L analisi del rischio: il modello statunitense



Documenti analoghi
Configuration Management

Il modello di ottimizzazione SAM

Politica per la Sicurezza

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0

Problem Management. Obiettivi. Definizioni. Responsabilità. Attività. Input

Associazione Italiana Information Systems Auditors

Sicurezza informatica in azienda: solo un problema di costi?

Audit & Sicurezza Informatica. Linee di servizio

Cloud Computing Stato dell arte, Opportunità e rischi

COMPETENZE IN ESITO (5 ANNO) ABILITA' CONOSCENZE

Sistemi informativi secondo prospettive combinate

Software per Helpdesk

E 2 T 2 ENTERPRISE ENGINE FOR TROUBLE TICKETING

VALUTAZIONE DEL LIVELLO DI SICUREZZA

Project Management. Modulo: Introduzione. prof. ing. Guido Guizzi

1. BASI DI DATI: GENERALITÀ

Descrizione generale del sistema SGRI

Ciclo di vita dimensionale

Gestione Operativa e Supporto

La gestione della qualità nelle aziende aerospaziali

Incident Management. Obiettivi. Definizioni. Responsabilità. Attività. Input

5.1.1 Politica per la sicurezza delle informazioni

EUROPEAN PROJECT MANAGEMENT QUALIFICATION - epmq. Fundamentals. Syllabus

COME VIENE REALIZZATO UN SERVIZIO DI RIORGANIZZAZIONE DEI SISTEMI INFORMATIVI AZIENDALI?

Change Management. Obiettivi. Definizioni. Responsabilità. Attività. Input. Funzioni

Il software impiegato su un computer si distingue in: Sistema Operativo Compilatori per produrre programmi

ISO/IEC 2700:2013. Principali modifiche e piano di transizione alla nuova edizione. DNV Business Assurance. All rights reserved.

Sicurezza Aziendale: gestione del rischio IT (Penetration Test )

Identificare come i vari elementi dei Microsoft Dynamics CRM possono essere utilizzati per le relazioni con i clienti

Gestione in qualità degli strumenti di misura

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza. Roberto Ugolini roberto.ugolini@postecom.it

Business Process Management

LA GESTIONE DELLE INFORMAZIONI IN AZIENDA: LA FUNZIONE SISTEMI INFORMATIVI 173 7/001.0

della manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.

TECNICO SUPERIORE DEI TRASPORTI E DELL INTERMODALITÀ

TECNICO SUPERIORE DELLE INFRASTRUTTURE LOGISTICHE

La Metodologia adottata nel Corso

1- Corso di IT Strategy

Sistema di gestione della Responsabilità Sociale

BOZZA. Attività Descrizione Competenza Raccolta e definizione delle necessità Supporto tecnico specialistico alla SdS

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

Dispensa di database Access

CATEGORIZZAZIONE PREVENTIVA di tutte le tipologie di richieste e dei dati necessari alla loro gestione Change Mgmt

EyesTK Trouble Ticketing System. Soluzioni Informatiche

SISTEMI E RETI 4(2) 4(2) 4(2) caratteristiche funzionali

Role plaing esperienziale: ATTUAZIONE DI UN PROGETTO DI NURSING

L obiettivo che si pone è di operare nei molteplici campi dell informatica aziendale, ponendosi come partner di riferimento per l utenza aziendale.

Diventa fondamentale che si verifichi una vera e propria rivoluzione copernicana, al fine di porre al centro il cliente e la sua piena soddisfazione.

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza

I NUOVI MODELLI ORGANIZZATIVI E TECNOLOGICI A SUPPORTO DELL EFFICIENZA AZIENDALE

Ciclo di vita del software: strumenti e procedure per migliorarne la sicurezza

SOFTWARE A SUPPORTO DELLA GESTIONE AMMINISTRATIVA DELLO SPORTELLO UNICO SPECIFICA DEI REQUISITI UTENTE

EXPLOit Content Management Data Base per documenti SGML/XML

03. Il Modello Gestionale per Processi

figure professionali software

Corso di Amministrazione di Sistema Parte I ITIL 2

Concetti di base di ingegneria del software

Certificazione BS7799-ISO17799 per i Sistemi di Gestione della Sicurezza Informatica

Project Cycle Management La programmazione della fase di progettazione esecutiva. La condivisione dell idea progettuale.

PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa

Software di gestione della stampante

Governare il processo della sicurezza

MANUALE DELLA QUALITÀ Pag. 1 di 6

PROXYMA Contrà San Silvestro, Vicenza Tel Fax

ANALISI E MAPPATURA DEI PROCESSI AZIENDALI

La Guida per l Organizzazione degli Studi professionali

Esperienze di analisi del rischio in proggeti di Information Security

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA-SSB

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

Workflow Infrastructure Services

Gestire le NC, le Azioni Correttive e Preventive, il Miglioramento

La gestione manageriale dei progetti

Brochure Internet. Versione The Keyrules Company s.r.l. Pagina 2 di 8

Finalità della soluzione Schema generale e modalità d integrazione Gestione centralizzata in TeamPortal... 6

SIEBEL CRM ON DEMAND MARKETING

I processi di Incident management e Change management in Lombardia-Servizi. Gianluca Tricella

Registratori di Cassa

Premesso che il Sistema di e-learning federato per la pubblica amministrazione dell Emilia-Romagna (SELF):

Corso di Amministrazione di Sistema Parte I ITIL 1

Corso formazione su Sistema di gestione della qualità. Standard ISO 9001:2000/2008 Vision 2000

TECNICO SUPERIORE PER L INFORMATICA INDUSTRIALE

Qualità è il grado in cui un insieme di caratteristiche intrinseche soddisfa i requisiti (UNI EN ISO 9000:2005)

ISO family. La GESTIONE DEI RISCHI Nei Sistemi di Gestione. Autore: R.Randazzo

Le fattispecie di riuso

Release Management. Obiettivi. Definizioni. Responsabilità. Attività. Input

GUIDA - Business Plan Piano d impresa a 3/5 anni

Progettazione di Basi di Dati

SCHEDA DEL CORSO Titolo: Descrizione: competenze giuridiche e fiscali da un lato, tecniche ed organizzative dall altro.

È evidente dunque l'abbattimento dei costi che le soluzioni ASP permettono in quanto:

PROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ

Appendice III. Competenza e definizione della competenza

14 giugno 2013 COMPETENZE E QUALIFICHE DELL INSTALLATORE DI SISTEMI DI SICUREZZA. Ing. Antonio Avolio Consigliere AIPS All right reserved

Le aree funzionali ed i processi

La norma ISO 9001:08 ha apportato modifiche alla normativa precedente in

Il modello veneto di Bilancio Sociale Avis

2 Giornata sul G Cloud Introduzione

Liceo Tecnologico. Indirizzo Informatico e Comunicazione. Indicazioni nazionali per Piani di Studi Personalizzati

Transcript:

L analisi del rischio: il modello statunitense La sicurezza nelle agenzie federali USA La gestione della sicurezza in una Nazione deve affrontare ulteriori problemi rispetto a quella tipica di una Azienda. Infatti è necessario avere un uniformità di obiettivi un uniformità di progettazione e di soluzioni tecniche ed infine risulta di fondamentale importanza l ottimizzazione delle risorse umane. Negli USA in seguito agli eventi dell 11 settembre 2001, è stata rinforzata la strategia di messa in sicurezza delle Agenzie Federali, anche mediante il progetto FISMA (Federal Information Security Management Act. Il FISMA Implementation Project è stato istituito nel gennaio 2003 al fine di produrre gli standard di sicurezza e le linee guida richieste dal Congresso degli Stati Uniti d America. La vision del FISMA Il raggiungimento degli obiettivi stabiliti dal congresso avviene attraverso i seguenti elementi: 1) Standard per la classificazione delle informazioni; 2) Standard per l individuazione di requisiti minimi di sicurezza per le informazioni e i sistemi informativi; 3) Linee guida per la selezione degli appropriati controlli che devono essere attuati nei sistemi informativi; 4) Linee guida per la verifica dell efficacia dei controlli di sicurezza realizzati; 5) Linee guida per la certificazione dei sistemi informativi. Gli obiettivi principali sono cosi elencati: a) realizzare programmi di sicurezza che siano basati sull analisi e la gestione dei rischi e siano cost-effective ;b) stabilire i livelli di sicurezza che devono essere assicurati dalle agenzie federali e dai loro outsourcer; c) uniformare e rendere più convenienti dal punto di vista economico l applicazione dei controlli di sicurezza; d) stabilire modalità di controllo delle misure di sicurezza realizzate che siano efficaci, uniformi e comparabili; e) fornire dei punti di riferimento stabili e univoci per tutti i dirigenti e il personale delle agenzie federali; g) aumentare il livello di sicurezza delle infrastrutture critiche nazionali. I punti fondamentali nella gestione del rischio sono i seguenti: 1. Classificare il sistema informativo; 2. Selezionare e individuare i controlli minimi di sicurezza; 3. Aggiungere controlli sulla base di una stima del rischio; 4. Realizzare i controlli di sicurezza; 5. Documentare i controlli di sicurezza; 6. Stimare l efficacia dei controlli; 7. Autorizzare le operazioni sui sistemi informativi (need to know); 8. Verificare in modo continuativo nel tempo. Tutto il ciclo completo del FISMA viene meglio raffigurato nel grafico successivo:

Per ciò che concerne il FISMA esiste una notevole mole di informazioni tra cui è di fondamentale importanza citare i seguenti documenti: a)fips 199: Standards for Security Categorization of Federal Information and Information Systems SP 800-60: Guide for Mapping Types of Information and Information Systems to Security Categories; b) FIPS 200: Minimum Security Requirements for Federal Information and Information Systems SP 800-53: Recommended Security Controls for Federal Information Systems; c) SP 800-18: Guide for Developing Security Plans for Federal Information Systems; d) SP 800-70: Security Configuration Checklists Program for IT Products; e) SP 800-53A: Guide for Assessing the Security Controls in Federal Information Systems; f) SP 800-37: Guide for the Security Certification and Accreditation of Federal Information Systems. Inoltre il NIST (organo massimo di certificazione sulla sicurezza americana) ha sviluppato moltissime altre linee guida divise per tecnologia (VPN, crittografia, Wireless, etc), per prodotti specifici (Oracle, Sistemi operativi, etc.), in forma di checklist. Nelle due tabelle successive viene fatta una classificazione delle categorie di sicurezza per mission e per contenuti.

Le metriche L attuazione del FISMA è monitorata a livello federale, infatti il monitoraggio è effettuato sulla base di specifici criteri stabiliti nella SP 800-55. Da un punto di vista documentale è necessario analizzare le relazioni con gli standard internazionali, tra cui ISO 27001/17799 e Common Criteria,. La metodologia USA presenta degli aspetti positivi come la classificazione con obiettivi univoci per tutti, (ovverossia delle linee guida tecniche molto dettagliate) e degli aspetti negativi come la farraginosità, (infatti la sicurezza non è solo formalità). Tale modello statunitense difficilmente trova applicazione in Italia. Passiamo ora ad esaminare la gestione degli asset. Un asset è un bene da proteggere che viene catalogato per valore (economico, non economico) come ad esempio l integrità, la confidenzialità, la disponibilità (da 1 a 10). L asset ha anche una sua collocazione geografica ed è di fondamentale importanza nei processi aziendali. Ci permette di analizzare anche il proprietario, la marca/produttore, le capacità/prestazioni, la data (ad esempio, la data di acquisizione). Gli asset nell IT Gli asset in IT presentano determinate fasi che sono a) l identificazione, b) l acquisizione/generazione, c) la gestione durante il ciclo di vita, d) la gestione della configurazione, e) la gestione dei cambiamenti, f) la distruzione. Quando parliamo di gestione degli asset e ci riferiamo all aspetto umano intendiamo con ciò analizzare il sistema di gestione delle risorse umane e di skill inventory mentre se ci riferiamo all aspetto documentale intendiamo soffermarci sulla gestione documentale e knowledge management. Un software di asset management dovrebbe dare la possibilità di definire campi informativi personalizzati (numero di contratto, data di acquisto, etc), consentire la generazione automatica di

un numero progressivo identificativo unico, consentire la visualizzazioni del database personalizzabili. Inoltre consente l effettuazione delle seguenti attività cosi elencate: 1) gestione dello storico; 2) stato attuale dell asset; 3) classificazione dell asset in base a criteri definiti dall utente; 4) associare documenti (manuali, etc); 5) visualizzare eventuali associazioni tra asset; 6) identificazione responsabili/utenti/proprietari; 7) effettuare ricerche libere; 8) reportistica personalizzabile; 9) gestire vari ruoli e privilegi sull asset. Inoltre l asset managemente consente l integrazione con applicativi di office automation, la gestione di help desk, il Billing, la gestione finanziaria, il monitoraggio, l autodiscovery degli asset nella rete LAN. Esistono dei softaware applicativi per la gestione degli asset tra cui ricordiamo IRM (opensource, tracciamento degli asset, trouble ticketing), Hyperic HQ (opensource), Remedy Asset Management HP openview AssetCenter, Assyst di Axios Systems (integrata con ITIL) Change management La Gestione del cambiamento (ch ange management) si prefigge di realizzare cambiamenti nel sistema minimizzando l impatto negativo (interruzioni, atteggiamento negativo del personale, etc), di analizzarne il processo tramite l RFC (Request for Change mediante degli studi di fattibilità) di effettuare un approvazione formale ed una pianificazione dettagliata ed infine di effettuare una fase di monitoraggio. Il sistema (ovverosia il software) di gestione del cambiamento dovrebbe essere integrato con il sistema di asset management, gestire le priorità delle RFC, gestire le varie tipologie di utenti, gestione dei workflow di approvazione, allegare alle RFC tutta la documentazione pertinente, ed infine gestire lo storico dei cambiamenti. Lo scopo del configuration management è quello di identificare, controllare e tracciare tutte le versioni di hw, sw, documentazione, processi, procedure. Inoltre consente solo agli autorizzati di introdurre modifiche (per es, alla documentazione). La Configuration management presenta delle fasi cosi enunciate: a) Stabilire la baseline della configurazione (composizione, interrelazioni); b) Istituire un database (Configuration Management Database CMD); c) Gestire le configurazioni; d) Cancellare le configurazioni. Applicativi Esistono dei softaware applicativi per la gestione della Configuration Management tra cui ricordiamo Cmdbuild (opensource, in italiano, ispirato a ITIL), Netdirector (opensource), Controltier opensource, Microsoft SMS (System Management Server) e MOM (Microsoft Operation Manager) I processi aziendali L analisi dei processi aziendali consente di individuare gli asset. I processi possono essere suddivisi in processi strategici, processi competitivi, che costituiscono il nucleo competitivo dell ente, processi di innovazione e trasformazione, che, nel futuro, consentiranno maggiore competitività, processi operativi che realizzano i prodotti/servizi (logistica, marketing, vendite, etc), processi di supporto, che aumentano l efficacia e l efficienza (amministrazione, gestione del personale, servizi IT). Per ogni processo occorre conoscere lo scopo del processo, il responsabile, l inizio e la fine del processo (temporale e/o funzionale), il cliente e il fornitore, gli input e gli output, i vincoli di legge, normativi o regolamentari, i controlli da effettuare, le infrastrutture necessarie per lo svolgimento, le risorse umane coinvolte ed infine gli eventuali sottoprocessi. Analisi dei processi

E piuttosto diffuso uno standard (v.1.0 del 2004, v. 2.0 in fase di revisione) il cosiddetto BPMN ( Business Process Modeling Notation) sviluppato da Business Process Management Initiative (BPMI) BPMN Business Process Modeling Notation (BPMN) The BPMN will provide businesses with the capability of defining and understanding their internal and external business procedures through a Business Process Diagram, which will give organizations the ability to communicate these procedures in a standard manner. BPMN will also be supported with an internal model that will enable the generation of executable BPEL4WS (v1.1). Quando si parla di BPMN si analizzano i cosiddetti ruoli cosi elencati: 1) Business analyst: costruisce logicamente i processi; 2) Technical Developer: realizza la tecnologia che realizza i processi; 3) Business People: monitorano i processi. Gli elementi fondamentali del BPMN sono raffigurati nei seguenti grafici:

Attualmente ci sono 43 implementazioni di BPMN tra cui possiamo ricordare un tool applicativo chiamato Intalio (www.intalio.com), opensource e freeware. Per utilizzare al meglio BPMN normalmente si usa una matrice (Design Structure Matrix) (www.dsmweb.org) che ha tutti i processi come righe e come colonne (si veda la seguente tabella). Processi critici Un processo è critico quando il suo output è usato da più processi, il suo risultato ha valore per l azienda, ha bisogno di molti input ed infine è composto da molti sottoprocessi. Causa Effetto

Molta importanza nella gestione dei processi aziendali assumono i cosiddetti diagrammi di causa effetto tra cui non possiamo non menzionare il diagramma di Ishikawa, o a lisca di pesce. Nei diagrammi di causa effetto è possibile studiare un problema determinandone le cause, analizzare le motivazioni per il malfunzionamento di un processo, esaminare le relazione tra i dati e tra i processi. Altra metodologia da ricordare è quella delle 4 M (Metodi, Macchine, Materiali, Manpower). Passiamo infine ad esaminare le minacce che si possono verificare all interno dell analisi del rischio. Una minaccia sfrutta una vulnerabilità per arrecare danno agli asset. L analisi delle minacce può essere condotto mediante il modello degli attack tree (alberi di attacco). E un modello formale introdotto da Schneier, CIO della Counterpane Internet Security, nel 1999. Un contributo importante è stato dato da Edward Amoroso (Fundamentals of Computer Security) nel 1994 Gli Attack trees sono diagrammi multilivello costituiti da una radice, da dei rami, dalle foglie. I nodi figli sono condizioni che devono essere soddisfatte per rendere vera la foglia madre. Quando la radice è vera l attacco è completo.

La notazione dell attack tree può essere anche quello dei normali schemi logici (AND, OR, NOT, XOR, i cosiddetti operatori booleani). Se si aggiungono informazioni sui costi (monetari, di competenza, etc) o sulle probabilità di evento, si può stabilire anche l attacco a minor costo o quello più probabile. Attack tree: applicativi

Analisi attack tree Dall analisi attack tree si può (per esempio) determinare il minimo insieme di eventi che realizza una foglia, determinare la probabilità di evento per una foglia, determinare gli indicatori per ogni insieme di eventi, determinare i valori di rischio per ogni foglia, effettuare una reportistica varia. Le vulnerabilità Le vulnerabilità possono essere di tre tipi e cioè amministrative (es., policy e procedure di sicurezza), fisiche (es., persone, luoghi, apparati fisici) e tecniche (es., configurazioni, backdoor, gestione password). I nuovi trend degli attacchi sfruttano sempre più porte tcp/ip lecite. Possono essere fermati solo da firewall e da contromisure di tipo applicativo. Sfruttano il social engineering (complicità involontaria di insider), tendono al furto d identità e/o alla creazione di zombie (bot network) utilizzando piattaforme nuove (umts, bluetooth, ), utilizzano raffinate tecniche per nascondersi (rootkit,..). I pericoli principali sono lo Spam, il Phishing e l esecuzione di programmi illeciti lato client. Per misurare le vulnerabilità di un sistema informatico si utilizza il metodo CVSS (Common vulnerabillity Scoring System). Ora però e necessario rispondere alla seguente domanda: Quale sforzo deve compiere un attaccante per sfruttare una vulnerabilità? La risposta è la seguente: 1) tempo, 2) equipaggiamento hw e sw, 3) capacità (conoscenze); 4) conoscenza del sistema attaccato, 5) accesso al sistema. Le vulnerabilità: come si cercano? Il ciclo di vita di un vulnerabilità presenta le seguenti fasi: a) la vulnerabilità viene scoperta (da chi?); b) viene rilasciato il primo exploit; c) la vulnerabilità viene conosciuta da tutti (disclosure); d) sviluppo delle patch tempo.

Gli attacchi possono essere alle dipendenze da risorse esterne del software, all interfaccia utente, al progetto del software (ad es.: algoritmi insicuri), all implementazione del progetto (ad es.: configurazione). Il modo migliore per cercare vulnerabilità è quello di installare il software in una sandbox (tipo Holodeck di Star Trek) e verificare tutte le interazioni con l esterno. Security Information Providers La disclosure viene effettuata dai Security Information Providers (non solo ), dal CERT, dal Secunia, dal FrSirt, da ISS X-Force Securityfocus, da Mitre, da OSVDB. Tipologie di disclosure IAV-A: Information Assurance Vulnerabilità Alerts. Sono vulnerabilità ad alto rischio che devono essere risolte entro 30 giorni. IAV-B: IAV Bullettins. Sono vulnerabilità a rischio medio. IAV-T: IAV Technical Advisory. Sono vulnerabilità a rischio basso. Statistiche Utilizzando programmi specifici che si basano su basi di dati che devono essere aggiornate. Si utilizzano alcuni tool come Nessus, Nikto eeye Retina, Saint. Spesso questi programmi fanno anche penetration testing Dottor Antonio Guzzo Responsabile CED del Comune di Praia a Mare

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back