La sicurezza informatica è composta

da un organizzativinsieme di misure di tipo:

• tecnologico

•o

• normativo

La politica di sicurezza si concretizza

nella stesura di un piano di sicurezza

aziendale:

• piano di sicurezza strategico

(pluriennale)

• un piano di sicurezza operativo

(annuale)

Gestione della Sicurezza Informatica

Non esiste un piano di sicurezza che copra tutte le tipologie di

aziende ed i relativi obiettivi: è però possibile adottare una

metodologia comune nel creare il piano aziendale.

In letteratura e nella pratica esistono diverse metodologie. Tutte

possono però essere ricondotte, alle fasi elencate in figura:

Redazione di un Piano di Sicurezza

Fasi Metodologiche:

Analisi del Contesto

Struttura dell’organizzazione e finalità (distribuzione geografica

delle sedi, unità organizzative, ruoli, competenze,

responsabilità, processi)

Elementi fondamentali per l’analisi del contesto sono :

rilevazione e documentazione del modello del sistema

informativo

analisi del contesto normativo e legislativo vigente

Rilevazione e documentazione del modello del sistema

informativo con identificazione dei flussi informativi

(informatici e non):

• informazioni in azienda

• informazioni scambiate con l’esterno

• processi che le utilizzano

• definizione dei requisiti di sicurezza per ogni processo

In questa fase si prescinde dal supporto informatico fornito

ai diversi flussi informativi del sistema

Analisi del Contesto (2.)

Analisi del contesto normativo vigente:

• molte norme degli ultimi anni hanno implicazioni (dirette o

indirette)hanno forti implicazioni sull’attuazione delle misure di

sicurezza aziendali

• tra gli obiettivi fondamentali del piano di sicurezza aziendale vi

è quello di garantire il rispetto formale degli obblighi normativi da

parte dell’azienda e dei suoi responsabili

• richiede un’analisi del quadro normativo, delle sue implicazioni,

del livello di responsabilità individuale ed aziendale, dei poteri e

dei limiti di delega,dei rischi e delle sanzioni amministrative, civili

e penali

Analisi del Contesto (3.)

Fasi Metodologiche:

Analisi del Sistema Informatico

In questa fase si provvede al censimento delle risorse

hardware e software impiegate, al fine di:

individuare i punti di potenziale debolezza

individuare le responsabilità di gestione ed esercizio di

ciascun componente o aggregato di componenti

Analisi risorse fisiche, logiche, dipendenze tra risorse

Analisi del Sistema Informatico (2.)

Infrastrutture fisiche:

censimento di locali, cavedi, cablaggi, sistemi di protezione e

produzione di una base dati varie informazioni

(caratteristiche edilizie -dimensioni, disposizione, mappe,...,

caratteristiche impianti, …)

Apparati e cablaggi:

censimento di sistemi hw e apparati di rete e produzione di una

base dati varie informazioni (dati identificativi del sistema,

luogo di ubicazione, responsabile , piano di manutenzione

del sistema, ..)

Ambienti e procedure:

censimento di ambienti sw e procedure predisposte per realizzare i

servizi applicativi

Dati e Archivi:

Prevede il censimento e la mappatura dell’organizzazione logica dei

repository dati dell’organizzazione (modelli concettuali delle basi di dati

(ad es. E-R), definizione dei requisiti di sicurezza necessari, a livello di

repository e/o a livello di singoli oggetti)

Per ogni risorsa dati si devono definire:

contesti operativi (procedure che li adoperano, DBMS interessati,

server su cui risiedono, utenti che vi possono accedere)

requisiti di sicurezza (classificazione dei diritti di accesso)

politiche di back-up (supporti da usare, modalità di back-up (totale,

incrementale, ecc.), frequenza di aggiornamento e tempi di

conservazione

Analisi del Sistema Informatico (3.)

Fasi Metodologiche:

Analisi e Valutazione del Rischio

Associare un rischio a ciascuno degli eventi indesiderati

individuati. Rischio esprime la probabilità che un evento accada

e il danno che arreca al sistema se accade

La valutazione del rischio richiede:

Individuazione delle vulnerabilità

Stima della probabilità di occorrenza

Stima della perdita economica

Individuazione dei Data Asset

In questa fase, prendendo come riferimento la

descrizione e schematizzazione dei flussi ottenuta

nella fase precedente, vengono censiti tutti i dati

utilizzati dal processo oggetto dell’analisi. I dati

individuati vengono poi raggruppati in Data Asset

secondo determinati criteri (il loro utilizzo, i processi

nei quali vengono utilizzati, gli user, etc…)

Stima delle Probabilità di Occorrenza

Ad ogni classe di evento è fondamentale associare una probabilità di occorrenza, la cui stima è basata su:

• dati statistici generali da fonti pubbliche o da società di consulenza

• dati tecnici di apparati

MTBF: Mean Time Between Failure

MTTR: Mean Time To Repair

• osservazioni e analisi statistiche

• stime soggettive sulla base dell’esperienza

L’output di tale analisi è, per ogni vulnerabilità individuata, la probabilità di occorrenza annuale.

La probabilità di occorrenza annuale può anche essere >1, nel caso di vulnerabilità che mediamente accadono più di una volta all’anno.

Stima della Perdita Economica

Per ogni tipo di vulnerabilità individuata, si determina il costo del danno arrecato contabilizzando:

costi diretti: costi di intervento, di ripristino, ecc.

costi indiretti: danni economici e finanziari conseguenti al blocco dei sistemi (ad es. perdite finanziarie per ritardata fatturazione, perdita di immagine, violazione di obblighi di legge)

Il valore della perdita economica per evento (L) per la probabilità di occorrenza P determinano la perdita annuale attesa o ALE (Annual Loss Expectancy):

ALE = L * P

Esempi

Evento: allagamento del CED

Perdita presunta: L = € 600.000

Probabilità di occorrenza: P = 1% = 0,01

Perdita annuale attesa:

ALE = € 600.000 * 0,01 = € 6.000

Evento: infezione di virus alle 300 workstation (PC) aziendali

Perdita presunta, per postazione attaccata: L = € 125

Probabilità di occorrenza, per postazione: P = 200% = 2

Numero medio di PC interessati per infezione: n = 60% = 0,6

Perdita annuale attesa:

ALE = 300 * € 125 * 2 * 0,6 = € 45.000

Metodologie di Analisi del Rischio

Risk Analysis Quantitativa

Esempio di semplice modello di analisi: si basa sulla

determinazione, in termini economici, delle perdite che

un rischio puo’ causare nell’arco di dodici mesi.

I parametri che vengono considerati sono due:

1. Valore del Bene: indica il costo di ogni singolo bene

che l’organizzazione deve sostenere, nel caso si verifichi

la minaccia, per ripristinare tutti i servizi.

Sono inclusi anche le possibili perdite derivanti da una

perdita di immagine.

2. Frequenza di accadimento: Indica il numero di volte

che la minaccia ha luogo nell’arco di dodici mesi. Tale

valore puo’ essere ricavato dagli archivi storici della

societa’, o da analisi statistiche elaborate da

organizzazioni pubbliche.

Calcolo del Rischio Annuo

Il rischio annuo e’ calcolato semplicemente

moltiplicando il valore dei beni e

la frequenza di accadimento.

Maggiore e’ il valore ottenuto piu’ elevato e’ il rischio

Rischio annuo = Frequenza di accadimento

*Valore del bene

Esempio di Calcolo del Rischio

Consideriamo ad esempio il rischio di incendio in unasala macchine.

Supponiamo che il costo per il ripristino sia di unmilione di euro e che un incidente si verifichi una volta ogni dieci anni.

Rischio incendio

Frequenza di accadimento = 1/10

Valore dei Beni = 1.000.000 €

Rischio annuo = 100.000 €

Risk Analysis Qualitativa

La metodologia di tipo qualitativo provvede:

ad una sistematica analisi della terna :

•Asset;

•Minacce;

•Vulnerabilita’.

a proporre una serie di contromisure per

determinare il miglior rapporto costo-beneficio.

E’ una metodologia dove non vengono definiti valori economici relativi

al valore atteso dei danni

La Qualitative Risk Analysis e’ una tecnica che puo’

essere utilizzata per determinare il livello di protezione richiesto per

applicazioni, sistemi e tutti i beni aziendali.

Analisi qualitativa:

esempio di misura del rischio

Metrica per il rischio

definiamo una metrica per la probabilità

• due valori: bassa e alta

definiamo una metrica per l’impatto

• due valori: basso e alto

INCROCIANDO LE DUE VARIABILI OTTENGO IL

GRADO DI RISCHIO ASSOCIATO AD OGNI ASSET

DELL’AZIENDA

Fasi Metodologiche

individuazione delle contromisure =>analisi di standard e

modelli, valutazione del rapporto costo/efficacia, contromisure

di carattere organizzativo e tecnico

integrazione delle contromisure => individuare

sottoinsieme di costo minimo che soddisfi vincoli di

completezza, omogeneità, ridondanza controllata, effettiva

attuabilità

Esempio di individuazione e valutazione

contromisure

Evento: infezione di virus alle 300 workstation (PC) aziendali

Perdita presunta, per postazione attaccata: L = € 125

Probabilità di occorrenza, per postazione: P = 200% = 2

Numero medio di PC interessati per infezione: n = 60% = 0,6

Perdita annuale attesa:

ALE = 300 * € 125 * 2 * 0,6 = € 45.000

Contromisura: installazione di un sw antivirus su tutti i PC

Costo di acquisto: Ca = € 50 per ogni PC

Efficacia: 80% = 0,8

Probabilità di occorrenza in presenza di contromisure:

Pc = 2 * (1 - 0,8) = 0,4

Perdita annuale attesa in presenza di contromisure:

ALEc = 300 * € 125 * 0,4 * 0,6 = € 9.000

Risparmio economico atteso in presenza di contromisure:

RE = ALE – (Ca + ALEc) = € 45.000 – (€ 50 * 300 + € 9.000) =

= € 45.000 - € 24.000 = € 21.000