Valutazione del rischio informatico

Disambiguazione – Se stai cercando Risk Management (finanziario), vedi Finanza.

Disambiguazione – Se stai cercando Risk Management (generale - sanitario), vedi Valutazione del rischio.

All'interno della sicurezza informatica, il ruolo umano gioca un ruolo importantissimo: con gli anni si è passati dalla figura del tecnico di sicurezza informatica a quella del gestore dei rischi professionista per cercare di definire quanta sicurezza sia sufficiente a prevenire problemi indesiderati.

Nozioni di base

La sicurezza delle informazioni

La sicurezza delle informazioni è sempre stata nella storia dell'uomo un importante processo. Possiamo definirla come la ricerca di proteggere quattro aspetti chiave:

• disponibilità: l'accessibilità motivata alle informazioni;
• integrità: la completezza e la leggibilità delle informazioni;
• autenticità: la validità delle informazioni;
• riservatezza: la possibilità che solo chi è autorizzato possa leggere le informazioni.

La sicurezza richiede, quindi, che le informazioni e l'accesso alle stesse siano rigorosamente controllate.

Il problema della sicurezza

Lo scetticismo intorno alla sicurezza è sempre stato legato al fatto che ci sia bisogno di spendere molto denaro per combattere perdite potenziali, ma i benefici apportati dalla sicurezza non sempre sono quantificabili.

Valutazione e gestione dei rischi

Durante questi processi di valutazione e gestione (Risk-Assessment e Risk-Management), i rischi vengono identificati valutando le preferenze, stimando le conseguenze che eventi indesiderabili potrebbero avere, prevedendo la possibilità che questi eventi accadano e soppesando il valore di ogni diverso modo di agire.

La stima dei rischi è una linea di condotta durante la quale strategie diverse sono valutate e vengono prese decisioni sui rischi ritenuti accettabili. Queste strategie hanno differenti effetti sui rischi, inclusi la riduzione, la rimozione e la ridefinizione degli stessi. Alla fine, viene determinato un livello accettabile di rischio e di conseguenza viene adottata una strategia. In questo processo sono coinvolti: il "calcolo costi-benefici", la stima della tolleranza dei rischi e la quantificazione delle preferenze.

Annual Loss Expectancy (ALE)

Nel 1979 il National Bureau of Standards pubblicò il Federal Information Processing Standard (FIPS) 65, all'interno del quale proponeva un nuovo parametro volto alla misura del rischio nei sistemi informatici: l'aspettativa di perdita annuale.

Alla metà degli anni '80 il National Bureau of Standards e il National Computer Security Center collaborarono per mettere a punto modelli di sicurezza, ricavandone infine un framework (quadro strutturale) condiviso.

Quadro strutturale

Il framework ALE era basato su diverse fasi:

• Analisi delle minacce: si individuano le risorse che si vogliono proteggere e si valutano le potenziali minacce ad esse (azioni umane, catastrofi naturali, errori involontari).
• Analisi della vulnerabilità: si valutano le debolezze nella sicurezza che possono favorire un attacco.
• Analisi degli scenari possibili: si effettua una stima accurata delle risorse, dei timori sulla sicurezza, delle minacce e delle vulnerabilità. Questi scenari sono utilizzati, poi, nella fase di risk-management, la gestione del rischio, per valutare le conseguenze e per quantificare le dimensioni del rischio.
• Test di accettabilità: si confrontano i rischi misurati per una data risorsa con le esigenze stabilite.
• Decisioni di salvaguardia: sono misure prese al fine di coprire le distanze tra livelli di rischi misurati e le richieste.

Il processo viene poi ripetuto inserendo le nuove misure di salvaguardia, producendo così una nuova misura dei rischi per ogni risorsa. Questi risk-measurement, con la stima dei costi di salvaguardia, sono inoltre utilizzati per produrre le analisi costi-benefici per ogni misura di salvaguardia. Applicazioni sviluppate tra gli anni '80 e '90 che implementano questo tipo di framework sono @Risk, BDSS, CRAMM.

L'insuccesso di ALE

La fine del modello ALE venne decretata da tre importanti motivi:

• Il meccanismo di creazione di scenari della metodologia produceva una stima dei lavori di dimensioni esagerate.
• I tecnici formulavano modelli completamente deterministici a causa della loro visione "binaria" della sicurezza.
• ALE dipendeva troppo dalle informazioni che erano, e restano, scarse.

Approcci di seconda generazione

Dagli anni '80, tantissime cose sono cambiate, a partire dall'avvento universalizzato di internet. Inoltre il risk-management è sempre più visto come un'occasione di profitto. A questo si deve soprattutto il rinnovato interesse nei suoi confronti.

Integrated Business Risk-Management Framework

Questo approccio si sviluppa attraverso l'idea che i rischi delle tecnologie informatiche debbano essere presi in seria considerazione quanto i rischi finanziari e debbano, perciò, essere gestiti in un modo simile. L'attenzione è focalizzata sui "rischi finanziari" e piani di azione sono studiati a protezione delle informazioni. Aziende che utilizzano questo approccio sono: Microsoft, Mitsui, Capital One Financial, Fidelty Management and Research e BOC Gases Australia.

Metodologie Valuation-Driven

Questo approccio è utilizzato sia per garantire la sicurezza, sia per standardizzarne le procedure. Viene definito un piano studiato e valutati attentamente i rischi e le risorse.

Approccio basato sull'analisi degli scenari

Questo è l'approccio più comune e si basa sulla costruzione di diversi scenari possibili, in base ai rischi che si corrono e alle azioni che si attuano per scongiurarli. Questi piani svolgono principalmente la funzione di illustrare in modo chiaro le vulnerabilità della sicurezza.

Best practices

Questo tipo di approccio prevede l'instaurazione di "precise regole" da rispettare al fine di non dover essere costretti a fronteggiare i rischi. Viene preceduto da un lavoro di analisi minimale.

Voci correlate

• Gestione del rischio
• Sicurezza Informatica