Analisi dei rischi e Business Continuity Sala cluster 'Ulisse' Dipartimento di Matematica Università degli Studi di Milano Alessio Alessi Lorenzo Farolfi
E' fondamentale per qualunque piano programmatico per la sicurezza l'analisi del rischio. Il Decreto Legislativo 30 giugno 2003 n. 196 Codice in materia di protezione dei dati personali prevede l'analisi del rischio come strumento principe per migliorare la sicurezza dei dati. La metodologia adottata di analisi del rischio viene condotta seguendo una metodologia per processi o macro fasi.
Identificazione delle risorse Per la raccolta delle informazioni è stato utilizzato un questionario comprendente aspetti legati alla tutela della privacy, al business continuity ed implicazioni legali inerenti la corretta gestione dei dati.
Da un esame del questionario emerge che i settori di trattamento dei dati sono i seguenti: Settore amministrativo Biblioteca Sala Cluster Sala server Laboratori didattici e di ricerca
Sala cluster Il sistema informatizzato risulta localizzato all'interno di una sala ricavata allo scopo nel seminterrato del vecchio edificio di Matematica dell'università.
Identificazione delle minacce e analisi dell impatto Per ogni minaccia che potrebbe verificarsi viene assegnato un valore di probabilità di accadimento come illustrato di seguito: probabilità alta 1; probabilita media 0,5; probabilità bassa 0,1; Alla suddivisione in alta media e bassa forza di impatto faremo corrispondere dei livelli quantificabili nel modo seguente: 1000 Molto Alto; 100 Alto; 50 Medio; 10 Basso;
Minaccia Causa Tipo Probabilità accadimento IMPATTO Rischio Failure del IT system Failure nel sistema di alimentazione Forza maggiore BASSO MEDIO 5 Perdita di personale Malattia, ferie, riposo compensativo Forza maggiore MEDIO ALTO 50 Fulmini ambientali Forza maggiore Fuoco Corto circuito Forza maggiore Acqua Pioggia intensa Forza difetto nel sistema di maggiore condizionamento perdita rete fognaria BASSO ALTO 10 BASSO BASSO MOLTO ALTO MOLTO ALTO 100 100 Cavi prendono fuoco Sovrariscaldamento dei cavi Forza maggiore BASSO ALTO 10
Determinazione del rischio La funzione f = ( Probabilità * Forza d' Impatto) ci permette di determinare il valore del rischio. Impact Threat Likelihood Low (10) Medium (50) High (100) Very High (1000) High (1.0) Medium (0.5) Low (0.1) Low 10 X 1.0 = 10 Low 10 X 0.5 = 5 Low 10 X 0.1 = 1 Medium 50 X 1.0 = 50 Medium 50 X 0.5 = 25 Low 50 X 0.1 = 5 High 100 X 1.0 = 100 Medium 100 X 0.5 = 50 Low 100 X 0.1 = 10 Very High 1000 X 1.0= 1000 Very High 1000 x 0.5= 500 High 1000 X 0.1= 100
Top Ten minacce TOP TEN MINACCIA LIVELLO DI RISCHIO Acqua 100 Fuoco 100 Perdita Personale 50 Insufficiente Documentazione 50 Banda insufficiente per servire la sala 50 Sincronizzazione tempi non adeguata 50 Temperatura ed umidità inaccettabile 25 Controlli e manutenzione (estintori, condizionatori,centraline telefoniche) 25 Gestione delle password non adeguata 10 Perdita di confidenzialità ed integrità nei dati 10
Controlli da effettuare TOP-TEN minacceimpatto Allagamento sala cluster Incendio Perdita personale Danno Eventuale Azione da fare Costo implementazi one Danneggiamento apparecchiature ed interruzione parziale o totale del servizio Danneggiamento apparecchiature ed interruzione parziale o totale del servizio Assenza di pronto intervento in caso di guasto parziale o complessivo del sistema Istallazione sensore Anti allagamento ed eventuale canalina di sfogo esterno mediante drenaggio automatizzato Istallazione sensore Antiincendio Turni schedulati; Assunzione di personale qualificato; Valore del bene 127 + istallazione per connessione al sistema d'allarme. Canalina di sfogo a carico della divisione Edilizia 250000 169 + istallazione per connessione al sistema d'allarme. 350000 Costo assunzione nuovo personale Assenza media 7 giorni costo orario 1.50 numero di nodi inutilizzati 36 per inattività del cluster di una settimana Totale= 9072 Insufficiente documentazione Difficile ripristino in caso di emergenza ed allungamento dei tempi di recovery Stilare documentazione per: istallazione; gestione; manutenzione; recovery; backup 3 mesi uomo Molto variabile e dipendente dall'emergenza
Report alla direzione Prodotto Costo in Euro Sensore Antifumo 169 Sensore Antiallagamento 127 Sensore Allarmeluminoso 120 Centralina gestione sensori 1000
Piano di business continuity e disaster recovery La strategia operativa scelta per l'adozione di un piano di disaster recovery individua un duplice aspetto organizzativo: adozione di un'infrastruttura fisica di rete adeguata; un piano sistemistico per la gestione delle emergenze
Insfrastruttura fisica di rete Come infrastruttura fisica di rete è stata scelta una soluzione avanzata prodotta da APC che risolve problematiche relative a: stabilità della tensione elettrica erogata; alta affidabilità e modularità del gruppo di continuità; sistema di rilevazione dell'umidità e della temperatura relativa all'interno dei rack; controllo automatico e segnalazione di malfunzionamenti tramite interfaccia web.
Piano sistemistico Per definire un piano di disaster recovery ipotizzeremo tre possibili scenari di disastro: Disastro di primo livello Disastro di secondo livello Disastro di terzo livello Vengono adottate diverse strategie per la protezione delle configurazioni di sistema: mirroring dei dischi; tecnologia Raid 5; generazione dell'immagine completa del disco e backup relativo su nastro; controllo periodico dei backup automatici.
Sistema di backup Viste le ristrettezze economiche dei dipartimenti appartenenti al settore pubblico, non è possibile ridondare l'intero sistema in altra sede. Per questo motivo viene richiesto il trasferimento dei risultati delle elaborazioni dal cluster al computer remoto dell'utente. Per i server di ricerca la protezione dei dati è basata sul backup su cassette DLT.
Trattamento dell'emergenza del server di ricerca Mars: Per server Mars si adotta la seguente procedura: ordine di un nuovo server; sostituzione temporanea con un portatile ad alta performance; utilizzo della distribuzione linux di preferenza configurata in modo da consentire alle macchine remote di effettuare il boot tramite scheda di rete PXE; ripristino dei file di configurazione copiati da una chiave USB B formatta in ext2 e conservata in luogo protetto.
Conclusioni La sicurezza assoluta non esiste, la sicurezza consiste nel portarsi ad un livello di rischio accettabile. Il nostro livello di rischio è accettabile? noi crediamo di si