Nelle scorse puntate abbiamo presentato le caratteristiche generali ed il capitolo dedicato alla Security Governance della nuova guida sulla sicurezza del NIST (pdf, 9,5 M o pdf zip7,5 M) dedicata i manager. In questa puntata analizziamo il capitolo dedicato al Risk Management.

Risk Management

Il risk management è una componente fondamentale del programma globale di information security il cui scopo non è proteggere semplicemente gli asset ma l’organizzazione nel suo complesso.Dunque il risk management non è una funzione tecnica ma una funzione manageriale.
Il processo di risk management si divide in tre sub processi:

1. risk assessment;
2. risk mitigation;
3. valutazione ed assessment

Risk Assessment

Il precedente standard NIST SP 800-30 (pdf, 479 K) del 2002 definiva il rischio come "funzione della probabilità di accadimento di una data minaccia che sfruttando una potenziale vulnerabilità produce un certo impatto negativo sull’organizzazione". In poche parole il rischio è l’intersezione di minacce, vulnerabilità e impatto. NIST SP 800-30 proponeva un approccio al risk assessment basato su nove passi che adesso sono ridotti (e razionalizzati) a sei.

1 - System Characterization

Si tratta di definire l’ambito dell’assessment; al minimo devono essere descritte le seguenti componenti:

• Hardware
• Software
• Interface verso altri sistemi
• Dati
• Persone

2 - Identificazione delle minacce

Si devono identificare le possibili fonti di minaccia fino ad arrivare ad una sorta di "threat statement" cioè ad una lista esaustiva delle minacce suddivise per fonte.
Di solito le minacce sono classificate per cause:

• naturali (inondazioni, terremoti, tempeste ecc.);
• persone (in modo intenzionale o meno);
• infrastruttura (ad esempio mancanza di energia elettrica).

3 – Identificazione delle vulnerabilità

Le vulnerabilità possono essere identificate in vario modo; ad esempio attraverso il NIST National Vulnerability Database (NVD) (precedentemente noto come I-CAT)

4 – Risk Analysis

La risk analysis consiste nella determinNIST: Information Security Handbook: A Guide for Managers (parte terza: Risk Management)azione (o stima) del rischio a cui è soggetto il sistema analizzato; ciò può essere determinato, una volta individuate le minacce, le vulnerabilità ed il possibile impatto, stimando il livello di efficacia dei controlli predisposti a fronte delle minacce individuate.
Ad esempio si assegna:

• per ogni minaccia la probabilità di accadimento usando una scala dove 1.0 significa “alto”, 0.5 significa “moderato” e 0.1 significa “basso”
• per ogni impatto un livello dove 100 significa “alto”, 50 significa “moderato” e 10 significa “basso”

si moltiplica il valore della probabilità per quello dell’impatto e si valuta il rischio complessivo come segue:

• alto se il risultato è tra 50 e 100
• moderato se è tra 10 e 50
• basso se è tra 1 e 10

Se il rischio risulta alto occorre adottare misure correttive prima possibile; se il rischio è moderato le azioni devono essere almeno pianificate.

5 – Suggerimenti e raccomandazioni

Sulla base del livello di rischio evidenziato devono essere proposte soluzioni per nuovi controlli tenendo conto dei seguenti fattori;

• Applicabilità pratica (ad esempio compatibilità con il sistema analizzato)
• Norme e leggi
• Politiche organizzative
• Impatto sull’operatività
• Sicurezza ed affidabilità

6 – Documentazione dei risultati

Al minimo il risk assessment report deve contenere le seguenti informazioni:

• ambito dell’assessment sulla base della “system characterization”;
• metodologia usata per il risk assessment;
• osservazioni individuali
• stima dell’esposizione globale al rischio

Risk Mitigation

È  impossibile eliminare tutti i rischi dunque occorre stabilire una scala di priorità  per le azioni da intraprendere; a riguardo possono essere utilizzati i suggerimenti proposti nello standard NIST SP 800-53. Le opzioni possibili sono: accettare, evitare, limitare o trasferire il rischio.

Valutazione ed assessment

Si tratta della terza ed ultima fase del risk management necessaria in una ambiento dinamico come quello odierno dell’Information Technology (IT) in continua evoluzione.
Fine terza parte
Leggi seconda parte.
Leggi la prima parte.

IsacaRoma Newsletter link

Altri articoli di Alain De Cristofaris

• NIST: Information Security Handbook: A Guide for Managers (parte prima e seconda)
• Intervista a Giampaolo Scafuro, vicepresidente di IISFA, musicista, organizzatore di "SecurPizza"
• Security Manager: il curriculum perfetto
• Security Manager: il curriculum perfetto – parte seconda
• Sicurezza e Compliance: quando il gioco si fa duro