STDE_Logo2015REL 180.16.2

   Studio Dell’Agnello S.r.l.

Soluzioni e innovazione per la sicurezza delle Aziende e della P.A.

LA GESTIONE DEI RISCHI NEI SISTEMI INFORMATIVILine4Lunga

Sommario

    Introduzione
    Gli elementi del rischio
    Che cosa interessa al management
    La valutazione della sicurezza
    Le protezioni fisiche
    Le protezioni logiche
    Le misure organizzative
    L’analisi delle minacce
    L’analisi delle vulnerabilità
    La valutazione del rischio
    L’accettabilità del rischio
 

INTRODUZIONE

Sia che si svolga la funzione di responsabile dei sistemi informativi o della sicurezza di un’organizzazione o si sia un professionista ci troveremo a dover affrontare la problematica della sicurezza informatica.

I casi tipici di rischio da considerare riguardano in particolare: la indisponibilità prolungata del servizio informatico per la presenza ad esempio di virus, con i conseguenti danni al funzionamento regolare dei sistemi, il caso di attacchi aventi come obiettivo la saturazione delle linee di comunicazione tramite l’invio di  un numero elevato di messaggi di spam, la mancanza di alimentazione elettrica magari senza un’adeguata fonte alternativa, la distruzione di dati nei dischi fissi dei computer con i conseguenti ritardi per il ripristino dei dati; i casi di modifiche di dati effettuate per ricavare vantaggi economici in maniera fraudolenta o produrre danni che generino difficoltà per le attività da svolgere, con conseguente perdita d’immagine e diminuzione di clienti o costi supplementari da sopportare. I casi di furti di informazioni riservate, quali le password e i numeri di carte di credito, con prelevamenti dai conti correnti, o i furti di dati personali sensibili, e conseguenti sanzioni pecuniarie e/o penali per i dirigenti e professionisti responsabili di omessa protezione dei sistemi.

 E’ dunque necessario porre attenzione alla sicurezza al fine di evitare i danni che derivano da una sua non adeguata gestione.

GLI ELEMENTI DEL RISCHIO

Le minacce, cioè i possibili eventi che danno luogo ai casi prima ricordati, spesso non possono essere eliminate, ma predisponendo dei sistemi di protezione si può ridurre se non eliminare le conseguenze che ne derivano e perciò ridurre considerevolmente i rischi. Infatti il rischio è costituito da due fattori: l’ammontare del danno dell’evento e la probabilità/frequenza dell’evento stesso, le misure di sicurezza hanno come obiettivo la riduzione di questi fattori.

 Le condizioni che rendono possibile il concretizzarsi delle minacce vengono definite vulnerabilità. Queste non sono altro che lacune nel sistema di sicurezza dell’organizzazione, quali ad esempio le mancanze di meccanismi di sicurezza, la non corretta gestione delle modalità di utilizzo dei meccanismi, le mancanze organizzative o di assegnazione di responsabilità.

Per questo vengono in aiuto alcuni strumenti che vanno dalla normativa vigente in materia di sicurezza e privacy, alle indicazioni fornite dai vari comitati di standard sulla sicurezza, come la norma ISO/IEC 27001, alle “best practices derivate dall’esperienza degli esperti nel quotidiano lavoro di predisposizione dei sistemi di protezione.

CHE COSA INTERESSA AL MANAGEMENT

L’interesse dei manager è rivolto in particolare a conoscere quali sono le “vulnerabilità” presenti, qual’è il “livello di rischio” conseguente e le modalità con cui misurarlo. Inoltre viene sentito di particolare rilevanza il conoscere quanto è necessario spendere per i nuovi interventi di sicurezza per ottenere un livello accettabile di rischio e un’adeguata protezione.

 Per ottenere efficacia nella sicurezza non è sufficiente l’introduzione di misure tecniche di protezione, in quanto le persone rivestono un ruolo fondamentale nella pianificazione, nella implementazione e nel controllo della sicurezza. Solo un approccio integrato di questi due elementi consente di ottenere risultati validi ed efficaci. Oltre una certa dimensione dell’organizzazione è conveniente predisporre un Sistema di gestione per la Sicurezza delle Informazioni (ISMS - Information Security Management System) in grado di indicare tutti gli elementi e le modalità per ottenere una corretta “Governance” della sicurezza.

LA VALUTAZIONE DELLA SICUREZZA

Per affrontare il più obiettivamente possibile l’identificazione e valutazione delle vulnerabilità è conveniente confrontare lo stato di attuazione dei “controlli di sicurezza”, intesi come criteri da applicare per ottenere una adeguata sicurezza, con un “modello di riferimento”. Il confronto consente di ottenere una verifica più “oggettiva” e completa rispetto ad un giudizio “soggettivo”. Questo argomento verrà ulteriormente sviluppato nel seguito.

Le aree rilevanti per la sicurezza dei servizi informatici riguardano sia aspetti fisici e  logici sia aspetti organizzativi. Nelle sezioni che seguono vengono accennate alcune delle principali protezioni utilizzate per la sicurezza delle informazioni, la cui mancanza può costituire una possibile vulnerabilità per il sistema informatico.

LE PROTEZIONI FISICHE

Il primo aspetto da verificare è la protezione fisica dei computer sia da minacce quali incendi e allagamenti sia da accessi non autorizzati ai locali dove essi si trovano. Gli attacchi portati avanti potendo accedere fisicamente ai computer hanno una potenzialità di danno molto elevata. Si può arrivare a distruggere un computer, a rubarlo, a reinstallarlo e riconfigurarlo completamente, a rendere inattive le protezioni logiche e fisiche messe a protezione dei dati e dei programmi.

LE PROTEZIONI LOGICHE

Anche senza accedere fisicamente ai locali dove si trovano i computer è possibile fare danni rilevanti accedendo in maniera logica tramite le reti (fisse o wireless) e altri mezzi di comunicazione. Il metodo più diffuso per controllare l’accesso logico ai computer e ai dati e programmi è l’uso di una password associata ad una user-id. La password è utilizzata per ottenere l’autenticazione dell’utente essendo questi l’unico depositario di questa informazione riservata. La gestione della password influenza grandemente il livello di sicurezza effettivo dei sistemi. Non deve essere inferiore agli 8 caratteri, essere cambiata almeno ogni 6 mesi, 3 mesi per i dati sensibili, non deve richiamare cose scontate come il nome della moglie, la società per cui si lavora, ecc. e non deve essere rivelata ad altre persone, anche se ritenute fidate.

Occorrono inoltre delle misure di sicurezza perimetrali che isolino logicamente delle aree del sistema informativo più critiche proteggendole da accessi non autorizzati come ad esempio è ottenibile con misure quali i firewall. I firewall regolano l’accesso ad una rete o ad un computer in base al tipo di servizio richiesto, all’indirizzo IP e in generale in base a regole codificate. Da soli non possono bloccare tutte le minacce, infatti i virus utilizzano sempre di più le E-mail, occorre dunque un controllo accurato di quest’ultime prima di consentire all’utente di accedervi, cosa che viene fatta dai programmi antivirus attuali, che si incaricano ormai anche di funzioni antispyware, cioè di proteggere dal software dannoso in grado di fornire all’esterno dati presenti nel computer o modificare la configurazione del browser, in genere per usi pubblicitari.

Per poter fare danno un virus deve ottenere l’esecuzione di una sezione pur piccola di codice, i programmi antivirus sterilizzano spesso tali possibilità o forniscono segnalazioni che mettono in guardia da queste situazioni di rischio. Un problema è costituito dal fatto che spesso le maggiori potenzialità di automazione sono ottenute da macro, active-x, javascript, ecc che possono essere sfruttate dai virus per fare danno. In tal caso occorre configurare per ottenere la segnalazione di rischio e riconosciuta la fonte sicura del codice autorizzarne l’esecuzione.

La presenza di migliaia di virus, worm e altri codici dannosi in grado di diffondersi nei computer sfruttando “errori nei programmi software” o cercando di introdursi via e-mail rende indispensabile l’uso dei programmi antivirus, ma questi programmi sono inefficaci se non costantemente aggiornati.

Anche l’aggiornamento dei programmi software, in particolare del sistema operativo, ha un forte impatto sulla sicurezza, perchè quando viene scoperto un problema di sicurezza in un pacchetto software i costruttori di virus cercano di sfruttarlo per creare nuovi virus e se coloro che si occupano della sicurezza e manutenzione dei computer non aggiornano con le patch fornite dalle case di software i programmi, possono subire l’attacco di questi nuovi virus prima che i programmi antivirus li blocchino.

La crittografia e tutte le misure che la utilizzano sono importanti per preservare la riservatezza delle informazioni; pensiamo ad esempio alle VPN (Virtual Private Networks) che permettono di predisporre delle reti logiche sicure, sempre con la crittografia, su reti fisiche non sicure come ad esempio internet. Infatti le tecniche crittografiche consentono di verificare l’integrità dei messaggi e l’autenticità dei loro mittenti (ad esempio con l’uso di certificati digitali) e assicurano che solo i legittimi destinatari possano leggere il contenuto dei messaggi. Un’altra misura di sicurezza a protezione dell’integrità di documenti e del loro autore è costituita dalla firma digitale anch’essa basata sulle tecniche crittografiche prima ricordate.

 Altra salvaguardia fondamentale di tipo logico è il backup dei dati. I computer possono andare in “crash”, con danni ai dati e ai programmi e conseguenti ritardi e interruzioni del servizio come prima detto. Il recupero dei dati già inseriti ed elaborati è fondamentale per evitare costi non previsti e problemi con i clienti. Con un’attività di salvataggio dei dati effettuata a fine giornata ed una loro collocazione in zona sicura, distante dai computer di origine si riesce a salvaguardarsi dai maggiori rischi di perdita d’integrità o di distruzione dei dati.

LE MISURE ORGANIZZATIVE

Proporzionalmente alla dimensione dell’organizzazione i titolari dovranno pensare a funzioni che si occupino degli aspetti di sicurezza, assegnando le relative responsabilità per la pianificazione implementazione e controllo delle misure di sicurezza.

Tra le misure organizzative l’emissione di direttive sulla sicurezza, la sensibilizzazione e formazione del personale sulla sicurezza e le funzioni di controllo e di auditing sono elementi chiave che consentono se applicate compiutamente quella efficacia nella sicurezza altrimenti non ottenibile. Anche la valutazione dei rischi non è eludibile, se si vuole avere la situazione effettiva e la consapevolezza degli interventi necessari da effettuare per una adeguata protezione e per non cadere in situazioni critiche per l’organizzazione. Sarà effettuata con mezzi proporzionali alle dimensioni dell’organizzazione e del suo sistema informativo.

A tal proposito assume particolare importanza il Piano di Disaster Recovery che può essere implementato con vari approcci, anche in collaborazione con altre organizzazioni o con altre sedi proprie aventi realtŕ informative rilevanti. Spesso costituisce un problema non indifferente per i forti investimenti che comporta in caso di realtà di una certa dimensione.

L’ANALISI DELLE MINACCE

La valutazione del rischi si basa sull’analisi delle minacce e tiene conto delle statistiche sui vari tipi di rischio sia generali sia raccolte dalla specifica organizzazione, i cosiddetti dati locali. Una valida analisi delle minacce evita che siano valutati rischi assolutamente irrilevanti per l’azienda e permette di concentrare l’attenzione sui rischi che possono costituire una fonte di perdita per l’azienda o il professionista.

L’utilizzo di strumenti che contengono nella loro base dati la lista delle principali minacce per i sistemi informatici può essere utile, perchè forniscono anche le statistiche generali sulla frequenza media di tali minacce. Alcuni strumenti forniscono inoltre anche le statistiche relative al danno medio probabile che si può avere, tutto questo facilita la successiva fase di rilevamento di statistiche specifiche nell’organizzazione.

 L’analisi del rischio si occupa di determinare i possibili danni che si potrebbero avere a fronte di un incidente o di un attacco che colpisca i dati o le risorse del sistema informatico, per effettuare tale valutazione occorre identificare i beni (asset) dell’ambito in cui vogliamo valutare i rischi che possono essere colpiti e solo dopo possiamo analizzare con precisione il tipo di minacce da considerare. I beni possono essere considerati anche a gruppi con caratteristiche/esigenze comuni di sicurezza.

L’ANALISI DELLE VULNERABILITA’

L’analisi delle vulnerabilità viene svolta tramite visite di controllo e l’utilizzo di questionari che, con un metodo di valutazione secondo i correnti standard di auditing, richiedono alle persone che gestiscono e utilizzano il sistema informatico informazioni sul livello di attuazione e la conformità ai “controlli” di sicurezza di un modello di riferimento, cioè ai criteri di sicurezza in esso contenuti.

I controlli sono raggruppati in aree rilevanti per la sicurezza che in caso di non conformità costituiscono le Aree di vulnerabilità del sistema sotto valutazione.

E’ possibile inoltre acquisire ulteriori informazioni sulle vulnerabilità di rete tramite una attività di “penetration testing”, che indichi eventuali lacune nella protezione perimetrale e nei sistemi. Tali lacune possono consentire l’accesso non autorizzato dall’esterno alla rete interna  e ai computer dell’organizzazione

LA VALUTAZIONE DEL RISCHIO

La valutazione dei rischi relativi alle varie minacce tiene conto del rischio potenziale legato ai danni possibili che la minaccia potrebbe provocare sui beni colpiti se non vi fossero protezioni e del livello di protezione applicato a tali beni per ridurre i danni. Anche qui sono utili le informazioni statistiche di valutazione che gli strumenti possono fornire.

Gli strumenti che usano metodologie quantitative sono in grado di stimare una misura monetaria del rischio, mentre gli strumenti qualitativi forniscono una misura sul livello di rischio.

L’ACCETTABILITA’ DEL RISCHIO

Una volta ottenuta una valutazione dei rischi per le varie minacce occorre decidere se tale livello di rischio è accettabile per l’organizzazione oppure se è necessario intervenire o trasferirlo ad esempio ad una assicurazione. Si definiscono perciò dei criteri di accettabilità che in genere riguardano il livello di rischio, ma che possono riguardare anche il livello di conformità che desideriamo comunque soddisfare nei confronti di determinate normative, poi, in base ai criteri scelti, impostato un algoritmo sulle priorità di intervento otterremo una lista di interventi da effettuare e le relative priorità.

La scelta finale da parte del management si baserà su un’analisi costi/benefici, ma anche sulle difficoltà implementative e organizzative che si avrebbero nella parte realizzativa.

Tutti i passaggi qui sintetizzati possono essere significativamente ridotti dal punto di vista dei tempi e delle risorse utilizzando uno strumento che gestisce gran parte del processo di Risk management, effettuando ad esempio l’analisi costi/benefici e fornendo i diagrammi e tabelle sulle aree critiche e le priorità di intervento, dando così ai responsabili le indicazioni chiave su cui decidere.

Uno strumento professionale in grado di fornire modalità di valutazione del rischio utilizzabil per tutte le possibili tipologie di valutazione èRiskXRStudio IS&ISO27001 Professional.

                 Renzo Dell’Agnello                   STUDIO   DELL’AGNELLO S.r.l.

Altri articoli: Lavoro e privacy

p_Regular
Home   Chi siamo   Consulenza   Prodotti   Contatti   Supporto 
p_Regular
p_Regular