PIATTAFORMA RISK MANAGEMENT I Risk - nsr.it · FASE 1V – GESTIONE DEL RISCHIO – Analisi e...
Transcript of PIATTAFORMA RISK MANAGEMENT I Risk - nsr.it · FASE 1V – GESTIONE DEL RISCHIO – Analisi e...
• Metodologia di analisi
Specializzazione
Modellizzazione
Valutazione del rischio
Gestione del rischio
• Terminologia e ruoli
• Architettura tecnologica
• Screenshoot del prodotto
• Pianificazione e deliverables
METODOLOGIA DI ANALISI – Le fasi del Risk Assessment con i Risk
1 Specializzazione (Definizione del Contesto e sua qualificazione)
2 Modellizzazione di Processi, Informazioni, Asset (componenti di sicurezza) e
libreria dei Controlli (ovvero creazione, manutenzione, riuso di una specifica
Sessione );
3 Valutazione del rischio:
• Stima del valore dei Beni Primari ovvero i soggetti dell’analisi (matrice RID)
• Individuazione degli Asset ovvero delle risorse tecnologiche, umane, materiali e immateriali
utilizzate per la fruizione dei beni primari.
• Stima delle Minacce che incombono sugli Asset
• Stima di importanza e livello di applicazione dei Controlli per la riduzione delle minacce
4 Gestione del rischio:
• Accettazione, trasferimento o mitigazione del rischio
• Applicazione delle Contromisure per la riduzione del rischio
FASE 1 – SPECIALIZZAZIONE - Le fasi del Risk Assessment con i Risk
Accettazione / estensione dei Controlli standard
previsti dalla norma di riferimento
Accettazione / personalizzazione
della definizione dei beni primari ISO 27001 = Processi / Informazioni,
Privacy = Trattamenti / Banche dati,
OWASP = Software factory / Applicazioni SW
Scelta della normativa di riferimento ISO 27001, OWASP, privacy D.Lgs 196/2003
Accettazione / estensione delle tipologie
di Asset standard previsti nel contesto
Accettazione / estensione delle tipologie
di Minacce standard previsti nel contesto
FASE 1 – SPECIALIZZAZIONE - Esempi di tipologie di Asset e Minacce
Contesto metodologico ISO 27001 Privacy OWASP …
Tipologia di Asset
Sistema integrato di sicurezza logica Banche Dati Applicazioni Generiche
(controlli di base)
Hardware sistemi IT Ambiente applicativo Applicazioni C - C++
Risorse umane critiche Sistemi di accesso Applicazioni Java
Banche dati e Sistemi di storage Sistema Applicazioni Javascript
Rete Intranet Supporti di backup Applicazioni JSP
Reti esterne e Internet Ubicazione delle Copie Applicazioni PL-SQL-Oracle
Applicazioni e ambienti applicativi Ubicazione delle applicazioni Apache Tomcat
SW di base e middleware
Software Factory
Minacce
Violazione delle politiche di sicurezza Sottrazione di credenziali di
autenticazione M01 Minacce di tipo generale
Violazione aspetti organizzativi Carenza di consapevolezza,
disattenzione o incuria
M02 Vulnerabilità comuni a tutti i
linguaggi
Errori nella classificazione e controllo
dei beni Comportamenti sleali o fraudolenti minacce specifiche ambienti C C++
Errori o abusi del personale Errore materiale minacce specifiche ambienti Java
Minacce fisiche ed ambientali Azione di virus informatici o di
programmi suscettibili di recare danno M05 Ambienti Javascript
… … …
FASE 1 – SPECIALIZZAZIONE - Esempi di controlli
Contesto metodologico ISO 27001 Privacy OWASP …
Controlli
E' stato approvato dalla Direzione, pubblicato
e comunicato a tutti i dipendenti e alle terze
parti coinvolte, un documento di Politica della
sicurezza?
Le regole di utilizzo delle risorse per
ciascun utente sono state definite e
comunicate per iscritto agli utenti?
Sono state adottate le tecniche
di mitigazione per la vulnerabilità
di tipo Buffer Overflow?
La Politica per la sicurezza delle informazioni è
rivista ad intervalli pianificati e qualora si
verifichino significativi cambiamenti nella
organizzazione o nelle tecnologie ITC?
Gli utenti/sistemi dispongono di parole
chiave univoche, a loro solamente
riservate e da loro solamente
riconosciute?
Sono state adottate le tecniche
di mitigazione per la vulnerabilità
di tipo Command Injection?
La Direzione supporta attivamente la sicurezza
all'interno dell'Organizzazione ?
Gli utenti/sistemi possono scambiarsi
username e password tra loro?
Sono state adottate le tecniche
di mitigazione per la vulnerabilità
di tipo Improper Input
Validation?
I responsabili aziendali ai diversi livelli si
coordinano in relazione alla sicurezza delle
informazioni?
Le credenziali di autenticazione sono
state sostituite da altri sistemi (es.
riconoscimento biometrico
dell'incaricato con codice identificativo o
con parola chiave)?
Sono state adottate le tecniche
di mitigazione per la vulnerabilità
di tipo Cross Site Scripting
(XSS)?
Le responsabilità della sicurezza sono
assegnate in modo chiaro?
Le credenziali di autenticazione sono
univocamente assegnate o associate
individualmente ad un solo
utente/sistema?
Sono state adottate le tecniche
di mitigazione per la vulnerabilità
di tipo Race Condition?
… … …
FASE 1I – MODELLIZZAZIONE - scelta/modifica/creazione di una specifica Sessione
Individuazione dei proprietari dei beni primari oggetto della valutazione
Caricamento dei beni primari
• ISO 27001: processi – informazioni
• OWASP: Software factory- applicativi - linguaggi di sviluppo
• privacy D.Lgs 196/2003: trattamenti – base dati
Caricamento degli Asset e individuazione dei proprietari
Creazione di una sessione (un ambiente di analisi) con i dati specifici del perimetro di analisi di interesse (es: azienda, divisioni, dipartimenti, …).
FASE 1I – MODELLIZZAZIONE - Legami logici tra gli elementi della Sessione
Categoria
asset
Tipologia asset minaccia
minaccia
minaccia
minaccia
controllo
controllo
controllo
controllo
controllo
Tipologia asset
asset
Categoria
sottocategoria sottocategoria sottocategoria sottocategoria
Ass
et
– M
inac
ce –
Contr
olli
asset
Beni primari
FASE 1II – VALUTAZIONE - Stima del valore dei Beni Primari
Il valore del bene si calcola stimando l’impatto
• Sociale (danno alla collettività)
• Legale (non rispetto delle leggi)
• Di immagine
• Impatto su altri processi
• Economico
che si avrebbe nel caso di:
• Perdita di Disponibilità
• Perdita di Riservatezza
• Perdita di Integrità
Danno
Disponibilità
Ris
erv
atezz
a
Inte
grità
1 O
ra
1 G
iorn
o
5 G
iorn
i
Oltre
Sociale
Leggi
Immagine
Processi
Economico
Matrice per la valutazione degli impatti (RID)
1 Trascurabile: Le conseguenze sono di nessuna o modesta entità.
2 Basso: Le conseguenze possono essere riassorbite, all’interno della
Direzione Sistemi informativi, senza impatti con l’esterno.
3 Medio: Le conseguenze interessano altre Direzioni ma non hanno un
impatto significativo nei riguardi dell’utenza.
4 Alto: Le conseguenze si propagano al pubblico creando disagi.
5 Non recuperabile: Le conseguenze comportano danni non recuperabili.
Esempio: ritardo nei pagamenti ai cittadini.
Esempio di scala dei valori
FASE 1II – VALUTAZIONE - Raccolta delle informazioni su Minacce e Controlli
Stima delle
Minacce
Stima della rilevanza e del livello di
applicazione dei Controlli sugli Asset
EF : Frequenza storica EC: Livello attuale della minaccia
ER = Grado di rilevanza ES = Livello di applicazione
1= Rarissimo
2= Sporadico
3= Poco frequente
4= Frequente
5= Molto frequente
1= Inerte
2= Poco attiva
3= Attiva
4= Preoccupante
5= Allarmante
1= Marginale
2= Poco influente
3= Influente
4= Rilevante
5= Determinante
1= Nullo
2= Pianificato/parziale
3= Realizzato
4= Riconosciuto
5= Integrato
Esempio di classificazione del livello di applicazione di un controllo
1 = Nullo Il controllo non è attualmente applicato.
2 = Pianificato / parziale Il controllo è in piano o in corso di sviluppo.
3 = Realizzato Il controllo è in esercizio ma ci sono significativi casi nei quali non è applicato.
4 = Riconosciuto Il controllo è sempre applicato salvo sporadiche eccezioni
5 = Integrato Il controllo fa parte del processo: è applicato automaticamente e non è eludibile
FASE 1V – GESTIONE DEL RISCHIO – Analisi e azioni di miglioramento
Analisi dei risultati :
• Ranking del rischio dei Beni Primari e degli Asset,
• Ranking del livello di applicazione dei Controlli.
Azioni di miglioramento:
• Accettazione, trasferimento o mitigazione del rischio
• Applicazione delle contromisure per la riduzione del
rischio.
TERMINOLOGIA E CONCETTI IN I RISK
• Contesto/i di analisi: Ambiente di lavoro per una specifica analisi costituito da librerie precaricate di Controlli,
Minacce, Tipologie di Asset standard in aderenza a specifiche metodologie o a riconosciute best practices.
• Sessioni di analisi: Istanze di analisi nell’ambito di un contesto.
• Impatto: Stima indiretta del “valore” di un bene primario ottenuta stimando il danno che si avrebbe nel caso di
perdita di: Riservatezza, Integrità, Disponibilità.
• Asset: Risorse tecnologiche, umane, materiali e immateriali utilizzate per la fruizione dei beni. Sono raggruppati in
tipologie che condividono le stesse minacce e gli stessi controlli
• Minacce: Azioni in grado di danneggiare gli Asset.
• Controlli: Valutazioni delle misure di sicurezza in essere riferite ad ogni singolo asset il base alla sua tipologia.
• Rischio: Livello di esposizione considerando il valore degli asset e lo stato di applicazione dei controlli in essere.
• Analisi di miglioramento: Riduzione di livelli di rischio ottenuta migliorando l’efficacia dei controlli esistenti o
con l’introduzione di nuove contromisure.
• Contromisura: azione di mitigazione del rischio caratterizzata da un obiettivo e da una data di implementazione
SISTEMA DI PRIVILEGI UTENTE IN I RISK
I profili che il Sistema di Gestione della Metodologia di Analisi del Rischio implementa sono:
Amministratore: profilo dedicato al provisioning degli utenti; non ha alcuna visibilità sulle fasi di analisi del
rischio.
Risk Assessment Owner (RAO): offre la funzionalità di creazione e gestione del “Contesto di analisi” di cui
è owner. Definisce il gruppo di lavoro. L’utente con questo profilo interviene in tutte le fasi del processo di
analisi.
Gli utenti appartenenti ad un gruppo di lavoro, relativamente ad un Contesto, possono avere i seguenti privilegi:
Risk Analyst: rappresenta la figura esperta che si occupa della fase di specializzazione dove estende le librerie
standard fornite dal sistema.
Context Specialist: rappresenta il conoscitore del contesto di cui si vuole effettuare l’analisi. Tra i context
specialist si potrà individuare una figura generica dedicata alla modellizzazione e figure tecniche o di business
dedicate alla compilazione dei questionari delle Minacce e delle Vulnerabilità ed alla compilazione del
questionario degli Impatti.
Manager: figura con la responsabilità di approvare i risultati prodotti per il contesto di analisi considerato.
ARCHITETTURA TECNOLOGICA
DELLA PIATTAFORMA I RISK
• Architettura Web Based
• Compatibilità con i browser più
recenti
• Architettura Java JEE
(Apache/WebSphere) + Microsoft Sql
Server
• Consolle di gestione centralizzata
• Importazioni / esportazioni standard
su template MS Excel
• Autenticazione (LDAP)
• Profilatura
• Scalabilità
• Gestione del DB su SAN
FASE DI SPECIALIZZAZIONE
• definizione dell’ asset model
• definizione delle minacce
• definizione dei controlli
• definizione delle contromisure
FASE DI MODELLIZZAZIONE
• definizione dei processi - informazioni
• popolazione dell’ asset model
• generazione dei questionari
Thank you!
Public Use
Via Portuense 2482 – Edificio A – Interno 1 00054 Fiumicino – Roma
Tel +39 06-65.04.75.21
Fax +39 06-65.04.75.19
www.nsr.it