In assenza di termini di riferimento oggettivi le misure di si-curezza adottate da ciascuna organizzazione sono natu-ralmente correlete alla percezione del rischio. Dove talepercezione è chiara e condivisa le misure di sicurezza so-

no predisposte in modo quasi naturale.Infatti ogni azienda si assicura contro eventi come l'incendioed il furto, e anche se assicurata nessuna azienda tralascia dichiudere a chiave gli uffici, di far installare un antifurto nel ma-gazzino, o anche di ingaggiate guardie giurate per controlla-re gli stabili.Spesso invece le misure volte a prevenire il manifestarsi di rischiattinenti la sicurezza logica, quella che difende le reti ed i siste-mi aziendali da accessi indesiderati e da modifiche malevole,vengono trascurate, a volte anche sotto le spinte competitivea comunicare di più, a integrare i propri dati con quelli dei pro-pri clienti o fornitori, a diffondere il proprio know how tra i di-pendenti.E, contemporaneamente, l'azienda deve continuare a propor-re prodotti sempre migliori, con caratteristiche diverse, con co-sti più bassi rispetto alla concorrenza. Qual' è il senso di spen-dere tanto per sviluppare un nuovo prodotto o un nuovo servi-zio, per poi non proteggere adeguatamente i risultati di questoinvestimento?Tuttavia un accesso indesiderato o fraudolento ai sistemi infor-mativi di un’azienda può causare danni anche gravi, che pos-sono arrivare a mettere a repentaglio la sopravvivenza azien-dale. Ad esempio, nell'estate del 2012 una media azienda delpadovano è stata sottoposta ad attacco da parte di enti ester-ni.Non è chiaro quale fosse l'obbiettivo dell'attacco, ma nei fattisono stati cancellati tutti i dati, inclusi i dati gestionali, i docu-

Primo Quaderno diISACA VENICE Chapter

ISACA VENICE CHAPTERÈ un’associazione non profit

costituita in Venezia nel novembre2011 da un gruppo di professionisti

del Triveneto che operano nelsettore della Gestione e del

Controllo dei Sistemi Informativi.Riunisce coloro che nell’Italia del

Nord Est svolgono attività diGovernance, Auditing e Controllo

dei Sistemi Informativipromuovendo le competenze e le

certificazioni professionalisviluppate da ISACA.

Iscrivendosi ad ISACA VENICEautomaticamente si è soci diISACA, e si ha la possibilità diaccedere gratuitamente ai

meeting di ISACA VENICE Chaptered ai webcasts ed e-Simposium di

ISACA, iscriversi ad un prezzoscontato ai corsi di preparazioneagli esami CISA©, CISM©, CGEIT©,

CRISC©, COBIT5© Foundation.

34

Penetratio per le PMI

menti di progetto e quelli commerciali: il danno subito è statoingente, con un fermo di diversi giorni. Il fatto è stato denuncia-to alla polizia postale, e sembra che l'obiettivo dei malviventifosse quello impadronirsi di alcuni segreti industriali. Questaazienda, come quasi tutte quelle che subiscono tali incidenti,non vuole tuttavia essere citata.Un penetration test ha una utilità analoga a quella di un con-trollo notturno: un ente esterno, su richiesta, controlla periodi-camente che l'azienda sia sufficientemente protetta da acces-si indesiderati dall'esterno. I risultati consentono di capire ipunti deboli che potrebbero essere sfruttati da malintenziona-ti, e quindi di porvi rimedio evitando gli errori banali e limitan-do i danni.Numerosi documenti discutono le attività di analisi della sicu-rezza quali vulnerability assessment e penetration test dal pun-to di vista del fornitore, proponendo metodologie e pratiche diriferimento. Un numero minore di documenti è invece dedica-to al punto di vista del cliente, e ancora più ridotta è l’attenzio-ne rivolta alle PMI, piccole e medie imprese.Obiettivo di questo documento è circostanziare il valore ag-giunto di un buon penetration test per una PMI, descrivere lecaratteristiche desiderabili per l'esecuzione di un penetrationtest e suggerire linee guida per la selezione dei fornitori atti asvolgere attività di tale natura. Sono state definite in particola-re buone pratiche e aspetti critici cui porre attenzione nelcommissionare un Penetration Test da parte di una PMI.Non vi è dubbio che se occorre un livello di sicurezza elevato,bisogna tener conto di tutta la complessità della gestione del-la sicurezza, fra cui un affinamento dei dati, delle misure e del-le tecnologie corrispondenti. A questo proposito, le idee e ilmodello qui presentati sono ritenuti coprire un livello di sicurez-

LUCA MORONICISA®

Certified Information System Auditor

Aprile 2013 ICT Security 35

on test I

Luca Moroni certificato CISA eITIL Foundation è stato ilcoordinatore del gruppo di lavorodel Quaderno di ISACA VENICEChapter. Laureato in Informatica aMilano professionista (ai sensidella legge 4/2013) da 15 anni èappassionato di SicurezzaInformatica a livelloprofessionale. Si occupa diselezionare le aziende fornitricinell’ambito della sicurezza ICT inbase alle loro competenzespecifiche. Vive in provincia diVicenza e opera in area Nord Est.

36

za accettabile per le piccole organizzazioni, i cuiinvestimenti in sicurezza sono più ridotti. Forme piùavanzate di sicurezza (ad esempio, componentiinfrastrutturali critiche) richiederebbero una tratta-zione più ampia che va al di là dello scopo delpresente documento.Il valore del patrimonio immateriale delle PMI èspesso noto soltanto in parte. Questo è tipicamen-te il caso di uno degli asset più importanti, vale adire, le informazioni. È indispensabile che i respon-sabili delle PMI comprendano il valore delle infor-mazioni contenute all’interno del proprio sistemaaziendale e dispongano di un quadro entro ilquale valutare ed implementare la sicurezza delle

informazioni.Prendendo spunto dalla esecuzione di una anali-si da parte di un fornitore esterno si suggerisce diavviare, comprendere ed attuare processi formalidi sicurezza del patrimonio informativo, compren-denti anche misure tecniche ed organizzative.Senza misure di questo tipo, l’azienda può risulta-re seriamente danneggiata da minacce involon-tarie/attacchi deliberati ai propri sistemi informati-vi, tali da poter determinare in ultima analisi lacessazione dell’attività.Anche se è la formula più economica per la PMIabbiamo scartato autovalutazioni specifiche diPenetration Test che invece è accettabile se ci si li-

37

mita ad analisi automatiche di livello più bassodenominate Vulnerabilty Assesment. Pertanto lametodologia proposta serve per identificare teamdi specialisti indipendenti esterni (il cosiddetto “Ti-ger Team)1”.Ringrazio tutti i partecipanti al gruppo di ap-profondimento per l’impegno e la disponibilità of-ferta nella realizzazione di questo documento.

Luca MoroniSCOPO DEL DOCUMENTOL’IT di tutte le imprese, in quanto connesso conservizi e ambienti esterni, è soggetto ad attacchi evulnerabilità che possono compromettere la sicu-rezza dei dati aziendali. L’esecuzione di sistematiciVulnerability Assessement e Penetration Test è or-mai una buona pratica adottata generalmenteper analizzare il grado di sicurezza rispetto a mi-nacce esterne. In tale contesto il supporto offertoall’Utente ed alla Piccola-Media Impresa è suscet-tibile di miglioramenti.Per offrire un contributo alla selezione di un ap-proccio adeguato a tali stakeholder, ISACA VENI-CE Chapter ha avviato un Gruppo di Approfondi-mento per redigere delle linee guida per l’Utentee le PMI nell’utilizzo di verifiche di sicurezza, in par-ticolare Vulnerability Assessment e Penetration Testsvolte da terze parti.Lo scopo del presente documento è quello di illu-strare i risultati ottenuti dal Gruppo di Ricerca, sti-molando nei lettori l’interesse all’argomento trat-tato ed agli opportuni approfondimenti.

DESTINATARI DEL DOCUMENTOQuesto articolo si pone come obiettivo quello didefinire i requisiti che una azienda deve valutarenel commissionare un servizio di Penetration Testad un fornitore esterno.I destinatari naturali del documento sono i re-sponsabili che nella PMI intendono commissiona-re una analisi di sicurezza sulle risorse informati-che dell’azienda che vi possono trovare, oltre adun’esposizione razionale dei concetti ed un’omo-geneizzazione delle definizioni, lo spunto per lapratica creazione di una metodologia più specifi-ca sulla gestione del rischio IT, utile nel proprioambito lavorativo.

QUICK SURVEYIl Gruppo di Approfondimento ha predisposto unQuick Survey per rilevare più approfonditamente illivello di utilizzo di queste tecniche da parte delleimprese del Nord Est d’Italia.Nello specifico questi sono stati i quesiti:• Ogni quanto svolge un PENETRATION TEST• Su quale base sceglie il fornitore• Ha mai svolto delle analisi di sicurezza nel peri-metro interno. Dove l'analisi è composta da una

serie di processi che simulano le azioni normal-mente svolte da un dipendente o consulentenella rete interna.• Quale sono gli aspetti per le attività svolte inpassato di cui sono stato PIU’ soddisfatto (anchepiù di una risposta)• Quale sono gli aspetti per le attività svolte inpassato di cui sono stato MENO soddisfatto (an-che più di una risposta)Tale indagine trova riscontro e viene utilizzata inpiù punti del presente documento fornendo an-che degli spunti di riflessione. Il campione delleaziende che hanno risposto costituito da 50 que-stionari compilati è suddiviso nel seguente modoindicato nelle tabelle presenti nella pagina a fian-co.

1 INTRODUZIONEIn un periodo di contenimento dei costi quelli sul-la sicurezza riguardano oggi: costo monetario deidispositivi, protezioni, strumenti, servizi, aggraviodei tempi per attenersi a procedure, aumento dicomplessità operativa. Ma la Sicurezza è ancheinvestimento, se si considerano le conseguenzedella assenza o inadeguatezza delle misure pro-tettive. Il problema è come bilanciare costi conesigenze pertanto rischi con protezioni.Il Global Risk Report 2012 del World Economic Fo-rum, analizzando le 50 principali minacce globalidei prossimi 10 anni e classificandole per impattoe probabilità, nella sezione “Rischi tecnologici” po-ne al primo posto il Cybercrime.La vulnerabilità nel settore dell‘information secu-rity è definita come elemento di un particolaresettore che possa compromettere la sicurezzainformatica dell’intero sistema.Per sicurezza informatica si intende la tutela delleseguenti caratteristiche: confidenzialità, integrità,disponibilità ed autenticazione. Qualora una de-bolezza del sistema informativo comprometta unadelle sopradette caratteristiche si riscontra unavulnerabilità.L’analisi di vulnerabilità è il passo successivo allavisione dell’architettura, definizione degli obiettivie valutazione dei beni aziendali. L’obiettivo di untest è quello di verificare il comportamento a fron-te di una sollecitazione in una particolare condi-zione e verificare lo scostamento rispetto alle atte-se.Le vulnerabilità sono individuabili principalmentein tre categorie, che rappresentano tre diversi livel-li da analizzare per la sicurezza: la rete, i sistemi egli applicativi. Successivamente sono riportate ledefinizioni dei livelli che analizzeremo e le relativeproblematiche.1.1 Richiami di leggeL’adozione di specifiche misure di sicurezza logica

38

costituisce in sempre più numerosi settori un obbli-go normativo previsto dalla legge o dai regole-menti di settore. Vedi ad esempio le norme con-cernenti i settori finanziario, assicurativo e dellecarte di credito.Per il settore delle comuinicazioni elettroniche adesemio dal primo giugno 2012 è in vigore il Decre-to legislativo 28 maggio 2012, n. 69 che recepisce,tra l'altro, la direttiva 2009/136/CE, in materia ditrattamento dei dati personali e tutela della vitaprivata nel settore delle comunicazioni elettroni-che.Grande rilievo assume la sicurezza e l'integrità del-le reti di comunicazione elettronica accessibili alpubblico, con riferimento alle quali il ministero in-dividua adeguate misure di natura tecnica e or-ganizzativa per assicurare la sicurezza delle reti edei servizi di comunicazione elettronica accessibi-li al pubblico, nonché per garantire l'integrità del-le reti.Oggi il fornitore di un servizio di comunicazioneelettronica accessibile al pubblico (ma è prevedi-bile che sia recepito globalmente), oltre ad istitui-re una politica di sicurezza per il trattamento didati personali, deve mettere in atto regolarmentele misure di:• monitoraggio;• prevenzione;• correzione;• attenuazione.Le autorità nazionali, al fine di difendere gli interes-si dei cittadini, devono assicurare un elevato livel-lo di protezione dei loro dati personali e della lorovita privata.Devono dotarsi pertanto di mezzi necessari per:• disporre dei dati completi ed affidabili sugli inci-denti di sicurezza che hanno compromesso i da-ti personali degli utenti;• controllare le misure adottate dai fornitori;

• diffondere le best practices tra i fornitori.Il fornitore, appena viene a conoscenza di unaviolazione che comporta accidentalmente o inmodo illecito la distruzione, la perdita, la rivelazio-ne non autorizzata o l'accesso ai dati personalitrasmessi, memorizzati o comunque elaborati nelcontesto della fornitura di un servizio, deve notifi-carla all'autorità nazionale competente includen-do:• informazioni di dettaglio sulla violazione;• le conseguenze della violazione;• le misure proposte o adottate per porvi rimedio.L’esecuzione del servizio di verifica dei parametrifunzionali della rete (penetration/intrusion test) ri-sponde inoltre alle prescrizioni del Testo Unico ma-teria di protezione dei dati personali e precisa-mente a quanto indicato nel Disciplinare Tecnicoin materia di misure minime di sicurezza - AllegatoB al D.L. 196/2003. In particolare il punto 16 del ci-tato Allegato B specifica le regole da seguire con-tro l’accesso abusivo dei sistemi informatici, se-condo quanto indicato dall’articolo 615-ter delCodice Penale.In generale per i responsabili ICT di tutte le orga-nizzazioni per le quali la continuità operativa e/ola protezione delle informazioni e della proprietàintelletuale costituiscono fattori critici di successo,assicurarsi che i controlli di sicurezza posti in esse-re dalle proprie strutture ICT sono in linea con lenormative applicabili e le buone pratiche di setto-re, costituisce elemento imprescindibile per l’eser-cizio diligente e professionale dei propri compiti.1.2 L’ analisi del livello di sicurezza ITL’analisi di Vulnerabilità è un passo necessario perfotografare le problematiche del sistema informa-tivo. E’ il passo necessario per sapere le debolezzedel sistema a 360 gradi, per poi decidere comeproteggere il sistema e le trasmissioni dati. E’ unpasso necessario poiché spesso valutare a priori il

39

problema e risolverlo senza una precedente ana-lisi di vulnerabilità porta a delle protezioni provvi-sorie, e spesso inutili, con il conseguente dannoeconomico.Sulla base di una recente indagine svolta da ISA-CA VENICE CHAPTER sulla frequenza con cuiaziende dell’area Nord Est svolgono una analisi disicurezza è emerso questo dato indicativo.Considerando le statistiche sugli incidenti infor-matici, la maggior parte degli attacchi (circa il65%) sono stati realizzati con tecniche ben note.Per cui con la realizzazione di un Penetration Te-st queste vulnerabilità potrebbero essere mitiga-te, se non eliminate, con una certa facilità.Come indicato dal Clusit nel report 2012 i rischiinformatici come lo spionaggio industriale o l’ac-cesso abusivo ai sistemi nella PMI non sono gene-ralmente percepiti. I rischi correlati alle informazio-ni possono portare a situazioni critiche, quandovanno ad investire l’essenza dell’organizzazione,sul piano aziendale e legale. I rischi correlati alleinformazioni possono portare pertanto a catego-rie di rischio più generali e a maggiore criticitàquali:• rischio legale/legato agli adempimenti è il ri-schio derivante da violazioni o mancato rispet-to di leggi, norme contabili, regolamenti, prassio norme etiche. I rischi legali o correlati agliadempimenti possono esporre l’organizzazionea pubblicità negativa, ammende, sanzioni pe-nali e civili, pagamento dei danni e annullamen-to dei contratti. Il furto di informazioni relative aiclienti, come le informazioni sulle carte di credi-to, le informazioni finanziarie, le informazioni sani-tarie o altri dati personali possono anche solle-vare rischi potenziali in termini di rivendicazionidi terzi. In riconoscimento del fatto che la sicu-rezza delle informazioni è una problematica cre-scente e composita, ma anche per tutelare i di-ritti civili e coinvolgere la responsabilità delleaziende, i governi dell’UE e l’Unione europeahanno stabilito leggi e regolamenti il cui rispettoè previsto da parte di tutte le organizzazioni, aprescindere dalle dimensioni o dal settore. Que-ste norme obbligano le società ad implementa-re controlli interni volti a proteggere l’aziendadai rischi informatici. Esse mirano anche a mi-gliorare le prassi e le procedure di gestione delrischio;

• rischi di stabilità finanziaria. La mancanza diadeguate infrastrutture di produzione, di infra-strutture gestionali o di personale per persegui-re la strategia aziendale può far sì che la so-cietà non sia in grado di conseguire gli obietti-vi dichiarati e gli obiettivi finanziari in un am-biente ben gestito e controllato. Una inadegua-ta gestione della sicurezza delle informazionipuò ricadere sui rischi relativi alla stabilità fi-nanziaria dell’organizzazione, i quali rischi a lo-ro volta, possono aprire la porta a frode, rici-claggio di denaro, instabilità finanziaria, ecc.

• il rischio produttività è il rischio di riportareperdite operative e di erogare servizi carenti al-la clientela per effetto del mancato rispetto del-le procedure di lavorazione di base e dei relati-vi controlli. Questo rischio si riferisce solitamen-te a tutte le attività di produzione che contribui-scono in qualche modo alla consegna com-plessiva di un prodotto o di un servizio. Il rischioproduttività non è limitato all’uso delle tecnolo-gie: può anche essere il risultato di attività or-ganizzative. In questa famiglia di rischio rientra-no i rischi derivanti da sistemi inadeguati oscarsamente controllati, dal software utilizzatoa supporto degli operatori di sportello alle ope-razioni di gestione del rischio, dalla contabilitàad altre unità aziendali. Una inadeguata ge-stione della sicurezza delle informazioni puòdeterminare rischi di produttività elevati, fra cuielevati costi operativi, carenze operative, debo-lezza delle decisioni manageriali, nonché man-canza di privacy ed interruzione del servizio al-la clientela.

• reputazione e fiducia nella clientela. Forse il ri-schio più difficile da comprendere, ma ancheuno dei più importanti, è il rischio di danno al-la reputazione, un bene immateriale ma impor-tante. I clienti, che hanno magari letto sul gior-nale che la banca dati della società, che con-tiene i numeri delle carte di credito, è stata ag-gredita dagli hacker, saranno disposti a fornirein seguito il numero della propria carta di cre-dito? I vertici aziendali rimarranno al loro posto,in una società così danneggiata? Quale sarà la reazione degli azionisti? Qual è laprevista perdita di reddito futuro? Qual è la per-dita prevista in termini di capitalizzazione dimercato? ■