Visualizza la Brochure
Transcript
Visualizza la Brochure
PIATTAFORMA RISK MANAGEMENT I Risk • Metodologia di analisi Specializzazione Modellizzazione Valutazione del rischio Gestione del rischio • Terminologia e ruoli • Architettura tecnologica • Screenshoot del prodotto • Pianificazione e deliverables METODOLOGIA DI ANALISI – Le fasi del Risk Assessment con i Risk 1 Specializzazione (Definizione del Contesto e sua qualificazione) 2 Modellizzazione di Processi, Informazioni, Asset (componenti di sicurezza) e libreria dei Controlli (ovvero creazione, manutenzione, riuso di una specifica Sessione ); 3 Valutazione del rischio: 4 • Stima del valore dei Beni Primari ovvero i soggetti dell’analisi (matrice RID) • Individuazione degli Asset ovvero delle risorse tecnologiche, umane, materiali e immateriali utilizzate per la fruizione dei beni primari. • Stima delle Minacce che incombono sugli Asset • Stima di importanza e livello di applicazione dei Controlli per la riduzione delle minacce Gestione del rischio: • Accettazione, trasferimento o mitigazione del rischio • Applicazione delle Contromisure per la riduzione del rischio FASE 1 – SPECIALIZZAZIONE - Le fasi del Risk Assessment con i Risk Scelta della normativa di riferimento ISO 27001, OWASP, privacy D.Lgs 196/2003 Accettazione / personalizzazione della definizione dei beni primari ISO 27001 = Processi / Informazioni, Privacy = Trattamenti / Banche dati, OWASP = Software factory / Applicazioni SW Accettazione / estensione delle tipologie di Asset standard previsti nel contesto Accettazione / estensione delle tipologie di Minacce standard previsti nel contesto Accettazione / estensione dei Controlli standard previsti dalla norma di riferimento FASE 1 – SPECIALIZZAZIONE - Esempi di tipologie di Asset e Minacce Contesto metodologico Tipologia di Asset ISO 27001 Privacy OWASP Sistema integrato di sicurezza logica Banche Dati Hardware sistemi IT Risorse umane critiche Ambiente applicativo Sistemi di accesso Applicazioni Generiche (controlli di base) Applicazioni C - C++ Applicazioni Java Banche dati e Sistemi di storage Sistema Applicazioni Javascript Rete Intranet Supporti di backup Applicazioni JSP Reti esterne e Internet Ubicazione delle Copie Applicazioni PL-SQL-Oracle Applicazioni e ambienti applicativi Ubicazione delle applicazioni Apache Tomcat Violazione delle politiche di sicurezza Sottrazione di credenziali di autenticazione M01 Minacce di tipo generale Violazione aspetti organizzativi Carenza di consapevolezza, disattenzione o incuria M02 Vulnerabilità comuni a tutti i linguaggi Errori nella classificazione e controllo dei beni Comportamenti sleali o fraudolenti minacce specifiche ambienti C C++ Errori o abusi del personale Errore materiale minacce specifiche ambienti Java Minacce fisiche ed ambientali Azione di virus informatici o di programmi suscettibili di recare danno M05 Ambienti Javascript … … … SW di base e middleware Software Factory Minacce … FASE 1 – SPECIALIZZAZIONE - Esempi di controlli Contesto metodologico ISO 27001 E' stato approvato dalla Direzione, pubblicato e comunicato a tutti i dipendenti e alle terze parti coinvolte, un documento di Politica della sicurezza? Privacy OWASP Le regole di utilizzo delle risorse per Sono state adottate le tecniche ciascun utente sono state definite e di mitigazione per la vulnerabilità comunicate per iscritto agli utenti? di tipo Buffer Overflow? La Politica per la sicurezza delle informazioni è Gli utenti/sistemi dispongono di parole Sono state adottate le tecniche rivista ad intervalli pianificati e qualora si chiave univoche, a loro solamente di mitigazione per la vulnerabilità verifichino significativi cambiamenti nella riservate e da loro solamente di tipo Command Injection? organizzazione o nelle tecnologie ITC? riconosciute? Controlli Sono state adottate le tecniche La Direzione supporta attivamente la sicurezza Gli utenti/sistemi possono scambiarsi di mitigazione per la vulnerabilità all'interno dell'Organizzazione ? username e password tra loro? di tipo Improper Input Validation? Le credenziali di autenticazione sono Sono state adottate le tecniche I responsabili aziendali ai diversi livelli si state sostituite da altri sistemi (es. di mitigazione per la vulnerabilità coordinano in relazione alla sicurezza delle riconoscimento biometrico di tipo Cross Site Scripting informazioni? dell'incaricato con codice identificativo o (XSS)? con parola chiave)? Le responsabilità della sicurezza sono assegnate in modo chiaro? … Le credenziali di autenticazione sono Sono state adottate le tecniche univocamente assegnate o associate di mitigazione per la vulnerabilità individualmente ad un solo di tipo Race Condition? utente/sistema? … … … FASE 1I – MODELLIZZAZIONE - scelta/modifica/creazione di una specifica Sessione Creazione di una sessione (un ambiente di analisi) con i dati specifici del perimetro di analisi di interesse (es: azienda, divisioni, dipartimenti, …). Caricamento dei beni primari • ISO 27001: processi – informazioni • OWASP: Software factory- applicativi - linguaggi di sviluppo • privacy D.Lgs 196/2003: trattamenti – base dati Individuazione dei proprietari dei beni primari oggetto della valutazione Caricamento degli Asset e individuazione dei proprietari FASE 1I – MODELLIZZAZIONE - Legami logici tra gli elementi della Sessione Categoria Asset – Minacce – Controlli sottocategoria sottocategoria Tipologia asset asset asset Tipologia asset asset Categoria sottocategoria minaccia Beni primari sottocategoria controllo minaccia controllo minaccia controllo minaccia controllo controllo FASE 1II – VALUTAZIONE - Stima del valore dei Beni Primari Sociale Leggi Immagine che si avrebbe nel caso di: • Perdita di Disponibilità • Perdita di Riservatezza • Perdita di Integrità Processi Economico 1 Trascurabile: Le conseguenze sono di nessuna o modesta entità. 2 Basso: Le conseguenze possono essere riassorbite, all’interno della Direzione Sistemi informativi, senza impatti con l’esterno. 3 Medio: Le conseguenze interessano altre Direzioni ma non hanno un impatto significativo nei riguardi dell’utenza. 4 Alto: 5 Non recuperabile: Le conseguenze si propagano al pubblico creando disagi. Le conseguenze comportano danni non recuperabili. Esempio: ritardo nei pagamenti ai cittadini. Esempio di scala dei valori Integrità Oltre 5 Giorni Danno 1 Giorno Il valore del bene si calcola stimando l’impatto • Sociale (danno alla collettività) • Legale (non rispetto delle leggi) • Di immagine • Impatto su altri processi • Economico 1 Ora Disponibilità Riservatezza Matrice per la valutazione degli impatti (RID) FASE 1II – VALUTAZIONE - Raccolta delle informazioni su Minacce e Controlli EF : Frequenza storica Stima delle Minacce Stima della rilevanza e del livello di applicazione dei Controlli sugli Asset EC: Livello attuale della minaccia 1= Rarissimo 2= Sporadico 3= Poco frequente 4= Frequente 5= Molto frequente 1= Inerte 2= Poco attiva 3= Attiva 4= Preoccupante 5= Allarmante ER = Grado di rilevanza ES = Livello di applicazione 1= Marginale 2= Poco influente 3= Influente 4= Rilevante 5= Determinante 1= Nullo 2= Pianificato/parziale 3= Realizzato 4= Riconosciuto 5= Integrato Esempio di classificazione del livello di applicazione di un controllo 1 = Nullo 2 = Pianificato / parziale 3 = Realizzato 4 = Riconosciuto 5 = Integrato Il controllo non è attualmente applicato. Il controllo è in piano o in corso di sviluppo. Il controllo è in esercizio ma ci sono significativi casi nei quali non è applicato. Il controllo è sempre applicato salvo sporadiche eccezioni Il controllo fa parte del processo: è applicato automaticamente e non è eludibile FASE 1V – GESTIONE DEL RISCHIO – Analisi e azioni di miglioramento Analisi dei risultati : • Ranking del rischio dei Beni Primari e degli Asset, • Ranking del livello di applicazione dei Controlli. Azioni di miglioramento: • Accettazione, trasferimento o mitigazione del rischio • Applicazione delle contromisure per la riduzione del rischio. TERMINOLOGIA E CONCETTI IN I RISK • Contesto/i di analisi: Ambiente di lavoro per una specifica analisi costituito da librerie precaricate di Controlli, Minacce, Tipologie di Asset standard in aderenza a specifiche metodologie o a riconosciute best practices. • Sessioni di analisi: Istanze di analisi nell’ambito di un contesto. • Impatto: Stima indiretta del “valore” di un bene primario ottenuta stimando il danno che si avrebbe nel caso di perdita di: Riservatezza, Integrità, Disponibilità. • Asset: Risorse tecnologiche, umane, materiali e immateriali utilizzate per la fruizione dei beni. Sono raggruppati in tipologie che condividono le stesse minacce e gli stessi controlli • Minacce: Azioni in grado di danneggiare gli Asset. • Controlli: Valutazioni delle misure di sicurezza in essere riferite ad ogni singolo asset il base alla sua tipologia. • Rischio: Livello di esposizione considerando il valore degli asset e lo stato di applicazione dei controlli in essere. • Analisi di miglioramento: Riduzione di livelli di rischio ottenuta migliorando l’efficacia dei controlli esistenti o con l’introduzione di nuove contromisure. • Contromisura: azione di mitigazione del rischio caratterizzata da un obiettivo e da una data di implementazione SISTEMA DI PRIVILEGI UTENTE IN I RISK I profili che il Sistema di Gestione della Metodologia di Analisi del Rischio implementa sono: Amministratore: profilo dedicato al provisioning degli utenti; non ha alcuna visibilità sulle fasi di analisi del rischio. Risk Assessment Owner (RAO): offre la funzionalità di creazione e gestione del “Contesto di analisi” di cui è owner. Definisce il gruppo di lavoro. L’utente con questo profilo interviene in tutte le fasi del processo di analisi. Gli utenti appartenenti ad un gruppo di lavoro, relativamente ad un Contesto, possono avere i seguenti privilegi: Risk Analyst: rappresenta la figura esperta che si occupa della fase di specializzazione dove estende le librerie standard fornite dal sistema. Context Specialist: rappresenta il conoscitore del contesto di cui si vuole effettuare l’analisi. Tra i context specialist si potrà individuare una figura generica dedicata alla modellizzazione e figure tecniche o di business dedicate alla compilazione dei questionari delle Minacce e delle Vulnerabilità ed alla compilazione del questionario degli Impatti. Manager: figura con la responsabilità di approvare i risultati prodotti per il contesto di analisi considerato. ARCHITETTURA TECNOLOGICA DELLA PIATTAFORMA I RISK • Architettura Web Based • Compatibilità con i browser più recenti • Architettura Java JEE (Apache/WebSphere) + Microsoft Sql Server • Consolle di gestione centralizzata • Importazioni / esportazioni standard su template MS Excel • Autenticazione (LDAP) • Profilatura • Scalabilità • Gestione del DB su SAN DASHBOARD INIZIALE FASE DI SPECIALIZZAZIONE • • • • definizione dell’ asset model definizione delle minacce definizione dei controlli definizione delle contromisure FASE DI MODELLIZZAZIONE • definizione dei processi - informazioni • popolazione dell’ asset model • generazione dei questionari FASE DI VALUTAZIONE • acquisizione delle risposte • visualizzazione dei risultati FASE DI VALUTAZIONE • acquisizione delle risposte • visualizzazione dei risultati FASE DI GESTIONE DEL RISCHIO IL SISTEMA DI REPORTING - 1 IL SISTEMA DI REPORTING - 2 Thank you! Via Portuense 2482 – Edificio A – Interno 1 00054 Fiumicino – Roma Tel +39 06-65.04.75.21 Fax +39 06-65.04.75.19 www.nsr.it [email protected] Public Use