Analisi dei rischi e gestione della sicurezza ICT

Transcript

1 Analisi dei rischi e gestione della sicurezza ICT Relatore - Dr. Oreste Romei

2 I driver della sicurezza ICT In ragione della sua natura di Pubblica Amministrazione al servizio del cittadino, di altre pubbliche amministrazioni e di organizzazioni private, la Regione detiene informazioni pubblicamente accessibili ed informazioni riservate ai fini della privacy : la modifica non autorizzata delle informazione pubblicate e la diffusione di quelle riservate sono azioni che hanno come conseguenza la perdita di immagine, la violazione delle norme sulla custodia di dati riservati, il danno per organizzazioni e persone che a vario titolo si associano alle attività dell Ente. Un efficace sistema di gestione della sicurezza ICT deve quindi supportare i processi di intermediazione tra Ente ed utenza, garantendo, nel corso del tempo ed in presenza di situazioni mutevoli, le condizioni di sicurezza necessarie alla realizzazione della missione istituzionale dell Ente attraverso l uso delle tecnologie ICT.

3 I driver della sicurezza ICT L adozione di un sistema di gestione della sicurezza ICT si basa su due driver principali: la sicurezza ICT come fattore abilitate l attuazione del Codice dell Amministrazione digitale e quindi il compimento della missione dell Ente anche mediante l uso di tecnologie ICT; il quadro normativo, alla costruzione del quale hanno concorso il Governo (decretazione e strategie per l innovazione), la PAC (deliberazioni attuative negli ambiti di competenza dei Ministeri) ed il CNIPA (authority tecnica). La necessità di definire un quadro unitario della sicurezza ICT nella PA, ha portato all istituzione del "Comitato tecnico nazionale sulla sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni presso il CNIPA (decreto interministeriale siglato il 24 luglio 2002 tra il Ministro per l Innovazione e le Tecnologie e il Ministro delle Comunicazioni), che ha redatto e pubblicato nel 2004 la prima versione delle Linee guida per la sicurezza ICT delle pubbliche amministrazioni, documento introduttivo al Piano Nazionale e al Modello organizzativo della sicurezza ICT per la PA.

4 I driver della sicurezza ICT Altro tema che ha contribuito ad ampliare la base normativa riguardante la sicurezza ICT nella PA, è quello del documento informatico e della sua archiviazione in relazione ad aspetti quali la privacy, la protocollazione, la firma digitale, la PEC ed in generale il Codice dell Amministrazione Digitale. Queste iniziative, insieme alle deliberazioni dei vari dicasteri negli ambiti di competenza, hanno generato un notevole corpus normativo di cui riportiamo alcune delle disposizioni di maggiore rilievo ai fini della sicurezza: D.Lgs. 7 marzo 2005, n. 82, Codice dell Amministrazione digitale D.Lgs. 30 giugno 2003 n. 196, Codice in Materia di Protezione dei Dati Personali Direttiva MIT del 16 gennaio 2002, Sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni DPR 10 novembre 1997, n. 513, Regolamento contenente criteri e modalità per la formazione, l archiviazione e la trasmissione di documenti con strumenti informatici e telematici DPCM 8 febbraio 1999, Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici ai sensi dell art. 3, comma 1, del DPR 10 novembre 1997, n. 513 DPR 11 febbraio 2005, n. 68, Regolamento recante disposizioni per l'utilizzo della posta elettronica certificata, a norma dell'articolo 27 della legge 16 gennaio 2003, n. 3 Deliberazione CNIPA n. 4/2005, Regole per il riconoscimento e la verifica del documento informatico Deliberazione CNIPA n. 11/2004, Regole tecniche per la riproduzione e conservazione di documenti su supporto ottico idoneo a garantire la conformità dei documenti agli originali

5 ISMS: standard di riferimento per la PA ISMS (Information Security Management System) : sistema di gestione che include struttura organizzativa, policy, pianificazione delle attività, responsabilità, pratiche, procedure, processi, risorse e documentazione. A partire da una politica di sicurezza (policy) che riflette le esigenze operative e le finalità dell organizzazione, un ISMS deve cogliere i seguenti obiettivi di carattere generale: individuare le informazioni e i servizi da sottoporre a protezione; quantificare le esigenze di sicurezza in relazione alle esigenze di riservatezza, integrità, disponibilità e autenticità; individuare adeguati meccanismi di mantenimento della sicurezza; individuare le persone responsabili del mantenimento del sistema di sicurezza. Il MIT ha recepito con la Direttiva del 16 gennaio 2002 Sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni i principi ispiratori degli standard ISO/IEC IS 17799:2005 (Code of Practice) e ISO/IEC IS 27001:2005 (ISMS), che divengono pertanto gli standard di riferimento nella PA ai fini dell adozione di un ISMS e di una sua eventuale certificazione presso terzi. Quale relazione esiste tra i due standard? Sostanzialmente, ISO definisce un modello di ISMS finalizzato alla realizzazione e al mantenimento dei controlli di sicurezza specificati dalla ISO17799 e riportati nell Annex A.

6 ISMS: standard di riferimento per la PA ISO Lo standard definisce un processo ciclico di gestione basato sull approccio PDCA (Plan-Do-Check-Act). La valutazione del rischio comprende una attenta valutazione costo/beneficio che discrimina la modalità di trattamento del rischio. Identificazione dei rischi Evitamento, accettazione, trasferimento Security Policy Ambito operativo Risk Analisys Valutazione del rischio ISO17799 ed altri controlli Mitigazione e selezione dei controlli Implementazione dei controlli

7 ISMS: standard di riferimento per la PA ISO 17799:2005 Lo standard definisce i controlli necessaria a mitigare o eliminare il rischio in relazione agli attributi di confidenzialità, integrità, disponibilità: confidenzialità: prevenzione dalla divulgazione non autorizzata delle informazioni, accesso controllato alla informazione da tutelare e limitazione della sua diffusione; danno economico diretto legato al valore proprio delle informazioni e la possibilità di azioni legali quando l organizzazione è tenuta a garantire la privacy delle informazioni detenute; integrità: prevenzione da modifiche non autorizzate, conservazione del formato (integrità fisica) e del contenuto (integrità semantica) delle informazioni; possibilità di frode, stime e decisioni sbagliate; disponibilità: protezione da sovraccarichi e malfunzionamenti di rete, sistemi ed applicazioni, possibilità di accesso in tempo utile ad informazioni, servizi e risorse; perdita di produttività degli utenti e la riduzione degli introiti derivanti dall erogazione dei servizi medesimi.

8 ISMS: standard di riferimento per la PA La ISO riporta 133 controlli organizzati in 12 sezioni: 1: Risk Assessment 2: Security policy - management direction 3: Organization of information security - governance of information security 4: Asset management - inventory and classification of information assets 5: Human resources security - security aspects for employees joining, moving and leaving an organization 6: Physical and environmental security - protection of the computer facilities 7: Communications and operations management - management of technical security controls in systems and networks 8: Access control - restriction of access rights to networks, systems, applications, functions and data 9: Information systems acquisition, development and maintenance - building security into applications 10: Information security incident management - anticipating and responding appropriately to information security breaches 11: Business continuity management - protecting, maintaining and recovering business-critical processes and systems 12: Compliance - ensuring conformance with standards, laws and regulations

9 ISMS: standard di riferimento per la PA Il FISMA (Federal Information Security Management Act) è il framework di gestione del NIST (National Institute for Standard and Technologies), di riferimento per le organizzazioni governative e federali USA. La serie SP 800 è il riferimento documentale del FISMA.

10 ISMS: standard di riferimento per la PA Il FISMA individua tre aree del security management. Security Area Management Security Operational Security Security Criteria Assignment of responsibilities Continuity of support Incident response capability Periodic review of security controls Personnel clearance and background investigations Risk assessment Security and technical training Separation of duties System authorization and reauthorization System or application security plan Control of air-borne contaminants (smoke, dust, chemicals) Controls to ensure the quality of the electrical power supply Data media access and disposal External data distribution and labeling Facility protection (e.g., computer room, data center, office) Humidity control Temperature control Workstations, laptops, and stand-alone personal computers Technical Security Communications (e.g., dial-in, system interconnection, routers) Cryptography Discretionary access control Identification and authentication Intrusion detection Object reuse System monitoring and audit

11 ISMS: standard di riferimento per la PA I controlli di sicurezza sono strutturati in classi e famiglie, dove le classi fanno riferimento alle tre aree del Security Management (Management, Operational, Technical) e le famiglie a gruppi di controlli omologhi per funzione di sicurezza. CLASS FAMILY IDENTIFIER IDENTIFIER Risk Analysis RA Management Planning PL System and Services Acquisition SA Certification, Accreditation, and Security Assessments CA Personnel Security PS Physical and Environmental Protection PE Contingency Planning CP Configuration Management CM Operational Maintenance MA System and Information Integrity SI Media Protection MP Incident Response IR Awareness and Training AT Identification and Authentication IA Technical Access Control AC Audit and Accountability AU System and Communications Protection SC

12 ISMS: standard di riferimento La certificazione dell ISMS nella PA Contesti a massima priorità (certificazione altamente raccomandata) Per ciò che concerne la criticità dei contesti appare prioritario citare quelli attinenti alla tutela dell incolumità fisica e della salute dei cittadini. Si tratta infatti di contesti per i quali, in settori diversi da quello relativo alle tecnologie ICT, lo Stato ha ritenuto non sufficienti le autocertificazioni o le certificazioni volontarie ed ha quindi introdotto l obbligo di verifiche di terza parte.. L importanza di eseguire certificazioni di sicurezza ICT nei contesti relativi alla tutela dell incolumità fisica e della salute dei cittadini risulta evidente una volta che si consideri il ruolo sempre più centrale che i sistemi ICT stanno assumendo in tali contesti. Un malfunzionamento, accidentale o provocato, di tali sistemi può infatti in molti casi produrre gravissimi danni alle persone, se non addirittura la perdita di numerose vite umane.. Altri contesti a priorità molto elevata dal punto di vista della certificazione di sicurezza sono quelli in cui il danno, pur essendo solo di tipo economico, può essere comunque molto rilevante sia per il cittadino sia per lo stato. (estratto dalla linee guida, CNIPA, marzo 2006)

13 Metodologia della Risk Analisys Il processo di analisi dei rischi associati all esercizio di un sistema info-telematico, si compone di sei fasi: - Analisi del contesto e valutazione degli asset - Identificazione delle minacce e degli attaccanti - Identificazione delle vulnerabilità - Determinazione della probabilità - Analisi dell impatto - Determinazione del rischio

14 Metodologia della Risk Analisys 1 - Analisi del contesto e valutazione degli asset La prima fase consiste nell acquisizione delle informazioni necessarie a delineare il contesto operativo da sottoporre a protezione. Tale attività (Information Gathering) ha come obiettivi la rilevazione degli asset da proteggere, le relazioni funzionali tra questi, l individuazione delle utenze, la caratterizzazione dei flussi gestionali ed organizzativi del sistema informativo in termini di accesso a risorse ed informazioni, policy di sicurezza e controlli messi in opera per la loro attuazione. Gli asset sensibili (target) sono classificati in base ai servizi erogati, alle informazioni custodite, alla loro rilevanza ai fini dell operatività aziendale. La classificazione di sicurezza dell asset è descritta in termini di perdita o degradazione di uno dei tre attributi di sicurezza associabili al trattamento dell informazione da parte di un sistema di elaborazione (riservatezza, integrità, disponibilità). Il valore dell asset riferito agli attributi di sicurezza può essere misurato quantitativamente (valore proprio delle informazioni, ad es. brevetti, perdita di introiti in relazione al tempo di fermo del sistema), oppure considerando una scala di valori quali-quantitativa (perdita di immagine, pregiudizio su future attività). In termini generali, possiamo fare riferimento ad una classificazione quali-quantitativa del tipo riportato nella seguente tabella, dove il valore dell asset viene correlato all impatto che la perdita di uno dei suoi attributi di sicurezza produce sull operatività aziendale.

15 Metodologia della Risk Analisys Livello dell impatto Alto Moderato Basso Definizione dell impatto La perdita di riservatezza, integrità o disponibilità comporta un effetto avverso distruttivo sull operatività, i beni, e sulle persone associati all attività aziendale. L esercizio della vulnerabilità può comportare la distruzione di beni con una perdita di valore economico molto elevato, oppure essere di sostanziale impedimento al compimento della missione aziendale, oppure essere causa di gravi pericoli per la vita e l integrità fisica di persone. La perdita di riservatezza, integrità o disponibilità comporta un rilevante effetto avverso sull operatività, i beni, e sulle persone associati all attività aziendale. L esercizio della vulnerabilità può risultare in una perdita economica, oppure costituire un ostacolo al compimento della missione aziendale, oppure essere causa di pericolo per l integrità fisica di persone. La perdita di riservatezza, integrità o disponibilità comporta un limitato effetto avverso sull operatività, i beni, e sulle persone associati all attività aziendale. L esercizio della vulnerabilità può risultare in una perdita economica limitata, oppure costituire una limitazione marginale al compimento della missione aziendale. Ogni asset informativo o tecnologico viene classificato attribuendo una terna di valori in relazione alle specifiche funzioni ed informazioni trattate: SC asset = [(riservatezza, BASSO), (integrità, BASSO), (disponibilità, ALTO)]

16 Metodologia della Risk Analisys 2- Identificazione delle minacce e degli attaccanti La seconda fase consiste nell individuazione delle potenziali minacce (threat) cui i target possono essere sottoposti in relazione agli aspetti di riservatezza, integrità e disponibilità, e degli attaccanti (threat-source) che possono esercitare una minaccia ed operare una violazione delle policy di sicurezza. Gli attaccanti possono essere umani o ambientali e possono - consapevolmente o inconsapevolmente nel caso di attaccante umano - attuare un attacco utilizzando una o più vulnerabilità del target, dove per vulnerabilità si intende una debolezza del sistema che può essere sfruttata accidentalmente o intenzionalmente (baco del software, rete di telecomunicazione non ridondata, assenza di gruppi di continuità elettrica, presenza di condutture idriche nei locali ospitanti i sistemi, ecc.). E da evidenziare che la vulnerabilità è il tramite tra attaccante ed esercizio della minaccia, ovvero ove non esistano vulnerabilità sfruttabili da un attaccante questi non può esercitare alcuna minaccia. La caratterizzazione della minaccia deve riportare il suo potenziale impatto in termini di riservatezza, integrità e disponibilità su informazioni o sistemi interessati: Attributi Sicurezza Evento Riservatezza Integrità Disponibilità EA-001 X X TK-034 X

17 Metodologia della Risk Analisys 3- Identificazione delle vulnerabilità L individuazione delle vulnerabilità di un asset particolare è la terza fase dell analisi. Una vulnerabilità si può definire come una particolare condizione tecnica o organizzativa che consente ad un attaccante di esercitare una minaccia ed operare una violazione delle policy di sicurezza in relazione agli aspetti di riservatezza, integrità e disponibilità. Attaccante Vulnerabilità Minaccia Impiegato licenziato Hacker, cracker, criminali Fuoco, personale negligente Account di sistema di un impiegato licenziato non rimosso. Vulnerabilità del software Sistema di spegnimento degli incendi ad acqua nei locali ospitanti i sistemi Accesso via connessione dial-up alla rete aziendale, accesso non autorizzato ad informazioni aziendali Accesso non autorizzato, site defacement, furto di informazioni. Danneggiamento dei sistemi La caratterizzazione della vulnerabilità deve riportare i sistemi affetti e il suo potenziale impatto in termini di riservatezza, integrità e disponibilità delle informazioni trattate, ovvero deve esplicitare se ed in quale misura un attaccante può utilizzare la vulnerabilità per esercitare una minaccia che comporti la compromissione dei tre attributi di sicurezza. I metodi per rilevare le vulnerabilità di sistemi ICT si possono classificare in tre categorie che coprono gli aspetti tecnici ed organizzativi di un sistema informativo: Security Test and Evaluation (ST&E) Vulnerability scanning tool Penetration test

18 Metodologia della Risk Analisys 4- Determinazione della probabilità Nella quarta fase si determina le probabilità che una minaccia possa essere esercitata per il tramite di una vulnerabilità. I fattori qualificanti di questa valutazione sono: motivazioni e capacità dell attaccante; natura della vulnerabilità; esistenza ed efficacia dei controlli. Per la grande maggioranza dei sistemi, la valutazione della probabilità che una minaccia possa essere esercitata rientra in una scala quali-quantitativa costituita da tre livelli opportunamente motivati. L esperienza insegna che l adozione di metriche più sofisticate apporta all analisi un contributo marginale, anche in relazione alla difficoltà di quantificare con precisione ed oggettività tutte le componenti che concorrono alla definizione della probabilità. Livello Probabilità Alto Medio Basso Motivazione L attaccante è fortemente motivato e sufficientemente capace, oppure i controlli preposti sono inefficaci. L attaccante è sufficientemente motivato e capace, i controlli preposti sono sufficientemente efficaci. L attaccante non è particolarmente motivato o capace, oppure i controlli preposti eliminano la possibilità che la vulnerabilità possa essere sfruttata.

19 Metodologia della Risk Analisys 5- Analisi dell impatto La quinta fase consiste nella valutazione delle possibili conseguenze di una minaccia che viene esercitata su un asset tramite una vulnerabilità. L analisi dell impatto parte dalla classificazione degli asset informativi e strumentali in relazione ai tre attributi di sicurezza: riservatezza, integrità, disponibilità. La classificazione viene effettuata nella fase di Identificazione e valutazione degli asset informativi. A titolo di esempio, consideriamo un asset classificato come segue: SC asset = [(riservatezza, BASSO), (integrità, BASSO), (disponibilità, ALTO)] Considerando una specifica minaccia riferita all asset, si valutano gli attributi di sicurezza interessati dalla minaccia: Attributi Sicurezza Minaccia Riservatezza Integrità Disponibilità I-001 X X I-002 X L indice sintetico di impatto riferito all esercizio della minaccia sull asset, sarà quindi il valore più alto tra quelli interessati nella terna SC (high water mark): IM(I-001) asset = ALTO Questo indice, insieme alla probabilità che la minaccia venga esercitata, produce il livello di rischio associato alla minaccia per un particolare asset.

20 Metodologia della Risk Analisys 6- Determinazione del rischio Nel sesto passaggio si valuta il rischio di una particolare coppia minaccia/vulnerabilità, che può essere espresso come funzione di due valutazioni: probabilità che una data vulnerabilità sia esercitata con successo da un attaccante; magnitudine dell impatto di una minaccia esercitata con successo sfruttando una data vulnerabilità. Nella probabilità che una vulnerabilità sia esercitata con successo da un attaccante, è inclusa la valutazione dei controlli che hanno come scopo la limitazione della vulnerabilità medesima. Il livello del rischio associato all esercizio di una vulnerabilità può essere espresso come prodotto dei valori di probabilità ed impatto, come riportato nella tabella che segue. (Scala del rischio: alto , medio 10-50, basso 1 10) Impatto Probabilità Basso (10) Medio (50) Alto (100) Alto (1.0) Basso = 10 Medio = 50 Alto = 100 Medio (0.5) Basso = 5 Medio = 25 Alto = 50 Basso (0.1) Basso = 1 Basso = 5 Basso = 10

21 Metodologia della Risk Analisys L interpretazione del rischio deve avere sempre come riferimento la missione aziendale e i processi che ne determinano il compimento, pertanto i livelli di rischio devono riflettere nella loro qualificazione questo fondamentale assunto. Livello del rischio Alto Azioni necessarie Questo rischio comporta un grave pregiudizio per i processi aziendali vitali, il sistema può continuare ad operare ma bisogna attuare le misure correttive nel minor tempo possibile Medio Questo rischio comporta la possibilità di seri danni all operatività aziendale, senza compromettere la continuità del business. Il sistema può continuare ad operare ma è opportuno attuare le necessarie misure correttive entro un tempo ragionevole. Basso Questo rischio comporta conseguenze marginali, si può porre rimedio con misure correttive o decidere di accettare il rischio. La caratterizzazione del rischio e del suo impatto potenziale sull operatività aziendale, comporta come passaggio successivo l evitazione, l accettazione del rischio, il suo trasferimento (assicurazione, outsourcing), oppure la sua mitigazione.