7_GDPR non ti temo – Definizione dei rischi e formule valutative (PRO)

IL CALCOLO DEL RISCHIO E DEL RISCHIO NORMALIZZATO

 

L’ARTICOLO CONTIENE UN CONTENUTO SCARICABILE

DEFINIZIONE VULNERABILITÀ E FORMULE PER CALCOLARE

Con questa procedura siamo in grado di identificare le vulnerabilità, associate ai componenti, che impattano su un asset. Conoscenza che ci consentirà di decidere se le politiche di sicurezza sono efficaci e valutare possibili contromisure o mitigazioni. O in caso di inidoneità o eccessive criticità, di adottare e valutare nuovi sistemi che non le abbiano.

Le vulnerabilità possono essere classificate a seconda della loro rilevanza, per identificare un ordine di urgenza nell’applicazione delle contromisure.

 

Anteprima tabelle scaricabili in pdf:

APPENDICE

Per completare il prospetto forniamo un elenco di valutazioni, liberamente integrabile a seconda delle necessità.

A- AGENTI DI MINACCIA
  • insiders: dipendenti “infedeli” della stessa azienda
  • crackers: persone intenziona te a violare il sistema;
  • malware interni (o errore delle procedure sviluppate);
  • malware esterni (classici virus/ransomware, ecc);
  • gruppi organizzati: hacktivisti, crimine organizzato, concorrenza.
B- SCENARI
  • Persone: impatto sulla salute e la sicurezza fisica dei cittadini;
  • Economia: impatto economico provocato dall’incidente;
  • Servizi: quantità e tipologia di servizi critici coinvolti dall’incidente;
  • Immagine: visibilità dell’incidente (o danno di immagine);
  • Sociale: impatti sociali provocati dall’incidente.
C- PERICOLI E RISCHI CORRELATI

Agenti fisici (incendio, allagamento, attacchi esterni)

  • Perdita
  • Distruzione non autorizzata

Eventi naturali (terremoti, eruzioni vulcaniche, ecc.)

  • Perdita
  • Distruzione non autorizzata

Interruzione servizi (sbalzi di tensione, guasti impianto di climatizzazione, interruzione collegamenti di rete, ecc.)

  • Perdita
  • Distruzione non autorizzata
  • Modifica non autorizzata
  • Divulgazione non autorizzata
  • Accesso dati non autorizzato

Problemi tecnici (Anomalie e malfunzionamento software, problemi hardware o componenti servizio IT)

  • Perdita
  • Distruzione non autorizzata
  • Modifica non autorizzata
  • Divulgazione non autorizzata
  • Accesso dati non autorizzato

Compromissione informazioni (intercettazioni, rivelazione informazioni, infiltrazioni in messaggistica di posta elettronica, ecc.)

  • Perdita
  • Distruzione non autorizzata
  • Modifica non autorizzata
  • Divulgazione non autorizzata
  • Accesso dati non autorizzato

Azioni non autorizzate (Errori volontari o involontari, virus, uso non autorizzato di strumentazione, ecc.)

  • Perdita
  • Distruzione non autorizzata
  • Modifica non autorizzata
  • Divulgazione non autorizzata
  • Accesso dati non autorizzato
D- GRUPPI DI CONTROLLO

Politiche di sicurezza (Security Policy):

  • forniscono le direttive di gestione ed il supporto per le informazioni di sicurezza.
    es: Assegnazione livelli di autorizzazione al personale, Identificazione dei supporti e dei programmi, Categorie dei dati e identificazione posizione…
  • Sicurezza organizzativa (Security Organization):
    – controllo della sicurezza delle informazioni in seno all’azienda;
    – mantenere la sicurezza e la facilità dei processi organizzativi delle informazioni anche quando accedono le terze parti;
    – monitorare la sicurezza delle informazioni quando la responsabilità dell’elaborazione dell’informazione è stata conferita in outsource
    es: Identificazione strutture di backup e modalità, Assegnazione accessi ai backup…
  • Controllo e classificazione dei beni (Asset Classification and Control):
    – mantenere la protezione dell’assetto organizzativo e garantire che l’assetto delle informazioni riceva un appropriato livello di protezione
  • Sicurezza del personale (Personnel Security):
    – Ridurre i rischi di errore, di furto, di frode o di abuso da parte degli operatori;
    – accertarsi che gli utenti siano informati delle possibili minacce e preoccupazioni sulla sicurezza delle informazioni e siano dotati a sostenere la politica della società sulla sicurezza nel corso del loro lavoro normale;
    – per minimizzare i danni dagli avvenimenti e dalle disfunzioni di sicurezza ed imparare da tali avvenimenti
    es: Revisione personale uscente ed entrante e formazione in occasione di assunzioni o dimissioni eseguire subito il check operativo…
  • Sicurezza fisica e ambientale (Physical and Environmental Security):
    – impedire l’accesso, il danneggiamento e l’interferenza di persone non autorizzate all’interno del flusso delle informazioni del business;
    – impedire perdita, danni o l’assetto del sistema e l’interruzione delle attività economiche a seguito di danneggiamenti;
    – impedire la manomissione o il furto delle informazioni
    es: Verifica impianti e dispositivi antincendio, Verifica videosorveglianza o controllo accessi, Verifica impianto elettrico,…
  • Gestione di comunicazioni e operazioni (Communications and Operations Management):
    – accertarsi del corretto funzionamento e facilità di elaborazione dell’informazione;
    – minimizzare il rischio di guasti dei sistemi;
    – proteggere l’integrità dei software e delle informazioni;
    – mantenere l’integrità e la validità dei processi di elaborazione dell’informazione e della comunicazione;
    – garantire la salvaguardia delle informazioni in rete e la protezione delle infrastrutture a supporto;
    – prevenire danni ai beni e le interruzioni alle attività economiche;
    – impedire perdita, modifica o abuso delle informazioni scambiate fra le organizzazioni.
    es: Tabella controlli funzionamenti e protezione antivirus, Tabella controlli esecuzione backup…
  • Controllo di accesso (Access Control):
    – per controllare l’accesso alle informazioni;
    – per impedire l’accesso non autorizzato ai sistemi d’informazione;
    – per accertare la protezione dei servizi in rete;
    – per impedire l’accesso non autorizzato nel calcolatore;
    – per rilevare le attività non autorizzate;
    – per accertarsi sulla sicurezza delle informazioni quando sono utilizzate le postazioni mobili.
    es: Controllo accessi e cambi password operatori…
  • Sviluppo e manutenzione di sistemi (System Development and Maintenance):
    – accertare che la sicurezza sia stata costruita all’interno delle operazioni di sistema;
    – per impedire la perdita, la modifica o il cattivo utilizzo dei dati dell’utente all’interno dei sistemi di applicazione;
    – per proteggere riservatezza, autenticità e l’integrità delle informazioni;
    – per accertarsi che le attività di progetto e supporto alle attività siano condotte in modo sicuro;
    – per mantenere la sicurezza del software e dei dati di sistema.
  • Gestione continuità operativa (Business Continuity Management):
    – neutralizzare le interruzioni alle attività economiche ed ai processi critici degli affari, dagli effetti dei guasti.
  • Adeguatezza (Compliance):
    – evitare il non rispetto delle leggi civili, penali e di qualsiasi requisito di sicurezza;
    – per elevare l’efficacia e minimizzare l’interferenza da/per il processo di verifica del sistema.
E- MATERIALE UTILE

NIST SP 800-53 REL.5 DRAFT (elenco dei controlli di sicurezza adottati anche in ambito ISO27001) CLICCA QUI

ISO 27001 Annex A

VALUTAZIONE ESEMPI NELLA PUBBLICA AMMINISTRAZIONE: CLICCA QUI

 

CONCLUSIONI

Una gestione corretta dell’inventario permette di identificare cosa possiede l’azienda, i suoi utenti (e cosa stanno utilizzando) per ottenere parecchi benefici:

  • riduzione dei costi del software e dell’hardware;
  • prevenzione dei rischi;
  • tracciabilità delle versioni software e degli aggiornamenti;
  • anticipare eventuali minacce.

Implementare correttamente un sistema è una cosa complessa e non abbiamo sicuramente esaurito in questo articolo, sebbene lungo, tutte le potenzialità di un lavoro fatto a regola d’arte. Se ci fossero dubbi o voleste maggiori informazioni siete invitati a contattarci e farci sapere le vostre necessità, perché ricordate che

La sicurezza non può essere per molti, deve essere per tutti!