© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
INFORMATION RISK MANAGEMENT
ADVISORY
Stato dell’arte e prospettive nell’applicazione dell’analisi del rischio ICT
Esperienze di analisi del rischio in proggeti di Information Security
Raoul Savastano - Responsabile Servizi Sicurezza Kpmg Advisory
© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
2
• Modello generale di analisi e gestione del rischio
• L’analisi dei rischi nei progetti di Information Security
3
© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
Sistema di Gestione
Eventi realmente dannosi
Eventi percepiti come dannosi Eventi che si ritiene
di contrastare Eventi
realmente contrastati
Sprechi OK Falsa sicurezza Accettazione rischio Falsa Sicurezza
Verifiche Analisi dei rischi
Il processo di analisi e gestione dei rischi
© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
4
Il concetto di rischio
A livello teorico, il rischio può essere definito come il prodotto scalare tra la gravità delle conseguenze che un evento dannoso può causare e la probabilità che tale evento si realizzi.
Rischio = P x I
P = PROBABILITA’ che un evento dannoso si verifichi I = IMPATTO stimato nel caso in cui l’evento si verifichi
Probabilità Impatto
0 1 3 2 4 5
2 3 4
1
Gestione Monitoraggio
Review
periodica
5
© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
Probabilità Impatto
0 1 3
2 4
2 3 4
1 Rischio residuo
Rischio potenziale 5
Il rischio residuo
Le contromisure adottate possono agire sia sulla probabilità di accadimento della minaccia (ad es.
tramite l’adozione di controlli preventivi), sia sull’impatto (ad es. tramite l’adozione di controlli correttivi).
© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
6
Analisi e gestione dei rischi
Definizione dell’ambito
Identificazione dei rischi
Analisi dei rischi
Valutazione dei rischi
Trattamento dei rischi
Monitora gg io e v a luta zione pe riodic a
Risk A s s ess m e n t
17
© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
• Modello generale di analisi e gestione del rischio
• L’analisi dei rischi nei progetti di Information Security
© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
18
Modello di riferimento
L’Analisi del Rischio è effettuata seguendo una metodologia che determina il rischio associato alle informazioni gestite dai processi aziendali in base al loro valore, alle minacce cui sono sottoposte ed alle vulnerabilità dei sistemi che le elaborano.
VULNERABILITA’
VULNERABILITA’ MINACCE MINACCE MINACCE MINACCE VALORE DELLE
VALORE DELLE INFORMAZIONI INFORMAZIONI
RISCHIO
N.B. per MACRODATO si intende un insieme minimo di informazioni o
un aggregato di dati, tali da costituire un raggruppamento omogeneo
per l’applicazione delle misure di protezione
19
© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
L’applicazione della metodologia prevede una sequenza definita di attività:
Correlazione asset Individuazione
referenti
Mappatura del processo Analisi del rischio Gestione del rischio
Individuazione macrodati
Individuazione applicazioni
Individuazione sistemi
Individuazione reti
Individuazione ubicazioni
Valutazione dei macrodati
Calcolo del rischio Valutazione minacce
Valutazione vulnerabilità Mappatura degli asset
Individuazione altri supporti Input all’Analisi del Rischio *
* La mappatura del processo rappresenta attività strumentale alle successive fasi.
Attività principali
© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
20
Gli asset ottenuti tramite la mappatura del processo sono correlati costruendo le “catene tecnologiche e infrastrutturali” che rappresentano le dipendenze dei macrodati rispetto sia alle strutture informatiche (applicazioni, sistemi, e reti) sia alle rimanenti strutture come le ubicazioni fisiche.
Attraverso tale correlazione è possibile ottenere una valutazione di rischio composto dalle minacce e dalle vulnerabilità che insistono su ogni elemento delle catena tecnologica e infrastrutturale legate ai macrodati.
Relazioni tra gli elementi del modello
Macrodati Applicazioni Sistemi Reti
Ubicazioni Altri supporti
Rappresentazione esemplificativa
Processi/Sottoprocessi
21
© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
Il rischio del macrodato è ottenuto tramite calcolo matriciale che prevede la misurazione del rischio in funzione del valore del macrodato stesso, delle minacce cui è sottoposto e delle vulnerabilità dei supporti e delle infrastrutture che lo gestiscono:
RISCHIO = f (Valutazione del macrodato, Minaccia, Vulnerabilità)
Modello di calcolo del rischio
La valutazione del rischio si ottiene combinando opportunamente il valore dei macrodati con l’insieme delle minacce e delle vulnerabilità che insistono su ogni elemento della catena tecnologica e infrastrutturale legate ai macrodati
Esposizione Altri supporti Esposizione Ubicazioni Esposizione Reti Esposizione Sistemi Esposizione Applicazioni Valutazione valore
dei macrodati
Calcolo del rischio
Valutazione vulnerabilità Valutazione minacce
Macrodati
Applicazioni
Sistemi
Reti
Ubicazioni Resp. Processo
Ref. Appl.
Ref.Ubic.
Ref. Sistemi
Ref. Reti
Valutazione minacce
Valutazione minacce
Valutazione minacce
Valutazione minacce
Valutazione vulnerabilità
Valutazione vulnerabilità
Valutazione vulnerabilità
Altri Supporti Ref.
Valutazione minacce
Valutazione vulnerabilità
© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
22
Per effettuare tutte le attività previste dalla metodologia di analisi dei rischi, KPMG ha sviluppato specifico strumento software, KARISMA (KPMG Advanced Risk Management), accessibile via web. Gli utenti accedono all’applicazione tramite una pagina di autenticazione: a seconda del proprio profilo, possono eseguire azioni ed operazioni differenti.
KARISMA
23
© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
PROCESSO PROCESSO SOTTOPROCESSO
SOTTOPROCESSO SOTTOPROCESSO SOTTOPROCESSO
FLUSSI UNITA’ ORGANIZZATIVE
OUTSOURCER MACRODATI VINCOLI NORMATIVI
VINCOLI INTERNI VINCOLI ESTERNI
KARISMA – mappatura dei processi e dei macrodati
KARISMA consente di effettuare attività di mappatura dei processi non esclusivamente finalizzate all’attività di analisi dei rischi
© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
24
AMBIENTE AMBIENTE TECNOLOGICO TECNOLOGICO
APPLICAZIONI SISTEMI
RETI UBICAZIONI
KARISMA – mappatura dell’ambiente tecnologico
KARISMA consente di effettuare attività di mappatura dei sistemi informatici (applicazioni,
sistemi, reti)
25
© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
KARISMA – stima del valore delle informazioni, delle minacce e analisi delle vulnerabilità
VALORE VALORE MINACCE MINACCE VULNERABILITA VULNERABILITA’ ’ APPLICAZIONI
SISTEMI RETI UBICAZIONI MACRODATI
KARISMA consente la raccolta delle stime relative al valore delle informazioni, alla probabilità di accadimento delle minacce ed alle vulnerabilità presenti attraverso la compilazione di specifiche schede da parte di più utenti.
© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
26
KARISMA - reportistica
KARISMA gestisce tutte le operazioni di elaborazione delle informazioni e produzione dei
risultati. Inoltre fornisce una serie di report standard sulle principali aree di interesse (livello di
rischio calcolato, aree di vulnerabilità, valore delle informazioni, distribuzione delle informazioni
critiche all’interno dei processi, ecc.)
27
© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
Tool di supporto
Report
© 2005 KPMG Advisory S.p.A., an Italian limited liability share capital company, is a member firm of KPMG International, a Swiss cooperative. All rights reserved.
