1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2 Frode... 24 1.3.3 Danni cagionati con dolo... 25 1.3.4 Errore umano... 25 1.3.5 Incidenti e disastri... 25 1.4 Le motivazioni delle minacce... 25 1.5 Minacce esterne e interne... 26 2. IL RISCHIO E LA SUA GESTIONE 2.1 La valutazione del rischio... 31 2.2 Anticipare il rischio... 31 2.3 Un approccio quantitativo al rischio... 32 2.4 Il risk management... 33 2.5 Il framework del risk management... 34 2.5.1 Mandato e impegno... 35 2.5.2 La progettazione del framework per la gestione del rischio... 35 2.5.3 Implementazione del risk management... 37 2.5.4 Monitoraggio e revisione del framework... 38 2.5.5 Miglioramento continuo del framework... 38 2.6 Il processo del risk management... 38 2.6.1 Comunicazione e consultazione... 38 2.6.2 Stabilire il contesto... 40 2.6.3 Il risk assessment... 41 2.6.4 Il trattamento del rischio... 43 2.6.5 Monitoraggio e revisione... 45 2.7 Il processo di valutazione del rischio (risk assessment) e la mitigazione. 45 2.7.1 I benefici del risk assessment... 46 2.7.3 Definizione del progetto di risk assessment... 48 2.7.4 Preparazione del progetto... 50 2.7.5 Raccolta dati... 50 2.7.6 Introduzione alla fase di analisi del rischio... 51 2.7.7 L identificazione del rischio... 54 2.7.8 L analisi del rischio... 55 2.7.9 La valutazione del rischio... 57 2.7.10 Mitigazione del rischio... 57 2.7.11 Documentazione dei risultati... 59 2.7.12 Monitoraggio e revisione del risk assessment... 59 2.7.13 Il risk assessment durante il ciclo di vita... 59 2.7.14 Attività del risk assessment... 60 IPSOA - Security Risk Management 11
2.8 Metodologie di risk management nell information security... 62 2.8.1 CRAMM... 62 2.8.2 Metodi ISF... 62 2.8.3 ISO 27001... 63 2.8.4 ISO 27005... 63 2.8.4 IT Grundschutz... 63 2.8.5 Magerit... 63 2.8.6 MEHARI... 64 2.9.7 OCTAVE... 64 3. LA MITIGAZIONE DELLE MINACCE INTERNE 3.1 Introduzione... 67 3.2 Best practice contro la minaccia interna... 68 3.2.1 Istituire risk assessment periodici che riguardino l intera azienda... 68 3.2.2 Istituire corsi di formazione periodici dedicati alla sicurezza... 70 3.2.3 Applicare i principi di segregazione dei ruoli e di privilegio minimo 71 3.2.4 Implementare policy e prassi rigide nella gestione di password e di account... 73 3.2.5 Registrare, monitorare e effettuare audit delle azioni online dei dipendenti... 74 3.2.6 Utilizzare cautele ulteriori con gli amministratori di sistema e gli utenti privilegiati... 75 3.2.7 Difesa attiva contro il codice maligno... 76 3.2.8 Utilizzare una difesa a multilivello contro gli attacchi remoti... 77 3.2.9 Monitorare e rispondere a comportamenti sospetti o importuni... 78 3.2.10 Disattivare l accesso ai sistemi dopo la cessazione del rapporto di lavoro... 80 3.2.11 Collezionare e salvare i dati per un futuro utilizzo nelle investigazioni... 81 3.2.12 Implementare processi sicuri di backup e ripristino... 82 3.2.13 Documentare con chiarezza i controlli interni... 83 4. LA PROTEZIONE DELL AZIENDA IN RETE 4.1 Introduzione... 87 4.2 L architettura di rete... 87 4.3 Tipologie di configurazione... 87 4.3.1 L azienda centralizzata... 89 4.3.2 L azienda centralizzata con una locazione esterna di erogazione servizi... 89 4.3.3 Uffici periferici... 90 4.4 Il primo livello di protezione: il firewall... 91 4.4.1 L evoluzione dei firewall... 91 4.4.2 La tecnologia dei firewall... 92 12 IPSOA - Security Risk Management
4.4.4 Firewall ibridi... 94 4.4.5 Caratteristiche principali dei firewall... 94 4.4.6 Dai firewall agli UTM... 94 4.4.7 Il firewall: un buon punto di partenza... 96 4.5 La prevenzione delle intrusioni... 96 4.5.1 Le tipologie di analisi delle intrusioni... 96 4.5.2 Categorie di individuazione delle intrusioni... 97 4.6 La sicurezza delle applicazioni web... 99 4.6.1 Pensare come un hacker... 99 4.6.2 I rischi delle applicazioni web... 100 4.6.3 Come mitigare il rischio... 103 4.7 L uso di e-mail e internet... 105 4.7.1 I rischi della e-mail... 106 4.7.2 Lo spam... 107 4.7.3 Utilizzo improprio di internet... 108 4.7.3 Esempio di policy di uso accettabile... 109 4.8 Conservazione della posta elettronica... 112 4.8.1 Esigenze normative... 112 4.8.1 Esigenze tecnico/organizzative... 113 4.8.2 Obiettivi... 114 4.8.3 Caratteristiche di valutazione... 115 5. ACCESSO E CONTROLLI INTERNI 5.1 Il controllo degli accessi... 119 5.1.1 Hacker: un po di background... 119 5.1.2 Come opera un hacker... 120 5.1.3 Policy di controllo degli accessi... 121 5.1.4 Gestione dell accesso utenti... 123 5.1.5 La registrazione dell utente... 124 5.1.6 I sistemi di Single Sign-on... 125 5.1.7 La gestione dei privilegi... 126 5.1.8 La gestione delle password... 127 5.1.9 Revisione periodica dei diritti di accesso... 128 5.1.10 La policy di schermo e scrivania puliti... 128 5.2 L accesso ai sistemi operativi... 129 5.2.1 La gestione delle sessioni... 129 5.2.2 La gestione delle password... 130 5.2.3 L utilizzo di utility di sistema... 131 5.3 L accesso alle applicazioni... 131 5.3.1 Restrizioni all accesso ai dati... 131 5.3.2 Isolamento di sistemi sensibili... 132 5.4 Il mobile computing e il telelavoro... 132 5.4.1 Mobile computing... 132 5.4.2 Il lavoro da remoto... 134 5.4.3 Il salvataggio dei dati online... 135 5.5 Le reti wireless... 136 IPSOA - Security Risk Management 13
5.6 La sicurezza degli endpoint... 138 5.6.1 Una minaccia in crescita... 138 5.6.2 Gli strumenti dell endpoint security... 139 5.6.3 Applicare l endpoint security... 139 5.7 Il network access control (NAC)... 140 5.7.1 I device non gestiti... 140 5.7.2 Controllo di accesso alla rete pre e post-ammissione... 141 5.7.3 Quarantena e remediation... 141 5.8 Acquisizione dei sistemi, sviluppo e mantenimento... 142 5.8.1 Analisi e decrizione delle specifiche di sicurezza... 142 5.8.2 Verificare la correttezza delle elaborazioni... 143 5.9 Evitare fughe di dati dagli ambienti di test e sviluppo... 145 5.9.1 Scenari di fughe di dati... 146 5.9.2 Strumenti di sicurezza per database... 146 5.9.3 Problemi... 147 5.9.4 Il data masking... 147 5.9.5 Conoscere i dati... 148 5.9.6 Iniziare con la documentazione e la tracciabilità... 149 5.9.7 Metodi di mascheratura... 149 5.9.8 Gestire le nuove release... 150 6. AUDIT E GESTIONE DEI LOG 6.1 Introduzione... 153 6.1.1 Tipologie di log... 153 6.1.2 Software di sicurezza... 154 6.1.3 Sistemi operativi... 154 6.1.4 Applicazioni... 154 6.2 La necessità di un log management... 155 6.3 Le sfide del log management... 155 6.3.1 Generazione e memorizzazione dei log... 155 6.3.2 Protezione dei log... 156 6.3.3 Analisi dei log... 157 6.3.4 Una gestione dei log efficace... 157 6.5 L infrastruttura di log management... 158 6.5.1 L architettura... 158 6.5.2 Le funzioni... 160 6.6 Pianificazione del log management... 161 6.6.1 Definire ruoli e responsabilità... 162 6.6.2 Stabilire policy adeguate... 163 6.6.3 Problematiche legali relative al log management... 165 6.6.5 Stabilire policy attuabili... 167 6.6.6 Progettare un infrastruttura di log management... 168 6.7 I processi operativi del log management... 168 6.7.1 Configurazione delle fonti di log... 169 6.7.2 Generazione dei log... 169 6.7.3 Archiviazione e smaltimento dei log... 169 14 IPSOA - Security Risk Management
6.7.3 Sicurezza dei log... 171 6.8 Analizzare i dati di log... 171 6.8.1 Comprendere i log... 172 6.8.2 Assegnare la priorità corretta alle entry... 173 6.8.3 Confrontare analisi a livello di sistema e di infrastruttura... 174 6.8.4 Rispondere agli eventi identificati... 175 6.8.5 Gestire lo storage a lungo termine... 175 6.8.6 Test e convalida... 176 7. LA CONTINUITÀ DEL BUSINESS 7.1 Il Business Continuity Management... 181 7.1.1 Costi e benefici... 182 7.1.2 La resilienza... 182 7.1.3 Il ciclo di vita... 183 7.1.4 Il disaster recovery... 183 7.1.5 Il risk management... 183 7.1.6 La gestione delle risposte di emergenza... 184 7.1.7 La gestione degli incidenti... 184 7.2 Gestire la continuità del business... 184 7.2.1 Sviluppo in-house o con consulenza esterna... 185 7.2.2 La gestione... 185 7.3 La gestione della continuità del business nella cultura aziendale... 185 7.3.1 La sponsorizzazione del management esecutivo... 185 7.3.2 L integrazione con il change management... 186 7.3.3 Formazione e awareness... 187 7.4 Analizzare l azienda e il suo contesto... 188 7.4.1 Il collegamento con il risk management... 188 7.4.2 Identificare i processi di businesss critici... 188 7.4.3 Assegnare una categoria e una classifica... 188 7.4.4 Identificare i processi di business interdipendenti... 189 7.4.5 Individuare i requisiti minimi per ogni processo critico... 189 7.4.6 Condurre una business impact analysis... 190 7.4.7 Analisi degli impatti operativi e finanziari... 191 7.5 L approccio alla business continuity... 192 7.5.1 Identificare e valutare le opzioni per minimizzare gli effetti di un interruzione... 192 7.5.2 Le telecomunicazioni... 194 7.5.3 Gestione dei documenti fondamentali (record management)... 194 7.5.4 Le interdipendenze... 194 7.5.5 La selezione di attività e risorse alternative... 195 7.6 Realizzare la resilienza... 195 7.6.1 La predisposizione dei controlli preparatori... 195 7.6.2 La preparazione del business continuity plan... 196 7.7 Attivare il piano... 198 7.7.1 Il ritorno alla normale operatività... 198 7.7.2 La revisione post-incidente... 199 IPSOA - Security Risk Management 15
7.8 Il mantenimento del piano... 199 7.8.1 Test ed esercizi... 199 7.8.2 Analisi post-esercizio... 201 7.8.3 L aggiornamento del piano... 201 7.8.4 La revisione del programma... 202 GLOSSARIO... 203 16 IPSOA - Security Risk Management