MODELLO OPERATIVO

La comprensione degli elementi del contesto e delle relazioni di interdipendenza che tra loro si possono creare, permette di condividere con gli attori coinvolti il modello operativo con cui procedere all’analisi del rischio e quindi eventualmente individuare lo strumento corretto da utilizzare a supporto. È possibile definire modelli standard di riferimento che, per combinazioni ripetitive degli elementi, razionalizzano e ottimizzano l’offerta e l’erogazione delle attività di analisi del rischio.

In generale, può non essere sostenibile per l’azienda l’esecuzione contemporanea di analisi del rischio aventi il massimo livello di dettaglio sull’intero patrimonio informativo. Allo stesso tempo rivolgere l’attenzione unicamente ai rischi ritenuti più urgenti può non rivelarsi nel lungo periodo una strategia di sicurezza efficace ed efficiente. La combinazione strutturata (ad esempio facendo seguire analisi sempre più puntuali ad analisi di più alto livello) di diversi modelli operativi di analisi permette all’azienda di perseguire i propri obiettivi di presidio dei livelli di rischio ottimizzando gli investimenti, supportando le attività delle proprie funzioni di business ed il supporto all’evoluzione organizzativa.

73 4.4 INDIVIDUAZIONE DEGLI ELEMENTI DI RISCHIO

Una volta definito il contesto di analisi, prima di procedere all’effettiva stima del rischio, è necessario individuare tutti gli elementi che contribuiscono alla definizione dei livelli di rischio e delle relazioni che tra loro intercorrono. In particolare è necessario perseguire il riconoscimento di:

 Asset: scopo di questa attività è l’individuazione degli asset mediante cui sono trattate le informazioni ritenute rilevanti per lo svolgimento dei processi operativi compresi nel perimetro di indagine. Inoltre, è necessario riconoscere anche le relazioni che questi hanno fra di loro e che servono sia per il loro funzionamento (es. un server e relativo CED, ...) che per permettere loro di scambiare flussi informativi all’interno, o anche verso l’esterno, del perimetro di indagine (es. un’applicazione di gestione clienti e un fax-server). L’insieme degli asset e delle loro relazioni costituisce la modellizzazione degli asset da sottoporre ad analisi. La modellizzazione è la base di partenza senza cui non è possibile poter procedere ad una corretta ed efficace analisi del rischio in quanto permette di valutare i danni che un incidente di sicurezza potrebbe causare sia sul singolo asset che, di riflesso, sulle altre componenti del processo operativo di cui fa parte. Anche se gli asset devono essere individuati e modellizzati con un livello di dettaglio adeguato agli obiettivi ed al modello operativo di analisi, non è possibile prescindere dal prendere in considerazione le seguenti categorie di asset: informazioni; processi e attività; beni mobili e tecnologici; beni mobili non tecnologici; beni immobili; personale. Sempre coerentemente al contesto definito, gli asset possono essere aggregati entro le suddette categorie in tipi (es. per la categoria beni mobili tecnologici: hardware, software, applicazioni; dispositivi, network, reti e apparati di comunicazione, supporti di memoria di massa) o in sottotipi (es. mainframe, server, desktop, laptop, ...) e gestiti nell’analisi come unica entità. Ad ogni asset, o ad ogni aggregato di asset così individuato, deve essere attribuito un referente.

74

 Minacce: scopo dell’attività è l’individuazione delle minacce che insistono sugli asset individuati all’interno del perimetro di analisi. Una minaccia è un evento potenziale, accidentale o deliberato, originato da cause naturali, tecnologiche o connesse al comportamento umano che, nel caso si esplicitasse, comporterebbe una possibile violazione degli obiettivi e delle politiche di sicurezza della banca, producendo un danno per l’azienda, ovvero un incidente di sicurezza. Ad ogni asset devono essere attribuite le minacce pertinenti che devono essere identificate considerando tutti i potenziali eventi, anche se improbabili, che potrebbero provocare danno. Per l’individuazione e successiva elaborazione di una minaccia è sufficiente che questa possa recare danno anche ad uno solo degli asset individuati in precedenza. Ai fini dell’analisi e coerentemente agli obiettivi perseguiti, le minacce possono essere raggruppate in categorie sulla base di caratteristiche condivise (es. guasti agli impianti, eventi naturali, guasti dell’hardware, errori operativi volontari o involontari del personale...).

 Vulnerabilità: scopo dell’attività è l’individuazione delle vulnerabilità, ovvero di quei punti deboli del sistema di tutela aziendale che possono essere sfruttati dalle minacce per creare un incidente di sicurezza e causare danni all’azienda. Ad ognuna delle minacce precedentemente rilevate devono essere correlate le vulnerabilità che ne permettono l’accadimento. In estrema sintesi le vulnerabilità possono derivare: dall’assenza o dalla non corretta adozione dei controlli di sicurezza necessari ad impedire l’accadimento della minaccia (es. mancanza di protezioni fisiche adeguate, cattiva scelta ed utilizzo di password, connessioni insicure verso le reti esterne, insufficiente sensibilizzazione del personale, ...); dalle caratteristiche del contesto in cui si svolgono i processi operativi, ovvero in funzione dell’ambiente esterno in cui sono collocati gli asset a prescindere dalle contromisure (es. localizzazione geografica, garanzia di continuità della fornitura elettrica, caratteristiche delle infrastrutture pubbliche, ...); dalle caratteristiche intrinseche all’asset stesso, ovvero a seguito delle peculiarità, anche tecnologiche, delle sue componenti (es. deperibilità, complessità della user interface, ...); dalle caratteristiche del processo operativo, ovvero dalle modalità e dalle finalità con cui vengono gestiti gli asset (es. SLA aggressivi, utilizzo di personale con limitata esperienza, ...). In funzione del contesto

75 e del modello operativo di analisi le vulnerabilità possono essere associate congiuntamente alle minacce e insieme ad esse gestite nel prosieguo dell’indagine.

 Contromisure: scopo dell’attività è l’individuazione di tutti gli elementi di carattere normativo, organizzativo o tecnologico, che contribuiscono a mitigare il rischio, siano essi esistenti oppure previsti. Una contromisura può mitigare il rischio, o diminuendo il danno in caso di incidente di sicurezza (es. disaster recovery a fronte di un incendio nel CED, ...) oppure rendendone più difficile l’accadimento (es. sistema antincendio nel CED, ..). Per ogni vulnerabilità individuata devono essere riconosciute e rilevate le contromisure, in essere o pianificate, in grado di mitigare il danno del potenziale incidente di sicurezza. Qualora, per i motivi precedentemente detti, le vulnerabilità fossero associate e gestite congiuntamente alle minacce, le contromisure possono essere correlate direttamente a queste ultime.