IT security management (gestione della sicurezza dei sistemi informatici)...
La disciplina IT security management si è evoluta considerevolmente nel corso degli ultimi decenni. Ciò si è verificato in risposta ad una rapida crescita di sistemi di computer distribuiti in rete (e dalla dipendenza da tali sistemi) e l'aumento dei rischi di tali sistemi.
Nel corso dell'ultimo decennio sono stati pubblicati un certo numero di standard nazionali ed internazionali, che rappresentano dei consigli sulle migliori pratiche da adottare in un contesto di sicurezza.
La ISO (International Standards Organization) ha revisionato e consolidato diversi di questi standard nelle ISO con numero di serie 27000.
Per i nostri scopi definiamo IT security management come segue.
Tradurremo IT con Sistemi Informatici.
Il processo formale utilizzato per sviluppare e mantenere appropriati i livelli di sicurezza dei computer per le risorse di un'organizzazione, preservando la loro confidenzialità, integrità, disponibilità, responsabilità, autenticità e affidabilità. I passi nella gestione della sicurezza dei sistemi informatici includono:
- determinare gli obiettivi, le strategie e le politiche riguardo la sicurezza dei sistemi informatici di un'azienda/organizzazione;
- eseguire una valutazione del rischio dei sistemi informatici che analizzi le minacce alla sicurezza delle risorse informatiche all'interno dell'organizzazione e determinare il risultato di tali rischi;
- selezionare controlli adeguati economicamente vantaggiosi per proteggere le risorse informatiche di un'organizzazione;
- scrivere piani e procedure per implementare efficacemente tali controlli selezionati;
- implementare i controlli selezionati, incluso un programma di formazione e sensibilizzazione riguardo la sicurezza;
- monitorare l'operabilità e mantenere l'efficienza dei controlli selezionati;
- rilevare e reagire agli incidenti.
La gestione del rischio dei sistemi informatici necessita di essere una parte importante all'interno di un piano di gestione generale di un'azienda. Quindi, a meno che un direttore con ruolo di gestione (manageriale) in una organizzazione sia cosciente del processo, e lo supporti, è difficile che gli obiettivi di sicurezza vengano raggiunti e contribuiscano in modo appropriato ai risultati aziendali dell'organizzazione.
Si tenga conto del fatto che il percorso di gestione del rischio dei sistemi informatici, non si intraprende una volta sola. Piuttosto si tratta di un processo ciclico che deve essere ripetuto costantemente nel tempo per mantenersi in linea con i rapidi cambiamenti che avvengono nelle nuove tecnologie informatiche e il rischio ad esse correlato.
Nell'ISO 27000 è descritto un processo per la gestione della sicurezza delle informazioni che comprende i seguenti passi:
- Plan: stabilire una politica di sicurezza, obiettivi, processi e procedure; eseguire una valutazione del rischio; sviluppare un piano per il trattamento dei rischi con appropriata selezione dei controlli (controls) o accettazione del rischio.
- Do: implementare il piano per il trattamento del rischio.
- Check: monitorare e mantenere il piano per il trattamento del rischio.
- Act: mantenere e migliorare il processo di gestione del rischio dell'informazione in risposta ad incidenti, revisioni o cambiamenti che sono stati identificati.
Contesto organizzativo e politiche di sicurezza...
Riferendoci alla figura sopra, in questo passo siamo nei riquadri in cima: Organizational context e IT security policy.
Il primo passo nel processo della sicurezza dei sistemi informatici comprende un esame degli obiettivi, delle strategie e delle politiche in ambito di sicurezza informatica dell'organizzazione in un contesto di generale profilo di rischio dell'organizzazione.
Obiettivi...
Gli obiettivi di sicurezza dell'organizzazione identificano quali traguardi specifici in termini di sicurezza informatica dovrebbero essere raggiunti. Tali obiettivi devono tenere conto di diversi aspetti:
- diritti individuali: gli obiettivi di sicurezza dovrebbero rispettare e tutelare i diritti individuali dei dipendenti, utenti e altre parti interessate. Le misure di sicurezza non devono violare la privaci delle persone o limitare in modo eccessivo i loro diritti e le loro libertà;
- requisiti legali: gli obiettivi di sicurezza dovrebbero essere in linea con le leggi e i regolamenti applicabili, per esempio leggi sulla protezione dei dati e altri requisiti legali;
- standard imposti dall'organizzazione: gli obiettivi di sicurezza dovrebbero anche rispettare gli standard e le norme del settore che sono applicabili all'organizzazione, inoltre il raggiungimento degli obiettivi di sicurezza devono contribuire al raggiungimento degli obiettivi complessivi dell'organizzazione. Il raggiungimento degli obiettivi in termini di sicurezza informatica, non deve ostacolare il progresso verso il raggiungimento degli altri obiettivi dell'organizzazione.
Strategie...
Le strategie di sicurezza dell'organizzazione identificano come questi obiettivi possono essere raggiunti.
Politiche...
Le politiche di sicurezza dell'organizzazione identificano le misure che devono essere intraprese per garantire la sicurezza delle informazioni e il raggiungimento degli obiettivi di sicurezza
Differenza strategia e politica con due esempi...
Strategia: "Implementare una difesa in profondità per proteggere i dati sensibili dell'organizzazione"
Politica: "Tutti gli utenti devono cambiare la loro password ogni 90 giorni e utilizzare una combinazione di caratteri minuscoli, maiuscoli, numeri e simboli."
Obiettivi, strategie e politiche...
Questi obiettivi, strategie e politiche, hanno bisogno di essere mantenute e regolarmente aggiornate sulla base di risultati di interviste di sicurezza per riflettere il costante cambiamento tecnologico e i rischi ad essi associati.
Per aiutare ad identificare gli obiettivi di sicurezza dell'organizzazione vengono esaminati il ruolo e l'importanza dei sistemi informatici nell'organizzazione, in questo contesto si vuole comprendere quanto i sistemi informatici sono importanti per l'organizzazione per raggiungere gli obiettivi (non di sicurezza) dell'organizzazione in modo efficiente. Se si evince che i sistemi informatici sono importanti per l'organizzazione allora è bene chiarire i rischi legati a tali sistemi e intraprendere azioni adeguate per affrontare eventuali carenze di sicurezza individuate. Verrà fuori da quest'esame una lista chiave di obiettivi di sicurezza dell'organizzazione da cui possono essere sviluppate delle strategie, che non sono altro che dei modi, generici, di come potrebbero essere raggiunti gli obiettivi listati.
Dati gli obiettivi e le strategie, si possono sviluppare le politiche di sicurezza dell'organizzazione che descrivono quali obiettivi, strategie e il processo utilizzati per raggiungere gli obiettivi.
Poiché la responsabilità della sicurezza informatica è condiviso lungo tutta l'organizzazione, c'è il rischio di un'inconsistenza implementazione della sicurezza e la perdita di un monitoraggio e controllo centrale. I vari standard raccomandano fortemente di assegnare ad un singola persona la responsabilità della sicurezza informatica dell'azienda.
Valutazione del rischio...
Nel riquadro ci troviamo nel primo grande box, in particolare ciò che riguarda l'analisi del rischio (Security risk analysis). Ci sono diversi approcci per valutare e analizzare il rischio tra questi:
- baseline approach;
- informal approach;
- formal approach;
- combined approach.
Infine ve n'è un altro detailed security risk analysis che il più completo, ma anche il più costoso per le organizzazioni. Non approfondiremo questa fase del processo.
Il rischio informatico consiste nel possibile verificarsi (con una certa probabilità) di eventi rilevanti per un insieme di sistemi ICT (perimetro), che possono avere un impatto negativo (impact) sul business o sui beni di un'organizzazione. La natura dell'impatto e probabilità del verificarsi dell'evento determinano la gravità del rischio. La gravità del rischio è pari a:
Perimetro...
Il perimetro definisce l'oggetto rispetto al quale si svolgono l'analisi e la gestione del rischio, ad esempio:
- un'intera organizzazione
- un dipartimento o business unit
- un ben definito insieme di reti e calcolatori
- un insieme di applicazioni informatiche, anche se fisicamente esterne all'organizzazione (ad esempio in cloud)
- Asset: qualunque bene o entità che può avere un valore per l'organizzazione (beni fisici, persone, applicazioni informatiche).
- Sicurezza delle informazioni: la protezione delle caratteristiche di confidenzialità, integrità.
- Controlli: mezzi per gestire e limitare il rischio (organizzativi o tecnici).
- Minacce: evento possibile, con un impatto.
Scelta ed implementazione dei controlli...
Dopo aver identificato i rischi, il prossimo passo è selezionare i controlli da utilizzare per trattare tali rischio.
Un controllo, safeguard o contromisura (sono sinonimi intercambiabili in questo contesto) e aiutano a ridurre il rischio. Faremo riferimento a controllo sfruttando la seguente definizione.
Un azione, un dispositivo, una procedura, o altra misura che riduce il rischio eliminando o prevenendo una violazione della sicurezza, minimizzando il danno che può causare o rilevandolo e segnalandolo per consentire un'azione correttiva.
Alcuni controlli gestiscono più rischi contemporaneamente, e selezionare tali controlli può risultare economico per l'organizzazione. I controlli sono classificati nelle seguenti classi (sebbene alcuni includano funzionalità appartenenti a diverse classi):
- Controlli di gestione (management controls)
- Controlli operativi (operational controls)
- Controlli tecnici (technical controls)
Selezione di un controllo...
Se è stata utilizzata una qualche forma di processo di valutazione del rischio informale o formale, allora ci sono indicazioni su rischi specifici per i sistemi informatici di una certa organizzazione che devono essere gestiti. Avviene, in genere una selezione di controlli operativi o tecnici che insieme possono ridurre la probabilità che si verifichi il rischio identificato.
Il processo illustrato nella figura sopra indica che dovrebbe essere stilato un elenco raccomandato di controlli per affrontare ciascun rischio che necessita di trattamento. I controlli raccomandati devono essere compatibili con le politiche e i sistemi dell'organizzazione e la loro selezione potrebbe anche essere guidata da requisiti legali. La riduzione del livello di rischio che deriva dall'implementazione di un controllo nuovo o migliorato deriva dalla riduzione delle probabilità della minacci o delle conseguenze fornite dal controllo, come si vede nella figura in basso.
La riduzione della probabilità potrebbe risultare o dalla riduzione delle vulnerabilità nel sistema o nella riduzione della capacità e motivazione di sfruttamento della minaccia.
La direzione deve quindi determinare quale selezione di controlli fornisce un livello di rischio risultante accettabile per i sistemi dell'organizzazione. Questa selezione prenderà in considerazione fattori come:
- se il controllo riduce il rischio più di quanto è necessario, allora la scelta per un controllo più economico può essere considerata;
- se il controllo costa più della riduzione del rischio fornita, allora può dovrebbe essere considerate della alternative;
- se un controllo non riduce il rischio sufficientemente, allora o più o diversi controlli dovrebbe essere usati;
- se il controllo fornisce sufficiente riduzione del rischio ed è quello più efficiente economicamente parlando, allora deve essere usato.
Riepiologo...
Plan...
- Definire il perimetro
- Scrivere una Politica dell'ISMS
- Analizzare e valutare il rischio
- Trattare il rischio
- Ottenere approvazione ed autorizzazione
- Redigere lo Statement of Applicability
1. Definire il perimetro...
- Perimetro fisico (edifici, risorse)
- Anagrafica degli asset
- Risorse tecnologie (server, reti, servizi esterni)
2. Scrivere una Politica dell'ISMS che:...
- definisca i principi strategici generali
- tenga conto degli obblighi contrattuali e di vincoli specifici dell'organizzazione rispetto al perimetro
- si integri con il sistema di gestione dei rischi (anche non informatici) dell'organizzazione
- definisca i criteri per la valutazione dei rischi
3a. Analizzare e valutare il rischio, identificando:...
- asset e loro responsabili
- minacce (threats)
- contromisure (controls)
- vulnerabilità sfruttabili dalle minacce (vulnerabilities)
- tipologie di conseguenze degli incidenti
3b. Valutare il rischio, stimando:...
- impatti e conseguenze per l'organizzazione, nel caso che le minacce possano causare un corrispondente incidente
- la probabilità P che un certo incidente si verifichi
- i livelli di rischio per ogni minaccia (ad esempio con una formula
4. Trattare il rischio:...
- applicare ulteriori controlli
- inserire il rischio in una lista di rischi accettati
- trasferire i rischi (esempio con una assicurazione)
Alla fine di questa fase, occorre valutare il rischio residuo, seguendo lo schema del precedente punto 3b.
5. Ottenere approvazione dalla direzione:...
- per l'accettazione del rischio residuo
- per l'implementazione dei controlli selezionati
6. Redigere lo Statement of Applicability, con:...
- Controlli esistenti
- Controlli aggiuntivi, selezionati in base al piano di riduzione dei rischi
- Selezione dei controlli che verranno effettivamente attuati e delle tempistiche di attuazione motivando tali scelte sulla base della politica dell'ISMS
Lo Statement of Applicability SoA è un documento in cui vengono elencati e spiegati quali controlli di sicurezza e politiche definite dalla norma ISO 27001 vengono applicati all'interno dell'organizzazione. Questi controlli e politiche servono a proteggere le informazioni importanti e a gestire i sistemi informatici che le trattano. Il SoA confronta i controlli con quelli nell'allegato A della norma ISO 27001 (che è un elenco di controlli di sicurezza) indicando quali tra i controlli di tale allegato A l'organizzazione ha scelto di mettere in atto. Questo documento è richiesto per ottenere la certificazione ISO 27001 ed è esaminato da un auditor esterno quando l'organizzazione cerca di ottenere la certificazione.
Audit: verifica, ispezione
Auditor: entità incaricata di effettuare audit, ovvero verifiche e/o ispezioni.
Do...
- Definire un piano di implementazione
- Realizzare i controlli selezionati
- Misurare l'efficacia dei controlli realizzati
- Attuare un piano di formazione
- Gestire l'operatività dei controlli e la loro manutenzione ed evoluzione ordinaria
Check...
(A) monitoraggio per rilevare problemi...
- Rilevare errori nei sistemi informatici e in particolare in quelli modificati dai controlli implementati
- Identificare gli incidenti di sicurezza
- Verificare se le azioni intraprese per risolvere un incidente sono state efficaci
(B) Riesame proattivo...
- Audit di sicurezza (ad esempio Pentest, Assessment, interviste)
- Misurazione dell'efficacia dei controlli
- Verifica dell'attuazione requisiti di sicurezza contenuti nelle politiche
(C) Riesame della valutazione dei rischi residui...
Act...
Migliorare l'ISMS:
- identificare i miglioramenti necessari, sulla base delle risultanze della fase di check
- attuare i miglioramenti sopra definiti
- verificare che i miglioramenti siano efficaci
In Italia un ente accreditato per la certificazione ISO 27001 è Accredia collegato a livello internazionale con ILAC, IAD, EA.