Gestione della Sicurezza Informatica La sicurezza informatica è composta da un organizzativinsieme di misure di tipo: tecnologico o normativo La politica di sicurezza si concretizza nella stesura di un piano di sicurezza aziendale: piano di sicurezza strategico (pluriennale) un piano di sicurezza operativo (annuale)
Redazione di un Piano di Sicurezza Non esiste un piano di sicurezza che copra tutte le tipologie di aziende ed i relativi obiettivi: è però possibile adottare una metodologia comune nel creare il piano aziendale. In letteratura e nella pratica esistono diverse metodologie. Tutte possono però essere ricondotte, alle fasi elencate in figura:
Fasi Metodologiche: Analisi del Contesto Struttura dell organizzazione e finalità (distribuzione geografica delle sedi, unità organizzative, ruoli, competenze, responsabilità, processi) Elementi fondamentali per l analisi del contesto sono : rilevazione e documentazione del modello del sistema informativo analisi del contesto normativo e legislativo vigente
Analisi del Contesto (2.) Rilevazione e documentazione del modello del sistema informativo con identificazione dei flussi informativi (informatici e non): informazioni in azienda informazioni scambiate con l esterno processi che le utilizzano definizione dei requisiti di sicurezza per ogni processo In questa fase si prescinde dal supporto informatico fornito ai diversi flussi informativi del sistema
Analisi del Contesto (3.) Analisi del contesto normativo vigente: molte norme degli ultimi anni hanno implicazioni (dirette o indirette)hanno forti implicazioni sull attuazione delle misure di sicurezza aziendali tra gli obiettivi fondamentali del piano di sicurezza aziendale vi è quello di garantire il rispetto formale degli obblighi normativi da parte dell azienda e dei suoi responsabili richiede un analisi del quadro normativo, delle sue implicazioni, del livello di responsabilità individuale ed aziendale, dei poteri e dei limiti di delega,dei rischi e delle sanzioni amministrative, civili e penali
Fasi Metodologiche: Analisi del Sistema Informatico In questa fase si provvede al censimento delle risorse hardware e software impiegate, al fine di: individuare i punti di potenziale debolezza individuare le responsabilità di gestione ed esercizio di ciascun componente o aggregato di componenti Analisi risorse fisiche, logiche, dipendenze tra risorse
Analisi del Sistema Informatico (2.) Infrastrutture fisiche: censimento di locali, cavedi, cablaggi, sistemi di protezione e produzione di una base dati varie informazioni (caratteristiche edilizie -dimensioni, disposizione, mappe,..., caratteristiche impianti, ) Apparati e cablaggi: censimento di sistemi hw e apparati di rete e produzione di una base dati varie informazioni (dati identificativi del sistema, luogo di ubicazione, responsabile, piano di manutenzione del sistema,..)
Analisi del Sistema Informatico (3.) Ambienti e procedure: censimento di ambienti sw e procedure predisposte per realizzare i servizi applicativi Dati e Archivi: Prevede il censimento e la mappatura dell organizzazione logica dei repository dati dell organizzazione (modelli concettuali delle basi di dati (ad es. E-R), definizione dei requisiti di sicurezza necessari, a livello di repository e/o a livello di singoli oggetti) Per ogni risorsa dati si devono definire: contesti operativi (procedure che li adoperano, DBMS interessati, server su cui risiedono, utenti che vi possono accedere) requisiti di sicurezza (classificazione dei diritti di accesso) politiche di back-up (supporti da usare, modalità di back-up (totale, incrementale, ecc.), frequenza di aggiornamento e tempi di conservazione
Fasi Metodologiche: Analisi e Valutazione del Rischio Associare un rischio a ciascuno degli eventi indesiderati individuati. Rischio esprime la probabilità che un evento accada e il danno che arreca al sistema se accade La valutazione del rischio richiede: Individuazione delle vulnerabilità Stima della probabilità di occorrenza Stima della perdita economica
Individuazione dei Data Asset In questa fase, prendendo come riferimento la descrizione e schematizzazione dei flussi ottenuta nella fase precedente, vengono censiti tutti i dati utilizzati dal processo oggetto dell analisi. I dati individuati vengono poi raggruppati in Data Asset secondo determinati criteri (il loro utilizzo, i processi nei quali vengono utilizzati, gli user, etc )
Stima delle Probabilità di Occorrenza Ad ogni classe di evento è fondamentale associare una probabilità di occorrenza, la cui stima è basata su: dati statistici generali da fonti pubbliche o da società di consulenza dati tecnici di apparati MTBF: Mean Time Between Failure MTTR: Mean Time To Repair osservazioni e analisi statistiche stime soggettive sulla base dell esperienza L output di tale analisi è, per ogni vulnerabilità individuata, la probabilità di occorrenza annuale. La probabilità di occorrenza annuale può anche essere >1, nel caso di vulnerabilità che mediamente accadono più di una volta all anno.
Stima della Perdita Economica Per ogni tipo di vulnerabilità individuata, si determina il costo del danno arrecato contabilizzando: costi diretti: costi di intervento, di ripristino, ecc. costi indiretti: danni economici e finanziari conseguenti al blocco dei sistemi (ad es. perdite finanziarie per ritardata fatturazione, perdita di immagine, violazione di obblighi di legge) Il valore della perdita economica per evento (L) per la probabilità di occorrenza P determinano la perdita annuale attesa o ALE (Annual Loss Expectancy): ALE = L * P
Esempi Evento: allagamento del CED Perdita presunta: L = 600.000 Probabilità di occorrenza: P = 1% = 0,01 Perdita annuale attesa: ALE = 600.000 * 0,01 = 6.000 Evento: infezione di virus alle 300 workstation (PC) aziendali Perdita presunta, per postazione attaccata: L = 125 Probabilità di occorrenza, per postazione: P = 200% = 2 Numero medio di PC interessati per infezione: n = 60% = 0,6 Perdita annuale attesa: ALE = 300 * 125 * 2 * 0,6 = 45.000
Metodologie di Analisi del Rischio
Risk Analysis Quantitativa Esempio di semplice modello di analisi: si basa sulla determinazione, in termini economici, delle perdite che un rischio puo causare nell arco di dodici mesi. I parametri che vengono considerati sono due: 1. Valore del Bene: indica il costo di ogni singolo bene che l organizzazione deve sostenere, nel caso si verifichi la minaccia, per ripristinare tutti i servizi. Sono inclusi anche le possibili perdite derivanti da una perdita di immagine. 2. Frequenza di accadimento: Indica il numero di volte che la minaccia ha luogo nell arco di dodici mesi. Tale valore puo essere ricavato dagli archivi storici della societa, o da analisi statistiche elaborate da organizzazioni pubbliche.
Calcolo del Rischio Annuo Il rischio annuo e calcolato semplicemente moltiplicando il valore dei beni e la frequenza di accadimento. Maggiore e il valore ottenuto piu elevato e il rischio Rischio annuo = Frequenza di accadimento * Valore del bene
Esempio di Calcolo del Rischio Consideriamo ad esempio il rischio di incendio in una sala macchine. Supponiamo che il costo per il ripristino sia di un milione di euro e che un incidente si verifichi una volta ogni dieci anni. Rischio incendio Frequenza di accadimento = 1/10 Valore dei Beni = 1.000.000 Rischio annuo = 100.000
Risk Analysis Qualitativa La metodologia di tipo qualitativo provvede: ad una sistematica analisi della terna : Asset; Minacce; Vulnerabilita. a proporre una serie di contromisure per determinare il miglior rapporto costo-beneficio. E una metodologia dove non vengono definiti valori economici relativi al valore atteso dei danni La Qualitative Risk Analysis e una tecnica che puo essere utilizzata per determinare il livello di protezione richiesto per applicazioni, sistemi e tutti i beni aziendali.
Analisi qualitativa: esempio di misura del rischio Metrica per il rischio definiamo una metrica per la probabilità due valori: bassa e alta definiamo una metrica per l impatto due valori: basso e alto INCROCIANDO LE DUE VARIABILI OTTENGO IL GRADO DI RISCHIO ASSOCIATO AD OGNI ASSET DELL AZIENDA
Fasi Metodologiche individuazione delle contromisure =>analisi di standard e modelli, valutazione del rapporto costo/efficacia, contromisure di carattere organizzativo e tecnico integrazione delle contromisure => individuare sottoinsieme di costo minimo che soddisfi vincoli di completezza, omogeneità, ridondanza controllata, effettiva attuabilità
Esempio di individuazione e valutazione contromisure Evento: infezione di virus alle 300 workstation (PC) aziendali Perdita presunta, per postazione attaccata: L = 125 Probabilità di occorrenza, per postazione: P = 200% = 2 Numero medio di PC interessati per infezione: n = 60% = 0,6 Perdita annuale attesa: ALE = 300 * 125 * 2 * 0,6 = 45.000 Contromisura: installazione di un sw antivirus su tutti i PC Costo di acquisto: Ca = 50 per ogni PC Efficacia: 80% = 0,8 Probabilità di occorrenza in presenza di contromisure: Pc = 2 * (1-0,8) = 0,4 Perdita annuale attesa in presenza di contromisure: ALEc = 300 * 125 * 0,4 * 0,6 = 9.000 Risparmio economico atteso in presenza di contromisure: RE = ALE (Ca + ALEc) = 45.000 ( 50 * 300 + 9.000) = = 45.000-24.000 = 21.000