KeyMap – Analisi del Rischio - tmcnet.it · KeyMap – Analisi del Rischio. 2 La valutazione del...
Transcript of KeyMap – Analisi del Rischio - tmcnet.it · KeyMap – Analisi del Rischio. 2 La valutazione del...
2
La valutazione del rischio qualeminimo comun denominatore
Risk Management
Risk Management
ISO 27001 - D.Lgs. 231/01– ISO 22301 –D.Lgs. 196/03 - ISO 9001 …
Strumenti - KeyMap
• non impone uno schema preciso• soluzione flessibile e adattabile alla realtà
analizzata • crea un modello / mappa che ne rappresenti
gli elementi fondamentali, proprietà e interrelazioni organizzazione, responsabilità, processi di business e risorse collegate.
Metodologia SGSI
1. Definizione del perimetro2. Mappatura dei processi / responsabilità3. Identificazione degli asset (risorse)4. Identificazione degli eventi sui gruppi di asset5. Identificazione degli impatti sui processi (BIA)6. Calcolo dei livelli (o misure) di rischio7. Assegnazione delle contromisure (SOA) 8. Calcolo del rischio residuo9. Produzione della documentazione richiesta
KeyMap consente quindi:
• di descrivere efficacemente i Modelli (Eventi-Risorse-Processi-Organizzazione) e le loro relazioni.
• di indicare la dipendenza di una risorsa da un’altra risorsa per una fedele e semplificata rappresentazione della realtà.
• un’efficiente gestione offrendo la possibilità di creare gruppi omogenei di risorse gestendone le caratteristiche comuni.
4 - Identificazione degli eventi sui gruppi di asset
Va ripetuto per ogni associazione Evento/Risorsa/Processo
Risorse Eventi (P) P = probabilità di accadimento
5 - Identificazione degli impatti sui processi (BIA)
Processi Impatti (€) BIA = Business Impact Analysis
OBIETTIVI: •determinare le conseguenze derivanti dal verificarsi di un evento critico•valutare l’impatto dell’ evento sull’operativitàdell’organizzazione.
IMPATTO ECONOMICOperdita economica subita dall’azienda a causa del
verificarsi di un evento.
5 - Identificazione degli impatti sui processi (BIA)
In particolare, si vuole valutare la sensibilità di ogni servizio nei confronti dei temi fondamentali della sicurezza:
RISERVATEZZA – INTEGRITÀ
DISPONIBILITÀ – …
5 - Identificazione degli impatti sui processi (BIA)
RISERVATEZZA: definisce le conseguenze che subirebbe l’organizzazione nel caso in cui i dati trattati dal servizio siano divulgati a persone non autorizzate.
INTEGRITÀ: definisce le conseguenze chesubirebbe l’organizzazione nel caso in cui il serviziofornisca dati errati o non coerenti.
5 - Identificazione degli impatti sui processi (BIA)
DISPONIBILITÀ: definisce le conseguenze che subirebbe l’amministrazione nel caso in cui il servizio in esame subisca un’interruzione.
5 - Identificazione degli impatti sui processi (BIA)
6 - Calcolo dei livelli (o misure) di rischio
RISCHIO (R) = Impatto (I) * Evento (P)
Individuazione dei Processi Impatti (€)
Definizione asset correlati Eventi (P)
BIA = Business Impact Analysis
P = probabilità di accadimento
6 - Calcolo dei livelli (o misure) di rischio
Un evento, ossia una minaccia che si verifica (es. incendiodell’edificio) rende l’applicazione e quelle ad essa collegateindisponibili al processo che le utilizza, per cui il rischioconseguente a tale non disponibilità è dato dalla combinazionedella probabilità del verificarsi della minaccia (incendio) e l’impatto,ossia il danno al business causato dall’interruzione del processoaziendale.
Gli impatti colpiscono i processi, mentre gli eventi (ovverosia le minacce e le vulnerabilità) colpiscono le risorse. Quindi le contromisure generalmente non vengono applicate al processo.
7 – Assegnazione delle contromisure (SOA)
L’obiettivo è quello di spostare il rischio entro un livelloaccettabile per l’organizzazione:
Non gestione sicurezza (che si concentra sulle vulnerabilità) ma gestione del rischio!
Limite del rischio accettabile
Insieme di rischi elementari
Riduzione del rischio
Rischio elementare
8 – Calcolo del rischio residuo
Trattamento del rischioLe contromisure hanno lo scopo di ridurre il rischio diminuendo la probabilità di accadimento e/o riducendo gli impatti:
1. EVITARE un rischio significa non intraprendere un’attività o rimuovere una funzione.
2. TRASFERIRE il rischio ad una terza parte, ad es. un’assicurazione
3. La Direzione può sempre decidere di ACCETTARE il rischio, presumibilmente perché si considera una particolare contromisura troppo costosa
4. La RIDUZIONE del rischio ad un livello accettabile comporta l’adozione di appropriate contromisure.
Accettazione del rischio
I rischi residui potrebbero essere classificati come “accettabili” oppure come “non accettabili” per l’organizzazione. Tale classificazione può essere fatta tenendo conto degli impatti sulle attività dell’organizzazione che rischi di quel genere potrebbero avere. Ovviamente, i rischi accettabili non possono essere tollerati senza ulteriori considerazioni, come ad esempio i costi.
KeyMap contribuisce alla stesura della documentazione cogente attraverso la generazione di report specifici:
• SOA.doc
• Risk Treatment Plan.doc
• Risk Assessement Report.doc
9 – Produzione della documentazione richiesta
KeyMap – ISO 22301 Business Continuity
Report generato da Keymap per la compilazione dei piani di continuità operativa: BCM.docx
34
Processi SottoprocessiTrattamento Strutture di riferi-
mento / responsabili Banca di dati - (C) cartacei -
(I) informatiz-zati
Natura dei dati Strumenti utilizzati /
Dispositivi d'acces-so/Interconnessione
Ubicazione
Finalità interne esterne P S G
P1 – Gestione amministrati-vo-contabile e risorse umane
P1.1 – gestio-ne risorse
umane
Acquisizione e In-serimento dati Segreteria
Cedolini (C) X X
Archivio 1 Ufficio A
Attestati corsi (C) X
Archivio 2 Ufficio A
Schede personali (C) X
Archivio 4 Ufficio A
Cedolini (I) X X
Server 1 Ufficio X
Applicativo XY Ufficio X
Schede persona-li(I) X
Server 1 Ufficio X
Applicativo XY Ufficio X
Invio telematico all'Ufficio paghe e
contributi Segreteria
Ufficio pa-ghe e con-
tributi Cedolini (I) X X
Server 1 Ufficio X
Applicativo XY Ufficio X
Archiviazione do-cumenti Segreteria
Cedolini (C) X x
Archivio 1 Ufficio A
Attestati corsi (C) X Archivio 2 Ufficio A
Schede personali (C) X Archivio 4 Ufficio A
Cedolini (I) X x Server 1 Ufficio X
Applicativo XY Ufficio X
Schede persona-li(I) X
Server 1 Ufficio X
Applicativo XY Ufficio X
KeyMap – D. Lgs. 196/03 - Trattamenti
35
Tipo Evento Descrizione Probabilità dell'evento
Gravità delle conseguenze
Rischio (da 1 a 9)
intrinseco attuale pianificato
Comportamenti degli operatori
Carenza di consapevo-lezza, disattenzione o incuria
La mancata preparazione e defini-zione di ruoli e responsabilità può avere conseguenze sulla corretta gestione dei dati e sistemi.
medio alto 6 2 2
Comportamenti sleali o fraudolenti
La mancanza di strumenti di con-trollo e di adeguate misure sanzio-natorie può avere conseguenze sul-la corretta gestione dei dati e si-stemi
medio alto 6 3 1
Errore materiale
La mancata preparazione e di si-stemi di protezione può avere con-seguenze sulla corretta gestione dei dati e sistemi
basso basso 1 1 1
Furto di credenziali di autenticazione
Il furto di credenziali consente comportamenti scorretti o fraudo-lenti attribuendone la responsabilità ad altri
medio alto 6 5 5
Modifica deliberata e non autorizzata di dati residenti su archivi in-formatici
Questa minaccia riguarda l'abuso delle autorizzazioni rilasciate per modificare impropriamente dati cri-tici (anche per la sicurezza).
basso alto 3 1 1
Social Engineering
Un esterno carpisce informazioni dal personale su come penetrare nel sistema, su come usare il si-stema, sulla sua architettura, sui processi che esegue.
basso alto 3 2 2
CONSEGUENZE
bassa
alta
lievi gravi
PRO
BABI
LITA
’
Riduco
media
sensibili
Evito
Accetto Trasferisco
KeyMap – D. Lgs. 196/03