Risk Management
Il risk management è una componente fondamentale del programma globale di information security il cui scopo non è proteggere semplicemente gli asset ma l’organizzazione nel suo complesso.Dunque il risk management non è una funzione tecnica ma una funzione manageriale.Il processo di risk management si divide in tre sub processi:
- risk assessment;
- risk mitigation;
- valutazione ed assessment
Risk Assessment
Il precedente standard NIST SP 800-30 (pdf [6], 479 K) del 2002 definiva il rischio come "funzione della probabilità di accadimento di una data minaccia che sfruttando una potenziale vulnerabilità produce un certo impatto negativo sull’organizzazione". In poche parole il rischio è l’intersezione di minacce, vulnerabilità e impatto. NIST SP 800-30 proponeva un approccio al risk assessment basato su nove passi che adesso sono ridotti (e razionalizzati) a sei.1 - System Characterization
Si tratta di definire l’ambito dell’assessment; al minimo devono essere descritte le seguenti componenti:- Hardware
- Software
- Interface verso altri sistemi
- Dati
- Persone
2 - Identificazione delle minacce
Si devono identificare le possibili fonti di minaccia fino ad arrivare ad una sorta di "threat statement" cioè ad una lista esaustiva delle minacce suddivise per fonte.Di solito le minacce sono classificate per cause:
- naturali (inondazioni, terremoti, tempeste ecc.);
- persone (in modo intenzionale o meno);
- infrastruttura (ad esempio mancanza di energia elettrica).
3 – Identificazione delle vulnerabilità
Le vulnerabilità possono essere identificate in vario modo; ad esempio attraverso il NIST National Vulnerability Database (NVD [7]) (precedentemente noto come I-CAT)4 – Risk Analysis
La risk analysis consiste nella determinNIST: Information Security Handbook: A Guide for Managers (parte terza: Risk Management)azione (o stima) del rischio a cui è soggetto il sistema analizzato; ciò può essere determinato, una volta individuate le minacce, le vulnerabilità ed il possibile impatto, stimando il livello di efficacia dei controlli predisposti a fronte delle minacce individuate.Ad esempio si assegna:
- per ogni minaccia la probabilità di accadimento usando una scala dove 1.0 significa “alto”, 0.5 significa “moderato” e 0.1 significa “basso”
- per ogni impatto un livello dove 100 significa “alto”, 50 significa “moderato” e 10 significa “basso”
- alto se il risultato è tra 50 e 100
- moderato se è tra 10 e 50
- basso se è tra 1 e 10
5 – Suggerimenti e raccomandazioni
Sulla base del livello di rischio evidenziato devono essere proposte soluzioni per nuovi controlli tenendo conto dei seguenti fattori;- Applicabilità pratica (ad esempio compatibilità con il sistema analizzato)
- Norme e leggi
- Politiche organizzative
- Impatto sull’operatività
- Sicurezza ed affidabilità
6 – Documentazione dei risultati
Al minimo il risk assessment report deve contenere le seguenti informazioni:- ambito dell’assessment sulla base della “system characterization”;
- metodologia usata per il risk assessment;
- osservazioni individuali
- stima dell’esposizione globale al rischio
Risk Mitigation
È impossibile eliminare tutti i rischi dunque occorre stabilire una scala di priorità per le azioni da intraprendere; a riguardo possono essere utilizzati i suggerimenti proposti nello standard NIST SP 800-53. Le opzioni possibili sono: accettare, evitare, limitare o trasferire il rischio.Valutazione ed assessment
Si tratta della terza ed ultima fase del risk management necessaria in una ambiento dinamico come quello odierno dell’Information Technology (IT) in continua evoluzione.Fine terza parte
Leggi seconda [8] parte.
Leggi la prima parte [9].
IsacaRoma Newsletter link
Altri articoli di Alain De Cristofaris- NIST: Information Security Handbook: A Guide for Managers (parte prima [10] e seconda [11])
- Intervista a Giampaolo Scafuro, vicepresidente di IISFA, musicista, organizzatore di "SecurPizza" [12]
- Security Manager: il curriculum perfetto [13]
- Security Manager: il curriculum perfetto – parte seconda [14]
- Sicurezza e Compliance: quando il gioco si fa duro [15]