Pubblichiamo, su gentile concessione di ISCOM,  Istituto Superiore delle Comunicazioni e delle tecnologie dell’Informazione, il quarto capitolo delle linee guida “La sicurezza delle reti - dall'analisi del rischio alle strategie di protezione” . La versione completa è liberamente scaricabile in italiano (PDF, 1.45 MB) ed in inglese (PDF, 1.13 MB) da sito di  ISCOM ove sono inoltre disponibili altre due linee guida:  "La qualità del servizio nelle reti ICT", in italiano (PDF, 509 K) ed inglese (PDF,621 KB) e
" La sicurezza delle reti nelle infrastrutture critiche", in italiano  (PDF, 1.93 MB) ed inglese (PDF: 1.23 MB).
Si ringrazia l’Ingegner Luisa Franchina http://www.isacaroma.it/html/newsletter/?q=search/node/franchina, Direttore di ISCOM, per averci concesso la pubblicazione del capitolo che segue e per la gentile collaborazione.

L'analisi e la gestione del rischio: principi e metodi

4.1 Il sistema di gestione della sicurezza

Prima di iniziare qualsiasi esposizione sull'analisi e gestione del rischio, ma anche sulle misure di protezione delle reti, è opportuno evidenziare la difficoltà di approntare un efficace sistema di protezione senza considerare alcuni presupposti che caratterizzano il sistema di gestione della sicurezza.
Ci sono diversi standard e linee guida che descrivono i componenti di un buon sistema di gestione della sicurezza, fra cui:

• i nove principi dell'OCSE (vedi paragrafo 3.1.2);
• lo standard ISO17799/BS7799, particolarmente il documento BS 7799:2000 parte 2;
• lo "Standard of Good Practice" dell'Information Security Forum (vedi Allegato 2.2).

Questo, ovviamente, oltre a tutti gli altri standard e linee guida che trattano l'argomento in modo meno diretto, fra cui: il COSO Report sull' "Enterprise Risk Management"; la metodologia ISACA per l'IT Audit, denominata CobiT; gli standard ITSEC e "Common Criteria", le linee Guida del CNIPA e altri.
Tutte queste direttive presentano, fortunatamente, delle parti comuni che possiamo sintetizzare, ad alto livello, come segue.  

Sensibilizzazione
Tutta l'azienda deve essere adeguatamente sensibilizzata alla necessità di proteggere le proprie risorse iniziando dal top management per proseguire con tutta l'organizzazione e i vari ruoli. Per il raggiungimento dell'obiettivo è necessario conseguire un adeguato livello d'addestramento.

Organizzazione e governo
È necessario definire un modello organizzativo per la sicurezza distribuendo i compiti e le responsabilità. Il governo della sicurezza sarà efficace solo se mantenuto ad alto livello e se include, fra i suoi compiti, quello di definire la strategia, gli obiettivi aziendali specifici e i relativi sistemi di misurazione delle performance.

Analisi dei rischi
Come descritto al paragrafo 4.2, l'analisi dei rischi è fondamentale per acquisire conoscenza delle minacce e delle vulnerabilità che incombono sull'organizzazione e per poter dirigere sforzi e risorse (per definizione limitati) a difesa delle aree più a rischio.

Politiche e procedure
A seguito di un’analisi dei rischi è importante definire le politiche e le relative procedure. Ciò avviene solitamente a tre livelli: generale, che descrive l'organizzazione, il sistema di governo, gli obiettivi e i principi; utenti, nel quale ambito si regola il comportamento degli utenti nell'uso quotidiano delle tecnologie; tecnico, ove il personale ICT viene guidato circa le azioni da intraprendere in fase di implementazione e manutenzione della tecnologia.  

Costante monitoraggio e allineamento del sistema di protezione
Il sistema di gestione della sicurezza dovrà essere disegnato in modo da assicurare un adeguato monitoraggio, operativo e di governo, per permettere all'organizzazione di reagire e allineare l'intero sistema rispetto ai cambiamenti che dovessero verificarsi nell'ambito del dominio dei rischi.

4.2 Analisi dei rischi

4.2.1 L'importanza dell'analisi dei rischi

È possibile, oggi, affermare che la vita economica e sociale non può più essere separata dalle correlate risorse informative e, quindi, dalle relative reti di comunicazione.

A differenza del mondo fisico, le informazioni e le reti sono soggetti a rischi inerenti di più ampia natura, spesso latenti ed in continua evoluzione. D'altra parte riscontriamo che:

• le reti sono sempre più complesse ed il loro modificarsi genera nuovi rischi
• la protezione completa implicherebbe un utilizzo restrittivo e rallentato delle risorse
• la tecnica di protezione è fortemente dipendente dal relativo rischio
• i costi per implementare un livello di sicurezza, che vada oltre il necessario o l'ottimale o che si estenda ad elementi a basso impatto, possono diventare proibitivi per la maggior parte delle organizzazioni.

Di conseguenza è importante effettuare un'analisi dei rischi ai fini di:

• definire quali siano le minacce informatiche che si presentano alle organizzazioni
• valutare l'impatto nel caso in cui le minacce si concretizzino
• definire ed implementare contromisure adeguate a mitigare il rischio con un impegno commensurato ai potenziali impatti.

In definitiva l'analisi dei rischi pone le basi perché si possano scegliere le contromisure senza provare a indovinare, e si possano bilanciare tali contromisure rispetto ai rischi e ai costi delle stesse.
Il processo di analisi dei rischi è uno degli elementi fondamentali del Sistema di Gestione della sicurezza. È inoltre richiesta, direttamente o indirettamente, da normative comunitarie e nazionali (vedi capitolo 3), e dai principali standard di riferimento, quali ad esempio:

• Standard ISO 17799 - BS7799
• ISF Standard of Good Practice
• CobiT ("Control Objectives of IT Governance" dell' ISACA)
• GMITS ("Guidelines for the Management of IT Security"; parte di questa serie di documenti è conosciuto anche come standard ISO 13335).

L'analisi dei rischi informatici assume ulteriore importanza se si considera che essa trova collocazione sempre più rilevante all'interno di contesti più ampi di analisi e gestione dei rischi aziendali, quali i contesti di Corporate Governance e il documento Basilea II.
Quest'ultimo si rivolge agli organismi bancari-finanziari e prevede un programma di gestione di tutti i rischi di business (dai rischi di credito ai rischi finanziari e di mercato) e operativi, inclusi quelli correlati ai sistemi informativi (information risk).

La sempre crescente importanza assunta dall'analisi dei rischi informatici rispetto al contesto più globale della gestione di tutti i rischi aziendali trova giustificazione nel fatto che l'Information Technology sempre più supporta il business e i relativi processi aziendali.

Di conseguenza il rischio informatico (ossia il rischio derivante da assenza di protezione dei sistemi informatici) influenza e condiziona sempre più le altre categorie di rischi (rischio finanziario, di mercato, rischi operativi, ecc.).

Infine è importante condurre a priori, ciclicamente e in maniera dinamica/continuativa (vedere paragrafo 4.2.3), un'attività di analisi dei rischi che mantenga aggiornato il sistema di protezione in funzione dell'effettiva e reale esigenza riscontrata, consentendo, nel contempo, l'ottimale utilizzo delle risorse disponibili.

4.2.2 Considerazioni generali sulle diverse metodologie di analisi dei rischi

Le metodologie esistenti in merito alla conduzione di un'analisi dei rischi sono molteplici e spesso si presentano con differenti obiettivi o caratteristiche, anche se si basano su alcuni concetti, elementi e passaggi procedurali comuni.

Nessuna è particolarmente migliore dell'altra: è importante comprendere quale tipologia di approccio sia più idoneo utilizzare, considerandone le caratteristiche a livello di:

• approfondimento dell'analisi
• modalità di assegnazione dei valori (sistema di misurazione dei rischi)
• ripetibilità e frequenza del processo di analisi.  

Livello di approfondimento  

Se si considera il livello di approfondimento con cui si conduce un'analisi dei rischi si può classificare un approccio come concettuale, ossia rivolto al management e orientato all'organizzazione e ai processi, oppure operativo, ossia rivolto allo specialista o responsabile dei sistemi informatici, e orientato quindi alla singole tecnologie e al contesto, appunto, operativo.
Una valutazione di tipo concettuale - ad alto livello - dei rischi consente normalmente di:

• individuare il profilo di rischio a livello strategico e organizzativo
• definire le minacce all'organizzazione e quindi individuare le macro aree di criticità o contesti di rischio su cui intervenire nel tempo
• definire un piano di interventi immediati a livello enterprise  O  definire la politica generale della sicurezza.

Una valutazione di questo tipo consegue l'importante obiettivo di aumentare la percezione e la consapevolezza (awareness) dei vertici aziendali circa l’importanza di definire ed implementare un piano di gestione della sicurezza. Ottiene inoltre commitment a garanzia del piano della sicurezza e, soprattutto, consente di indirizzare l'impegno verso le aree più critiche (ambienti tecnologici, singoli sistemi, rete aziendale) per le quali realizzare un'analisi dei rischi più approfondita.

Un'analisi di tipo operativo è più orientata alla valutazione dettagliata e approfondita della sicurezza delle singole tecnologie, sistemi e specifici ambiti di rete e si prefigge normalmente i seguenti macro obiettivi:

• comprensione delle vulnerabilità, minacce e rischi a cui sono esposte le singole tecnologie (singole piattaforme applicative, sistemi, reti, ecc.) e le informazioni trattate
• definizione di architetture e standard tecnologici di sicurezza
• revisione delle policy e procedure di gestione dei sistemi
• proposta di percorsi operativi per la correzione delle debolezze riscontrate, corrispondenti all'assenza di controlli di sicurezza necessari
• ottenimento di conformità rispetto a best practice tecnologiche di sicurezza.

Modalità di assegnazione dei valori

Nello scegliere una metodologia è importante considerare il sistema di misura (metrica) adottato per i diversi elementi considerati dal modello della metodologia stessa, in relazione agli obiettivi prefissati.  
Una misurazione di tipo quantitativo, che si basa su elementi monetari e statistici, permette di definire un budget d'investimento in modo più immediato, ma può essere complessa da applicare e non riesce interamente ad evitare valutazioni di tipo soggettivo.  
Per applicare quest'approccio occorre che tutti gli elementi di rischio siano quantificati (es. costo del ripristino di una risorsa, ma anche danno per perdita d'immagine, ecc.). Per fare questo è necessario avere accesso ad informazioni d'elevata qualità, difficilmente reperibili.  
In realtà in seno a tale tipologia d'approccio esistono due varianti che possiamo definire con l'aggettivazione ulteriore (rispetto a quantitativo) di vero e apparente. La prima riguarda i casi in cui si utilizzi un numero che esprima una quantità reale. È il caso del danno direttamente quantificabile in unità monetaria.  
Il secondo caso, che definiamo quantitativo apparente ovvero semiquantitativo, si verifica allorché ci si trovi nella necessità (per esigenze computazionali spesso legate all'utilizzo di un elaboratore) di convertire in indici numerici misure di carattere qualitativo.  
È il caso, ad esempio, di un valore di criticità, espresso inizialmente in termini qualitativi, ad esempio con la quaterna alto, medio, basso, nullo, che viene tradotto con una corrispondente quaterna di valori numerici (ad esempio, 3, 2, 1 e 0) per consentire un prodotto logico con un'altra misura (ad esempio, un livello di esposizione al rischio).  
L'approccio quantitativo puro, che appare certamente più preciso rispetto a quello qualitativo, non è, in generale, di facile applicazione per due motivi.  
Il primo è che spesso non sono disponibili i valori (chi può definire, con certezza, il valore di un bene materiale, magari al netto del valore d'ammortamento, che non sia gestito da una procedura contabile al necessario livello analitico, e come regolarsi in caso di danno d'immagine?).  
Il secondo è che, mancando una buona base di oggettività per tali valori, si finisce per effettuare stime, spesso lontane dalla verità, conferendo una forma numerica a quella che, in realtà, è di fatto una valutazione qualitativa.  
Le metodologie qualitative in generale non richiedono dati statistici, presentano una scala di valori generalmente espressa, ad esempio, come basso, medio, alto, vitale, critico.  
Tali approcci, apparentemente più superficiali e meno precisi, in realtà si rivelano spesso più onesti, anche perché, in generale, la filiera logica dei modelli di analisi del rischio conclude il suo percorso con l'individuazione delle contromisure, che sono definibili, quanto a robustezza, in termini discontinui, rendendo, in tal modo, vano e non indispensabile l'approccio di tipo quantitativo, ammesso che sia in realtà possibile attribuire valori esatti credibili alle diverse entità in gioco.  
L'aspetto di maggior rilievo che il progettista si trova a dover fronteggiare in proposito alla metrica è il bilanciamento, in termini di escursione, della scala di valori ammessi per i vari concetti e dei diversi sistemi di metrica adottati per essi, siano detti sistemi di carattere qualitativo o quantitativo.  

È evidente, infatti, che relazioni e funzioni che implichino concetti misurati secondo scale di valori tra loro poco congruenti, possono portare a risultati poco consistenti.  
Determinare un sistema di verifica per la valutazione della congruità e della rispondenza dei diversi sistemi di metrica è uno dei temi aperti della materia trattata. Potremmo, però, concludere che il sistema quantitativo è più indicato per le analisi di tipo concettuale, in contesti di business e quello qualitativo per le analisi di tipo operativo dove è l'efficacia delle contromisure a prevalere sulla giustificazione dei costi.  

Ripetibilità e frequenza del processo di analisi

A seconda della ripetibilità/frequenza del processo di analisi dei rischi, si possono distinguere le metodologie esistenti fra approcci statici e approcci dinamici/continuativi.  

Gli approcci statici:

• realizzano una fotografia dello stato attuale della sicurezza
•  richiedono revisioni periodiche, con scadenze temporali diverse, a seconda del livello di profondità dell'analisi:

• una volta l'anno nel caso di analisi di tipo concettuale/organizzativo
• ogni 3-4 mesi nel caso di analisi a livello operativo/tecnologico.

• hanno differenti obiettivi a seconda del livello di profondità dell'analisi:
• definizione di politiche e infrastruttura organizzativa di gestione della sicurezza, nel caso di analisi di tipo concettuale/ organizzativo  
• definizione di architetture e standard tecnologici/controlli di sicurezza a fronte della valutazione delle vulnerabilità e minacce a cui sono esposte le tecnologie (livello di analisi di tipo tecnologico).  
• coinvolgono tutte le organizzazioni, di qualsiasi dimensione, in particolar modo nel caso in cui si effettua un primo giro di valutazione del rischio  
• normalmente sono gestiti sotto la responsabilità di funzioni aziendali specifiche, in genere in ambito ICT (ICT Manager, Security Officer, Comitato per la Sicurezza, ecc.); quindi le altre funzioni aziendali sono coinvolte passivamente.  

Gli approcci dinamici/continuativi:  

• non fotografano la situazione della sicurezza in un dato momento, ma danno gli elementi per analizzare e gestire continuamente e dinamicamente il rischio  
• la valutazione e gestione dei rischi diventa parte integrante dei processi di implementazione, manutenzione e monitoraggio dei sistemi informativi  
• si basano spesso su misure del rischio di tipo quantitativo (attraverso utilizzo di tool come Balance Scorecard e di Key Performance Indicators)  
• integrano la gestione dei rischi informatici all'interno dell'impianto di gestione di tutti i rischi aziendali e, in particolare, delle normali attività operative (implementazione, change management, operatività)  
• comportano un decentramento in termini di responsabilità nella gestione dei rischi, con il coinvolgimento di tutte le funzioni aziendali a più livelli, e richiedono un commitment che parte dal Top-Management per coinvolgere tutta l'organizzazione
• coprono tutti i livelli di profondità dell'analisi; conducono analisi sia a livello concettuale che a livello operativo/tecnologico.  

La tendenza attuale rileva una sempre più crescente diffusione di approcci e modelli di analisi e gestione dei rischi di tipo dinamico e continuativo, orientati al business aziendale e integrati con tutte le restanti attività di analisi dei rischi aziendali (rischi operativi, di credito, finanziari, ecc.)  

Si rimanda all'Allegato 2 per approfondimenti su alcune delle metodologie più conosciute a livello nazionale e internazionale.  

4.2.3 Gli elementi comuni alle principali metodologie

A prescindere dalla metodologia utilizzata, esistono molti elementi e passaggi del processo di analisi dei rischi comuni a tutte le metodologie. Difatti una valutazione dei rischi, indipendentemente dalla metodologia adottata, deve consentire di:

• definire il contesto entro cui svolgere le analisi, cioè definendo cosa si vuole proteggere dal rischio
• individuare, classificare e valorizzare i beni da proteggere
• individuare e valutare gli agenti ostili, minacce ed attacchi e vulnerabilità
• definire quali minacce vanno fronteggiate
• calcolare il rischio finale, valutarne i livelli accettabili e definire le contromisure che permettono di mantenere il rischio entro questi livelli.

La maggior parte delle attuali metodologie di analisi presenta tutti gli elementi descritti, ma può differenziarsi su concetti e terminologie, spesso non chiaramente definiti e, non di rado, difformi dall'accezione prevalente, consolidata negli standard di riferimento. Tali sono, ad esempio, i termini ed i concetti di protezione, pericolo, minaccia, attacco, danno e, quindi, di rischio.

Appare quindi fondamentale, in questo paragrafo, puntualizzare l'accezione prevalente dei seguenti principali concetti e le relative definizioni:

• Perimetro d'intervento
• Risorsa informativa (censimento e classificazione)
• Attributi di protezione
• Censimento delle minacce
• Censimento delle vulnerabilità
• Probabilità di accadimento (esposizione alla minaccia)
• Misurazione degli impatti
• Definizione delle contromisure
• Mitigazione del rischio conseguente alle contromisure individuate.

Perimetro d'intervento e risorse informative

La prima attività da svolgere è quella di definire chiaramente il perimetro d'intervento e quindi l'organizzazione interessata e le informazioni gestite.
Da qui bisogna procedere ad eseguire un censimento analitico delle informazioni contenute nel perimetro d'intervento. Il dettaglio del censimento dipende dagli obiettivi e dalla tipologia (concettuale/ operativa) di analisi dei rischi che s'intende eseguire.
Ai fini di un'analisi concettuale può essere sufficiente censire i dati a livello di processo (fatturazione, pagamenti, personale) o di sistema applicativo, mentre per un'analisi operativa è necessario considerare anche le tecnologie di riferimento (le reti di comunicazione e relativo hardware/software utilizzati per il trattamento).
In ogni caso bisogna mettere in relazione tutti i singoli elementi che compongono l'informazione, quindi dati, software e tecnologie ed i relativi processi che definiscono i metodi validi di accesso all'informazione. Ovviamente tutti questi elementi devono poi essere classificati per categoria omogenea relativamente alla quale valutare minacce e vulnerabilità.

Le reti informatiche si trovano alla base del sistema di comunicazione e trattamento (input, output e aggiornamento) di tutte le informazioni e quindi si potrebbe obiettare che sono da proteggere a prescindere dalle informazioni che trattano. Questo può effettivamente essere vero in alcune circostanze (esempio per i back-bone di una società di telecomunicazione). In ogni caso bisogna essere coscienti di cosa si debba proteggere e di quante risorse impegnare per la protezione dei diversi elementi dell'intero patrimonio informativo, in base alla loro criticità.  

Obiettivi e attributi di protezione  

Prima di proseguire oltre è importante definire gli obiettivi del sistema di protezione. Ciò ha un effetto su tutto il resto delle attività in quanto gli obiettivi di business di una società con finalità di profitto non sono paragonabili alle mission di enti governativi o non profit e di conseguenza neanche gli obiettivi di protezione.  In funzione degli obiettivi ci sono poi dei precisi attributi da definire e valutare separatamente. Questi influiscono sul processo di misurazione del rischio e relativa scelta delle tecniche di protezione.
Come già evidenziato precedentemente in questo documento (vedi il paragrafo 1.5), nell'attuale best practice si riscontrano tre attributi di sicurezza: confidenzialità, disponibilità e integrità.
Come accennato precedentemente, è opportuno che i tre attributi siano valutati separatamente, in quanto ognuno di loro presenta diversi scenari di rischio.
 

Censimento delle minacce

Il rischio è strettamente associato al concetto di minaccia,che ne costituisce, per così dire, un equivalente depurato dalle due caratteristiche di probabilità e danno consequenziale. Inoltre il rischio può essere visto come la possibilità che accada un evento negativo, che procuri danni a qualcuno o qualcosa. La minaccia, in effetti, è proprio tale evento.  

Possiamo quindi definire minaccia come qualsiasi cosa che possa farci perdere gli attributi di sicurezza di confidenzialità, disponibilità e integrità.  
La minaccia è generalmente un evento indesiderato che può essere potenzialmente identificato a priori. Esso è classificabile come evento interno o esterno. Una minaccia si concretizza tramite attacchi variamente attuati.  
Senza dubbio c'è una certa tendenza a proteggere il perimetro d'intervento maggiormente da minacce esterne, potenzialmente a causa della visibilità generata da questi eventi, rispetto a quelle interne. La verità è che i rischi interni rimangono la maggioranza e quindi non possono essere sottovalutati. Ad esempio, l'indagine CSI/FBI del 2003 evidenzia, con il 77% dei partecipanti, l'importanza delle minacce interne.  
Le minacce interne e i relativi controlli (contromisure) dipendono fortemente dall'organizzazione e dalla natura del trattamento prevalente dell'informazione mentre quelle esterne possono essere fortemente influenzate dalle tecnologie utilizzate, indipendentemente da persone e processi.  
Di conseguenza la determinazione delle minacce interne deve considerare l'ambiente organizzativo specifico mentre per quelle esterne si possono utilizzare soluzioni maggiormente standardizzate, riconducibili alle tecnologie al momento maggiormente in uso.  

Censimento delle vulnerabilità  

Un ulteriore concetto importante è quello di esposizione di un determinato soggetto ad una determinata minaccia. È opportuno trattare questo concetto assieme ad un altro correlato, anch'esso facente parte del novero delle qualità del soggetto, che è quello di vulnerabilità.  
La vulnerabilità consiste in una condizione organizzativa o tecnologica che permettere alla minaccia di attuarsi. Le minacce sono presenti in ogni caso ma si annullano, in teoria, in assenza di vulnerabilità. Viceversa la minaccia ha maggiori probabilità di attuarsi in presenza di numerose o importanti vulnerabilità.

La vulnerabilità può essere organizzativa o di processo (mancanza di una vitale funzione aziendale, ad esempio di monitoraggio) o tecnica (debolezze tecniche di BIOS, sistemi operativi, database, e quant'altro).  
Le vulnerabilità tecniche si determinano anche con l'ausilio di appositi scanner, prodotti automatizzati per la scansione continua delle debolezze tecniche, o tramite attività di attack and penetration.  Alla figura 4-1 sono stati sintetizzati le più comuni categorie di vulnerabilità, così come censite in un security survey condotto da PricewaterhouseCoopers e CIO Magazine nel 2003.

I principali fattori che contribuiscono alla proliferazione delle vulnerabilità sono:

• componenti difettosi
• distribuzione geografica
• dimensioni e complessità
• evoluzione tecnologica
• scarsa cultura sui problemi di sicurezza.

Il livello di vulnerabilità può essere ridotto attraverso l'implementazione di opportune contromisure di sicurezza, discusse nel capitolo 5 di questo documento. La vulnerabilità non può però mai essere ridotta a zero, perché le stesse contromisure presentano, a loro volta, delle debolezze.  

Probabilità di accadimento

Come anche indicato altrove in questo documento, la definizione più accreditata di rischio lo identifica come il prodotto (logico  o aritmetico) dell'impatto (danno arrecato) per la probabilità di attuazione di una particolare minaccia. La determinazione di tale probabilità può avvenire tramite l'espressione di un giudizio, ovvero considerando, ove disponibili, le serie statistiche relative ai vari incidenti ed attacchi, oppure tramite entrambe le cose.  
Quello che è certo è che in questa fase bisogna valutare tutti gli elementi che contribuiscono al rischio e quindi minacce, attacchi e vulnerabilità. Nella tabella 4-1 si è messo in relazione, a fini esplicativi, alcuni esempi di minacce con relativi attacchi e vulnerabilità.  

Misurazione degli impatti  

Parte fondamentale di tutto il processo di analisi dei rischi è la determinazione dell'impatto, sulle risorse da proteggere e sull'azienda in genere, nel momento in cui una minaccia viene attuata con successo. L'impatto, come si è visto al punto precedente, è, dopo la probabilità di accadimento di una minaccia, la seconda componente del rischio.

Minaccia: Un intruso riesce ad accedere alla rete privata dell'organizzazione
Attacco:

• L'intruso accede al sistema tramite back door utilizzando una Wireless Local Area Network (Wlan)

Vulnerabilità:

1. Network Service Set Identifier (SSID) non è stato adeguatamente mascherato
2. Un punto d'accesso non autorizzato è installato da un dipendente interno
3. Wired Equivalency Protocol (Wep) è debole e la relativa sessione di crittografia è interrotta

Attacco:

• L'intruso ottiene l'accesso tramite attacco bruto alla password

Vulnerabilità:

1. Lunghezza minima della password insufficiente
2. Password deboli soggette ad attacchi da dizionario

Attacco:

• L'intruso ruba una password utente autorizzata

Vulnerabilità:

1. La sequenza di autenticazione non crittografata permette intrusioni
2. Basso livello di monitoraggio -Trojan Horse installato in rete

Attacco:

• Un ex dipendente scontento rientra nei sistemi al fine di impossessarsi di informazioni classificate

Vulnerabilità:

1.  Account e password utente non cancellate tempestivamente dopo le dimissioni
2. Le password di accesso sui terminali dei server dial-in o i punti di accesso Wlan non sono revocati dopo le dimissioni

Minaccia: Perdite finanziarie dovute a operazioni fraudolente
Attacco:

• Chi esegue l'attacco simula un'autentica operazione di servizi web

Vulnerabilità:

1.  Autenticazione e crittografia inadeguate nei canali applicativi di comunicazione

Attacco:

• L'intruso riesce ad accedere ai record delle carte di credito del cliente

Vulnerabilità:

1. Controlli di accesso compromessi su database critico

Minaccia: Perdita di dati critici
Attacco:

• Un attacco terroristico distrugge un centro dati

Vulnerabilità:

1. Procedure di backup dati e di ridondanza inadeguate

Attacco:

• Un programma "cavallo di Troia" cancella un hard drive

Vulnerabilità:

1. I dipendenti non sono stati sensibilizzati al rischio di scaricare software da fonti non di fiducia
2. Software antivirus non aggiornato

Minaccia: Servizi internet non disponibili, che determinano perdita di ricavi causa il tempo di fermo
Attacco:

• Attacco "Denial of Service" tramite tecnica di "ping" sovraccarica i server di rete bloccandoli.

Vulnerabilità:

1. Un router programmato malamente non riesce ad individuare i pacchetti malformati
2. Il sistema operativo del server non è aggiornato con i più recenti standard di sicurezza
3. Difese antivirus inadeguate

Attacco:

• Un intruso riconfigura il router per impedire il traffico legittimo.

Vulnerabilità:

1. Impossibilità di resettare la password amministrativa di default sul sistema

Attacco:

• Ripetute richieste di applicazioni saturano le risorse del server

Vulnerabilità:

1. Inadeguata progettazione delle applicazioni
2. Controlli di autenticazione inadeguati permettono che le chiamate fraudolente siano accettate come genuine

 Tabella 4-1 - Correlazione tra minacce, attacchi e vulnerabilità

La condizione per cui un sistema metrico (vale a dire atto a misurare) possa trovare applicazione ad un concetto è, ovviamente, che tale concetto si presti ad essere misurato. Ciò si verifica sempre con le qualità, mentre per le entità possono verificarsi due casi. Il primo è quello in cui l'entità stessa, per sua natura, è misurabile (è il caso del danno); il secondo è il caso per cui l'entità, in sé e per sé, non è misurabile, ma lo diviene per il tramite della misurazione delle sue qualità (è il caso del soggetto, di cui si misura la criticità).
Si rimanda al precedente paragrafo 4.2.2 per un esame più completo degli approcci quantitativi e qualitativi di misurazione.  

Misurazione e mitigazione del rischio

In termini formali il rischio, come si è visto, è definito come il prodotto (matematico o logico) tra la probabilità di accadimento dell'evento e il danno arrecabile (R=Pa*D). In effetti, se almeno uno dei due termini del prodotto tende a zero, si è inclini a percepire il rischio come basso.

Per le misurazioni di tipo qualitativo è invece necessario determinare un sistema di misurazione che permetta di misurare le due componenti del rischio in modo fra di loro omogeneo, tramite un sistema di gradi opportunamente tarato.  
Risulta inoltre utile, nella pratica, considerare due aspetti del rischio. Il primo, definito come rischio assoluto o intrinseco e il secondo, definito come rischio residuo. Quest'ultimo concetto, a differenza del primo, tiene conto dell'effetto delle contromisure previste.  

Definizione delle contromisure

Nel corso del processo di valutazione del rischio ci si trova, all'atto pratico, nella necessità di individuare un livello accettabile di rischio e di confrontarsi con il budget effettivamente disponibile.  
Con il termine contromisure si indicano quindi le misure organizzative e tecnologiche che sono in grado di contrastare e abbattere il livello del rischio, riducendolo a un livello individuato come accettabile

Nel processo di analisi dei rischi può accadere che le contromisure siano definite in modo generico, da assoggettare ad ulteriore analisi e definizione in un'ottica più operativa. È invece sempre importante definire le modalità attuative, i tempi e le responsabilità in un apposito piano operativo di attuazione.  

Note conclusive

Si è voluto, in questa sezione del documento, individuare, i vari componenti di un modello generale di analisi del rischio. Lo scopo prefisso è quello di individuare una mappa possibilmente chiara di tutti i componenti di un modello generico, in modo da rendere più agevole la comprensione delle schede dei vari modelli disponibili oggi sul mercato alcuni dei quali sono descritti nell'Allegato 2.

4.2.4 Gestione dei rischi

L'analisi dei rischi, precedentemente descritta, consente di definire le opportune contromisure da adottare. L'effettiva adozione, ossia implementazione delle contromisure, così come la gestione e il monitoraggio nel tempo dell'effettivo stato della sicurezza, rientra nel- l'ambito della gestione dei rischi.
Perché si possa contrastare realmente i rischi individuati ed associati all'utilizzo di infrastrutture per la gestione, trattamento e scambio dei dati, occorre adottare misure di sicurezza che siano controllabili ed efficaci.  
La sicurezza delle informazioni deve essere pertanto vista come caratteristica globale, in grado di fornire, dinamicamente con l'evolversi temporale delle necessità e delle tecnologie, il desiderato livello di riservatezza, integrità e disponibilità delle informazioni e dei servizi.
 Un’illustrazione ad alto livello di astrazione delle attività previste per lo svolgimento completo del processo di gestione dei rischi è riportata nella seguente figura 4-2.
Dall'illustrazione risulta chiaro come il processo di gestione dei rischi debba essere continuativo e ripetibile.  
L'effettiva salvaguardia della sicurezza delle informazioni attraverso un'attenta gestione dei rischi richiede l'integrazione all'interno dell'organizzazione, incaricata di creare, aggiornare, eliminare e mantenere tali informazioni, di un adeguato Sistema di Gestione della Sicurezza (SGS) sviluppato secondo le tre dimensioni del problema:

• processi
• organizzazione
• tecnologie.

La mancata analisi di una delle tre dimensioni sopra illustrate,  ovvero una loro considerazione frammentaria e limitata al di fuori di un framework omogeneo di valutazione complessiva dell'attuale stato della sicurezza delle informazioni, comporta la potenziale inefficacia delle azioni correttive intraprese, perché valutate secondo una visione ristretta o incompleta della problematica indirizzata.  
In linea generale le problematiche da dover affrontare sono le seguenti:

• identificare e definire i processi aziendali e i contesti di rischio ad essi associati
• assicurare l'aderenza alle normative e standard di sicurezza nazionali ed internazionali (ad esempio D. lgs. 196/2003)
• formalizzare una strategia per la gestione della sicurezza
• decidere le linee guida che l'azienda ha intenzione di adottare in tema di gestione della sicurezza
• preservare gli investimenti fatti o in fase di rilascio immediato per la sicurezza dei Sistemi Informativi.

La gestione dei rischi è essenzialmente funzione di:

• missione aziendale
• conformità a leggi e norme
• disponibilità economica.

Uno scopo fondamentale di un Sistema di Gestione della Sicurezza è quello di attuare un ragionevole compromesso tra il costo della sicurezza e i costi della non sicurezza e il suo obiettivo principale consiste nel mantenere nel tempo uno stabile e ottimale livello di protezione.  In base alle considerazioni fin qui descritte, non si può considerare l'esecuzione di un'analisi dei rischi come unico elemento rilevante per un completa gestione dei rischi, ma occorre:

• implementare effettivamente contromisure adeguate e stabilire un ciclo iterativo che ne verifichi l'efficacia
• mantenere aggiornata la misurazione del rischio, ripetendo periodicamente il processo o implementando sistemi dinamici di gestione del rischio
• considerare l'intera sfera del sistema di gestione della sicurezza (vedi 4.1).

Questo modo di vedere il problema nella sua globalità ha determinato l'attuale tendenza di far convergere modelli di analisi dei rischi in sistemi di gestione dei rischi, principalmente attraverso moderne metodologie di analisi e misurazione dinamica. Tali metodologie considerano anche i cambiamenti che hanno impatto sulle risorse informative ed il risultato delle attività di monitoraggio degli incidenti/attacchi che influisce nell'aggiornamento dei criteri di valutazione del rischio.

4.2.5 Analisi dei rischi a supporto del sistema di gestione della privacy

Il sistema di gestione della privacy è regolamentato in Italia dal  D. lgs. 196/2003 (comunemente denominato Codice della Privacy).
Tale Codice garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati persona  li. Di conseguenza, impone alle aziende una serie di adempimenti, sia di tipo normativo sia di tipo tecnico-organizzativo, comprendenti l'adozione di misure specifiche di sicurezza.
Nell'ambito di tali adempimenti spicca l'adozione del Documento Programmatico sulla Sicurezza, previsto nel caso di trattamenti elettronici di dati personali sensibili.  
Al fine di predisporre tale documento, che costituisce una delle misure minime di sicurezza previste dall'art. 34 del Codice e dal punto 19 del Disciplinare Tecnico - Allegato B del Codice stesso, occorre condurre, fra le altre attività, un'analisi dei rischi, avente come ambito di analisi il sistema dei trattamenti di dati personali gestito dall'azienda  o dall'ente.
Da quanto sopra detto, con particolare riferimento ai principi e alla ratio della legge, si evince che l'enfasi, nell'applicazione dell'analisi dei rischi a supporto del sistema di gestione della privacy, è diversa rispetto al caso generale di analisi dei rischi a supporto del sistema di gestione della sicurezza aziendale, condotta rispetto all'intero patrimonio informativo aziendale.  
Difatti emergono degli elementi di diversità fra i due casi che è interessante rilevare.  
È diverso l'obiettivo che si vuole raggiungere: l'analisi dei rischi non è più tanto finalizzata a individuare (e quindi a ridurre) le conseguenze di possibili eventi dannosi per l'azienda che effettua l'elaborazione dei propri dati/processi di business, ma piuttosto è finalizzata a individuare le conseguenze di eventi dannosi per i soggetti a cui i dati si riferiscono; in pratica l'obiettivo è la protezione dei trattamenti dei dati personali dei soggetti tutelati dalla normativa sulla privacy.  
È diverso l'oggetto dell'analisi: in un approccio di analisi dei rischi di carattere aziendale, ci si orienta su risorse e informazioni aziendali come oggetto di protezione. Nel caso dell'analisi dei rischi in ottica privacy è importante prendere in esame i dati limitatamente alla sfera personale dei soggetti interessati (e quindi le banche-dati o archivi contenenti tali dati) e correlarli ai trattamenti che ne vengono effettuati in seno all'azienda o all'ente titolare del trattamento stesso.  

Di conseguenza cambia il modo di procedere nella conduzione del processo di analisi dei rischi:

• viene meno l'esigenza di valutare gli impatti
• viene meno l'esigenza di effettuare la classificazione delle informazioni, intesa come valutazione della criticità delle informazioni, in quanto è la normativa stessa a classificare e distinguere i dati inerenti la sfera personale su due livelli:
• sensibili
• non sensibili (anche detti dati personali comuni o ordinari).

Resta comunque in capo alle aziende ed agli enti la non banale attività di identificare, al proprio interno e presso gli eventuali partner di outsourcing, l'esistenza di dati personali ordinari e sensibili, correlandoli ai pertinenti processi e applicazioni.
 

Riconoscimenti, ringraziamenti e note

Il presente documento è stato realizzato da:

Fabio Battelli (Innovia Tech S.p.A.)
Danilo Bruschi (Università degli Studi di Milano)
Roberta Bruzzone (Innovia Tech S.p.A.)
Giuseppe Carducci Artenisio (Securteam S.r.l.-Elsag [Gruppo Finmeccanica])
Sebastiano D'Amore (PriceWaterhouseCoopers Advisory S.r.l.)
Luisa Franchina (Istituto Superiore delle Comunicazioni
e delle Tecnologie dell’Informazione)
Salvatore Leotta (Electronic Data Systems Italia S.p.A.)
Paolino Madotto (Proge-Software S.r.l.)
Antonio Menghini (Electronic Data Systems Italia S.p.A.)
Simona Napoli (KPMG S.p.A.)
Gian Luca Petrillo (Consigliere del Ministro delle Comunicazioni)
Daniele Perucchini (Fondazione “Ugo Bordoni”)
Massimo Piccirilli (Ministero delle Comunicazioni)
Francesco Pirro (CNIPA)
Gianfranco Pontevolpe (CNIPA)
Andrea Rigoni (Symantec S.r.l.)
Marco Strano (Polizia di Stato)
Andrea Valboni (Microsoft S.r.l.)

Copertina e Progetto Grafico
Roberto Piraino (Graphics Lab - Istituto Superiore
delle Comunicazioni e delle Tecnologie dell’Informazione)

Le opinioni e le considerazioni espresse in questo volume, nonché le proposte avanzate, sono da considerarsi come personali dei singoli partecipanti e non riflettono necessariamente la posizione dei rispettivi Enti e Società d’appartenenza.
Il contenuto del presente volume è da considerarsi unicamente come studio tecnico/scientifico orientativo delle problematiche inerenti la sicurezza delle reti e la tutela delle comunicazioni.
Pertanto nessuna responsabilità potrà essere attribuita agli autori o all’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione, che cura questa pubblicazione, per ogni eventuale conseguenza derivante da qualsivoglia utilizzo dei contenuti del presente testo.

Le citazioni di specifici marchi o nomi di prodotti presenti nel documento sono riportati a mero scopo esemplificativo, non esauriscono il novero di prodotti esistenti sul mercato e in nessun caso costituiscono elemento di valutazione o di raccomandazione per l’utilizzo dei prodotti stessi.

La presente pubblicazione è diffusa a titolo gratuito e gli autori hanno ceduto all’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione gratuitamente e a tempo indeterminato i diritti di autore.