Visualizza la Brochure

PIATTAFORMA RISK MANAGEMENT
I Risk
•
Metodologia di analisi
 Specializzazione
 Modellizzazione
 Valutazione del rischio
 Gestione del rischio
•
Terminologia e ruoli
•
Architettura tecnologica
•
Screenshoot del prodotto
•
Pianificazione e deliverables
METODOLOGIA DI ANALISI – Le fasi del Risk Assessment con i Risk
1
Specializzazione (Definizione del Contesto e sua qualificazione)
2
Modellizzazione di Processi, Informazioni, Asset (componenti di sicurezza) e
libreria dei Controlli (ovvero creazione, manutenzione, riuso di una specifica
Sessione );
3
Valutazione del rischio:
4
•
Stima del valore dei Beni Primari ovvero i soggetti dell’analisi (matrice RID)
•
Individuazione degli Asset ovvero delle risorse tecnologiche, umane, materiali e immateriali
utilizzate per la fruizione dei beni primari.
•
Stima delle Minacce che incombono sugli Asset
•
Stima di importanza e livello di applicazione dei Controlli per la riduzione delle minacce
Gestione del rischio:
•
Accettazione, trasferimento o mitigazione del rischio
•
Applicazione delle Contromisure per la riduzione del rischio
FASE 1 – SPECIALIZZAZIONE - Le fasi del Risk Assessment con i Risk
Scelta della normativa di riferimento
ISO 27001, OWASP, privacy D.Lgs 196/2003
Accettazione / personalizzazione
della definizione dei beni primari
ISO 27001 = Processi / Informazioni,
Privacy
= Trattamenti / Banche dati,
OWASP
= Software factory / Applicazioni SW
Accettazione / estensione delle tipologie
di Asset standard previsti nel contesto
Accettazione / estensione delle tipologie
di Minacce standard previsti nel contesto
Accettazione / estensione dei Controlli standard
previsti dalla norma di riferimento
FASE 1 – SPECIALIZZAZIONE - Esempi di tipologie di Asset e Minacce
Contesto metodologico
Tipologia di Asset
ISO 27001
Privacy
OWASP
Sistema integrato di sicurezza logica
Banche Dati
Hardware sistemi IT
Risorse umane critiche
Ambiente applicativo
Sistemi di accesso
Applicazioni Generiche
(controlli di base)
Applicazioni C - C++
Applicazioni Java
Banche dati e Sistemi di storage
Sistema
Applicazioni Javascript
Rete Intranet
Supporti di backup
Applicazioni JSP
Reti esterne e Internet
Ubicazione delle Copie
Applicazioni PL-SQL-Oracle
Applicazioni e ambienti applicativi
Ubicazione delle applicazioni
Apache Tomcat
Violazione delle politiche di sicurezza
Sottrazione di credenziali di
autenticazione
M01 Minacce di tipo generale
Violazione aspetti organizzativi
Carenza di consapevolezza,
disattenzione o incuria
M02 Vulnerabilità comuni a tutti i
linguaggi
Errori nella classificazione e controllo
dei beni
Comportamenti sleali o fraudolenti
minacce specifiche ambienti C C++
Errori o abusi del personale
Errore materiale
minacce specifiche ambienti Java
Minacce fisiche ed ambientali
Azione di virus informatici o di
programmi suscettibili di recare danno
M05 Ambienti Javascript
…
…
…
SW di base e middleware
Software Factory
Minacce
…
FASE 1 – SPECIALIZZAZIONE - Esempi di controlli
Contesto metodologico
ISO 27001
E' stato approvato dalla Direzione, pubblicato
e comunicato a tutti i dipendenti e alle terze
parti coinvolte, un documento di Politica della
sicurezza?
Privacy
OWASP
Le regole di utilizzo delle risorse per Sono state adottate le tecniche
ciascun utente sono state definite e di mitigazione per la vulnerabilità
comunicate per iscritto agli utenti?
di tipo Buffer Overflow?
La Politica per la sicurezza delle informazioni è Gli utenti/sistemi dispongono di parole
Sono state adottate le tecniche
rivista ad intervalli pianificati e qualora si
chiave univoche, a loro solamente
di mitigazione per la vulnerabilità
verifichino significativi cambiamenti nella
riservate e da loro solamente
di tipo Command Injection?
organizzazione o nelle tecnologie ITC?
riconosciute?
Controlli
Sono state adottate le tecniche
La Direzione supporta attivamente la sicurezza Gli utenti/sistemi possono scambiarsi di mitigazione per la vulnerabilità
all'interno dell'Organizzazione ?
username e password tra loro?
di tipo Improper Input
Validation?
Le credenziali di autenticazione sono
Sono state adottate le tecniche
I responsabili aziendali ai diversi livelli si
state sostituite da altri sistemi (es.
di mitigazione per la vulnerabilità
coordinano in relazione alla sicurezza delle
riconoscimento biometrico
di tipo Cross Site Scripting
informazioni?
dell'incaricato con codice identificativo o
(XSS)?
con parola chiave)?
Le responsabilità della sicurezza sono
assegnate in modo chiaro?
…
Le credenziali di autenticazione sono
Sono state adottate le tecniche
univocamente assegnate o associate
di mitigazione per la vulnerabilità
individualmente ad un solo
di tipo Race Condition?
utente/sistema?
…
…
…
FASE 1I – MODELLIZZAZIONE - scelta/modifica/creazione di una specifica Sessione
Creazione di una sessione (un ambiente di analisi) con i dati specifici del perimetro
di analisi di interesse (es: azienda, divisioni, dipartimenti, …).
Caricamento dei beni primari
• ISO 27001: processi – informazioni
• OWASP: Software factory- applicativi - linguaggi di sviluppo
• privacy D.Lgs 196/2003: trattamenti – base dati
Individuazione dei proprietari dei beni primari oggetto della valutazione
Caricamento degli Asset e individuazione dei proprietari
FASE 1I – MODELLIZZAZIONE - Legami logici tra gli elementi della Sessione
Categoria
Asset – Minacce – Controlli
sottocategoria
sottocategoria
Tipologia asset
asset
asset
Tipologia asset
asset
Categoria
sottocategoria
minaccia
Beni primari
sottocategoria
controllo
minaccia
controllo
minaccia
controllo
minaccia
controllo
controllo
FASE 1II – VALUTAZIONE - Stima del valore dei Beni Primari
Sociale
Leggi
Immagine
che si avrebbe nel caso di:
• Perdita di Disponibilità
• Perdita di Riservatezza
• Perdita di Integrità
Processi
Economico
1 Trascurabile:
Le conseguenze sono di nessuna o modesta entità.
2 Basso:
Le conseguenze possono essere riassorbite, all’interno della
Direzione Sistemi informativi, senza impatti con l’esterno.
3 Medio:
Le conseguenze interessano altre Direzioni ma non hanno un
impatto significativo nei riguardi dell’utenza.
4 Alto:
5 Non recuperabile:
Le conseguenze si propagano al pubblico creando disagi.
Le conseguenze comportano danni non recuperabili.
Esempio: ritardo nei pagamenti ai cittadini.
Esempio di scala dei valori
Integrità
Oltre
5 Giorni
Danno
1 Giorno
Il valore del bene si calcola stimando l’impatto
• Sociale (danno alla collettività)
• Legale (non rispetto delle leggi)
• Di immagine
• Impatto su altri processi
• Economico
1 Ora
Disponibilità
Riservatezza
Matrice per la valutazione degli impatti (RID)
FASE 1II – VALUTAZIONE - Raccolta delle informazioni su Minacce e Controlli
EF : Frequenza storica
Stima delle
Minacce
Stima della rilevanza e del livello di
applicazione dei Controlli sugli Asset
EC: Livello attuale della minaccia
1= Rarissimo
2= Sporadico
3= Poco frequente
4= Frequente
5= Molto frequente
1= Inerte
2= Poco attiva
3= Attiva
4= Preoccupante
5= Allarmante
ER = Grado di rilevanza
ES = Livello di applicazione
1= Marginale
2= Poco influente
3= Influente
4= Rilevante
5= Determinante
1= Nullo
2= Pianificato/parziale
3= Realizzato
4= Riconosciuto
5= Integrato
Esempio di classificazione del livello di applicazione di un controllo
1 = Nullo
2 = Pianificato / parziale
3 = Realizzato
4 = Riconosciuto
5 = Integrato
Il controllo non è attualmente applicato.
Il controllo è in piano o in corso di sviluppo.
Il controllo è in esercizio ma ci sono significativi casi nei quali non è applicato.
Il controllo è sempre applicato salvo sporadiche eccezioni
Il controllo fa parte del processo: è applicato automaticamente e non è eludibile
FASE 1V – GESTIONE DEL RISCHIO – Analisi e azioni di miglioramento
Analisi dei risultati :
•
Ranking del rischio dei Beni Primari e degli Asset,
•
Ranking del livello di applicazione dei Controlli.
Azioni di miglioramento:
•
Accettazione, trasferimento o mitigazione del rischio
•
Applicazione delle contromisure per la riduzione del
rischio.
TERMINOLOGIA E CONCETTI IN I RISK
•
Contesto/i di analisi: Ambiente di lavoro per una specifica analisi costituito da librerie precaricate di Controlli,
Minacce, Tipologie di Asset standard in aderenza a specifiche metodologie o a riconosciute best practices.
•
Sessioni di analisi: Istanze di analisi nell’ambito di un contesto.
•
Impatto: Stima indiretta del “valore” di un bene primario ottenuta stimando il danno che si avrebbe nel caso di
perdita di: Riservatezza, Integrità, Disponibilità.
•
Asset: Risorse tecnologiche, umane, materiali e immateriali utilizzate per la fruizione dei beni. Sono raggruppati in
tipologie che condividono le stesse minacce e gli stessi controlli
•
Minacce: Azioni in grado di danneggiare gli Asset.
•
Controlli: Valutazioni delle misure di sicurezza in essere riferite ad ogni singolo asset il base alla sua tipologia.
•
Rischio: Livello di esposizione considerando il valore degli asset e lo stato di applicazione dei controlli in essere.
•
Analisi di miglioramento: Riduzione di livelli di rischio ottenuta migliorando l’efficacia dei controlli esistenti o
con l’introduzione di nuove contromisure.
•
Contromisura: azione di mitigazione del rischio caratterizzata da un obiettivo e da una data di implementazione
SISTEMA DI PRIVILEGI UTENTE IN I RISK
I profili che il Sistema di Gestione della Metodologia di Analisi del Rischio implementa sono:
Amministratore: profilo dedicato al provisioning degli utenti; non ha alcuna visibilità sulle fasi di analisi del
rischio.
Risk Assessment Owner (RAO): offre la funzionalità di creazione e gestione del “Contesto di analisi” di cui
è owner. Definisce il gruppo di lavoro. L’utente con questo profilo interviene in tutte le fasi del processo di
analisi.
Gli utenti appartenenti ad un gruppo di lavoro, relativamente ad un Contesto, possono avere i seguenti privilegi:
Risk Analyst: rappresenta la figura esperta che si occupa della fase di specializzazione dove estende le librerie
standard fornite dal sistema.
Context Specialist: rappresenta il conoscitore del contesto di cui si vuole effettuare l’analisi. Tra i context
specialist si potrà individuare una figura generica dedicata alla modellizzazione e figure tecniche o di business
dedicate alla compilazione dei questionari delle Minacce e delle Vulnerabilità ed alla compilazione del
questionario degli Impatti.
Manager: figura con la responsabilità di approvare i risultati prodotti per il contesto di analisi considerato.
ARCHITETTURA TECNOLOGICA
DELLA PIATTAFORMA I RISK
•
Architettura Web Based
•
Compatibilità con i browser più
recenti
•
Architettura Java JEE
(Apache/WebSphere) + Microsoft Sql
Server
•
Consolle di gestione centralizzata
•
Importazioni / esportazioni standard
su template MS Excel
•
Autenticazione (LDAP)
•
Profilatura
•
Scalabilità
•
Gestione del DB su SAN
DASHBOARD INIZIALE
FASE DI SPECIALIZZAZIONE
•
•
•
•
definizione dell’ asset model
definizione delle minacce
definizione dei controlli
definizione delle contromisure
FASE DI MODELLIZZAZIONE
• definizione dei processi - informazioni
• popolazione dell’ asset model
• generazione dei questionari
FASE DI VALUTAZIONE
• acquisizione delle risposte
• visualizzazione dei risultati
FASE DI VALUTAZIONE
• acquisizione delle risposte
• visualizzazione dei risultati
FASE DI GESTIONE DEL RISCHIO
IL SISTEMA DI REPORTING - 1
IL SISTEMA DI REPORTING - 2
Thank you!
Via Portuense 2482 – Edificio A – Interno 1
00054 Fiumicino – Roma
Tel +39 06-65.04.75.21
Fax +39 06-65.04.75.19
www.nsr.it
[email protected]
Public Use