UNIVERSITÁ DI PISA
DIPARTIMENTO DI ECONOMIA E MANAGEMENT
Corso di Laurea Magistrale in Strategia, Management e Controllo
Cyber risk e sicurezza informatica: un framework per la
valutazione del sistema di sicurezza adottato
da un’azienda IT
Relatore Candidato
Chiar.mo Prof. Giuseppe D’Onza Sabino Brandi
i
INDICE
ABSTRACT ... 1
CAPITOLO 1 ... 3
CYBER RISK E CYBER SECURITY ... 3
1.1UN RISCHIO EMERGENTE ... 3
1.2 CYBER RISK: DEFINIZIONE ... 4
1.2.1 Fonti di rischio del cyber risk ... 6
1.2.2 Danni e caratteristiche del cyber risk ... 9
1.3CYBER CRIME:DATI RILEVANTI ... 11
1.3.1 Tipologie di minacce informatiche ... 15
1.3.2 Impatto di attacco cyber ... 18
1.4FRONTEGGIARE IL CYBER RISK: LA CYBER SECURITY ... 20
1.4.1 Cyber security: una rappresentazione grafica ... 22
CAPITOLO 2 ... 26
LA SICUREZZA DELLE INFORMAZIONI: STANDARD INTERNAZIONALI ... 26
PREMESSA ... 26
2.1 LA FAMIGLIA DELLE ISO/IEC27000: GENERALITÀ E CENNI STORICI ... 27
2.1.1 ISO/IEC 27000: forma e contenuti ... 30
2.2 ISO/IEC27001:2013: I REQUISITI DELL’ISMS ... 35
2.2.1 Applicazione del ciclo di Deming: Plan, Do, Check, Act ... 41
2.3 L’INFORMATION SECURITY RISK MANAGEMENT PROCESS ... 46
2.4LA GESTIONE DEL RISCHIO: DUE STANDARD A CONFRONTO ... 54
2.5UN FRAMEWORK NAZIONALE PER LA CYBER SECURITY ... 58
CAPITOLO 3 ... 65
CASO EMPIRICO: FRAMEWORK PER LA VALUTAZIONE DEL SISTEMA DI SICUREZZA ... 65
PREMESSA ... 65
3.1 IL MODELLO: DESCRIZIONE E FUNZIONAMENTO ... 66
3.2PROCESSO DI VALUTAZIONE DEL SISTEMA DI SICUREZZA ... 68
3.2.1 Quadro generale delle minacce, degli effetti e delle contromisure ... 68
ii
3.2.3 Calcolo delle perdite nette e lorde: il residual risk ... 86
3.2.4 Calcolo dei benefici netti e del ROSI di ogni contromisura ... 91
3.2.5 Determinazione del Net Present Value ... 96
3.3 CONCLUSIONI E SPUNTI DI RIFLESSIONI SUL CASO ANALIZZATO ... 98
BIBLIOGRAFIA ... 104
SITOGRAFIA ... 106
iii
INDICE DELLE FIGURE
FIGURA 1: DISTRIBUZIONE DEGLI ATTACCHI PER TIPOLOGIA ... 12
FIGURA 2: TIPOLOGIA E DISTRIBUZIONE DELLE VITTIME-2015 ... 12
FIGURA 3: DISTRIBUZIONE PERCENTUALE DELLE TECNICHE DI ATTACCO-2011/2015 ... 14
FIGURA 4: CURVA DI RISCHIO TRADIZIONALE ... 22
FIGURA 5: RISORSE INVESTITE IN INFORMATION SECURITY (FOCUS ZONE) ... 23
FIGURA 6: TREND EVOLUTIVO DEI RISCHI CYBERNETICI ... 23
FIGURA 8: CYBER SECURITY: SOTTODISCIPLINA DELL'INFORMATION SECURITY ... 24
FIGURA 7: ESPANSIONE DELLA ZONA DI FOCUS PER I CYBER RISK ... 24
FIGURA 9: EVOLUZIONE STORICA DEGLI STANDARD INTERNAZIONALI IN TEMA DI SICUREZZA DELL'INFORMAZIONE ... 28
FIGURA 10: QUADRO GENERALE DELLA FAMIGLIA DELLE ISO/IEC27000 ... 30
FIGURA 11: CICLO DI DEMING IN OTTICA DI MIGLIORAMENTO CONTINUO DELL'ISMS ... 43
FIGURA 12: INFORMATION SECURITY RISK MANAGEMENT PROCESS ... 48
FIGURA 13: FASE DI RISK TREATMENT (ISO/IEC27005:2011)... 52
FIGURA 14: CONFRONTO DEGLI STANDARD ISO/IEC27005:2011 E ISO31000:2009... 56
iv
INDICEDELLETABELLE
TABELLA 1: CATEGORIE MINACCE ... 70
TABELLA 2: EFFETTI DELLE MINACCE... 70
TABELLA 3: COSTO D'IMPLEMENTAZIONE DELLE CONTROMISURE ... 71
TABELLA 4: NUMERO DI ATTACCHI OSSERVATI NELL'ANNO T0 ... 81
TABELLA 5: STIMA DI ATTACCHI PER L'ANNO T1... 82
TABELLA 6: FREQUENZA DEGLI EFFETTI DELLE MINACCE ... 83
TABELLA 7: PROBABILITÀ CONGIUNTA DI FALLIMENTO DELLE CONTROMISURE ... 84
TABELLA 8: STIMA DI ATTACCHI PER L'ANNO T1 IN ASSENZA DI CONTROMISURE ... 85
TABELLA 9: NUMERO DI EFFETTI EVITATI E DI EFFETTI IN ASSENZA DI CONTROMISURE ... 86
TABELLA 10: TEMPO NECESSARIO PER LO SVOLGIMENTO DI OGNI SFORZO ... 88
TABELLA 11: DANNO NOMINALE (PERDITA ATTESA PER EFFETTO) ... 89
TABELLA 12: PERDITE ATTESE NETTE, LORDE E PERDITE EVITATE ... 90
TABELLA 13: BENEFICI LORDI E NETTI DELLE CONTROMISURE ... 94
TABELLA 14:ROSI DELLE CONTROMISURE ... 95
1
ABSTRACT
Il lavoro di tesi svolto affronta l’attuale tematica del cyber risk e della cyber security per la gestione dello stesso, permettendo la protezione e l’integrità delle informazioni aziendali sempre più colpite dalle minacce derivanti dal cyberspace. Successivamente ho analizzato, come caso pratico, un framework adottato da un’azienda IT per l’analisi e la valutazione del sistema di sicurezza implementato.
L’elaborato è strutturato in tre capitoli.
Il primo capitolo offre un overview alla tematica del cyber risk, fornendone una sua definizione, classificazione e tipologie, nonché i danni osservabili per un suo accadimento. Nella parte finale del capitolo, invece, tratto la cyber security, spiegandone il significato e collocandola all’interno della disciplina dell’information security.
Il secondo capitolo si apre con una premessa relativa all’importanza delle informazioni come fattore di successo e di crescita di un’organizzazione. La necessità di una sua tutela, mi porta a definire e descrivere la normativa vigente in ambito internazionale (famiglia delle ISO/IEC 27000), ponendo l’attenzione alla ISO/IEC 27005, che delinea l’Information security risk management process, confrontandola con lo standard generale in materia di risk management, la ISO 31000.
Il terzo capitolo, infine, tratta il caso aziendale: nella prima parte del capitolo espongo e descrivo il framework utilizzato per la valutazione del sistema di sicurezza, mostrando dettagliatamente i risultati ottenuti nel corso delle cinque fasi
2 del processo. La parte finale è destinata alle conclusioni ed alle osservazioni personali in merito all’analisi svolta, definendo aspetti positivi e negativi del framework e spunti per un suo miglioramento.
3 Capitolo 1
CYBER RISK E CYBER SECURITY
1.1 Un rischio emergente
Quando si parla di cyber risk andiamo a trattare un argomento molto recente e talmente all’ordine del giorno tanto che se ne discute a livello globale. L’azienda americana UpGuard.com, specializzata nell’analisi e gestione dei rischi informatici, ha ben evidenziato come, a livello mondiale, le aziende abbiano razionalizzato i profondi cambiamenti e i significativi costi che sta comportando la trasformazione digitale. Ovviamente, i benefici apportati da un mondo sempre più tecnologico, sono visibili all’interno della società in cui viviamo: basti pensare ad ogni singolo individuo che ormai è succube di apparecchi tecnologici (smartphone, tablet, pc). All’interno delle organizzazioni, l’utilizzo di innovazioni tecnologiche che si susseguono in tempi sempre più rapidi ha cambiato il modo di fare impresa, apportando benefici sempre più evidenti; faccio riferimento, ad esempio, al cloud, ovvero l’erogazione di risorse informatiche come l’archiviazione, l’elaborazione o la trasmissione di dati, caratterizzato dalla disponibilità on-demand attraverso internet. Di contro a tali aspetti positivi che l’evoluzione tecnologica ha determinato, le aziende devono necessariamente comprendere e valutare le nuove esposizioni di rischio che si delineano.
Uno di questi è appunto il cyber risk, rischio di attacco informatico, che incombe sempre più sull’attività aziendale; quindi, così come le organizzazioni devono necessariamente investire nelle nuove tecnologie per non “perdere terreno” nei
4 confronti dei propri concorrenti, allo stesso tempo devono investire risorse per poter fronteggiare questi rischi emergenti. In particolar modo l’attenzione è rivolta alle grandi organizzazioni, le quali trattano un grande flusso di dati sensibili, e quindi devono evitare di essere oggetto di class action per una non corretta protezione di dati propri, dei propri clienti e/o fornitori.
1.2 Cyber risk: definizione
In letteratura vi sono diverse definizioni di cyber risk. Secondo PricewaterhouseCoopers, una delle “big four” delle società di revisione a livello mondiale, viene definito come:
“Cyber risk can be defined as the risk connected to activity online, internet trading, electronic systems and technological networks, as well as storage of personal data”1.
L’Institute of Risk Management lo definisce:
“Cyber risk means any risk of financial loss, disruption or damage to the reputation of an organisation from some sort of failure of its information technology systems”2.
Ancora Phil Mayes, head of technology e PI della Zurich Global Corporate, che definisce il cyber risk, nella sua accezione generale, come il rischio collegato a una perdita che non implichi danni fisici o alle proprietà tangibili; esso è relativo, infatti,
1 http://www.pwc.dk/da/arrangementer/assets/cyber-tineolsen.pdf
5 alla perdita di dati, i quali non sono considerati proprietà tangibili, nonostante lo sia il mezzo su cui risiedono3.
Nonostante tutte queste diverse definizioni del cyber risk, esso non è altro che il rischio derivante dal cyberspace4 e dai sistemi informatici; come tutti i rischi di
diversa natura, e quindi anche il cyber risk, è collegato alla possibilità di perdere qualcosa di valore. Il rischio, infatti, nella sua definizione generale, è legato all’incertezza di eventi prevedibili o improvvisi, diretti o indiretti, misurabili o non misurabili. Tale incertezza è legata sia agli eventi sia alle loro cause e ai loro effetti, non sempre facilmente identificabili e definibili.
Indipendentemente dalla tipologia di rischi, c’è una certa convergenza sul definire il rischio come la materializzazione di un evento negativo che possa compromettere il raggiungimento di obiettivi aziendali. Esso può essere visto come il risultato di tre fattori: la minaccia, la vulnerabilità e l’impatto.
La terminologia assicurativa suddivide con razionalità il cyber risk in due tipologie5:
1. Firts party risk 2. Third party risk
3 http://cdn.anra.procne.it/RM_News/21_2011.pdf
4 Con il termine cyberspace si fa riferimento al dominio caratterizzato dall'uso dell'elettronica per immagazzinare, modificare e scambiare informazioni attraverso le reti informatiche e le loro infrastrutture fisiche. È visto come la dimensione immateriale che mette in comunicazione i computer di tutto il mondo in un'unica rete che permette agli utenti di interagire tra loro
6 Il first party risk, rischio dei propri asset, è quello che genera un impatto diretto sul fatturato dell’Assicurato, mentre il third party risk, rischio verso terzi, si riferisce alle passività subite da parti terze e imputabili all’Assicurato.
Delle due tipologie di rischio, il third party risk risulta essere il più grave, in quanto si tratta di danni relativi alla perdita di dati sensibili di carattere personale causati da terze parti, come ad esempio attacchi da parte di hacker, trasmissione di malware, etc.. Nonostante alcune leggere discrepanze, le due definizioni sopra evidenziate sono sostanzialmente simili.
1.2.1 Fonti di rischio del cyber risk
Il web rappresenta una vera e propria minaccia per le organizzazioni. Rifacendomi alla distinzione tra first e third party risk, quest’ultimo è quello che più preoccupa le aziende, poiché non dipende da eventi incerti che si possono verificare all’interno dell’azienda, ma il suo verificarsi dipende maggiormente da eventi esterni che si verificano nel web.
A tal riguardo, gli scenari del rischio legati al web sono otto6:
1. Errore dovuto alla normale attività di comunicazione tramite i social network aziendali: le aziende utilizzano sempre più i social network (Facebook, Twitter) principalmente per effettuare campagne pubblicitarie e per accrescere la loro notorietà. L’errore dell’impiegato responsabile dell’account
7 dei social network, come ad esempio la pubblicazione di un post imbarazzante, potrebbe compromettere la reputazione aziendale causando una riduzione delle vendite dovute ad una minor fidelizzazione del consumatore. 2. Gossip o pettegolezzi nei social media: il successo di un’azienda verte anche
sul positivo riscontro che ha nei confronti dei consumatori; quindi la pubblicazione su forum di voci maliziose sui prodotti o sui servizi della società mettono a rischio la reputazione della stessa. Le voci si diffondono a livello virale in modo altamente tempestivo da raggiungere la sfera internazionale e i media tradizionali.
3. Sequestro di account di social media: si tratta di veri e propri cyber crime7
posti in essere da hacker per sequestrare gli account dell’azienda presso i social media e utilizzarli in maniera inopportuna, danneggiando l’immagine e la reputazione aziendali. Spesso susseguite da minacce e richieste di riscatto. 4. Il sito web della società è “craccato”: un gruppo di hacker attacca il sito di
una società avvalendosi di attacchi di tipo DDoS8 riuscendo ad oscurare il sito per più di un giorno con una serie di conseguenze gravi.
5. Cyber-spionaggio: si tratta di azioni condotte da hacker esterni o da insider per sottrarre informazioni fondanti per le aziende. Infatti, ad esempio, un’azienda concorrente potrebbe utilizzare i canali della rete per accedere a informazioni riguardanti nuove strategie aziendali d’investimento sui
7 Un crimine informatico è un fenomeno criminale che si caratterizza nell'abuso della tecnologia informatica sia hardware che software. La casistica e la tipologia è piuttosto ampia; alcuni crimini in particolare sono finalizzati allo sfruttamento commerciale della rete internet a porre a rischio i sistemi informativi aziendali.
8 DDos: “denial of service” (servizi non disponibili), nel campo della sicurezza informatica indica
un malfunzionamento dovuto ad un attacco informatico in cui si fanno esaurire deliberatamente le risorse di un sistema informatico che fornisce un servizio ai client, ad esempio un sito web su un web server, fino a renderlo non più in grado di erogare il servizio ai client richiedenti.
8 prodotti, sottraendo l’informazione. Ne consegue che il vantaggio competitivo della società colpita è messo a rischio. L’attacco potrebbe persino consentire alla società attaccante di rimarginare il gap esistente e magari anche di sorpassare l’azienda, colpita da cyber-spionaggio, a livello competitivo.
6. Perdita di dati: a causa di uno sbaglio o di un errore procedurale, una società perde le informazioni riguardanti dati sensibili, come ad esempio dati relativi alle carte di credito e i dati personali di un numero significativo di clienti. La stampa apprende la notizia perché la società è costretta a notificare la perdita dei dati. L’incidente danneggia gravemente la reputazione aziendale, compromettendo anche la fidelizzazione dei clienti.
7. Furti digitali: anche in questo caso di tratta di un esempio di cyber crime. Infatti, può accadere che un’organizzazione criminale riesce ad oltrepassare le protezioni online di una società e a rubare informazioni rilevanti su carte di credito o dati personali dei clienti contenuti nel database mettendoli in vendita online. Tutto questo costituisce un danno per la società in quanto i clienti perdono rapidamente la fiducia nel sistema di sicurezza della società e infine chiudono il rapporto commerciale con la stessa.
8. Casus belli9 per una guerra: due o più paesi entrano in guerra a seguito di un
casus scatenato tramite la rete. Un paese tenta di scardinare le reti informatiche del paese vicino, al che questo paese risponde con misure di guerra convenzionali. Oltre a compromettere i collegamenti Internet in tutta la
9 regione e a interrompere totalmente il commercio online, il conflitto può degenerare in una guerra convenzionale.
1.2.2 Danni e caratteristiche del cyber risk
I fattori di rischio cyber possono provocare diverse tipologie di danni ai quali le aziende devono far fronte. A tal riguardo possiamo distinguere tre grandi famiglie di danni10:
1. Danni materiali diretti ed indiretti: riguardano i danni (distruzione parziale o totale, furto) subiti da beni materiali, quali ad esempio un server, la fibra ottica, i computer, un cellulare. Prendendo in esame le polizze assicurative contro questa tipologia di danni, dal momento che i danni si manifestano su beni tangibili, si può dire di non essere necessariamente oggetto di una copertura specifica sul cyber risk. Infatti, proprio per la loro natura diretta e fisica, questa tipologia di danni potrebbero già rientrare in una polizza assicurativa più generale, per la copertura degli asset materiali.
2. Danni immateriali diretti ed indiretti: parlando di danni immateriali, questi rappresentano i tipici danni causati dal cyber risk. Infatti, i sinistri informatici sono caratterizzati dall’immaterialità. I danni di natura informatica colpiscono beni non tangibili, ma comunque funzionali ed indispensabili allo svolgimento di una qualsiasi attività aziendale. All’interno di questa tipologia di danni abbiamo distinto i danni diretti da quelli indiretti. Il danno
10
10 immateriale diretto lo possiamo tradurre nell’impossibilità dell’azienda a continuare la sua attività; tuttavia, al contrario di quanto avviene in un sinistro “tradizionale”, spesso l’interruzione dell’attività aziendale è pervasiva, che tende a diffondersi in modo omogeneo, e può colpire anche sedi remote. Il danno immateriale indiretto, invece, si riferisce al danno relativo alla perdita d’immagine e reputazione aziendale, nonché di perdita di quote di mercato.
3. Danni Property (risarcimento per responsabilità): quest’ultima tipologia di danno riguarda soprattutto quelle aziende/società che offrono servizi informatici (ad esempio gestione dell’infrastruttura IT di un’azienda cliente) che hanno subito una problematica cyber, causandole l’interruzione della fornitura dei servizi informatici nei confronti di terzi. Tali società devono, quindi, considerare il danno relativo alle richieste di risarcimento da parte dei clienti, che a livello aziendale si traduce in un extracosto da sostenere per soddisfare la richiesta di un terzo.
In sostanza, il cyber risk è caratterizzato da eterogeneità di manifestazioni classificabili in due macrocategorie:
- La prima identifica la fattispecie più comunemente associata al cyber risk e cioè tutti quegli eventi che attengono alla vulnerabilità dei sistemi IT aziendali.
- La seconda caratteristica, a mio parere più rilevante rispetto alla prima, riguarda il possibile danno d’immagine e reputazionale, derivante dall’utilizzo improprio di canali di comunicazione di massa.
11
1.3 Cyber crime:dati rilevanti
Il cyber crime è cresciuto in modo esponenziale negli ultimi anni, evolvendosi tanto velocemente quanto rapidamente evolve l’informatica stessa. I dati sono davvero preoccupanti tanto che il numero degli attacchi informatici è cresciuto oltre il 150%. Questo perché l’avvento delle tecnologie “facili” – inteso come facilità di utilizzo e di sviluppo, ma soprattutto semplici da comprendere – ha aumentato le possibilità di agire da parte di hacker, ampliando sia le modalità di aggressioni che le perdite economiche subite dalle organizzazioni colpite da cyber crime.
Questo a spiegazione del fatto che i cyber risk sono in continuo aumento e sono anche gestiti in maniera inefficace risultando intollerabili.
Secondo una ricerca condotta da Clusit, la più grande associazione italiana nel campo della sicurezza informatica presso il Dipartimento di Informatica dell’Università degli Studi di Milano, è possibile constatare la crescita del cyber crime a livello mondiale analizzandone il trend. Il database raccolto nel Rapporto Clusit è costituito da 4.653 casi di attacchi gravi rilevati negli ultimi 5 anni a livello mondiale. Del totale, ben 1.012 sono relativi all’anno 2015, con un incremento di +14% rispetto agli attacchi verificatisi l’anno precedente. Dal campione emerge che le due tipologie di attacchi in aumento rispetto all’anno 2014 riguardano la categoria cybercrime, con un tasso di crescita percentuale del +30,04% e la categoria espionage. Quest’ultima presenta un trend di crescita percentuale più elevato rispetto al cybercrime, con ben +39,13% rispetto all’anno precedente.
12
Figura 1: distribuzione degli attacchi per tipologia
Il report ha presentato anche i settori che hanno subito tali attacchi informatici, mostrandone, nel diagramma sottostante, quelli che hanno visto un incremento di cyber crime rispetto all’anno 2014.
Figura 2: tipologia e distribuzione delle vittime-2015
I settori con maggiori attacchi sono sostanzialmente quattro: Intelligence
13 Automotive
Entertainment/news
Insieme rappresentano il 71% dei settori presi in considerazione nel report di Clusit oggetto del crimine informatico. I primi tre, e quindi il settore dell’intelligence, dei servizi online e dell’automotive, hanno subito un trend crescente, nell’anno 2015, del +81% di attacchi informatici rispetto all’anno precedente. L’ampia categoria di siti d’informazione, testate on-line, piattaforme di gaming e di blogging facenti parte del settore Entertainment/News, ha subito invece un trend crescente del +79% rispetto al 2014. Si tratta comunque di una media altissima di incremento percentuale del cybercrime nell’anno preso in esame: ben l’80% in più di attacchi informatici dell’anno precedente rilevati per i quattro settori presi in considerazione.
Infine, la ricerca condotta da Clusit, ha evidenziato la distribuzione percentuale delle tecniche di attacco utilizzate.
14
Figura 3: distribuzione percentuale delle tecniche di attacco-2011/2015
Ponendo l’attenzione agli anni 2014 e 2015, possiamo notare un aumento della tecnica SQL Injection11 e APT (Advanced Persistent Threat), ossia malware sofisticati, così come riportato nell’istogramma di colore giallo e arancione delle rispettive tecniche. Il malware tradizionale, invece, presenta una discreta stabilità. Uno dei dati più preoccupanti rilevati dalla ricerca riguarda le tecniche Unknown, e quindi ancora sconosciute, che hanno raggiunto, per l’anno 2015, circa il 25% e quindi un quarto della distribuzione; ma, ancora più allarmante, è la somma delle tecniche di attacco più banali pari al 57%.
11 SQL injection è una tecnica di code injection, usata per attaccare applicazioni data-driven, con la
quale vengono inseriti degli statement SQL malevoli all'interno di campi di input in modo che vengano eseguiti. L'SQL injection sfrutta le vulnerabilità di sicurezza del software di un'applicazione ed è più conosciuto come attacco per i siti web, ma è anche usato per attaccare qualsiasi tipo di database SQL. Permette agli attaccanti di effettuare spoof identify, modificare dati esistenti, causare repudiation issues come l'annullamento di transazioni o la modifica dei bilanci, permette di ottenere tutti i dati sul sistema, eliminare dati oppure fare in modo che non siano accessibili, e diventare amministratori del database server.
15 Questo a dimostrazione che le organizzazioni non hanno ancora la piena consapevolezza dell’incombere del cyber risk, nonostante i dati preoccupanti appena descritti.
1.3.1 Tipologie di minacce informatiche
L’analisi svolta sul cyber crime ci ha portato a comprendere che molti degli attacchi informatici che si sono verificati nell’anno preso in esame, il 2015, sono relativi a nuove tipologie di attacchi. A riguardo, riporto di seguito le definizioni delle diverse tipologie di minacce informatiche12:
Malware: il termine deriva dall’abbreviazione di malicious software (software dannoso), indica un qualsiasi software usato per disturbare le operazioni svolte da un computer: rubare informazioni sensibili, accedere a sistemi informatici privati, mostrare pubblicità indesiderata, distruggere e ottenere dati. All’interno di questa macrocategoria troviamo: virus, worm, trojan, ransomware, spyware, adware, scareware, e altri programmi malevoli. Il malware si diffonde principalmente inserendosi all’interno di file non malevoli. Il malware non necessariamente è creato per arrecare danni tangibili ad un computer o un sistema informatico, ma va inteso anche come un programma che può rubare di nascosto informazioni di vario tipo, da commerciali a private, senza essere rilevato dall'utente anche per lunghi periodi di tempo.
16 Phishing: è un tipo di truffa effettuata su Internet, attraverso la quale il malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale. La tecnica utilizzata è molto semplice: viene effettuato un invio massivo di messaggi di posta elettronica o in alcuni casi di SMS, simili nell’aspetto e nel contenuto ai messaggi dei fornitori di servizi. Questi messaggi fraudolenti richiedono informazioni riservate: il numero della carta di credito, le password per accedere a un determinato servizio.
Password attack (attacco a dizionario): si tratta del tentativo di ottenere la password di un utente per avere alcuni privilegi di accesso. Nella crittanalisi e nella sicurezza informatica, un attacco a dizionario è una tecnica di attacco alla sicurezza di un sistema, o sottosistema informatico, mirato a “rompere” un codice cifrato o un meccanismo di autenticazione, provando a decifrare il codice o a determinare la password cercando tra un gran numero di possibilità. In pratica si tenta di accedere a dati protetti da password (sia remoti, come ad esempio account su siti web o server di posta, database server, sia locali, come documenti o archivi protetti da password) tramite una serie continuativa e sistematica di tentativi di inserimento della password, solitamente effettuati in modo automatizzato, basandosi su uno o più dizionari.
Denial of service: tradotto in italiano con “negazione del servizio” e talvolta abbreviato in DoS, è una minaccia informatica il cui obiettivo
17 primario è quello di interrompere i servizi di rete o web di un’azienda, facendo esaurire le risorse informatiche di un sistema che fornisce un servizio ai client, fino a renderlo inutilizzabile. Sono attacchi principalmente volti a danneggiare una società o la reputazione di un marchio.
Man in the middle: indica un tipo di attacco crittografico nel quale l’attaccante è in grado di leggere, inserire o modificare a piacere, messaggi tra due parti comunicanti tra di loro.
Drive-by download: è un termine utilizzato in due diverse accezioni: nella prima si tratta di un download automatico con conseguente installazione di un file malevolo che avviene nel momento stesso in cui l’utente accede a un sito, senza alcune interazioni dell’utente stesso; nella seconda il download viene autorizzato dall’utente facendogli credere di scaricare un programma sicuro, o una applicazione, che si rivela essere un malware. Questa tipologia di attacco si può concretizzare nel momento in cui si visita un sito web, un messaggio di posta elettronica o cliccando su una finestra pop-up ingannevole.
Rogue: anche noto come fraudtool (letteralmente “strumento di frode”), è una particolare categoria di malware che finge di essere un programma noto, o comunque non malevolo (ad esempio un Antivirus), al fine di rubare dati confidenziali o di ricevere denaro. Questi malware hanno anche, al loro interno, funzionalità di adware.
18 Advanced persistent threat (APT): questo tipo di minaccia consiste in attacchi coordinati e sofisticati che utilizzano svariati metodi di intrusione. L’APT è uno dei metodi più utilizzati dagli aggressori informatici impegnati in attacchi a società molto grandi. È un attacco informatico mirato ad un solo soggetto che, nella maggior parte dei casi, ha dei file di valore per l'hacker creatore del virus.
1.3.2 Impatto di attacco cyber
Negli ultimi anni il cyber risk comincia a rientrare tra le minacce più percepite dalle aziende. In termini metodologici, secondo le linee guida internazionali, storicamente sono classificate cinque grandi famiglie di rischio:
Rischi operativi: si riferiscono alla gestione operativa di un’azienda, in quanto questi rischi riguardano le operazioni che caratterizzano la quotidianità di un’azienda. Sono rischi legati al processo che possono ridurre l’efficienza, l’efficacia o l’economicità dello stesso.
Rischi finanziari: quei rischi legati ad eventi che manifestandosi possono avere un impatto sull’area del conto economico legata alla gestione finanziaria (aumento di interessi passivi, riduzione di proventi finanziari, etc.).
Rischi strategici: legati ad eventi che determinano un peggioramento della qualità della strategia aziendale in senso lato.
Rischi organizzativi: legati più che altro alla modalità di struttura organizzativa utilizzata dall’azienda.
19 Rischi di pianificazione aziendale e di reporting: questi rischi riguardano le informazioni, cioè tutti quegli eventi che mi producono un peggioramento della qualità delle informazioni (veridicità, tempestività delle informazioni).
Il cyber risk presenta una caratteristica peculiare in quanto può indifferentemente abbracciare ciascuna delle cinque famiglie di rischi, sopra descritti, e considerarsi come una nuova tipologia di macro-rischio determinata dall’evoluzione tecnologica13.
Sembra esserci, tuttavia, ancora poca consapevolezza su quello che può essere l’impatto causato dal verificarsi di questo rischio sulla propria realtà aziendale. A riguardo è possibile riassumere in quattro possibili scenari l’impatto finanziario di un attacco cyber14:
1. Trasmissione di virus: vi sono costi per rimediare alla vulnerabilità della sicurezza informatica adottata in azienda, ed inoltre costi per investigazioni e per responsabilità civile verso clienti e terzi.
2. Sabotaggio e cancellazione: qui vengono considerati i costi per il ripristino dei contenuti web e perdita di ricavi durante la fase offline, oltre che costi per responsabilità civile verso terzi per contenuto inappropriato.
3. Estorsione informatica: anche in questo caso i costi spettanti all’azienda colpite da tale attacco riguardano la vulnerabilità della sicurezza informatica, ai quali possono aggiungersi costi relativi alla richiesta di un riscatto.
13 http://www.accapierre.it/userfiles/files/UpsideRisk_n_5_2016.pdf 14 ANRA, “Risk management news”, numero 40, agosto 2015, pag. 10
20 4. Attacco volto all’interruzione di servizio: i danni economici sono relativi alla perdita di ricavi per l’interruzione di fornitura di servizio verso i clienti, al quale si aggiungono spese aggiuntive per ripristinare il network e i contenuti web.
1.4 Fronteggiare il cyber risk: la cyber security
Abbiamo visto come i dati preoccupanti del cyber risk incombono quotidianamente nella vita aziendale con conseguenze molto rilevanti su quelle organizzazioni oggetto di attacco informatico: impatti sulle infrastrutture fisiche, provocando indisponibilità di servizi, anche essenziali, e quindi perdite economiche. Oltre a questi, ciò che maggiormente preoccupa le organizzazioni è il rischio reputazionale, derivante dal cyber risk, al quale sono collegati, ovviamente, danni finanziari ingentissimi: dalla semplice perdita di competitività fino alla completa perdita di controllo di asset strategici (metodologie di processo, sistemi informativi, etc.). Ecco, dunque, che deve essere affrontato il tema della cyber security, capire cos’è e in quali modalità permette di fronteggiare il cyber risk.
La cyber security è definita come segue15:
“la cyber security è quella pratica che consente a una entità (ad esempio, organizzazione, cittadino, nazione ecc.) la protezione dei propri asset fisici e la
21 confidenzialità, integrità e disponibilità delle proprie informazioni dalle minacce che arrivano dal cyberspace16”.
La cyber security viene considerata come il processo che consente la protezione delle informazioni attraverso attività di prevenzione, rilevazione e risposta ad attacchi provenienti dal cyberspazio17.
La risposta al cyber risk deve essere sistematica, ponendosi nell’ottica di trattare il rischio cibernetico non solo come un mero obiettivo della sicurezza dei sistemi informatici, ma estenderlo a tutta l’organizzazione aziendale all’interno di un processo di gestione del rischio che abbracci tutta l’azienda nel suo complesso. Questo è un aspetto molto importante della cyber security, la quale non deve essere considerata semplicemente un aspetto tecnologico, ma deve essere considerata come un processo, e quindi un insieme di attività, ruoli, responsabilità, approcci e metodologie idonee a garantire la gestione del cyber risk. Per tale ragione il dovere di protezione deve entrare a far parte del set di responsabilità dei vertici delle organizzazioni, in solido con i responsabili della gestione dei sistemi IT, richiedendo una specifica e puntuale valutazione da parte dei soggetti rivestiti di poteri di indirizzo e gestione.
16 Il cyber space viene definito come il complesso ecosistema risultante dall’interazione di persone,
software e servizi su Internet per mezzo di tecnologie, dispositivi e reti ad esso connesse
17
22 1.4.1 Cyber security: una rappresentazione grafica
Definito il concetto di cyber security, vediamo ora come essa si posiziona graficamente all’interno della curva del rischio cibernetico.
Innanzitutto, i cyber risk non sono rischi specifici; si tratta infatti di un gruppo di rischi che si differenziano nella tecnologia, vettori di attacco, mezzi, etc.. Quindi, parlando di cyber risk, facciamo riferimento ad un gruppo di rischi che presentano due caratteristiche simili18:
Presentano un potenziale impatto elevato;
Si riferiscono ad eventi improbabili, che possono o non possono manifestarsi.
Iniziamo con una rappresentazione grafica della curva di rischio tradizionale.
Il grafico mostra la correlazione tra impatto e probabilità di un rischio (generale). A destra del grafico, notiamo ovviamente la presenza di quei fattori di rischio che presentano un elevato impatto, ma bassa probabilità di accadimento. Ovviamente le aziende hanno vincoli di risorse destinati a trattare con maggiore attenzione quegli avvenimenti avversi che presentano un’elevata probabilità di accadimento a fronte di un contenuto impatto.
18 http://www.isaca.org/Knowledge-Center/Blog/Lists/Posts/Post.aspx?ID=296
23 Spostando la nostra attenzione ai cyber risk e assumendo tale andamento della curva di rischio cibernetico, definiamo come zona di focus (così come mostrato nel grafico sottostante) l’area di rischi a cui l’azienda dirige i suoi sforzi di mitigazione degli stessi.
Gli sforzi investiti dall’azienda per affrontare i rischi all’interno della zona di focus sono comunemente noti come “sicurezza delle informazioni”. I rischi inclusi in quest’area includono malware tradizionali (virus, trojan, adware, etc.), attacchi di phishing standard, DoS (Denial of Service), le attività di hacking standard.
Tuttavia, di recente, il panorama delle minacce informatiche si è talmente evoluto al punto che quei rischi che una volta erano considerati con una probabilità inferiore di accadimento, ora si stanno verificando con maggiore regolarità, così come mostrato nel grafico seguente.
Questa tendenza è dovuta ad una maggiore maturità degli strumenti e dei metodi di attacco, determinando cosi una maggiore esposizione dell’azienda a quei rischi cibernetici prima considerati
Figura 5: risorse investite in information security (focus zone)
24 con una minore probabilità di accadimento. L’evoluzione dei cyber risk, che per loro natura sono rischi molto dinamici e che quindi si adattano all’evoluzione del mondo tecnologico, costringe le aziende ad espandere la zona di focus per il fronteggiamento di questi nuovi rischi, come illustrato di seguito.
Questo nuovo gruppo di rischi che incombe sulla realtà aziendale è appunto tema della cyber security, intesa come l’investimento in risorse per poter mitigare i cyber risk. Questo nuovo gruppo di rischi comprende le cosiddette minacce persistenti avanzate, come ad esempio malware appositamente progettati, tecniche di attacco informatico del tutto nuove e a volte anche sconosciute.
Alcuni pensano che la sicurezza informatica è una disciplina distinta dalla sicurezza delle informazioni, ma molti altri invece la identificano come una sotto-disciplina della sicurezza delle informazioni.
Figura 8: cyber security: sottodisciplina dell'information security Figura 7: espansione della zona di focus per i cyber risk
25 Quindi, in definitiva la cyber security è la somma degli sforzi investiti dalle organizzazioni per affrontare i cyber risk, gran parte dei quali avevano, fino a poco tempo fa, una probabilità di accadimento inferiore rispetto ad oggi.
26 Capitolo 2
LA SICUREZZA DELLE INFORMAZIONI: STANDARD INTERNAZIONALI
Premessa
L’informazione è elemento indispensabile per il successo e la crescita di ogni organizzazione e perciò deve essere considerata una risorsa di inestimabile valore che richiede, anzi impone un’adeguata tutela19. Ogni azienda deve essere in grado di
contare su informazioni di qualità per supportare decisioni strategiche di qualità.
La sicurezza delle informazioni consente la protezione di tali beni, assicurando la continuità aziendale, minimizzando i danni collegati a tali asset e favorendo le opportunità di miglioramento. Per sicurezza delle informazioni si intende la salvaguardia di tre caratteristiche fondamentali delle stesse:
Riservatezza: è la proprietà in virtù della quale le informazioni non sono rese disponibili o divulgate a individui, entità o processi che non sono autorizzati
Disponibilità: proprietà in virtù della quale le informazioni sono rese accessibili e utilizzabili su richiesta di una entità autorizzata
Integrità: la proprietà di salvaguardia dell’accuratezza e della completezza degli asset
19https://users.dimi.uniud.it/~antonio.piva/files/Inf_aziende_2015/seminari/Rampazzo%2013%200
27 Garantire la sicurezza delle informazioni, significa soprattutto gestire efficacemente i rischi (valutando impatto e probabilità) che possono danneggiare, parzialmente o totalmente, tali beni aziendali, compromettendo il successo aziendale.
I paragrafi di questo capitolo affrontano la tematica della sicurezza informativa, trattando in primis la famiglia degli standard internazionali ISO/IEC 27000, facendo particolare riferimento alla ISO/IEC 27001, descrivendo i requisiti per l’implementazione di un ISMS (information security management system), ed alla ISO/IEC 27005, la quale delinea il processo di information security risk management, andando poi a confrontare quest’ultimo con la ISO 31000, relativa al risk management, annotandone analogie e differenze.
L’ultima parte del capitolo è relativa all’esplicazione di un framework nazionale per la cyber security.
2.1 La famiglia delle ISO/IEC 27000: generalità e cenni storici
Enunciati i concetti di cyber security, cyberspace e cyber risk nel capitolo precedente, è opportuno ora introdurre e descrivere i contenuti della norma internazionale che tratta tali argomenti. La norma internazionale che tratta tale ambito è la ISO/IEC 27000, dove per l’acronimo ISO si intende l’ente internazionale International Organization for Standardization20, mentre per
20 International Organization for Standardization: è un'organizzazione indipendente, non governativa, i cui membri sono le organizzazioni di normazione dei 162 paesi membri. Nata il 23 febbraio del 1947, con sede a Ginevra (Svizzera), è il più grande sviluppatore del mondo di norme
28 l’acronimo IEC si fa riferimento all’International Electrotechnical Commission21. Lo standard ISO/IEC 27000 fa parte della famiglia delle ISO, vale a dire standard internazionali, ed il suo contenuto tratta il tema della sicurezza dell’informazione, delineando il sistema di gestione della sicurezza delle informazioni.
Il tema della sicurezza dell’informazione emerge già a partire dagli ani ’90, tanto che lo standard internazione viene emanato nel 1992, fino ad arrivare alla sua ultima revisione nel 2013, come lo si può notare dalla figura sottostante.
Figura 9: evoluzione storica degli standard internazionali in tema di sicurezza dell'informazione
Fonte:http://www.infocloud.gov.hk/themes/ogcio/media/security/An_Overview_of_ISO_27000_Family_EN. pdf
La famiglia delle ISO/IEC 27000 comprende: ISO/IEC 27001: ISMS requirements
internazionali volontarie e facilita il commercio mondiale, fornendo standard comuni tra le nazioni. Quasi ventimila gli standard emanati che abbracciano varie tematiche: dai prodotti fabbricati e tecnologie per la sicurezza alimentare, l’agricoltura, la sanità, etc..
21 International Electrotechnical Commission: è un’organizzazione internazionale non profit, non
governativa che prepara e pubblica norme internazionali relative al settore dell’elettrotecnica. IEC coprono una vasta gamma di tecnologie di produzione di energia elettrica, trasmissione e distribuzione di elettrodomestici e apparecchiature per ufficio, semiconduttori, fibre ottiche, batterie, energia solare , le nanotecnologie e l'energia marina, così come molti altri. L'IEC gestisce anche tre sistemi di valutazione della conformità a livello mondiale che certificano se le apparecchiature, sistemi o componenti sono conformi ai suoi standard internazionali.
29 ISO/IEC 27002 (ex 17799): code of practice for information security
management
ISO/IEC 27003: ISMS implementation guidelines
ISO/IEC 27004: information security management measurements ISO/IEC 27005: ISMS risk management
ISO/IEC 27006: requirements for accreditation of bodies providing certification of ISMS
ISO/IEC 27007: guidelines for ISMS auditing
Ovviamente la famiglia delle ISO/IEC 27000 relative alla sicurezza delle informazioni comprende anche altre norme internazionali collegate tra di loro che insieme definiscono le linee guida da seguire per l’implementazione di un sistema di gestione per la sicurezza delle informazioni attraverso un processo specifico e linee guida per diversi settori.
Nella figura sottostante presento il quadro generale della famiglia delle ISO/IEC 27000, nonché i collegamenti tra le stesse.
30
Figura 10: quadro generale della famiglia delle ISO/IEC 27000
Fonte:http://www.infocloud.gov.hk/themes/ogcio/media/security/An_Overview_of_ISO_27000_Family_EN. pdf
2.1.1 ISO/IEC 27000: forma e contenuti
Strutturalmente la ISO/IEC 27000:2013 è costituita da quattro capitoli:
1. Scope
2. Terms and definitions
3. Information security management systems 4. ISMS family of standard
31 Relativamente allo scopo dello standard internazionale ISO/IEC 27000, è quello di definire una panoramica generale sui sistemi di gestione della sicurezza delle informazioni, nonché di termini e definizioni comunemente utilizzati nella famiglia degli standard ISMS (Information security management system), per l’appunto citati e descritti nel capitolo due della suddetta norma.
Il terzo capitolo della ISO/IEC 27000 è così suddiviso:
1.5 Introduction 1.6 What i san ISMS? 1.7 Process approach
1.8 Why an ISMS is important
1.9 Establishing, monitoring, maintaining and improving an ISMS 1.10 ISMS critical success factors
1.11 Benefits of the ISMS family of standards
L’information security management system viene definito22, come da testo, come
un insieme di politiche, procedure, linee guida, risorse ed attività, collettivamente gestite da un’organizzazione nel perseguimento di proteggere i propri asset informativi. È un approccio sistematico per stabilire, attuare, monitorare e migliorare la sicurezza delle informazioni di un’azienda per raggiungere i propri obiettivi. Al fine di permettere quanto appena detto, l’ISMS si basa su un’attenta valutazione ed accettazione del rischio, entro il livello di risk appetite definito dalla governance aziendale, in modo da trattare e gestire gli stessi efficacemente.
22http://c.ymcdn.com/sites/www.casro.org/resource/resmgr/Code/c063411_ISO_IEC_27000_2014.
32 Ancora la norma definisce i principi che contribuiscono al successo dell’ISMS:
a. Consapevolezza organizzativa sull’importanza della sicurezza delle informazioni
b. Assegnazione delle diverse responsabilità all’interno dell’organizzazione per la sicurezza delle informazioni
c. Impegno dell’alta direzione e degli stakeholders aziendali sulla sua implementazione
d. L’ISMS permette di potenziare i valori aziendali
e. Valutazione dei rischi che determinano controlli appropriati al fine di rientrare all’interno di una soglia definita accettabile
f. Incorporazione della sicurezza come un elemento essenziale delle reti e dei sistemi informativi
g. Prevenzione attiva e la rilevazione di incidenti di sicurezza delle informazioni
h. Garantire un approccio globale alla gestione della sicurezza delle informazioni
i. Continua rivalutazione della sistema di sicurezza delle informazioni applicando le opportune modifiche a seconda dei casi
È importante per un’organizzazione implementare un sistema di sicurezza delle informazioni perché grazie ad esso sarà in grado di affrontare i rischi connessi alle risorse informative aziendali. Infatti, le minacce alla sicurezza informativa provengono da una vasta gamma di fonti, come ad esempio frode assistita da computer, lo spionaggio, il sabotaggio, virus, pirateria informatica e, i sempre più
33 diffusi e sofisticati, attacchi DoS. La ISO/IEC 27000, ribadisce in questo paragrafo l’enorme importanza dell’adozione di un ISMS, sia per il settore privato che pubblico; un sistema a supporto dell’e-business23 essenziale per le attività di
gestione del rischio. Pertanto, l’adozione di un ISMS in azienda è importante perché garantisce la sicurezza informativa mediante processi e procedure ben definite in grado di limitare i rischi connessi ad una perdita o danneggiamento dell’informazione stessa, e permettendo all’organizzazione di:
a. Ottenere una maggiore garanzia che le risorse informative siano adeguatamente protette contro le minacce su base continua
b. Mantenere un quadro strutturato e globale per identificare e valutare i rischi che incombono sulla sicurezza delle informazioni, così da adottare gli adeguati controlli e migliorarne la loro efficacia
c. Migliorare continuamente l’ambiente di controllo
d. Realizzare in modo efficace la conformità legale e normativa
Con riferimento ai fattori critici di successo di un ISM, così come enunciato nel capitolo tre della norma al punto sei, per consentire all’organizzazione di soddisfare i propri obiettivi di business, questi sono:
a. Allineamento degli obiettivi della policy sulla sicurezza delle informazioni con le attività e gli obiettivi di fondo aziendali
23 E-business: è un termine inglese (contrazione di electronic business, in italiano imprenditoria
elettronica) che si riferisce genericamente a tutte le attività di interesse economico che possono svolgersi attraverso Internet e altre reti telematiche.
34 b. Un approccio e un quadro per la progettazione, l’attuazione, il monitoraggio, il mantenimento e il miglioramento dell’ISMS in linea con la cultura organizzativa
c. Sostegno e impegno da parte di tutta l’organizzazione a qualsiasi livello di gestione ed in particolar modo del top management
d. Comprensione dei requisiti di protezione dei dati attraverso l’applicazione dell’information security risk management (ISO/IEC 27005)
e. Efficace sensibilizzazione alla sicurezza delle informazioni da parte dei dipendenti, i quali devono essere informati dei loro obblighi, contenuti nella policy della sicurezza delle informazioni e nelle norme, mativandoli ad agire di conseguenza
f. Efficace processo di gestione degli incidenti rilevati in materia di sicurezza delle informazioni
g. Approccio mirato alla continuità dell’attività operativa aziendale
h. Utilizzo di un sistema di misurazione per la valutazione delle prestazioni ottenute grazie all’implementazione dell’ISMS, nonché di suggerimenti a ex-post per il miglioramento dello stesso.
L’efficace implementazione di un ISMS, nel rispetto dei fattori critici di successo sopra enunciati, permetterà all’organizzazione di raggiungere i propri obiettivi preservando e proteggendo i propri asset informativi come stabilito.
Il quarto capitolo della ISO/IEC 27000 fornisce, invece, informazioni di carattere generali sugli standard internazionali appartenenti alla famiglia della ISO/IEC 27000 (ISMS family of standars), collegate tra di loro in modo da fornire il
35 processo per l’implementazione di un efficace sistema di gestione sulla sicurezza delle informazioni. I paragrafi successivi saranno dedicati, per l'appunto, ad alcune di queste norme internazionali, ponendo l’attenzione principale alla ISO/IEC 27005:2011, relativa all’information security risk management, nella quale si può apprezzare lo stretto legame tra rischio e sicurezza, e quindi l’importanza dell’adozione di un information security management system per lo svolgimento dell’attività di risk management: identificazione, valutazione e risposta al rischio.
2.2 ISO/IEC 27001:2013: i requisiti dell’ISMS
Lo standard internazione ISO/IEC 27001:2013 espone i requisiti che l’organizzazione deve adottare stabilire, attuare, monitorare e migliorare i sistemi di gestione della sicurezza delle informazioni all’interno di un contesto di rischi aziendali generali dell’organizzazione. La norma internazionale costituisce un framework completo, adottabile volontariamente da qualsiasi tipo di organizzazione –indipendentemente dal tipo di azienda, dalla dimensione e dalla natura della stessa- dicendo, sostanzialmente, cosa fare per l’implementazione di un efficace ISMS, adottando un approccio di continuo miglioramento.
Strutturalmente lo standard è stato revisionato nell’anno 2013, presentando dei cambiamenti sostanziali rispetto alla vecchia versione della ISO/IEC 27001:2005, nonché dei vantaggi nella modalità di gestione del rischio. Infatti, l’idea di fondo della nuova normativa è quella di fornire un approccio razionalizzato e più
36 flessibile, che dovrebbe portare ad una più efficace gestione del rischio24. Sono stati apportati, anche, una serie di miglioramenti ai controlli di sicurezza affinché lo standard fosse in grado di affrontare i rischi attuali, quali ad esempio furto d’identità, rischi connessi a dispositivi mobili ed altre vulnerabilità on-line.
La struttura dello standard rispetto alla ISO/IEC 27001:2005 è stata completamente stravolta, in quanto sono stati aggiunti requisiti derivanti dall’High level structure (HLS)25; la nuova ISO/IEC 27001:2013 presenta infatti la seguente
struttura: 1. Scopo 2. Normativa di riferimento 3. Termini e definizioni 4. Contesto dell’organizzazione 5. Leadership 6. Pianificazione 7. Supporto 8. Attività operative
9. Valutazione delle performance
24 http://www.iso.org/iso/news.htm?refid=Ref1767
25 High level structure: in italiano “Struttura di livello superiore” è la standardizzazione della
redazione delle norme ISO relativamente al sistema di gestione. Richiesta dalle direttive ISO a partire dall’anno 2012, la standardizzazione prevede il rispetto dello standard di una base coerente comune:
Una struttura (indice) generica comune: avere gli stessi capitoli, gli stessi numeri di articoli, lo stesso titolo di capitoli, di articoli o di clausule, ecc.
I testi introduttivi degli articoli devono essere identici
Le esigenze identiche devono essere presentate allo stesso modo Avere un lessico comune di termini e definizioni di base
Lo scopo della standardizzazione è la compatibilità tra le diverse norme del sistema di gestione per facilitarne l’integrazione e l’impiego da parte delle aziende o delle altre organizzazioni certificate.
37 10. Miglioramento
Iniziando a parlare del capitolo quattro dello standard di riferimento, relativo al contesto dell’organizzazione, occorre:
Comprendere l’organizzazione e il suo contesto
Comprendere le necessità e le aspettative delle parti interessate
Determinare il campo di applicazione del sistema di gestione della sicurezza delle informazioni
Nell’osservanza ti tale requisito, per un efficace implementazione dell’ISMS, l’organizzazione deve determinare i fattori esterni ed interni pertinenti alle sue finalità, che possano compromettere la sua capacità di conseguire gli esiti previsti per il proprio sistema di gestione per la sicurezza delle informazioni. Come si può notare, già in questo capitolo dello standard sulla sicurezza delle informazioni, si viene ad evidenziare un primo collegamento tra la famiglia delle ISO/IEC 27000 e la ISO 31000 (lo standard internazionale riferito al risk management). Infatti, la determinazione di fattori interni ed esterni all’organizzazione che non le permettono di raggiungere i suoi obiettivi, coincide senz’ombra di dubbio al punto 5.3 della ISO 31000; tale punto, infatti, è inserito all’interno del processo di risk management, uno dei tre pilastri su cui si basa la ISO 3100026, nel quale appunto vengono
definiti: obiettivi ed ambiente interno/esterno in cui l’azienda opera; stakeholder
26 I tre pilastri della ISO 31000 sono:
Principles for managing risk (principi per la gestione del rischio) Framework per la gestione dei rischi
38 attraverso un’attenta analisi degli stessi; politica aziendale; strutture di gestione; aspettative della comunità.
Il requisito relativo al punto cinque dello standard è relativo al ruolo della leadership nel sistema di gestione delle informazioni, in particolar modo al compito spettante il top management. Ad esso sono associate chiare responsabilità dell’ISMS: la norma delinea modi specifici in cui il top management deve dimostrare il suo impegno per l’adozione del sistema.
Il capitolo sei, invece, descrive il requisito della pianificazione richiedendo all’organizzazione, e più in particolare a chi è responsabile, di definire in modo chiaro gli obiettivi strategici, i piani per raggiungerli e i principi guida per il sistema di gestione di sicurezza delle informazioni nel suo complesso. A tal riguardo, bisogna prendere in considerazione il contesto organizzativo attraverso la valutazione dei rischi e delle opportunità cui la stessa è esposta. Anche in questo caso, si può notare uno stretto collegamento con la ISO 31000, in cui nel processo di risk management vi sono proprio le fasi denominate rispettivamente risk analysis e risk evaluation, nelle quali viene effettuata la misurazione dell’esposizione al rischio (si tiene conto della probabilità e dell’impatto del rischio), l’analisi delle cause del rischio stesso ed infine viene stabilito il ranking dei processi, vale a dire stabilire le priorità di intervento cominciando da quei processi aziendali che sono ritenuti maggiormente esposti.
39 Nel requisito sette sono dettagliati gli elementi essenziali per sostenere la definizione, l’implementazione, l’esercizio ed il mantenimento del sistema di gestione per la sicurezza delle informazioni, di seguito elencati:
Requisiti delle risorse coinvolte nel processo di implementazione e mantenimento del sistema
Competenze del personale addetto Consapevolezza
Sensibilizzazione e caratteristiche relative alla comunicazione Requisiti per la gestione della documentazione
Una volta progettato e definito i requisiti per l’implementazione dell’ISMS, l’organizzazione lo deve mettere in azione. L’attuazione dell’ISMS viene definita nel capitolo otto della ISO/IEC 27001 così schematizzato:
Pianificazione e controllo operativi
Valutazione del rischio relativo alla sicurezza delle informazioni Trattamento del rischio relativo alla sicurezza delle informazioni
L’organizzazione deve pianificare, attuare e controllare i processi necessari a soddisfare i requisiti di sicurezza delle informazioni a ad attuare le azioni per affrontare rischi e opportunità definiti nel punto 6.1 della stessa; essa deve inoltre attuare i piani per conseguire gli obiettivi per la sicurezza delle informazioni, precedentemente definiti al punto 6.2. L’organizzazione deve assicurare che i processi che vengono affidati all’esterno siano determinanti e controllati. Con riferimento alla valutazione e trattamento del rischio, l’azienda deve effettuare la
40 valutazione del rischio connesso alla sicurezza delle informazioni secondo intervalli pianificati o nel momento in cui si vengono a verificare cambiamenti significativi che possano mettere in discussione il raggiungimento degli obiettivi definiti dal piano; per il trattamento del rischio, invece, è prevista l’attuazione da parte dell’organizzazione del piano di trattamento del rischio relativo alla sicurezza delle informazioni. Ancora è possibile notare lo stretto collegamento tra i due standard, sulla sicurezza delle informazioni e sul risk management, in quanto nel processo di gestione del rischio previsto da quest’ultima vi è l’ultima fase denominata risk tratment, nella quale vengono delineate le misure di risposta al rischio precedentemente identificato ed opportunamente valutato.
Al capitolo nove della norma, invece, ci si riferisce alla valutazione delle prestazioni, definendo che l’organizzazione deve valutare le prestazioni e l’efficacia derivante dall’adozione del sistema di gestione della sicurezza delle informazioni, attraverso lo svolgimento di attività di monitoraggio, misurazione, analisi e valutazione. Al medesimo punto la norma prosegue: l’organizzazione deve condurre, ad intervalli pianificati, audit interni27 per fornire informazioni tali da
permettere di riconoscere se il sistema:
a. È conforme:
1. ai requisiti propri dell’organizzazione per il suo sistema di gestione per la sicurezza delle informazioni
2. ai requisiti della presente norma internazionale
27 L'audit interno, il processo di internal auditing o il controllo interno, sono attività professionali
di consulenza verso una organizzazione per la verifica delle procedure, svolta principalmente da personale interno. Tale processo, tuttavia, può essere esercitato anche da professionisti esterni.
41 b. è efficacemente attuato e mantenuto
L’ultimo punto del nono capitolo riguarda il riesame dell’alta direzione, la quale deve, a intervalli pianificati, riesaminare l’ISMS per assicurarne la continua idoneità, adeguatezza ed efficacia.
L’ultimo capitolo della ISO/IEC 27001, il decimo, prevede il miglioramento continuo dell’ISMS; nel momento in cui si venissero a verificare non conformità con i requisiti imposti dalla norma devono essere attuate azioni correttivi, per cui l’organizzazione deve reagire alla non conformità, e per quanto applicabile:
valutare la necessità di azioni per eliminare le cause della non conformità, in modo da non si possa ripetere in futuro
attuare ogni azione necessaria per far fronte al problema riesaminare l’efficacia di ogni azione correttiva intrapresa
effettuare, laddove fosse necessario, modifiche al sistema di gestione per la sicurezza delle informazioni
Ovviamente le azioni correttive devono essere adeguate agli effetti delle non conformità riscontrate.
2.2.1 Applicazione del ciclo di Deming: Plan, Do, Check, Act
La nuova norma ISO/IEC 27001:2013 è stata progettata in modo da rendere agevole l’iterazione con altri standard relativi a sistemi di gestione, quali ad esempio la ISO 9001 (il cui ultimo aggiornamento è stato fatto nel settembre del
42 2015) riguardante la definizione dei requisiti per l’implementazione di un efficace sistema di gestione della qualità, oppure la ISO 14001:2015, ossia lo standard internazionale per la gestione ambientale. Infatti, la standardizzazione delle norme ISO in materia di sistemi di gestione, così come vale anche per quanto definito nella ISO/IEC 27001:2013 per l’ISMS, ha permesso l’utilizzo del cosiddetto modello di Deming, anche meglio conosciuto come il ciclo Plan-Do-Check-Act28, definendo il
processo di controllo e miglioramento continuo dell’ISMS.
Il modello di Deming si struttura, quindi, all’interno di un processo iterativo composto da quattro fasi29:
1. Plan (programmare)
Determinare obiettivi e destinatari
Determinare metodi per raggiungere gli obiettivi Impegnarsi nell’istruzione e nella formazione 2. Do (attuare)
Svolgere il lavoro 3. Check (monitorare)
Controllare gli effetti 4. Act (miglioramento)
Intraprendere azioni appropriate
28 Il modello Plan-Do-Check-Act è un metodo di gestione iterativo composto da quattro fasi,
utilizzato in attività per il controllo e il miglioramento continuo dei processi e dei prodotti. Un’altra versione di questo ciclo viene chiamata OPDCA, dove la “O” ha il significato sia di “osservazione”, che di “afferrare la condizione attuale”.
29http://www.aicqer.it/download/11_La%20filosofia%20di%20Deming%20e%20il%20ciclo%20P
43 Con riferimento alla ISO/IEC 27001:2013, le continue evoluzioni aziendali, tecnologiche ed ambientali richiedono un processo di valutazione continua dell’efficacia e dell’efficienza di tutti i controlli di sicurezza, insieme all’adattamento dell’ISMS a requisiti in cambiamento. Questo, dunque, si traduce nell’implementazione del modello Plan-Do-Check-Act, il quale:
Pianifica ed implementa i controlli di sicurezza Mantiene in esercizio i controlli di sicurezza
Monitora il sistema di sicurezza ed il mondo circostante Imposta le necessarie modifiche al sistema di sicurezza
La figura sottostante mostra il processo del ciclo di Deming in ottica di miglioramento continuo dell’ISMS.
Figura 11: ciclo di Deming in ottica di miglioramento continuo dell'ISMS
Fonte: http://kemal.bhsearch.com/wp-content/uploads/2012/10/02_Overwiev-of-Information-Security-standards-ISO-27000-series-of-standards-27001-27002-27003-27004-27005.pdf
44 Nella prima fase del modello PDCA, l’organizzazione deve stabilire e gestire l’ISMS, mediante:
La definizione del campo di applicazione dello stesso ed i perimetri entro quale esercitare le sue funzioni
La definizione della policy e gli obiettivi La metodologia di risk assessment30
L’identificazione, valutazione dei rischi
La valutazione delle opzioni per il trattamento dei rischi precedentemente identificati
La selezione degli obiettivi di controllo ed i controlli stessi31
L’ottenimento dell’approvazione del management dei rischi residui individuati, nonché l’autorizzazione ad introdurre ed impiegare l’ISMS La preparazione dello “Statement of applicability”32
Nella fase del “Do” del ciclo di Deming, l’organizzazione deve introdurre ed impiegare l’ISMS, e per far ciò occorre:
30 Il risk assessment è una modalità di processo di controllo adottato dalle aziende per poter andare
a monitorare nel tempo lo stato di rischiosità della stessa, e valutare se i controlli posti in essere per far fronte ai rischi sono più o meno efficaci. Il risk assessment è una metodologia utilizzata per la revisione dei principali obiettivi di business, dei rischi che ostacolano il raggiungimento degli stessi e dei controlli predisposti ed applicati per la gestione dei rischi di business.
31 Lo standard ISO/IEC 27001:2013 prevede, nell’Annex A, una serie di undici macrocategorie di
controlli, suddivisi nelle seguenti categorie: A.5 security policy; A.6 organizzazione della sicurezza delle informazioni; A.7 gestione delle risorse; A.8 sicurezza delle risorse umane; A.9 sicurezza fisica e ambientale; A.10 gestione delle comunicazioni e della operatività; A.11 controllo accessi; A.12 acquisizione, sviluppo e manutenzione dei sistemi informativi; A.13 gestione degli incidenti di sicurezza delle informazioni; A.14 gestione della continuità aziendale; A.15 conformità.
32 Lo Statement of applicability, detto comunemente SOA, è uno dei documenti chiave previsto
dalla ISO/IEC 27001 sul sistema di gestione della sicurezza (ISMS), perché identifica i controlli rilevanti per il business e spiega perché i controlli sono stati selezionati per trattare i rischi identificati. SOA definisce come verrà attuato parte del programma di sicurezza delle informazioni, permettendo il legame tra la valutazione del rischio ed il trattamento dello stesso, attraverso l'implementazione di processi di sicurezza delle informazioni.
