Menu Content/Inhalt
Italian - ItalyEnglish (United Kingdom)

Share/notice

Home
Analisi dei rischi Print E-mail
Thursday, 13 September 2007 10:26

L'analisi dei rischi consente di acquisire consapevolezza e visibilità sul livello di esposizione al rischio del proprio patrimonio informativo ed avere una mappa preliminare dell'insieme delle possibili contromisure di sicurezza da realizzare.

L'analisi dei rischi consiste in:

  1. individuazione di tutte le risorse del patrimonio informativo;
  2. identificazione delle minacce a cui tali risorse sono sottoposte;
  3. identificazione delle vulnerabilità
  4. definizione delle relative contromisure.

Individuazione delle risorse

Deve essere predisposto un documento che illustri il patrimonio informativo dell'istituto con particolare riferimento ai trattamenti dei dati sensibili:

 Descrizione

 Locazione

 Tipologia

 Supporto

 Operatori

 Responsabile

      
      

 

  • Descrizione: indicare brevemente il contenuto del bene
  • Locazione: indicare l'ufficio, il contenitore, il personal computer in cui si trova il bene trattato
  • Tipologia: indicare se Personale/Sensibile/Anonimo
  • Supporto: indicare se Cartaceo o Informatico
  • Operatori: indicare i nomi delle persone che vi hanno accesso

e alle seguenti ulteriori risorse:

  • Hardware
  • Software
  • Apparecchiature di comunicazione
  • Servizi
  • Apparecchiature per l'ambiente

Individuazione delle minacce

Le principali minacce da prendere in considerazione riguardano:

LE RISORSE HARDWARE

  1. malfunzionamenti dovuti a guasti;
  2. malfunzionamenti dovuti a eventi naturali quali terremoti, allagamenti, incendi;
  3. malfunzionamenti dovuti a blackout ripetuti ed in genere a sbalzi eccessivi delle linee di alimentazione elettrica;
  4. malfunzionamenti dovuti a sabotaggi, furti.

LE RISORSE CONNESSE IN RETE

  1. virus, worms, trojan;
  2. intercettazioni ed accessi abusivi al sistema;
  3. saturazione delle risorse disponibili (Denial of service).

I DATI TRATTATI

  1. accesso non autorizzato agli archivi contenenti le informazioni riservate (visione, modifica, cancellazione, esportazione) da parte di utenti interni e/o esterni;
  2. modifiche accidentali (errori, disattenzioni) agli archivi da parte di utenti autorizzati.

I SUPPORTI DI MEMORIZZAZIONE

  1. distruzione e/o alterazione a causa di eventi naturali;
  2. imperizia degli utilizzatori;
  3. sabotaggio;
  4. deterioramento nel tempo (invecchiamento dei supporti);
  5. difetti di costruzione del supporto di memorizzazione che ne riducono la vita media;
  6. l'evoluzione tecnologica del mercato che rende in breve tempo obsoleti alcuni tipi di supporti.

Riportiamo una tabella particolarmente sintetica e chiara tratta da "Sicurezza informatica"- AICA, CLUSIT - McGraw-Hill - ISBN 88-386-4333-4

Rischi Deliberato Accidentale Ambientale
Terremoto     X
Inondazione X X X
Uragano     X
Fulmine     X
Bombardamento X X  
Fuoco X X  
Uso di armi   X  
Danno volontario X    
Interruzione di corrente   X  
Interruzione di acqua   X  
Interruzione di aria condizionata X X  
Guasto hardware   X  
Linea elettrica instabile   X X
Temperatura e umidità eccessive     X
Polvere     X
Radiazioni elettromagnetiche   X  
Scariche elettrostatiche   X  
Furto X    
Uso non autorizzato dei supporti di memoria X    
Deterioramento dei supporti di memoria   X  
Errore del personale operativo   X  
Errore di manutenzione   X  
Masquerading dell'identificativo dell'utente X    
Uso illegale di software X X  
Software dannoso   X  
Esportazione/importazione illegale di software X    
Accesso non autorizzato alla rete X    
Uso della rete in modo non autorizzato X    
Guasto tecnico di provider di rete   X  
Danni sulle linee X X  
Errore di trasmissione   X  
Sovraccarico di traffico X X  
Intercettazione (Eavesdropping) X    
Infiltrazione nelle comunicazioni X    
Analisi del traffico   X  
Indirizzamento non corretto dei messaggi   X  
Reindirizzamento dei messaggi X    
Ripudio X    
Guasto dei servizi di comunicazione X X  
Mancanza di personale   X  
Errore dell'utente X X  
Uso non corretto delle risorse X X  
Guasto software X X  
Uso di software da parte di utenti non autorizzati X X  
Uso di software in situazioni non autorizzate X X  

Individuazione delle vulnerabilità

Le vulnerabilità del sistema informativo possono essere potenzialmente sfruttate qualora si realizzasse una delle minacce indicate nel punto precedente. In particolare le vulnerabilità devono essere ricercate nei seguenti fattori:

  • infrastrutture;
  • hardware;
  • software;
  • comunicazioni;
  • personale;
  • documenti cartacei.

Riportiamo due tabelle tratte da "Sicurezza informatica" - AICA, CLUSIT - McGraw-Hill - ISBN 88-386-4333-4

Infrastruttura Hardware Comunicazioni
Mancanza di protezione fisica dell'edificio (porte finestre ecc.) Mancanza di sistemi di rimpiazzo Linee di comunicazione non protette
Mancanza di controllo di accesso Suscettibilità a variazioni di tensione Giunzioni non protette
Linea elettrica instabile Suscettibilità a variazioni di temperatura Mancanza di autenticazione
Locazione suscettibile ad allagamenti Suscettibilità a umidità, polvere, sporcizia Trasmissione password in chiaro
  Suscettibilità a radiazioni elettromagnetiche Mancanza di prova di ricezione/invio
  Manutenzione insufficiente Presenza di linee dial-up (con modem)
  Carenze di controllo di configurazione (upate/upgrade dei sistemi) Traffico sensibile non protetto
    Gestione inadeguata della rete
    Connessioni a linea pubblica non protette

 

Documenti cartacei Software Personale
Locali documenti non protetti Interfaccia uomo-macchina complicata Mancanza di personale
Carenza di precauzioni nell'eliminazione Mancanza di identificazione / autenticazione Mancanza di supervisione degli esterni
Non controllo delle copie Mancanza del registro delle attività (log) Formazione insufficiente sulla sicurezza
  Errori noti del software Mancanza di consapevolezza
  Tabelle di password non protette Uso scorretto di hardware/software
  Carenza/Assenza di password management Carenza di monitoraggio
  Scorretta allocazione dei diritti di accesso Mancanza di politiche per i mezzi di comunicazione
  Carenza di controllo nel caricamento e uso di software Procedure di reclutamento inadeguate
  Permanenza di sessioni aperte senza utente  
  Carenza di controllo di configurazione  
  Carenza di documentazione  
  Mancanza di copie di backup  
  Incuria nella dismissione di supporti riscrivibili  

Individuazione delle contromisure

Le contromisure individuano le azioni che si propongono al fine di annullare o di limitare le vulnerabilità e di contrastare le minacce, esse sono classificabili nelle seguenti tre categorie:

  1. contromisure di carattere fisico (ad es. l'adozione di armadi ignifughi in cui conservare documenti cartacei e supporti informatici di backup);
  2. contromisure di carattere procedurale (ad. es. procedure di accesso fisico ai locali, procedure per la gestione delle credenziali individuali di autenticazione);
  3. contromisure di carattere elettronico/informatico (ad es. l'adozione di un sistema di backup centralizzato, del gruppo di continuità e di un firewall).

^top

Last Updated on Friday, 05 October 2007 08:39
 
designed by www.madeyourweb.com