|
There are no translations available.
L'analisi dei rischi consente di acquisire consapevolezza e visibilità sul livello di esposizione al rischio del proprio patrimonio informativo ed avere una mappa preliminare dell'insieme delle possibili contromisure di sicurezza da realizzare. L'analisi dei rischi consiste in: - individuazione di tutte le risorse del patrimonio informativo;
- identificazione delle minacce a cui tali risorse sono sottoposte;
- identificazione delle vulnerabilità
- definizione delle relative contromisure.
Individuazione delle risorse Deve essere predisposto un documento che illustri il patrimonio informativo dell'istituto con particolare riferimento ai trattamenti dei dati sensibili: Descrizione | Locazione | Tipologia | Supporto
| Operatori | Responsabile | | | | | | | | | | | | | | |
- Descrizione: indicare brevemente il contenuto del bene
- Locazione: indicare l'ufficio, il contenitore, il personal computer in cui si trova il bene trattato
- Tipologia: indicare se Personale/Sensibile/Anonimo
- Supporto: indicare se Cartaceo o Informatico
- Operatori: indicare i nomi delle persone che vi hanno accesso
e alle seguenti ulteriori risorse: - Hardware
- Software
- Apparecchiature di comunicazione
- Servizi
- Apparecchiature per l'ambiente
Individuazione delle minacce Le principali minacce da prendere in considerazione riguardano: LE RISORSE HARDWARE - malfunzionamenti dovuti a guasti;
- malfunzionamenti dovuti a eventi naturali quali terremoti, allagamenti, incendi;
- malfunzionamenti dovuti a blackout ripetuti ed in genere a sbalzi eccessivi delle linee di alimentazione elettrica;
- malfunzionamenti dovuti a sabotaggi, furti.
LE RISORSE CONNESSE IN RETE - virus, worms, trojan;
- intercettazioni ed accessi abusivi al sistema;
- saturazione delle risorse disponibili (Denial of service).
I DATI TRATTATI - accesso non autorizzato agli archivi contenenti le informazioni riservate (visione, modifica, cancellazione, esportazione) da parte di utenti interni e/o esterni;
- modifiche accidentali (errori, disattenzioni) agli archivi da parte di utenti autorizzati.
I SUPPORTI DI MEMORIZZAZIONE - distruzione e/o alterazione a causa di eventi naturali;
- imperizia degli utilizzatori;
- sabotaggio;
- deterioramento nel tempo (invecchiamento dei supporti);
- difetti di costruzione del supporto di memorizzazione che ne riducono la vita media;
- l'evoluzione tecnologica del mercato che rende in breve tempo obsoleti alcuni tipi di supporti.
Riportiamo una tabella particolarmente sintetica e chiara tratta da "Sicurezza informatica"- AICA, CLUSIT - McGraw-Hill - ISBN 88-386-4333-4 | Rischi | Deliberato | Accidentale | Ambientale | | Terremoto | | | X | | Inondazione | X | X | X | | Uragano | | | X | | Fulmine | | | X | | Bombardamento | X | X | | | Fuoco | X | X | | | Uso di armi | | X | | | Danno volontario | X | | | | Interruzione di corrente | | X | | | Interruzione di acqua | | X | | | Interruzione di aria condizionata | X | X | | | Guasto hardware | | X | | | Linea elettrica instabile | | X | X | | Temperatura e umidità eccessive | | | X | | Polvere | | | X | | Radiazioni elettromagnetiche | | X | | | Scariche elettrostatiche | | X | | | Furto | X | | | | Uso non autorizzato dei supporti di memoria | X | | | | Deterioramento dei supporti di memoria | | X | | | Errore del personale operativo | | X | | | Errore di manutenzione | | X | | | Masquerading dell'identificativo dell'utente | X | | | | Uso illegale di software | X | X | | | Software dannoso | | X | | | Esportazione/importazione illegale di software | X | | | | Accesso non autorizzato alla rete | X | | | | Uso della rete in modo non autorizzato | X | | | | Guasto tecnico di provider di rete | | X | | | Danni sulle linee | X | X | | | Errore di trasmissione | | X | | | Sovraccarico di traffico | X | X | | | Intercettazione (Eavesdropping) | X | | | | Infiltrazione nelle comunicazioni | X | | | | Analisi del traffico | | X | | | Indirizzamento non corretto dei messaggi | | X | | | Reindirizzamento dei messaggi | X | | | | Ripudio | X | | | | Guasto dei servizi di comunicazione | X | X | | | Mancanza di personale | | X | | | Errore dell'utente | X | X | | | Uso non corretto delle risorse | X | X | | | Guasto software | X | X | | | Uso di software da parte di utenti non autorizzati | X | X | | | Uso di software in situazioni non autorizzate | X | X | | Individuazione delle vulnerabilità Le vulnerabilità del sistema informativo possono essere potenzialmente sfruttate qualora si realizzasse una delle minacce indicate nel punto precedente. In particolare le vulnerabilità devono essere ricercate nei seguenti fattori: - infrastrutture;
- hardware;
- software;
- comunicazioni;
- personale;
- documenti cartacei.
Riportiamo due tabelle tratte da "Sicurezza informatica" - AICA, CLUSIT - McGraw-Hill - ISBN 88-386-4333-4 | Infrastruttura | Hardware | Comunicazioni | | Mancanza di protezione fisica dell'edificio (porte finestre ecc.) | Mancanza di sistemi di rimpiazzo | Linee di comunicazione non protette | | Mancanza di controllo di accesso | Suscettibilità a variazioni di tensione | Giunzioni non protette | | Linea elettrica instabile | Suscettibilità a variazioni di temperatura | Mancanza di autenticazione | | Locazione suscettibile ad allagamenti | Suscettibilità a umidità, polvere, sporcizia | Trasmissione password in chiaro | | | Suscettibilità a radiazioni elettromagnetiche | Mancanza di prova di ricezione/invio | | | Manutenzione insufficiente | Presenza di linee dial-up (con modem) | | | Carenze di controllo di configurazione (upate/upgrade dei sistemi) | Traffico sensibile non protetto | | | | Gestione inadeguata della rete | | | | Connessioni a linea pubblica non protette | | Documenti cartacei | Software | Personale | | Locali documenti non protetti | Interfaccia uomo-macchina complicata | Mancanza di personale | | Carenza di precauzioni nell'eliminazione | Mancanza di identificazione / autenticazione | Mancanza di supervisione degli esterni | | Non controllo delle copie | Mancanza del registro delle attività (log) | Formazione insufficiente sulla sicurezza | | | Errori noti del software | Mancanza di consapevolezza | | | Tabelle di password non protette | Uso scorretto di hardware/software | | | Carenza/Assenza di password management | Carenza di monitoraggio | | | Scorretta allocazione dei diritti di accesso | Mancanza di politiche per i mezzi di comunicazione | | | Carenza di controllo nel caricamento e uso di software | Procedure di reclutamento inadeguate | | | Permanenza di sessioni aperte senza utente | | | | Carenza di controllo di configurazione | | | | Carenza di documentazione | | | | Mancanza di copie di backup | | | | Incuria nella dismissione di supporti riscrivibili | | Individuazione delle contromisure Le contromisure individuano le azioni che si propongono al fine di annullare o di limitare le vulnerabilità e di contrastare le minacce, esse sono classificabili nelle seguenti tre categorie: - contromisure di carattere fisico (ad es. l'adozione di armadi ignifughi in cui conservare documenti cartacei e supporti informatici di backup);
- contromisure di carattere procedurale (ad. es. procedure di accesso fisico ai locali, procedure per la gestione delle credenziali individuali di autenticazione);
- contromisure di carattere elettronico/informatico (ad es. l'adozione di un sistema di backup centralizzato, del gruppo di continuità e di un firewall).
^top
|
