Valutazione del rischio informatico

Nota disambigua.svg Disambiguazione – Se stai cercando Risk Management (finanziario), vedi Finanza.
Nota disambigua.svg Disambiguazione – Se stai cercando Risk Management (generale - sanitario), vedi Valutazione del rischio.

All'interno della sicurezza informatica, il ruolo umano gioca un ruolo importantissimo: con gli anni si è passati dalla figura del tecnico di sicurezza informatica a quella del gestore dei rischi professionista per cercare di definire quanta sicurezza sia sufficiente a prevenire problemi indesiderati.

Nozioni di baseModifica

La sicurezza delle informazioniModifica

La sicurezza delle informazioni è sempre stata nella storia dell'uomo un importante processo. Possiamo definirla come la ricerca di proteggere quattro aspetti chiave:

  • disponibilità: l'accessibilità motivata alle informazioni;
  • integrità: la completezza e la leggibilità delle informazioni;
  • autenticità: la validità delle informazioni;
  • riservatezza: la possibilità che solo chi è autorizzato possa leggere le informazioni.

La sicurezza richiede, quindi, che le informazioni e l'accesso alle stesse siano rigorosamente controllate.

Il problema della sicurezzaModifica

Lo scetticismo intorno alla sicurezza è sempre stato legato al fatto che ci sia bisogno di spendere molto denaro per combattere perdite potenziali, ma i benefici apportati dalla sicurezza non sempre sono quantificabili.

Valutazione e Gestione dei rischiModifica

Durante questi processi di valutazione e gestione (Risk-Assessment e Risk-Management), i rischi vengono identificati valutando le preferenze, stimando le conseguenze che eventi indesiderabili potrebbero avere, prevedendo la possibilità che questi eventi accadano e soppesando il valore di ogni diverso modo di agire.

La stima dei rischi è una linea di condotta durante la quale strategie diverse sono valutate e vengono prese decisioni sui rischi ritenuti accettabili. Queste strategie hanno differenti effetti sui rischi, inclusi la riduzione, la rimozione e la ridefinizione degli stessi. Alla fine, viene determinato un livello accettabile di rischio e di conseguenza viene adottata una strategia. In questo processo sono coinvolti: il "calcolo costi-benefici", la stima della tolleranza de rischi e la quantificazione delle preferenze.

Annual Loss Expectancy (ALE)Modifica

Nel 1979 il National Bureau of Standards pubblicò il Federal Information Processing Standard (FIPS) 65, all'interno del quale proponeva un nuovo parametro volto alla misura del rischio nei sistemi informatici: l'aspettativa di perdita annuale.

Durante la metà degli anni '80 il National Bureau of Standards e il National Computer Security Center collaborarono per mettere a punto modelli di sicurezza, ricavandone infine un consensuale framework, o quadro strutturale.

Quadro strutturaleModifica

Tale framework era basato su diverse fasi:

  • Analisi delle minacce: si valutano potenziali minacce (azioni umane, catastrofi naturali, errori involontari) e le risorse che si vogliono proteggere.
  • Analisi della vulnerabilità: si valutano le debolezze nella sicurezza che possono favorire un attacco.
  • Analisi degli scenari possibili: richiede una stima accurata delle risorse, delle preoccupazioni sulla sicurezza, delle minacce e della vulnerabilità. Questi scenari sono utilizzati, poi, nella fase di risk-management, la gestione del rischio, per valutare le conseguenze e per quantificare le dimensioni del rischio.
  • Test di accettabilità: si confrontano i rischi misurati per una data risorsa con le esigenze stabilite.
  • Decisioni di salvaguardia: vengono prese al fine di coprire le distanze tra livelli di rischi misurati e le richieste.

Il processo verrà poi ripetuto con i nuovi risultati di salvaguardia, facendo risultare un nuovo misuramento dei rischi per ogni risorsa. Questi risk-measurement, con la stima dei costi di salvaguardia, sono inoltre utilizzati per generare le analisi di costi-benefici per ogni misura di salvaguardia. Applicazioni sviluppate tra gli anni '80 e '90 che implementano questo tipo di framework sono @Risk, BDSS, CRAMM.

Fallimento di ALEModifica

La fine del modello ALE venne decretata da tre importanti motivi:

  • Il meccanismo di creazione di scenari della metodologia creava una stima dei lavori di dimensioni esagerate.
  • I tecnici formularono modelli completamente deterministici a causa della loro visione "binaria" della sicurezza.
  • ALE dipendeva troppo dalle informazioni che erano, e restano, scarse.

Approcci di seconda generazioneModifica

Dagli anni '80, tantissime cose sono cambiate, a partire dall'avvento universalizzato di internet. Inoltre il risk-management è sempre più visto come un'occasione di profitto. A questo si deve soprattutto il rinnovato interesse nei suoi confronti.

Integrated Business Risk-Management FrameworkModifica

Questo approccio si sviluppa attraverso l'idea che i rischi delle tecnologie informatiche debbano essere presi in seria considerazione quanto i rischi finanziari e debbano, perciò, essere gestiti in un modo simile. L'attenzione è focalizzata sui "rischi finanziari" e piani di azione sono studiati a protezione delle informazioni. Aziende che utilizzano questo approccio sono: Microsoft, Mitsui, Capital One Financial, Fidelty Management and Research e BOC Gases Australia.

Metodologie Valuation-DrivenModifica

Questo approccio è utilizzato sia per garantire la sicurezza, sia per standardizzarne le procedure. Viene definito un piano studiato e valutati attentamente i rischi e le risorse.

Approccio basato sull'analisi degli scenariModifica

Questo è l'approccio più comune e si basa sulla costruzione di diversi scenari possibili, in base ai rischi che si corrono e alle azioni che si attuano per scongiurarli. Questi piani svolgono principalmente la funzione di illustrare in modo chiaro le vulnerabilità della sicurezza.

Best practicesModifica

Questo tipo di approccio prevede l'instaurazione di "precise regole" da rispettare al fine di non dover essere costretti a fronteggiare i rischi. Viene preceduto da un lavoro di analisi minimale.

Voci correlateModifica