PIATTAFORMA RISK MANAGEMENT

I Risk

• Metodologia di analisi

Specializzazione

Modellizzazione

Valutazione del rischio

Gestione del rischio

• Terminologia e ruoli

• Architettura tecnologica

• Screenshoot del prodotto

• Pianificazione e deliverables

METODOLOGIA DI ANALISI – Le fasi del Risk Assessment con i Risk

1 Specializzazione (Definizione del Contesto e sua qualificazione)

2 Modellizzazione di Processi, Informazioni, Asset (componenti di sicurezza) e

libreria dei Controlli (ovvero creazione, manutenzione, riuso di una specifica

Sessione );

3 Valutazione del rischio:

• Stima del valore dei Beni Primari ovvero i soggetti dell’analisi (matrice RID)

• Individuazione degli Asset ovvero delle risorse tecnologiche, umane, materiali e immateriali

utilizzate per la fruizione dei beni primari.

• Stima delle Minacce che incombono sugli Asset

• Stima di importanza e livello di applicazione dei Controlli per la riduzione delle minacce

4 Gestione del rischio:

• Accettazione, trasferimento o mitigazione del rischio

• Applicazione delle Contromisure per la riduzione del rischio

FASE 1 – SPECIALIZZAZIONE - Le fasi del Risk Assessment con i Risk

Accettazione / estensione dei Controlli standard

previsti dalla norma di riferimento

Accettazione / personalizzazione

della definizione dei beni primari ISO 27001 = Processi / Informazioni,

Privacy = Trattamenti / Banche dati,

OWASP = Software factory / Applicazioni SW

Scelta della normativa di riferimento ISO 27001, OWASP, privacy D.Lgs 196/2003

Accettazione / estensione delle tipologie

di Asset standard previsti nel contesto

Accettazione / estensione delle tipologie

di Minacce standard previsti nel contesto

FASE 1 – SPECIALIZZAZIONE - Esempi di tipologie di Asset e Minacce

Contesto metodologico ISO 27001 Privacy OWASP …

Tipologia di Asset

Sistema integrato di sicurezza logica Banche Dati Applicazioni Generiche

(controlli di base)

Hardware sistemi IT Ambiente applicativo Applicazioni C - C++

Risorse umane critiche Sistemi di accesso Applicazioni Java

Banche dati e Sistemi di storage Sistema Applicazioni Javascript

Rete Intranet Supporti di backup Applicazioni JSP

Reti esterne e Internet Ubicazione delle Copie Applicazioni PL-SQL-Oracle

Applicazioni e ambienti applicativi Ubicazione delle applicazioni Apache Tomcat

SW di base e middleware

Software Factory

Minacce

Violazione delle politiche di sicurezza Sottrazione di credenziali di

autenticazione M01 Minacce di tipo generale

Violazione aspetti organizzativi Carenza di consapevolezza,

disattenzione o incuria

M02 Vulnerabilità comuni a tutti i

linguaggi

Errori nella classificazione e controllo

dei beni Comportamenti sleali o fraudolenti minacce specifiche ambienti C C++

Errori o abusi del personale Errore materiale minacce specifiche ambienti Java

Minacce fisiche ed ambientali Azione di virus informatici o di

programmi suscettibili di recare danno M05 Ambienti Javascript

… … …

FASE 1 – SPECIALIZZAZIONE - Esempi di controlli

Contesto metodologico ISO 27001 Privacy OWASP …

Controlli

E' stato approvato dalla Direzione, pubblicato

e comunicato a tutti i dipendenti e alle terze

parti coinvolte, un documento di Politica della

sicurezza?

Le regole di utilizzo delle risorse per

ciascun utente sono state definite e

comunicate per iscritto agli utenti?

Sono state adottate le tecniche

di mitigazione per la vulnerabilità

di tipo Buffer Overflow?

La Politica per la sicurezza delle informazioni è

rivista ad intervalli pianificati e qualora si

verifichino significativi cambiamenti nella

organizzazione o nelle tecnologie ITC?

Gli utenti/sistemi dispongono di parole

chiave univoche, a loro solamente

riservate e da loro solamente

riconosciute?

Sono state adottate le tecniche

di mitigazione per la vulnerabilità

di tipo Command Injection?

La Direzione supporta attivamente la sicurezza

all'interno dell'Organizzazione ?

Gli utenti/sistemi possono scambiarsi

username e password tra loro?

Sono state adottate le tecniche

di mitigazione per la vulnerabilità

di tipo Improper Input

Validation?

I responsabili aziendali ai diversi livelli si

coordinano in relazione alla sicurezza delle

informazioni?

Le credenziali di autenticazione sono

state sostituite da altri sistemi (es.

riconoscimento biometrico

dell'incaricato con codice identificativo o

con parola chiave)?

Sono state adottate le tecniche

di mitigazione per la vulnerabilità

di tipo Cross Site Scripting

(XSS)?

Le responsabilità della sicurezza sono

assegnate in modo chiaro?

Le credenziali di autenticazione sono

univocamente assegnate o associate

individualmente ad un solo

utente/sistema?

Sono state adottate le tecniche

di mitigazione per la vulnerabilità

di tipo Race Condition?

… … …

FASE 1I – MODELLIZZAZIONE - scelta/modifica/creazione di una specifica Sessione

Individuazione dei proprietari dei beni primari oggetto della valutazione

Caricamento dei beni primari

• ISO 27001: processi – informazioni

• OWASP: Software factory- applicativi - linguaggi di sviluppo

• privacy D.Lgs 196/2003: trattamenti – base dati

Caricamento degli Asset e individuazione dei proprietari

Creazione di una sessione (un ambiente di analisi) con i dati specifici del perimetro di analisi di interesse (es: azienda, divisioni, dipartimenti, …).

FASE 1I – MODELLIZZAZIONE - Legami logici tra gli elementi della Sessione

Categoria

asset

Tipologia asset minaccia

minaccia

minaccia

minaccia

controllo

controllo

controllo

controllo

controllo

Tipologia asset

asset

Categoria

sottocategoria sottocategoria sottocategoria sottocategoria

Ass

et

– M

inac

ce –

Contr

olli

asset

Beni primari

FASE 1II – VALUTAZIONE - Stima del valore dei Beni Primari

Il valore del bene si calcola stimando l’impatto

• Sociale (danno alla collettività)

• Legale (non rispetto delle leggi)

• Di immagine

• Impatto su altri processi

• Economico

che si avrebbe nel caso di:

• Perdita di Disponibilità

• Perdita di Riservatezza

• Perdita di Integrità

Danno

Disponibilità

Ris

erv

atezz

a

Inte

grità

1 O

ra

1 G

iorn

o

5 G

iorn

i

Oltre

Sociale

Leggi

Immagine

Processi

Economico

Matrice per la valutazione degli impatti (RID)

1 Trascurabile: Le conseguenze sono di nessuna o modesta entità.

2 Basso: Le conseguenze possono essere riassorbite, all’interno della

Direzione Sistemi informativi, senza impatti con l’esterno.

3 Medio: Le conseguenze interessano altre Direzioni ma non hanno un

impatto significativo nei riguardi dell’utenza.

4 Alto: Le conseguenze si propagano al pubblico creando disagi.

5 Non recuperabile: Le conseguenze comportano danni non recuperabili.

Esempio: ritardo nei pagamenti ai cittadini.

Esempio di scala dei valori

FASE 1II – VALUTAZIONE - Raccolta delle informazioni su Minacce e Controlli

Stima delle

Minacce

Stima della rilevanza e del livello di

applicazione dei Controlli sugli Asset

EF : Frequenza storica EC: Livello attuale della minaccia

ER = Grado di rilevanza ES = Livello di applicazione

1= Rarissimo

2= Sporadico

3= Poco frequente

4= Frequente

5= Molto frequente

1= Inerte

2= Poco attiva

3= Attiva

4= Preoccupante

5= Allarmante

1= Marginale

2= Poco influente

3= Influente

4= Rilevante

5= Determinante

1= Nullo

2= Pianificato/parziale

3= Realizzato

4= Riconosciuto

5= Integrato

Esempio di classificazione del livello di applicazione di un controllo

1 = Nullo Il controllo non è attualmente applicato.

2 = Pianificato / parziale Il controllo è in piano o in corso di sviluppo.

3 = Realizzato Il controllo è in esercizio ma ci sono significativi casi nei quali non è applicato.

4 = Riconosciuto Il controllo è sempre applicato salvo sporadiche eccezioni

5 = Integrato Il controllo fa parte del processo: è applicato automaticamente e non è eludibile

FASE 1V – GESTIONE DEL RISCHIO – Analisi e azioni di miglioramento

Analisi dei risultati :

• Ranking del rischio dei Beni Primari e degli Asset,

• Ranking del livello di applicazione dei Controlli.

Azioni di miglioramento:

• Accettazione, trasferimento o mitigazione del rischio

• Applicazione delle contromisure per la riduzione del

rischio.

TERMINOLOGIA E CONCETTI IN I RISK

• Contesto/i di analisi: Ambiente di lavoro per una specifica analisi costituito da librerie precaricate di Controlli,

Minacce, Tipologie di Asset standard in aderenza a specifiche metodologie o a riconosciute best practices.

• Sessioni di analisi: Istanze di analisi nell’ambito di un contesto.

• Impatto: Stima indiretta del “valore” di un bene primario ottenuta stimando il danno che si avrebbe nel caso di

perdita di: Riservatezza, Integrità, Disponibilità.

• Asset: Risorse tecnologiche, umane, materiali e immateriali utilizzate per la fruizione dei beni. Sono raggruppati in

tipologie che condividono le stesse minacce e gli stessi controlli

• Minacce: Azioni in grado di danneggiare gli Asset.

• Controlli: Valutazioni delle misure di sicurezza in essere riferite ad ogni singolo asset il base alla sua tipologia.

• Rischio: Livello di esposizione considerando il valore degli asset e lo stato di applicazione dei controlli in essere.

• Analisi di miglioramento: Riduzione di livelli di rischio ottenuta migliorando l’efficacia dei controlli esistenti o

con l’introduzione di nuove contromisure.

• Contromisura: azione di mitigazione del rischio caratterizzata da un obiettivo e da una data di implementazione

SISTEMA DI PRIVILEGI UTENTE IN I RISK

I profili che il Sistema di Gestione della Metodologia di Analisi del Rischio implementa sono:

Amministratore: profilo dedicato al provisioning degli utenti; non ha alcuna visibilità sulle fasi di analisi del

rischio.

Risk Assessment Owner (RAO): offre la funzionalità di creazione e gestione del “Contesto di analisi” di cui

è owner. Definisce il gruppo di lavoro. L’utente con questo profilo interviene in tutte le fasi del processo di

analisi.

Gli utenti appartenenti ad un gruppo di lavoro, relativamente ad un Contesto, possono avere i seguenti privilegi:

Risk Analyst: rappresenta la figura esperta che si occupa della fase di specializzazione dove estende le librerie

standard fornite dal sistema.

Context Specialist: rappresenta il conoscitore del contesto di cui si vuole effettuare l’analisi. Tra i context

specialist si potrà individuare una figura generica dedicata alla modellizzazione e figure tecniche o di business

dedicate alla compilazione dei questionari delle Minacce e delle Vulnerabilità ed alla compilazione del

questionario degli Impatti.

Manager: figura con la responsabilità di approvare i risultati prodotti per il contesto di analisi considerato.

ARCHITETTURA TECNOLOGICA

DELLA PIATTAFORMA I RISK

• Architettura Web Based

• Compatibilità con i browser più

recenti

• Architettura Java JEE

(Apache/WebSphere) + Microsoft Sql

Server

• Consolle di gestione centralizzata

• Importazioni / esportazioni standard

su template MS Excel

• Autenticazione (LDAP)

• Profilatura

• Scalabilità

• Gestione del DB su SAN

DASHBOARD INIZIALE

FASE DI SPECIALIZZAZIONE

• definizione dell’ asset model

• definizione delle minacce

• definizione dei controlli

• definizione delle contromisure

FASE DI MODELLIZZAZIONE

• definizione dei processi - informazioni

• popolazione dell’ asset model

• generazione dei questionari

FASE DI VALUTAZIONE

• acquisizione delle risposte

• visualizzazione dei risultati

FASE DI VALUTAZIONE

• acquisizione delle risposte

• visualizzazione dei risultati

FASE DI GESTIONE DEL RISCHIO

IL SISTEMA DI REPORTING - 1

IL SISTEMA DI REPORTING - 2

Thank you!

Public Use

Via Portuense 2482 – Edificio A – Interno 1 00054 Fiumicino – Roma

Tel +39 06-65.04.75.21

Fax +39 06-65.04.75.19

www.nsr.it

info@nsr.it