KeyMap Analisi del Rischio

Transcript

1 KeyMap Analisi del Rischio

2 Risk Management La valutazione del rischio quale minimo comun denominatore ISO D.Lgs. 231/01 ISO D.Lgs. 196/03 - ISO 9001 Risk Management 2

3 Risk Management 3

4 Il processo di gestione del rischio

5 Strumenti - KeyMap non impone uno schema preciso soluzione flessibile e adattabile alla realtà analizzata crea un modello / mappa che ne rappresenti gli elementi fondamentali, proprietà e interrelazioni organizzazione, responsabilità, processi di business e risorse collegate.

6 Metodologia SGSI 1. Definizione del perimetro 2. Mappatura dei processi / responsabilità 3. Identificazione degli asset (risorse) 4. Identificazione degli eventi sui gruppi di asset 5. Identificazione degli impatti sui processi (BIA) 6. Calcolo dei livelli (o misure) di rischio 7. Assegnazione delle contromisure (SOA) 8. Calcolo del rischio residuo 9. Produzione della documentazione richiesta

7 1 Definizione del perimetro 2 Mappatura processi / responsabilità/ organizzazione

8 3 Identificazione degli asset Gli asset IT possono essere suddivisi nelle seguenti classi:

9 3 - Relazioni di dipendenza fra asset

10 3 Ereditarietà fra asset

11 KeyMap consente quindi: di descrivere efficacemente i Modelli (Eventi-Risorse- Processi-Organizzazione) e le loro relazioni. di indicare la dipendenza di una risorsa da un altra risorsa per una fedele e semplificata rappresentazione della realtà. un efficiente gestione offrendo la possibilità di creare gruppi omogenei di risorse gestendone le caratteristiche comuni.

12 4 - Identificazione degli eventi sui gruppi di asset Risorse Eventi (P) P = probabilità di accadimento Va ripetuto per ogni associazione Evento/Risorsa/Processo

13 4 - Identificazione degli eventi sui gruppi di asset

14 5 - Identificazione degli impatti sui processi (BIA) Processi Impatti ( ) BIA = Business Impact Analysis

15 5 - Identificazione degli impatti sui processi (BIA) OBIETTIVI: determinare le conseguenze derivanti dal verificarsi di un evento critico valutare l impatto dell evento sull operatività dell organizzazione. IMPATTO ECONOMICO perdita economica subita dall azienda a causa del verificarsi di un evento.

16 5 - Identificazione degli impatti sui processi (BIA) In particolare, si vuole valutare la sensibilità di ogni servizio nei confronti dei temi fondamentali della sicurezza: RISERVATEZZA INTEGRITÀ DISPONIBILITÀ

17 5 - Identificazione degli impatti sui processi (BIA) RISERVATEZZA: definisce le conseguenze che subirebbe l organizzazione nel caso in cui i dati trattati dal servizio siano divulgati a persone non autorizzate. INTEGRITÀ: definisce le conseguenze che subirebbe l organizzazione nel caso in cui il servizio fornisca dati errati o non coerenti.

18 5 - Identificazione degli impatti sui processi (BIA) DISPONIBILITÀ: definisce le conseguenze che subirebbe l amministrazione nel caso in cui il servizio in esame subisca un interruzione.

19 5 - Identificazione degli impatti sui processi (BIA)

20 6 - Calcolo dei livelli (o misure) di rischio Individuazione dei Processi Impatti ( ) BIA = Business Impact Analysis Definizione asset correlati Eventi (P) P = probabilità di accadimento RISCHIO (R) = Impatto (I) * Evento (P)

21 6 - Calcolo dei livelli (o misure) di rischio Un evento, ossia una minaccia che si verifica (es. incendio dell edificio) rende l applicazione e quelle ad essa collegate indisponibili al processo che le utilizza, per cui il rischio conseguente a tale non disponibilità è dato dalla combinazione della probabilità del verificarsi della minaccia (incendio) e l impatto, ossia il danno al business causato dall interruzione del processo aziendale.

22 Rischi intrinseci

23 7 Assegnazione delle contromisure (SOA)

24 7 Assegnazione delle contromisure (SOA) Gli impatti colpiscono i processi, mentre gli eventi (ovverosia le minacce e le vulnerabilità) colpiscono le risorse. Quindi le contromisure generalmente non vengono applicate al processo.

25 7 Assegnazione delle contromisure (SOA)

26 8 Calcolo del rischio residuo L obiettivo è quello di spostare il rischio entro un livello accettabile per l organizzazione: Rischio elementare Riduzione del rischio Insieme di rischi elementari Limite del rischio accettabile Non gestione sicurezza (che si concentra sulle vulnerabilità) ma gestione del rischio!

27 8 Calcolo del rischio residuo RISCHI ATTUALI

28 Trattamento del rischio

29 Trattamento del rischio Le contromisure hanno lo scopo di ridurre il rischio diminuendo la probabilità di accadimento e/o riducendo gli impatti: 1. EVITARE un rischio significa non intraprendere un attività o rimuovere una funzione. 2. TRASFERIRE il rischio ad una terza parte, ad es. un assicurazione 3. La Direzione può sempre decidere di ACCETTARE il rischio, presumibilmente perché si considera una particolare contromisura troppo costosa 4. La RIDUZIONE del rischio ad un livello accettabile comporta l adozione di appropriate contromisure.

30 Accettazione del rischio I rischi residui potrebbero essere classificati come accettabili oppure come non accettabili per l organizzazione. Tale classificazione può essere fatta tenendo conto degli impatti sulle attività dell organizzazione che rischi di quel genere potrebbero avere. Ovviamente, i rischi accettabili non possono essere tollerati senza ulteriori considerazioni, come ad esempio i costi.

31 Impatto economico Ridurre i rischi al minor costo possibile in una logica costibenefici

32 9 Produzione della documentazione richiesta KeyMap contribuisce alla stesura della documentazione cogente attraverso la generazione di report specifici: SOA.doc Risk Treatment Plan.doc Risk Assessement Report.doc

33 KeyMap ISO Business Continuity Report generato da Keymap per la compilazione dei piani di continuità operativa: BCM.docx

34 KeyMap D. Lgs. 196/03 - Trattamenti Processi Sottoprocessi Trattamento Strutture di riferimento / responsabili Banca di dati - (C) cartacei - (I) informatizzati Finalità interne esterne P S G Natura dei dati Strumenti utilizzati / Dispositivi d'accesso/interconnessione Ubicazione Cedolini (C) X X Archivio 1 Ufficio A Attestati corsi (C) X Archivio 2 Ufficio A Acquisizione e Inserimento dati Segreteria Schede personali (C) Cedolini (I) X Archivio 4 Ufficio A Server 1 Ufficio X X X Applicativo XY Ufficio X P1 Gestione amministrativo-contabile e risorse umane P1.1 gestione risorse umane Invio telematico all'ufficio paghe e contributi Segreteria Ufficio paghe e contributi Schede personali(i) Cedolini (I) X X X Server 1 Applicativo XY Server 1 Applicativo XY Ufficio X Ufficio X Ufficio X Ufficio X Archiviazione documenti Segreteria Cedolini (C) X x Archivio 1 Ufficio A Attestati corsi (C) X Archivio 2 Ufficio A Schede personali (C) Cedolini (I) X x X Archivio 4 Ufficio A Server 1 Applicativo XY Ufficio X Ufficio X Schede personali(i) X Server 1 Applicativo XY Ufficio X Ufficio X 34

35 KeyMap D. Lgs. 196/03 Tipo Evento Descrizione Probabilità dell'evento Gravità delle conseguenze Rischio (da 1 a 9) intrinseco attuale pianificato Comportamenti degli operatori PROBABILITA Carenza di consapevolezza, disattenzione o incuria Comportamenti sleali o fraudolenti alta media bassa Errore materiale Furto di credenziali di autenticazione Modifica deliberata e non autorizzata di dati residenti su archivi informatici Social Engineering La mancata preparazione e definizione di ruoli e responsabilità può avere conseguenze sulla corretta gestione dei dati e sistemi. La mancanza di strumenti di controllo e di adeguate misure sanzionatorie può avere conseguenze sulla corretta gestione dei dati e sistemi La mancata preparazione e di sistemi di protezione può avere conseguenze sulla corretta gestione dei dati e sistemi Il furto di credenziali consente comportamenti scorretti o fraudolenti attribuendone la responsabilità ad altri Questa minaccia riguarda l'abuso delle autorizzazioni rilasciate per modificare impropriamente dati critici (anche per la sicurezza). Un esterno carpisce informazioni dal personale su come penetrare nel sistema, su come usare il sistema, sulla sua architettura, sui processi che esegue. Riduco Accetto medio alto Evito medio alto basso basso medio alto basso alto Trasferisco basso alto lievi sensibili gravi CONSEGUENZE 35

36 KeyMap D. Lgs. 196/03 Report generato da Keymap per la conformità al D. Lgs. 196/03: DPS.doc