View
216
Download
0
Category
Preview:
Citation preview
La sicurezza informatica è composta
da un organizzativinsieme di misure di tipo:
• tecnologico
•o
• normativo
La politica di sicurezza si concretizza
nella stesura di un piano di sicurezza
aziendale:
• piano di sicurezza strategico
(pluriennale)
• un piano di sicurezza operativo
(annuale)
Gestione della Sicurezza Informatica
Non esiste un piano di sicurezza che copra tutte le tipologie di
aziende ed i relativi obiettivi: è però possibile adottare una
metodologia comune nel creare il piano aziendale.
In letteratura e nella pratica esistono diverse metodologie. Tutte
possono però essere ricondotte, alle fasi elencate in figura:
Redazione di un Piano di Sicurezza
Fasi Metodologiche:
Analisi del Contesto
Struttura dell’organizzazione e finalità (distribuzione geografica
delle sedi, unità organizzative, ruoli, competenze,
responsabilità, processi)
Elementi fondamentali per l’analisi del contesto sono :
rilevazione e documentazione del modello del sistema
informativo
analisi del contesto normativo e legislativo vigente
Rilevazione e documentazione del modello del sistema
informativo con identificazione dei flussi informativi
(informatici e non):
• informazioni in azienda
• informazioni scambiate con l’esterno
• processi che le utilizzano
• definizione dei requisiti di sicurezza per ogni processo
In questa fase si prescinde dal supporto informatico fornito
ai diversi flussi informativi del sistema
Analisi del Contesto (2.)
Analisi del contesto normativo vigente:
• molte norme degli ultimi anni hanno implicazioni (dirette o
indirette)hanno forti implicazioni sull’attuazione delle misure di
sicurezza aziendali
• tra gli obiettivi fondamentali del piano di sicurezza aziendale vi
è quello di garantire il rispetto formale degli obblighi normativi da
parte dell’azienda e dei suoi responsabili
• richiede un’analisi del quadro normativo, delle sue implicazioni,
del livello di responsabilità individuale ed aziendale, dei poteri e
dei limiti di delega,dei rischi e delle sanzioni amministrative, civili
e penali
Analisi del Contesto (3.)
Fasi Metodologiche:
Analisi del Sistema Informatico
In questa fase si provvede al censimento delle risorse
hardware e software impiegate, al fine di:
individuare i punti di potenziale debolezza
individuare le responsabilità di gestione ed esercizio di
ciascun componente o aggregato di componenti
Analisi risorse fisiche, logiche, dipendenze tra risorse
Analisi del Sistema Informatico (2.)
Infrastrutture fisiche:
censimento di locali, cavedi, cablaggi, sistemi di protezione e
produzione di una base dati varie informazioni
(caratteristiche edilizie -dimensioni, disposizione, mappe,...,
caratteristiche impianti, …)
Apparati e cablaggi:
censimento di sistemi hw e apparati di rete e produzione di una
base dati varie informazioni (dati identificativi del sistema,
luogo di ubicazione, responsabile , piano di manutenzione
del sistema, ..)
Ambienti e procedure:
censimento di ambienti sw e procedure predisposte per realizzare i
servizi applicativi
Dati e Archivi:
Prevede il censimento e la mappatura dell’organizzazione logica dei
repository dati dell’organizzazione (modelli concettuali delle basi di dati
(ad es. E-R), definizione dei requisiti di sicurezza necessari, a livello di
repository e/o a livello di singoli oggetti)
Per ogni risorsa dati si devono definire:
contesti operativi (procedure che li adoperano, DBMS interessati,
server su cui risiedono, utenti che vi possono accedere)
requisiti di sicurezza (classificazione dei diritti di accesso)
politiche di back-up (supporti da usare, modalità di back-up (totale,
incrementale, ecc.), frequenza di aggiornamento e tempi di
conservazione
Analisi del Sistema Informatico (3.)
Fasi Metodologiche:
Analisi e Valutazione del Rischio
Associare un rischio a ciascuno degli eventi indesiderati
individuati. Rischio esprime la probabilità che un evento accada
e il danno che arreca al sistema se accade
La valutazione del rischio richiede:
Individuazione delle vulnerabilità
Stima della probabilità di occorrenza
Stima della perdita economica
Individuazione dei Data Asset
In questa fase, prendendo come riferimento la
descrizione e schematizzazione dei flussi ottenuta
nella fase precedente, vengono censiti tutti i dati
utilizzati dal processo oggetto dell’analisi. I dati
individuati vengono poi raggruppati in Data Asset
secondo determinati criteri (il loro utilizzo, i processi
nei quali vengono utilizzati, gli user, etc…)
Stima delle Probabilità di Occorrenza
Ad ogni classe di evento è fondamentale associare una probabilità di occorrenza, la cui stima è basata su:
• dati statistici generali da fonti pubbliche o da società di consulenza
• dati tecnici di apparati
MTBF: Mean Time Between Failure
MTTR: Mean Time To Repair
• osservazioni e analisi statistiche
• stime soggettive sulla base dell’esperienza
L’output di tale analisi è, per ogni vulnerabilità individuata, la probabilità di occorrenza annuale.
La probabilità di occorrenza annuale può anche essere >1, nel caso di vulnerabilità che mediamente accadono più di una volta all’anno.
Stima della Perdita Economica
Per ogni tipo di vulnerabilità individuata, si determina il costo del danno arrecato contabilizzando:
costi diretti: costi di intervento, di ripristino, ecc.
costi indiretti: danni economici e finanziari conseguenti al blocco dei sistemi (ad es. perdite finanziarie per ritardata fatturazione, perdita di immagine, violazione di obblighi di legge)
Il valore della perdita economica per evento (L) per la probabilità di occorrenza P determinano la perdita annuale attesa o ALE (Annual Loss Expectancy):
ALE = L * P
Esempi
Evento: allagamento del CED
Perdita presunta: L = € 600.000
Probabilità di occorrenza: P = 1% = 0,01
Perdita annuale attesa:
ALE = € 600.000 * 0,01 = € 6.000
Evento: infezione di virus alle 300 workstation (PC) aziendali
Perdita presunta, per postazione attaccata: L = € 125
Probabilità di occorrenza, per postazione: P = 200% = 2
Numero medio di PC interessati per infezione: n = 60% = 0,6
Perdita annuale attesa:
ALE = 300 * € 125 * 2 * 0,6 = € 45.000
Metodologie di Analisi del Rischio
Risk Analysis Quantitativa
Esempio di semplice modello di analisi: si basa sulla
determinazione, in termini economici, delle perdite che
un rischio puo’ causare nell’arco di dodici mesi.
I parametri che vengono considerati sono due:
1. Valore del Bene: indica il costo di ogni singolo bene
che l’organizzazione deve sostenere, nel caso si verifichi
la minaccia, per ripristinare tutti i servizi.
Sono inclusi anche le possibili perdite derivanti da una
perdita di immagine.
2. Frequenza di accadimento: Indica il numero di volte
che la minaccia ha luogo nell’arco di dodici mesi. Tale
valore puo’ essere ricavato dagli archivi storici della
societa’, o da analisi statistiche elaborate da
organizzazioni pubbliche.
Calcolo del Rischio Annuo
Il rischio annuo e’ calcolato semplicemente
moltiplicando il valore dei beni e
la frequenza di accadimento.
Maggiore e’ il valore ottenuto piu’ elevato e’ il rischio
Rischio annuo = Frequenza di accadimento
*Valore del bene
Esempio di Calcolo del Rischio
Consideriamo ad esempio il rischio di incendio in unasala macchine.
Supponiamo che il costo per il ripristino sia di unmilione di euro e che un incidente si verifichi una volta ogni dieci anni.
Rischio incendio
Frequenza di accadimento = 1/10
Valore dei Beni = 1.000.000 €
Rischio annuo = 100.000 €
Risk Analysis Qualitativa
La metodologia di tipo qualitativo provvede:
ad una sistematica analisi della terna :
•Asset;
•Minacce;
•Vulnerabilita’.
a proporre una serie di contromisure per
determinare il miglior rapporto costo-beneficio.
E’ una metodologia dove non vengono definiti valori economici relativi
al valore atteso dei danni
La Qualitative Risk Analysis e’ una tecnica che puo’
essere utilizzata per determinare il livello di protezione richiesto per
applicazioni, sistemi e tutti i beni aziendali.
Analisi qualitativa:
esempio di misura del rischio
Metrica per il rischio
definiamo una metrica per la probabilità
• due valori: bassa e alta
definiamo una metrica per l’impatto
• due valori: basso e alto
INCROCIANDO LE DUE VARIABILI OTTENGO IL
GRADO DI RISCHIO ASSOCIATO AD OGNI ASSET
DELL’AZIENDA
Fasi Metodologiche
individuazione delle contromisure =>analisi di standard e
modelli, valutazione del rapporto costo/efficacia, contromisure
di carattere organizzativo e tecnico
integrazione delle contromisure => individuare
sottoinsieme di costo minimo che soddisfi vincoli di
completezza, omogeneità, ridondanza controllata, effettiva
attuabilità
Esempio di individuazione e valutazione
contromisure
Evento: infezione di virus alle 300 workstation (PC) aziendali
Perdita presunta, per postazione attaccata: L = € 125
Probabilità di occorrenza, per postazione: P = 200% = 2
Numero medio di PC interessati per infezione: n = 60% = 0,6
Perdita annuale attesa:
ALE = 300 * € 125 * 2 * 0,6 = € 45.000
Contromisura: installazione di un sw antivirus su tutti i PC
Costo di acquisto: Ca = € 50 per ogni PC
Efficacia: 80% = 0,8
Probabilità di occorrenza in presenza di contromisure:
Pc = 2 * (1 - 0,8) = 0,4
Perdita annuale attesa in presenza di contromisure:
ALEc = 300 * € 125 * 0,4 * 0,6 = € 9.000
Risparmio economico atteso in presenza di contromisure:
RE = ALE – (Ca + ALEc) = € 45.000 – (€ 50 * 300 + € 9.000) =
= € 45.000 - € 24.000 = € 21.000
Recommended