• Non ci sono risultati.

Risk Assessment in ambito IT: un Caso di Studio

N/A
N/A
Info
Scarica
Protected

Academic year: 2021

Condividi "Risk Assessment in ambito IT: un Caso di Studio"

Copied!
12
0
0

Caricamento.... (Visualizza il testo completo ora)

Scarica adesso ( 12 pagine )

Testo completo

(1)

1

UNIVERSITÀ DI PISA

D

IPARTIMENTO

DI

I

NGEGNERIA DELL’

E

NERGIA DEI

S

ISTEMI,

DEL

T

ERRITORIO E DELLE

C

OSTRUZIONI

RELAZIONE PER IL CONSEGUIMENTO DELLA LAUREA MAGISTRALE IN INGEGNERIA GESTIONALE

R

ISK

A

SSESSMENT IN

A

MBITO

IT

:

UN

C

ASO DI

S

TUDIO

SINTESI

RELATORE CANDIDATO

Prof. Ing. Riccardo Dulmin Luigi Gobbi

Dipartimento di Ingegneria dell’Energia, [email protected]

dei Sistemi, del Territorio e delle Costruzioni

Sessione di Laurea 19/07/2017 Anno Accademico 2016/2017

(2)

2

Risk Assessment in ambito IT: un Caso di Studio

Luigi Gobbi

Sommario

Questa tesi nasce dalla mia esperienza professionale maturata all’interno dell’azienda Assirecre Group S.r.l., operante nel settore dei servizi di consulenza in ambito assicurativo e certificata UNI EN ISO 9001:2015. L’obiettivo della Tesi è quello di illustrare, a partire dall’analisi di uno scenario applicativo concreto, il ruolo del Risk Assessment in ambito IT, di definirne le principali problematiche ed individuarne i possibili scenari futuri. La tesi è caratterizzata da una fase introduttiva in cui viene spiegato il ruolo del Risk Assessment in ambito IT e la sua crescente importanza nel corso degli ultimi anni. Il cuore dell’elaborato consiste nell’analisi di documenti, schede, template e questionari reali compilati da Assirecre Group, privi per ragioni di riservatezza di dati personali e riconducibili ai vari clienti dell’azienda, al fine di aprire la strada per riflessioni e nuovi spunti sul tema, che sono riportati e discussi nella parte finale dell’elaborato.

Abstract

This thesis work is based on my professional experience gained in the company Assirecre Group Srl, operating in the field of insurance consulting services and certified by UNI EN ISO 9001: 2015. The aim of this paper is to illustrate, starting with the analysis of a concrete application scenario, the role of risk assessment in IT, to define the main issues and to identify possible future scenarios. The thesis is characterized by an introductory section explaining the role of Risk Assessment in IT and its growing importance over the last few years. The core of the paper is the analysis of real documents, tabs, templates and questionnaires compiled by Assirecre Group - unaffected, for reasons of confidentiality, by data related to the various customers of the company - in order to pave the way for reflections and new ideas on theme, which are reported in the final part of the thesis.

(3)

3

1. Introduzione

Questo lavoro nasce dalla mia esperienza professionale maturata all’interno dell’azienda Assirecre Group S.r.l., operante nel settore dei servizi di consulenza in ambito assicurativo e certificata UNI EN ISO 9001:2015.

Le attività principali che ho svolto durate il tirocinio riguardano la predisposizione e la descrizione dei processi gestionali, nonché l’implementazione dei software gestionali necessari per l’attività di convenzionamento di strutture sanitarie in Italia e più in generale per la creazione e gestione di una rete convenzionata. Inoltre sono stato coinvolto dal Responsabile IT dell’azienda nell’attività di revisione ed aggiornamento, al fine di perseguire il miglioramento continuo, dei documenti Business Continuity Plan e

Disaster Ricovery Plan, attività che mi hanno permesso di entrare in contatto con il

complesso e delicato mondo della gestione dei rischi e della sicurezza relativa ai sistemi informativi aziendali.

2. Obiettivi del lavoro

L’obiettivo della Tesi è quello di illustrare, a partire dall’analisi di uno scenario applicativo concreto, il ruolo del Risk Assessment in ambito IT, di definirne le principali problematiche ed individuarne i possibili scenari futuri. A tal fine, ho articolato il lavoro in 5 sezioni principali i cui obiettivi, input e output sono riportati nella seguente tabella:

SEZIONE

OBIETTIVI

INPUT

OUTPUT

I sistemi informativi aziendali

Descrivere le caratteristiche fondamentali dei sistemi informativi, le relative

tipologie, la loro evoluzione in ambito aziendale e la figura del Chief Information Officer (CIO)

- Analisi della letteratura scientifica

- Quadro di riferimento sui sistemi informativi da utilizzare come input per le sezioni successive

Risk Assessment in ambito IT

Definire il ruolo del Risk Assessment in ambito IT e la sua crescente importanza nel corso degli ultimi anni.

- Analisi della letteratura scientifica

- I sistemi informativi aziendali

- Metodologia tradizionale di Risk Assessment che sarà presa come riferimento per l’analisi

(4)

4 Presentare la metodologia tradizionale di Risk Assessment in ambito IT - Documenti, schede e questionari di Assirecre Group S.r.l.

del Caso di Studio e le successive riflessioni per la ricerca futura

UNI EN ISO 9001:2015: un nuovo approccio al concetto

di valutazione e gestione del rischio

Introdurre e descrivere la normativa UNI EN ISO

9001:2015, ed approfondire il ruolo che l’analisi del rischio assume nella sua ultima revisione ed i cambiamenti che apporta all’organizzazione interna delle aziende

informatiche certificate

- Analisi della letteratura scientifica

- Risk Assessment in ambito IT

- Risk Based Thinking

Il Caso di Studio Assirecre Group

Analisi di uno scenario applicativo concreto di Risk Assessment in ambito IT, relativo all’azienda Assirecre Group S.r.l. - Risk Register di Assirecre Group S.r.l. - Risk Assessment di Assirecre Group S.r.l. - Piani di Progetto di Assirecre Group S.r.l. - Questionari di Assirecre Group S.r.l. - Metodologia di Risk Assessment di Assirecre Group S.r.l. - Spunti e riflessioni da approfondire nella successiva sezioni Spunti e riflessioni per la ricerca futura

Partire dal lavoro svolto e documentato nelle precedenti sezioni per definiree trattare le problematiche e le tendenze principali del risk assessment in ambito IT su cui focalizzare la ricerca futura

- Analisi della letteratura scientifica - I sistemi informativi aziendali - Risk Assessment in ambito IT - UNI EN ISO 9001:2015 e il nuovo approccio al rischio - Il Caso di Studio Assirecre Group

- Spunti e riflessioni per la ricerca futura

3. Ambito di riferimento del lavoro

Al fine di delineare un quadro di riferimento per il risk assessent in ambio IT, la tesi è caratterizzata da uno studio preliminare di approfondimento, frutto di un processo di analisi della letteratura, in cui ho presentato e descritto alcuni concetti fondamentali per

(5)

5 poi introdurre la metodologia tradizionale e maggiormente diffusa di Risk Assessment in ambito IT.

Nello specifico, ho strutturato lo studio preliminare nei seguenti punti fondamentali: - Analisi delle caratteristiche fondamentali dei sistemi informativi e delle principali

tipologie maggiormente diffuse in ambito aziendale

- Analisi e sintesi della storia evolutiva dei sistemi informativi in ambito aziendale, iniziata agli inizi degli anni ’60 con l’impiego delle prime tecnologie informatiche, fino ad arrivare ai moderni DSS –Decision Support Systems e agli ERP – Enterprise Resource Planning.

- Analisi del ruolo di CIO (Chief Information Officer), ovvero il Responsabile ICT, con particolare riferimento alle grandi abilità e competenze richiestegli anche dal punto di vista manageriale, a come tale ruolo si stia evolvendo nel corso degli ultimi anni e a come le aziende stiano prendendo sempre più coscienza del fatto che la crescita del business aziendale sia strettamente legata all’interazione con la funzione IT e con il CIO stesso.

- Analisi dell’IT Risk Assessment, ovvero la metodologia la cui applicazione consente l’identificazione, la valutazione e le decisioni in merito al trattamento dei rischi in ambito IT. Tale analisi ha mostrato come, contrariamente a quanto si possa pensare, la valutazione del rischio in ambito IT sia un processo complesso, solitamente basato su informazioni imperfette, e come ciò abbia portato nel tempo ad un susseguirsi di differenti metodologie proposte volte a consentire una gestione del rischio ripetibile ed in grado di produrre risultati coerenti. Nonostante i vari metodi si differenzino per scopo, completezza ed utilizzo, generalmente presentano tutti la stessa sequenza di passaggi logici, articolandosi nelle seguenti fasi fondamentali:

- Pianificazione dell’IT Risk Assessment - Identificazione dei rischi

- Analisi dei rischi - Trattamento dei rischi - Monitoraggio dei rischi - Comunicazione dei rischi

Nella sezione Risk Assessment in ambito IT ho proposto una discussione sequenziale ed approfondita degli elementi specifici di ognuna delle precedenti fasi.

(6)

6

4. L’analisi affrontata: metodologia

Il lavoro centrale svolto per la tesi è stato quello di analizzare lo scenario applicativo concreto di Risk Assessment relativo all’azienda Assirecre Group S.r.l.. Sfruttando l’esperienza maturata all’interno dell’azienda, e prendendo come riferimento l’analisi della letteratura scientifica precedentemente condotta, ho passato in rassegna ed analizzato tutti i documenti elaborati da Assirecre Group nello svolgimento del processo di Risk Assessment.

 Il punto di partenza d’analisi è stato lo studio preliminare del Sistema Qualità di Assirecre Group, da cui ho potuto ricavare la metodologia di Risk Assessment aziendale. In particolare, Il Sistema Qualità di Assirecre Group prevede che l’analisi del rischio sia sempre parte della scheda relativa al Piano di Progetto, o Piano di Qualità

Progetto, che contiene sempre una Analisi Preliminare a cura del Responsabile tecnico

del progetto. In aggiunta, se le particolari circostanze o il management lo richiedano, può contenere:

- Il Risk Register (o Registro dei Rischi), all’interno del quale verranno elencati i principali rischi connessi al servizio, le cause, le conseguenze, la probabilità e la gravità che si verifichino e le eventuali contromisure da adottare per ridurli. Il documento, quando presente, è sempre allegato alla documentazione di progetto.

- Un documento riepilogativo, denominato Risk Assessment, che prevede l’integrazione dei due documenti precedenti, in versione sintetica e limitatamente ai soli contenuti di interesse con l’ulteriore aggiunta di una relazione finale volta a descrivere in dettaglio i rischi più rilevanti tra quelli identificati, una stima delle perdite potenziali e un riepilogo delle eventuali guidelines e best practices da seguire per minimizzarne l’impatto.

 Successivametne, dato che Assirecre Group è una TPA operante nel settore dei servizi di consulenza in ambito assicurativo, ho dedicato un approfondimento all’analisi dei

Questionari, ovvero i documenti utilizzati per il Risk Assessment di terze parti, tramite i

quali avviene la comunicazione e la relativa valutazione dei criteri di sicurezza che il partner che sviluppa i servizi è tenuto a rispettare. Dall’analisi di tali documenti ho avuto modo di riscontrare che nella maggior parte dei casi i questionari sono fogli Excel con alcune colonne bloccate/riservate, i quali vengono:

(7)

7 - Preparati e inviati dall'Ufficio Gestione Rischi dell’azienda committente, con

relativa richiesta di compilazione a carico del partner.

- Recepiti e compilati opportunamente dal partner, il quale si assume la responsabilità di ciò che dichiara e firma.

- Revisionati dall'Ufficio Gestione Rischi dell’azienda committente, che potrà valutare dando esito positivo, chiedere chiarimenti aggiuntivi (all'interno di apposite colonne presenti nel questionario), oppure valutare dando esito negativo.

 L’ultima attività svolta relativa all’ analisi dei documenti sopraelencati è stata quella di ricavarne spunti e riflessioni per la ricerca futura, che ho poi approfondito nella parte finale della tesi.

4.1. Il Piano di Progetto

Il Piano di Progetto, o Piano di Qualità Progetto, è un documento di riferimento che contiene un’Analisi Preliminare a cura del Responsabile tecnico del Progetto. Il Piano di Progetto si colloca nella prima fase di pianificazione di un progetto, e riveste un’importanza fondamentale in quanto utile per poter stimare preliminarmente e realisticamente le risorse, i costi e i tempi connessi alla realizzazione del Progetto.

Nello specifico ho analizzato tre esempi reali di compilazione del documento Piano di Progetto di Assirecre Group, relativi a tre progetti diversi e quindi utili ad evidenziare le diverse conclusioni che possono emergere dalla redazione di tale documento. Il primo Piano di Progetto è un esempio relativo ad un Progetto di upgrade di sicurezza con una relativa Analisi Preliminare molto accurata, che in particolare ha portato all’identificazione e alla risoluzione di nuovi rischi per l’azienda; il secondo Piano di Progetto è un esempio relativo ad un Progetto di upgrade non di sicurezza con una relativa Analisi Preliminare che non ha portato al riscontro di nuovi rischi per l’azienda; il terzo Piano di Progetto è un esempio relativo ad un Progetto di upgrade di funzionalità

aggiuntiva (log filesystem) con una relativa Analisi Preliminare molto accurata, che ha

portato alla definizione dei rischi conseguenti alle nuove implementazioni e delle conseguenti ipotesi correttive.

(8)

8

4.1.1. Analisi Preliminare del Rischio – Piano di Progetto 1

Il Piano di Progetto 1 di Assirecre Group è particolarmente interessante in quanto la relativa Analisi Preliminare ha portato all’identificazione e alla risoluzione di nuovi rischi per l’azienda.

In fase di analisi dei requisiti e analisi funzionale è stato possibile isolare alcune criticità potenziali di cui è opportuno tenere conto, suddivise nelle seguenti aree di rischio:

SICUREZZA E PRIVACY

Password, credenziali e policy di accesso, VPN/LAN, certificati di sicurezza, secure connection layers, visualizzazione dei dati personali, etc.

 Non si rilevano rischi di rilievo, in quanto lo sviluppo verrà effettuato sulla base delle procedure volte ad incrementare i criteri di sicurezza implementate di recente (cfr. progetto XXXX.XX - Area Riservata XXXX - Criteri Sicurezza e Privacy). ACQUISIZIONE E VERIFICA DEI DATI

Rischi legati ai processi di elaborazione dei flussi inviati dal cliente/committente e relativi dati (Codice Fiscale, ID univoci, etc.)

 Non si riscontrano rischi di rilievo per la perdita dei dati, in quanto si tratta di una doppia replica di dati presenti sul server originario, che può quindi essere ripristinata in qualsiasi momento.

 Si riscontra altresì un potenziale, ancorché basso, rischio di mancato aggiornamento dati dovuto al fatto che la replica sembrerebbe avere problemi di performance, risolvibili comunque con il graduale processo di aggiornamento delle macchine virtuali previsto per le mensilità future.

CONTROLLO E CONSERVAZIONE DEI DATI

Rischi legati ai processi di controllo e conservazione dei dati ricevuti dal cliente (dati personali, credenziali, numeri di telefono/carta di credito, database, etc.)

 Si riscontra un basso rischio relativo al possibile mancato controllo e conservazione dei dati poiché i suddetti sono delle copie di un DB SQL e filesystem presente sul server originario. Tutti gli ambienti sono inoltre protetti da Firewall, VPN con strong password e inaccessibili a personale non

(9)

9 amministrativo e autorizzato. Tutti gli ambienti virtualizzati sono inoltre soggetti a backup periodici.

INFRASTRUTTURA SOFTWARE

Rischi legati al software realizzato internamente ovvero acquistato da terze parti (sviluppo, controllo codice sorgente, licenze d’uso, librerie o moduli di terze parti, etc.)

 Si riscontra un potenziale, ancorché basso, rischio di sicurezza e affidabilità del sistema “Area Riservata” dovuto al fatto che l’ambiente risulta ad oggi essere realizzato in una tecnologia definibile come “obsoleta” (XXX). Tuttavia, poiché il sistema è ospitato su macchine moderne e server rispondenti agli ultimi requirements di sicurezza (XXXXXXX XXXXX XXXX XX) e costantemente aggiornati, si ritiene che il rischio di sicurezza possa ritenersi trascurabile.

INFRASTRUTTURA HARDWARE

Rischi legati all’infrastruttura hardware fisica o virtualizzata utilizzata per ospitare il servizio (server farm, cloud server farm, reti, centralini, modem/router, locali, etc.)

 Non si riscontrano rischi di rilievo relativamente all’infrastruttura Hardware, poiché l’ambiente virtualizzato è sottoposto a una quotidiana procedura di bare-metal backup che garantisce una retention di diversi giorni e un Disaster

Recovery in linea con le SLA concordate con il cliente.

ALTRO

Rischi legati ad aree non direttamente collegate a quelle sopra elencate (rapporti con il cliente, questioni amministrative/contabili, criticità sul contratto di fornitura, possibili problemi di ordine legale, et. al.)

(10)

10

4.2. Il Risk Register

Il Risk Register, o Registro dei Rischi, è il documento di riferimento utilizzato da Assirecre Group per la gestione dei rischi di progetto, realizzato rigorosamente secondo le linee guida contenute nella ISO 31000 - Risk Management. All’interno del Registro dei Rischi vengono elencati i principali rischi connessi al servizio, le cause, le conseguenze, la probabilità e la gravità che si verifichino e le eventuali contromisure da adottare per ridurli. Il documento, quando presente, è sempre allegato all’interno della documentazione di progetto.

4.3. Il Risk Assessment

Il Risk Assessment prevede l’integrazione di due documenti fondamentali che devono essere stati precedentemente redatti, ovvero il Piano di Qualità Progetto e il Risk Register, in versione sintetica e limitatamente ai soli contenuti di interesse con l’ulteriore aggiunta di una relazione finale volta a descrivere in dettaglio i rischi più rilevanti tra quelli identificati, una stima delle perdite potenziali e un riepilogo delle eventuali guidelines e best practices da seguire per minimizzarne l’impatto.

In particolare, il documento Risk Assessment è caratterizzato dai seguenti punti fondamentali:

OBIETTIVI

In questa sezione viene chiarito lo scopo principale del documento, ovvero quello di descrivere gli accorgimenti volti a evitare o ridurre la probabilità di eventi che potrebbero ostacolare, compromettere, o altrimenti alterare il completamento del progetto a cui si riferisce secondo i parametri previsti. Generalmente all’inizio è presente una definizione di ciò che l’azienda intende per “Rischio”, seguita dalla descrizione delle varie fasi in cui si articola il processo di analisi, identificazione, verifica e gestione dei rischi previsto dal Sistema Qualità dell’Organizzazione.

ANALISI PRELIMINARE

È inserito il testo abstract relativo all’Analisi Preliminare, prendendolo dal documento Piano di Qualità Progetto relativo.

(11)

11

REGISTRO DEI RISCHI

In questa sezione è allegato il documento Registro dei Rischi che è stato presentato nel paragrafo precedente Risk Register.

In alternativa, se non dovesse essere opportuno inviare l’elenco dei rischi, cause, conseguenze e contromisure per intero ai destinatari del Risk Assessment, può essere riportata una sintesi del documento Risk Register limitatamente ai punti di interesse richiesti per il Progetto in esame.

RELAZIONE DI RIEPILOGO

In questa sezione sono presenti tre elementi:

- Stima dei costi potenziali, generalmente espressi mediante una tabella tipo quella riportata di seguito:

ID Nome Costi Note

- Guidelines e Best Practices - Conclusioni

4.4. I Questionari

Nello specifico ho analizzato due esempi di questionari compilati da AssirecreGroup per due propri clienti. Il primo questionario è relativo alla necessità periodica da parte del Cliente XXXYYY di valutare e identificare i potenziali rischi e problemi connessi alla fornitura del servizio acquistato da Assirecre Group. Il secondo questionario è relativo alla Risk Analysis dell'infrastruttura IT preparata da Assirecre Group su provider cloud di terze parti (AAA) per conto del cliente ZZZ. Questo scenario è particolarmente interessante in quanto prevede l’interazione di tre attori principali:

- Il committente (ZZZ)

- L'esecutore dell'installazione (Assirecre Group)

- Il service provider utilizzato dall’esecutore per l'acquisto dei servizi e delle infrastrutture cloud (AAA)

(12)

12

5. Conclusioni

Dall’analisi dei documenti di Risk Assessment in ambito IT di Assirecre Group ho individuato i seguenti aspetti di interesse, che ho approfondito nell’ultima sezione Spunti e

riflessioni per la ricerca futura:

- Con particolare riferimento al Questionario 2, un aspetto sicuramente interessante e delicato è rappresentato dalla necessità di valutare il rischio di terze parti nel caso specifico di un service provider cloud. Dall’analisi della letteratura risulta evidente come il cloud computing stia guadagnando sempre più popolarità, mentre lo sviluppo delle relative soluzioni difensive è decisamente in ritardo. Pertanto il primo approfondimento nell’ultima sezione della Tesi è stato dedicato al problema della sicurezza e della privacy nel cloud computing.

- Dall’analisi dei documenti, in relazione anche a quanto emerso dall’analisi preliminare

della letteratura, ho individuato la necessità per le aziende, affinché possano essere superate le problematiche sulla sicurezza informativa, di accompagnare il rispetto dei tradizionali principi in materia di sicurezza dell’informazione (Disponibilità, Integrità, Riservatezza) con nuovi e più specifici principi. In particolare, per salvaguardare le future risorse informative di un’organizzazione sarà fondamentale infondere nella cultura organizzativa i principi di Responsabilità, Integrità (questa volta intesa come integrità delle risorse umane), Fiducia ed Etica. Tali aspetti sono stati approfonditi nell’ultima sezione della Tesi.

- Infine, altro aspetto rilevante emerso dall’analisi dei documenti è quello relativo all’integrazione dei sistemi informativi, sia dal punto di vista interno (integrazione dei vari moduli e delle varie tecnologie informatiche aziendali) che dal punto di vista esterno (integrazione dei sistemi informativi di due aziende in caso di fusioni, acquisizioni, ecc.). Anche questo aspetto è stato approfondito nella conclusiva sezione della Tesi.

Riferimenti

Scarica adesso ( PDF - 12 pagine - 761.50 KB )

Documenti correlati

2. Il progetto preliminare

- La minima altezza degli spazi sottostanti ai soppalchi deve essere pari a 2,4 m; almeno la medesima altezza deve intercorrere tra il pavimento finito dei soppalchi ed il

pati nell’ambito dell’attività del progetto. Per una descrizione più accurata dei test e-

I test, eseguiti nel periodo 22 Settembre – 10 Ottobre 2003, sono stati realizzati con l’ausilio di due vascelli, la R/V Altair, che ha eseguito le manovre relative al deplo- yment

________________________________________________________________________________ PROGETTO PRELIMINARE

Il dimensionamento delle aree di parcheggio rispetta gli standard minimi richiesti dalle norme tecniche di attuazione (1 mq/10mc di cubatura residenziale), i

PROGETTO PRELIMINARE

Inoltre gli interventi di consolidamento strutturale, riportati nel paragrafo 6.1, sono finalizzati non solo ad incrementare la capacità portante nei confronti

GAL BMG. Intervento PIANO DI PROGETTO PRELIMINARE TITOLO DEL PROGETTO BARBAGIA_MANDROLISAI_GENNARGENTU

Promotion = definisci il piano di promozione e marketing che intendi intraprendere per il nuovo progetto di filiera. (max 5.000 caratteri

elaborati-progetto-preliminare

Documenti componenti il progetto preliminare (art. Il progetto preliminare definisce le caratteristiche qualitative e funzionali dei lavori, il quadro delle esigenze da soddisfare

valutazione-progetto-preliminare

(Documentazione aggiuntiva per progetti preliminari a base di gara per un appalto pubblico di lavori o per l’affidamento di una concessione di lavori pubblici). l)

validazione-progetto-preliminare

h) esistenza del calcolo sommario della spesa e verifica della corrispondenza agli elaborati grafici e descrittivi;. i) effettuazione dello studio di