesso al sistema NT Minaccia: acquisizione non autorizzata dei diritti di amministratore Classe di criticità del bene Probabilità di subire danni imputabili ad attacco media bassa Livello di rischio medio Funzioni di sicurezza per livello di rischio medio Consentire accesso come amministratori solo localmente Aggiornamento trimestrale dei Service pack Traccia degli utenti che hanno modificato il registro 17 Per ogni rischio occorre: La gestione dei rischi valutare se sia opportuno ridurre il rischio ed in caso affermativo valutare in che misura scegliere le modalità con cui ridurre il rischio predisporre le misure con cui fronteggiare situazioni in cui il rischio si concretizza in un attacco predisporre le procedure per il recupero dei beni in situazioni in cui il rischio si concretizza in un evento negativo 18 9

10 La logica di trattamento dei rischi Probabilità o frequenza dell evento Mitigare il rischio Accettare i rischi Evitare il rischio Condividere o trasferire il rischio Severità o costo dell evento 19 La valutazione dei rischi di un sistema complesso Il numero dei beni è dell ordine di decine di migliaia (elaboratori, programmi e dati) Il numero dei rischi è in teoria dello stesso ordine di grandezza, con opportune semplificazioni, il numero può diventare dell ordine di centinaia Le possibili soluzioni per ridurre i rischi sono decine (protezioni hardware, soluzioni organizzative, contromisure software che a loro volta possono avvalersi delle funzioni native dei sistemi ecc.) Il numero dei possibili eventi dannosi (o attacchi) è di difficile determinazione, quelli attualmente più diffusi sono migliaia 20 10

11 La verifica della sicurezza Valutazione dei rischi Adatta a sistemi nuovi ed esistenti I rischi sono valutati esaminando beni, vulnerabilità e minacce Viene svolta con il supporto di tool specifici Popola una base informativa utile per la fase di gestione Verifica della sicurezza Idonea per sistemi esistenti I rischi sono valutati sulla base di analogie buona prassi esperienza Utilizza principalmente check-list Produce rapporti sul livello di sicurezza e sulle criticità 21 La pianificazione della sicurezza L attività di analisi del rischio produce generalmente risultati condivisi indicativi (il livello di dettaglio è funzione del metodo seguito) dipendenti dal contesto Necessita di revisioni cicliche E opportuno che abbia un costo ed una durata commisurati a costo e durata dell intero processo 22 11

12 Gli osservatori sulla criminalità informatica Virus Perdita di servizi essenziali Guasti interni Errori d'uso Errori concettuali Furti Eventi naturali Attacchi logici Incidenti fisici Frodi Atti denigratori Divulgazione di dati Sabotaggi Intrusioni Ricatti, estorisioni % 5% 10% 15% 20% 25% 30% Fonte Clusif étude et statistiques sur la sinistralité informatique en France Programma L analisi dei rischi Valutazione/certificazione della sicurezza La sicurezza nella contrattualistica La gestione dell emergenza 24 12

13 Motivazioni per la valutazione della sicurezza Decidere le azioni e gli investimenti economici per ridurre l esposizione ai rischi Valutare l opportunità di acquisire prodotti e servizi Sapere fino a che punto è possibile fidarsi di prodotti, sistemi e servizi Pubblicizzare le caratteristiche di sicurezza di un prodotto o di un servizio 25 Problemi della valutazione Per misurare qualcosa bisogna prima definirla con precisione Qual è l oggetto della valutazione? prevenzione contrasto recupero problemi operativi criminalità informatica eventi calamitosi analisi del rischio formazione/consapevolezza dei rischi Norme comportamentali Procedure Config./aggiornam. sistemi Sistemi operativi evoluti Controllo accessi Perimetrazione ( Fw ) Sistemi fault tolerant Autenticazione robusta Protezione messaggi in rete Call center/trouble ticketing CERT Quadrature Incident management Sistemi di tracciatura IDS/antivirus Procedure di restore Incident management Indagini (forensic) Analisi e correlazione log Contingency plan Prove Siti di recovery Architetture ridondate Attivazione del piano di DR Gestione del disastro Rientro 26 13

14 problemi della valutazione Per valutare il livello di sicurezza occorre definire una metrica Qual è la scala in base cui si può asserire che un oggetto è più sicuro di un altro più contromisure? meno rischi? più attenzione alla sicurezza? 27 Primi standard per i sistemi Unix (TCSEC) Sicurezza Fiducia Un prodotto/sistema è fidato se è dotato di determinate protezioni La scala è determinata dal numero di protezioni presenti 28 14

15 Limiti del TCSEC Le protezioni menzionate nello standard sono tipiche di elaboratori non connessi in rete Lo standard non consente flessibilità nella modalità di valutazione: la complessità è proporzionale al livello di sicurezza Ci sono pochi livelli per cui quasi tutti i prodotti sono stati valutati con livello medio-alto (C2) Il processo di valutazione è costoso 29 I miglioramenti dello standard europeo ITSEC Deve essere definito l oggetto della valutazione (Target Of Evaluation) Deve essere definito l obiettivo della valutazione (Security Target) E possibile effettuare la valutazione con diversi livelli di severità (Assurance Level) 30 15

16 Dall ITSEC ai Common Criteria ITSEC è uno standard europeo mentre i Common Criteria sono uno standard internazionale In ITSEC gli elementi che qualificano la valutazione sono scelti dal committente se non si leggono i documenti della valutazione non si hanno informazioni sulle caratteristiche di sicurezza Nei Common Criteria è possibile fare riferimento a profili di protezione predefiniti e certifciati (Protection profile) relativi a tipologie omogenee di prodotti 31 La situazione attuale Gli standard per la valutazione della sicurezza sono utilizzati principalmente per sistemi operativi, data base e prodotti di sicurezza (firewall, smart card, ecc.) Nonostante i common criteria siano internazionali, prevalgono le certificazioni con standard americani (FIPS) Le norme sulla firma digitale prescrivono la certificazione dei dispositivi di firma con standard ITSEC o common criteria 32 16

17 Caratteristiche degli standard per la valutazione della sicurezza Forniscono un istantanea della sicurezza di un prodotto o di un sistema Il risultato è significativo quando il prodotto è utilizzato nelle condizioni in cui è stato valutato Il processo di valutazione ha una durata commisurata al livello di severità La valutazione dei sistemi informativi con livelli elevati di confidenza è complessa Come è possibile sapere se posso fidarmi o meno di un servizio informatico? 33 La norma inglese BS 7799 La parte 1 normalizza un insieme di controlli basati sull esperienza o buona prassi (best practices) Alcuni controlli possono essere non significativi, per cui la norma prevede di selezionare le verifiche in funzione del contesto Mentre la parte 1 della norma definisce i controlli puntuali, la parte 2 indica come condurre l esame 34 17

18 La norma BS La parte 2 della norma non è uno standard ISO Occorre verificare che sia presente un processo di gestione della sicurezza, che tale processo sia sotto il controllo di una specifica organizzazione e che abbia carattere ricorsivo Vi sono molte analogie tra il processo di gestione della sicurezza e quello di gestione della qualità (ciclo P-D-C-A) 35 Limiti dei processi di verifica/certificazione secondo la norma BS 7799 Chi è sottoposto a verifica decide quali controlli sono significativi La certificazione non attesta il livello di sicurezza, ma la presenza di un processo idoneo a gestire la sicurezza I margini di discrezionalità di chi esegue la certificazione sono ampi 36 18

19 Le motivazioni alla base del successo della norma BS 7799 Attenzione agli aspetti organizzativi Semplicità del processo di certificazione Analogia con gli standard di certificazione della qualità (serie ISO 9000) Possibilità di verifica dei presupposti per la corretta gestione della sicurezza nel tempo 37 Differenze tra verifica, valutazione e certificazione Tre diverse esigenze: Conoscere le caratteristiche di sicurezza Valutare il livello di sicurezza Ottenere un attestato relativo alle caratteristiche ed al livello di sicurezza Verifica della sicurezza Valutazione del livello di sicurezza Certificazione della sicurezza 38 19

20 Le tecniche per la verifica della sicurezza Questionari Checklist Competenza del valutatore (auditor) Standard di riferimento: BS 7799 parte 1 (ISO 17799) La terminologia dei consulenti: security assessment, risk assessment, security auditing, security benchmarking 39 I processi di valutazione della sicurezza Idonei soprattutto per prodotti (smart card, sistemi operativi, ecc.) Si basano su metodi rigorosi che devono assicurare la confrontabilità dei risultati Il risultato deve essere esprimibile in una forma sintetica che fornisce l indicazione immediata del grado di sicurezza dell oggetto esaminato Standard di riferimento: ITSEC, Common Criteria 40 20

21 La certificazione della sicurezza Deve garantire l ufficialità e l oggettività del giudizio sulle caratteristiche di sicurezza Normalmente il soggetto che certifica è diverso da quello che esegue la verifica o la valutazione Standard di riferimento: ITSEC, Common Criteria, BS 7799 parte 2 41 Riepilogo Esperienza e buon senso (best practices) Nuovo sistema informativo Metodi di valutazione dei rischi (analisi dei rischi) Sistema informativo esistente Metodi di valutazione della sicurezza 42 21

22 La valutazione della sicurezza nella PA La legge sulla privacy prescrive, con cadenza almeno annuale, la revisione del documento programmatico sulla sicurezza ed attività di verifica della sussistenza delle condizioni per la conservazione dei profili di autorizzazione (DL 196/03 allegato B) Possibilità di auto-valutazione (ad es. con questionario allegato alla Direttiva del Ministro per l'innovazione e le Tecnologie) Possibilità di utilizzo di checklist costruite a partire dai controlli della BS 7799 parte 1 43 Documento programmatico sulla sicurezza elenco dei trattamenti di dati personali distribuzione dei compiti e delle responsabilità analisi dei rischi che incombono sui dati misure da adottare per garantire l integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento 44 22

23 documento programmatico della sicurezza previsione di interventi formativi criteri da adottare in caso di trattamenti affidati all esterno della struttura del titolare per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell interessato 45 Programma L analisi dei rischi Valutazione/certificazione della sicurezza La sicurezza nella contrattualistica La gestione dell emergenza 46 23

24 Tipologie di contratti Contratti relativi a servizi o prodotti per la sicurezza come, ad esempio firewall servizi gestiti auditing/assessment Contratti relativi a beni e servizi informatici in cui la sicurezza è un elemento qualificante come, ad esempio fornitura di sistemi elaborativi servizi di comunicazione outsourcing della gestione del sistema informativo 47 Prodotti e servizi di sicurezza E possibile richiedere la certificazione dei prodotti (i prodotti leader sono normalmente certificati secondo lo standard ITSEC, Common Criteria o FIPS) Il fornitore dei servizi di sicurezza deve dimostrare di essere di provata affidabilità curriculum delle persone candidate con certificazione referenze Nel caso di servizi attinenti applicazioni segretate, può essere ammissibile il ricorso alla procedura negoziale ristretta 48 24

25 Beni e servizi informatici generici Sono pochi i prodotti che hanno una certificazione formale Anche quando il prodotto è certificato, usualmente viene adoperato in condizioni diverse da quelle per cui è stata rilasciata la certificazione Alcuni fornitori offrono la possibilità di accedere al codice sorgente Nel caso dei servizi, è opportuno definire nel contratto le responsabilità nei confronti della privacy In alcuni casi può essere chiesta la stipula di un assicurazione a copertura di possibili danni 49 La formalizzazione dei requisiti di sicurezza nei servizi: due possibili approcci Fissare le caratteristiche del servizio Lascia al fornitore la totale responsabilità nella gestione della sicurezza La sicurezza è descritta in termini di qualità dell informazione (ad es. assenza di virus) L ottemperanza ai requisiti è difficilmente verificabile in fase di collaudo Devono essere previsti valori di soglia e penali Fissare le misure di sicurezza La responsabilità circa i problemi di sicurezza è condivisa tra ente appaltante e fornitore La sicurezza è descritta in termini di protezioni (ad es. antivirus) L ottemperanza ai requisiti è facilmente verificabile in fase di collaudo Il contratto deve fissare con chiarezza i compiti e gli ambiti di responsabilità del fornitore 50 25

26 Le ispezioni (auditing) Un modo per verificare gli adempimenti contrattuali in termini di sicurezza è prevedere attività di auditing La possibilità di verifiche ed ispezioni deve essere esplicitamente prevista e disciplinata nel contratto L attività di auditing prende in considerazione tutti gli aspetti che incidono sulla sicurezza (culturale organizzativo e tecnico) e verifica che la strategia di sicurezza sia stata realizzata correttamente 51 I test di intrusione (penetration test) Sono utilizzati per verificare la capacità di resistenza ad attacchi di intrusione Possono essere svolti dall interno del sistema o dall esterno (attraverso la rete Internet) Sono condotti da specialisti che usano tecniche di attacco tipici degli hacker Devono essere previsti contrattualmente Il responsabile dei sistemi oggetto del test deve accettare formalmente la verifica 52 26

27 I servizi gestiti La gestione di alcuni aspetti della sicurezza può essere demandata a società specializzate Può essere conveniente utilizzare tali servizi per attività che richiedono competenze specialistiche e presidio h24 (ad esempio gestione degli IDS e dei firewall) E opportuno che l amministrazione mantenga il controllo delle strategie di sicurezza e delle regole che ne derivano (ad esempio criteri di configurazione dei firewall) I contratti devono precisare i confini di responsabilità e le modalità con cui il fornitore dovrà adeguarsi alle politiche di sicurezza stabilite dall amministrazione 53 Contrattualistica e certificazione della sicurezza Metodi per definire le caratteristiche di sicurezza di un servizio descrizione delle misure di sicurezza descrizione delle caratteristiche del servizio conformità a standard certificazione Metodi per valutare le caratteristiche di sicurezza di un servizio verifica della sicurezza con metodi conformi alle specifiche contrattuali 54 27

28 Programma L analisi dei rischi Valutazione/certificazione della sicurezza La sicurezza nella contrattualistica La gestione dell emergenza 55 Disaster recovery/business continuity Capacità di ripristinare i servizi di un Sistema Informatico qualora si verifichi un periodo di forzata inattività del CED, o di qualche suo componente fondamentale, causata da eccezionali calamità naturali o a seguito di azioni colpose o dolose Il Disaster Recovery si pone come obiettivo la sopravvivenza (ripristino del servizio entro giorni - settimane) La Business Continuity ha come obiettivo la continuità del servizio (ripristino entro ore), almeno per le applicazioni più critiche 56 28

29 Sicurezza e Disaster recovery Gli eventi di natura calamitosa hanno bassa probabilità di accadere ma la perdita economica può essere ingente L effetto può essere la scomparsa di un azienda Anche se l esposizione economica annua è consistente, c è la propensione a trascurare i problemi relativi ad eventi di natura eccezionale Secondo un indagine di Gartner la gran parte delle PMI spende meno del 3% del budget IT per il Disaster recovery 57 Attività organizzative Analisi dell impatto sulle attività istituzionali analisi delle funzioni più critiche per il business e loro classificazione per importanza individuazione delle aree di vulnerabilità Progettazione e Realizzazione del Piano di Recovery del CED della rete delle postazioni di lavoro dei servizi fondamentali Progettazione e Realizzazione del Piano di ripristino per il ritorno alla normale operatività nella sede originale del cliente o altra sede 58 29

30 attività organizzative Manutenzione del Piano verifica validità nel tempo (prove) aggiornamento adeguamento Addestramento e formazione del personale del cliente Utilizzo di software specializzato per produzione del piano di recovery e per la gestione delle prove periodiche 59 Infrastrutture Sito dedicato / condiviso / specializzato con caratteristiche di funzionalità e sicurezza (locali attrezzati, viglilanza, controllo accessi,...) facilmente raggiungibile (in prossimità di autostrade ed aeroporti) in zone a bassissima sismicità Risorse elaborative dedicate / condivise elaboratori memorie di massa stampanti Sistema comunicativo rete di backup 60 30

31 Caratteristiche del servizio di disaster recovery Tempo di ripartenza variabile tra 24 ore e settimane a seconda della soluzione scelta Prove periodiche del Piano Trasferimento periodico dei supporti di memorizzazione contenenti copia del sistema Utilizzo della rete di telecomunicazioni solo durante le prove Almeno parte della rete deve essere attivata entro 24 ore 61 Caratteristiche del servizio di Business Continuity Tempo di ripartenza entro 2-4 ore per le applicazioni più critiche Entro 12 ore per le altre Prove periodiche del Piano Necessaria copia dei dati in tempo reale (mirroring) utilizzando hardware specializzato e rete ad alta velocità Rete di recovery sempre attiva 62 31

32 L approccio tradizionale Sito di recovery in diversa area geografica cold back up: sito equipaggiato con le infrastrutture logistiche (ad. esempio pavimenti rialzati, aria condizionata...) che non possiede sistemi IT installati warm back up: sito dotato delle necessarie risorse elaborative dove per attivare il servizio occorre ripristinare applicazioni e dati hot back up: sito operativo nel quale tutte le applicazioni sono in linea Copie su supporti magnetici Limiti: crescente complessità degli ambienti dati senza backup (ad es.dati su PC) disallineamento delle versioni del SW 63 Le tendenze attuali Consolidamento dei server Consolidamento della base informativa Consolidamento della rete Utilizzo di Storage Area Network Sistemi di configuration management che garantiscano l allineamento delle configurazioni Sistemi di allineamento on-line (sincorni, asincroni, quasi sincroni) Allineamento dei dati in rete elevato impegno di risorse comunicative Vicinanza del sito di recovery 64 32

33 Il centro comune degli enti pubblici non economici CNIPA, Inps, Inail, Inpdap, Enpals, Ipsema e Ipost hanno sottoscritto un protocollo per avviare il progetto di un Centro unico di backup per gli enti previdenziali ed assicurativi L iniziativa ha l obiettivo di razionalizzare gli investimenti della pubblica amministrazione mettendo a fattor comune le risorse disponibili per conseguire economia di scala Il centro, una volta costituito, consentirà di proteggere da eventi disastrosi i dati di tutti gli altri enti aderenti, assicurando la continuità dei servizi ai cittadini 65 33