Sotto la lente, le diverse metodologie disponibili per l’analisi dei pericoli collegati al ridimensionamento degli investimenti in sicurezza
Rispetto allo scorso triennio, il budget per la sicurezza è stato “razionalizzato” dalle aziende clienti. Nel senso che, se prima era estremamente semplice convincere i malcapitati ad acquistare strumenti spesso “instabili” se non addirittura inutili, adesso, grazie a passate operazioni imprudenti di vendor privi di scrupolo, può risultare complessa l’esecuzione di un piano strategico di sicurezza.
La ragione principale è presto detta: l’ordine di scuderia della maggioranza del top management è di ridurre i costi. Nelle aziende con una certa struttura, dove, per esempio, sono i responsabili It ad avere il controllo del budget, la sicurezza diventa quindi qualcosa di strumentale, che richiede comunque competenze manageriali molto alte.
Tuttavia non è questo l’unico motivo. La pratica consulenziale e di ricerca suggerisce che uno dei motivi principali della mancanza di investimenti reali in sicurezza informatica da parte di molte aziende è la mancanza di percezione del problema. Sia in Italia sia in alcuni casi anche negli Stati Uniti, si cerca di limitare gli investimenti in sicurezza ad alcune componenti tecnologiche di protezione perimetrale (per esempio firewall e Ids/Ips, spyware e via dicendo) credendo di poter così ridurre il rischio e, al contempo, mitigare la compliance. E sono pochi i manager aziendali che hanno il coraggio di accettare il rischio in maniera esplicita; la maggior parte di essi preferisce trincerarsi dietro un immobilismo più o meno velato, in attesa che il “vicino di segmento” faccia il primo passo.
Recentemente, da un’indagine effettuata da NetConsulting e DFLabs, è emersa una suddivisione dell’utenza finale in tre fasce, così come descritto dalla figura qui a fianco.
Inutile dire che gli utenti di tipo “strategico/evoluto”sono in numero ridotto, almeno nel nostro paese, fondamentalmente per il semplice motivo che, volenti o nolenti, questi argomenti sono stati già affrontati in altri quadri storici. La cosa interessante comunque, è che molto spesso per essere strategici non bisogna per forza essere high end. Esistono, infatti, delle piccole realtà dove la sicurezza è strategica; allo stato attuale si tratta di una considerazione di tipo percettivo, ma suffragata dai continui incontri con l’utenza finale che riempiono ormai le nostre giornate di operatori.
Gli analisti, quindi, convengono che la carenza di base della maggior parte delle aziende è evidentemente una: manca la security awareness.
L’importanza di un Information classification program
Con il termine Icp (Information classification program) si intende l’insieme di processi, basati su una metodologia, che pianifica, definisce e gestisce la classificazione delle informazioni aziendali. Questo principio, che di fatto è alla base dei dettami normativi della legge 196/2003 (Privacy) e viene più volte richiamato da normative internazionali quali la Sarbanes Oxley, vede generalmente l’applicazione di “coefficienti di importanza” alle varie categorie di informazioni, fondamentalmente organizzate su gruppi omogenei.
È d’obbligo, infatti, chiedersi quanti tra i nostri lettori abbiano effettivamente posto in essere un reale programma di questo genere. Per esperienza di chi scrive, sono pochissimi i clienti, finanche quelli finance, che hanno in piedi un reale Icp.
Questo dato percettivo può fare riflettere su due punti fondamentali: l’Information classification program è un processo di fatto obbligatorio ma, altrettanto di fatto, non eseguito dalla maggior parte delle aziende italiane. Questo significa che questa maggioranza è potenzialmente in violazione della legge privacy. L’attuale situazione di aziende e amministrazioni in base a questo tipo di tematica fa pensare che, nonostante i sogni del cassetto di ogni responsabile It, l’approccio alla protezione dei dati è di tipo asset based, non information based.
Durante la nostra attività, ci è capitato di intervistare i responsabili della sicurezza di alcune tra le aziende più importanti del nostro paese, appartenenti a settori eterogenei, che per grandezza potevano sembrare strategici, ma che a conti fatti hanno dimostrato che in Italia la maggior parte dell’utenza è di tipo tattico/reattivo.
Alla domanda «Che tipo di approccio alla protezione ha la vostra azienda?» la maggior parte degli intervistati ha risposto di assumere un’impostazione di tipo “information based”. È pur vero che altri hanno dichiarato un approccio misto, ma riteniamo senza ombra di dubbio, che gli intervistati abbiano cercato di smussare gli angoli, cercando di mostrare una “sicurezza” non corrispondente alla realtà. Se, infatti, l’approccio fosse stato realmente di tipo “information based” (proteggo le informazioni a prescindere da dove esse effettivamente si trovino) la maggior parte delle aziende intervistate avrebbe altresì confermato di avere in piedi il sopra citato Icp, cosa non avvenuta. Questo significa, fondamentalmente, che molte aziende devono, per forza di cose, assumere un approccio strutturato, magari valutando non solo i costi fini a se stessi, ma anche il rischio economico in caso di non investimento nella sicurezza.
Gli obblighi della legge sulla privacy
Un’altra domanda ricorrente che viene rivolta ai vari interlocutori aziendali riguarda il tipo di analisi del rischio che è stata effettuata all’interno delle rispettive realtà. Desideriamo ricordare che anche questo tipo di processo valutativo è obbligatorio, di fatto, per la legge sulla privacy.
Atteso che siamo i primi a dire che un’analisi del rischio su tutto lo spettro informativo aziendale è praticamente impossibile da realizzare (e questo gli utenti lo sanno), questa impossibilità di fatto rappresenta per molti un paravento di carta velina, dietro al quale nascondersi per poi tirar fuori dal cilindro il coniglio dell’ormai famoso template. Chi non ha mai ascoltato domande del tipo «Non avrebbe un template sul quale basarsi?» che tutti i clienti fanno, prima o poi?
A ogni modo, al fine di mera panoramica sulle varie metodologie esistenti, ricordiamo che di base esistono quattro approcci all’analisi del rischio:
1) Approccio di tipo “qualitativo”. Si verifica quando l’attività di valutazione di asset, informazioni, fattori di rischio ed esposizione, viene calcolata in maniera maggiormente bilanciata verso la “percezione” rispetto alla statistica vera e propria. I pro sono: accuratezza dell’output basato su parametri di vita reale. I contro: eccessiva difficoltà nella fase di acquisizione delle informazioni e loro valutazione basata su coefficiente di rischio/esposizione. In poche parole: l’assenza di parametri numerici a volte si sente.
2) Approccio di tipo “quantitativo”. In questo caso si verifica praticamente il contrario. È la statistica ad avere un peso maggiore in questo caso, mentre viene utilizzato un criterio di tipo numerico anche nell’attribuzione di coefficienti di importanza degli asset da proteggere, unitamente ai fattori di rischio e via dicendo. È un metodo molto utilizzato nel mondo assicurativo. I pro sono: accuratezza basata su formule e modelli matematici. I contro: cambiando un numero, il risultato viene messo a serio repentaglio.
3) Approccio basato su metodi alternativi come il Frap (Facilitated risk analysis process) e Octave. Questi metodi, che sono stati sviluppati rispettivamente dal Computer Security Institute (gruppo Peltier) e dal Cert di Carnegie Mellon, rappresentano una sintesi delle due soluzioni sopra citate e hanno il vantaggio di avere una maggiore flessibiltà mentre, dall’altro lato, non godono ancora di un consensus tale da poter essere definiti standard.
4) Approccio Misto. È un po’ quello alla base del progetto Coni (Cost of non investment) che utilizza una valutazione di tipo quantitativo comunque bilanciata da un aspetto percettivo e di confronto, che è possibile valutare soprattutto nella fase di reporting. Pro: flessibilità e conformità allo stato dell’arte aziendale. Contro: senza uno strumento a supporto farà poca strada.
È chiaro che non vi è, allo stato attuale, un metodo risolutivo valido per tutte le aziende. Gli stessi estensori dei vari ISO 17799 e BS7799 cercano di stare alla larga da un passo falso di questo genere. Proprio per questo motivo, riteniamo che un approccio misto, almeno in questa fase storica di preponderanza dell’utente tattico reattivo, possa essere valido.
Tuttavia, per far ciò, bisogna avere ben chiara l’informazione su cui far leva sugli utenti finali.
Quali fattori da calcolare
Esistono dei parametri da tenere in considerazione, soprattutto per quanto concerne la finalità. Se si desidera, comunque, fornire al management una quantificazione dei danni potenziali in ordine al tipo di asset che contiene una determinata serie di informazioni, ci si riferisce agli asset medesimi, con l’utilizzo, per esempio, di uno strumento di calcolo. In questo caso, l’intero sistema di valutazione del rischio pone le sue fondamenta sulla valutazione del valore dei beni (asset) presenti all’interno dell’azienda.
Il concetto base è che se il valore di un asset non è quantificabile (in quanto di bassa entità) allora non è necessario proteggerlo. Si cerca, quindi, di attribuire un valore unico monetario a ciascun asset, sebbene non sia sempre facile reperire tutte le informazioni necessarie.
Di solito il valore di ogni bene viene suddiviso (ma comunque non limitato) nelle seguenti categorie: acquisto, installazione, licenze, implementazione, personalizzazione, valore fisico, valore per la compagnia, valore per gli utenti, valore derivante da proprietà intellettuale, miglioramenti produttivi e marca.
Un esempio interessante con cui confrontare la granularità sopra citata è stato portato avanti da Isecom, un istituto che rilascia continuamente degli studi opensource sulla gestione del rischio informatico. Pur non cimentandosi in attività complesse di individuazione dei point of failure, Isecom ha sviluppato degli strumenti di calcolo abbastanza interessanti finalizzati alla generazione di metriche di sicurezza. L’utilizzo principale che se ne fa è quello di gap analysis. Tuttavia si può trattare di attività anche più diffuse, con un approccio ibrido.
Un altro esempio: CONI tool
Uno degli esperimenti più interessanti effettuati nel nostro paese sul calcolo del CONI lo ha fatto Microsoft Italia verso la fine del 2005.
A seguito di uno studio strutturato, la società ha elaborato un prototipo basato su alcune linee guida che, a suo tempo, costituivano referenza al suo interno. Secondo la letteratura Microsoft di quel periodo, lo scopo del processo di gestione del rischio è quello di pianificare il ciclo di vita di una soluzione a un problema di sicurezza, partendo dalla sua creazione fino alla sua integrazione nel sistema. Il tool CONI in esame rappresentava un framework, scritto in Excel, di supporto per l’analisi delle informazioni e per l’identificazione di soluzioni convenienti. Lo strumento risulta flessibile e altamente customizzabile permettendo così di applicarlo a molteplici processi It.
Il processo di gestione del rischio è suddivisibile in cinque fasi:
1) Individuazione del rischio e dei beni coinvolti;
2) Valutazione delle componenti del processo (valutazioni dei beni aziendali, delle vulnerabilità, dei rischi interconnessi e via dicendo);
3) Sviluppo di contromisure da applicare per mitigare i rischi individuati nella fase precedente;
4) Testing delle soluzioni sviluppate;
5) Implementazione e introduzione delle contromisure nel sistema.
La fase di individuazione del rischio è il primo passo da compiere per la valutazione e gestione dei rischi aziendali. Per fare ciò si inizia elencando tutti i possibili asset (beni) aziendali che verranno sottoposti all’analisi supponendo che siano soggetti a uno o più ipotetici pericoli considerando il loro attuale valore. Generalmente parlando, i manager considerano il valore attuale dell’asset pari al valore di acquisto, investendo una somma proporzionale alla spesa iniziale per la riduzione dei rischi. Nella valutazione globale del bene però non concorrono solo il semplice valore di acquisto o di installazione. Nel foglio Valore Asset, infatti, il valore totale è composto sia da voci di costo, sia da voci di valore diretto e indiretto.
Tutti questi costi devono essere considerati parte integrante del valore globale riferito a un asset. È superfluo specificare che questa fase di valutazione dei beni è di vitale importanza. Una valutazione sbagliata potrebbe portare a sottovalutare o soprastimare un rischio, con conseguenze ben peggiori. Una volta che è stato calcolato il valore globale degli asset e la priorità che questi possiedono all’interno del sistema (foglio di calcolo Valore asset e Priorità asset), si rende necessario elencare tutti i possibili eventi o fattori che possono porre l’azienda o i beni aziendali in una posizione di rischio. Nella classificazione dei rischi è importante considerare tutte le tipologie, incluse quelle derivanti da tecnologie, processi e persone.
La classificazione può derivare da un processo di brainstorming, di informazioni provenienti dall’esterno (per esempio segnalazioni provenienti da produttori di antivirus o security advisor) o da un vulnerability assessment. Esistono molti fattori che possono influenzare l’individuazione dei rischi come vincoli, circostanze, premesse, dipendenze fra altri rischi, soggetti legati all’asset e via dicendo. La classificazione in questo caso può ridurre la complessità nel lavorare con un numero elevato di minacce fornendo un comodo sistema per raggruppare eventi simili. Inoltre, questa classificazione può fornire una terminologia comune all’interno del team adibito all’analisi del rischio. CONI tool richiede prima di specificare le categorie degli eventi a rischio e, in seguito, la frequenza con la quale questi possono accadere in un lasso temporale (anno, mese o giorno). Dividendo il numero delle occorrenze per il lasso di tempo considerato, si ottiene la probabilità che un evento accada (calcolata sul singolo giorno). Nel foglio di calcolo successivo vengono, quindi, elencati gli exploit concreti suddivisi per le categorie specificate in precedenza.
Nel caso uno di questi exploit abbia successo, si può specificare quale impatto potrebbe avere. I casi possibili sono tre: perdita Confidenzialità, perdita Integrità o perdita Disponibilità (CIA, Confidentiality, Integrity, or Availability). Il tutto viene riassunto nel foglio di calcolo Asset Exploit dove ogni singolo exploit viene analizzato considerando la probabilità di successo mettendolo in relazione con il relativo asset. È qui che viene formulata la Sentenza di Rischio ovvero un’espressione in linguaggio naturale. La prima parte è chiamata “condizione” e descrive lo stato o una potenziale minaccia che potrebbe causare dei danni.
La seconda parte è detta “conseguenza”, che descrive gli effetti nel caso in cui la minaccia si concretizzi.
A questo punto del processo risultava possibile calcolare:
l Aspettativa di perdita (Single loss expectancy – SLE). È il valore totale di perdita per ogni singola occorrenza di un rischio. È un valore monetario che rappresenta la perdita che l’azienda deve affrontare se un rischio si concretizza. Spesso, è sinonimo di impatto sull’azienda. Il valore si calcola moltiplicando il valore dall’asset (AV) per il fattore espositivo (EF), cioè la percentuale di perdita relativa al valore globale. Per esempio, se un server ha un valore di 10.000 dollari e il danno stimato per un incendio risulta di 2.500 sul valore globale, il suo fattore espositivo è del 25%.
Determinare l’occorrenza annuale (Annual rate of occurrence – ARO): il numero delle volte in cui il richio si potrà concretizzare. È espresso in percentuale, da 0 (mai) a 100% (sempre)
Determinare l’aspettativa di perdita annuale (Annual loss expectancy – ALE): la somma di denaro che l’organizzazione perderà in un anno se nulla verrà fatto per mitigare il rischio. È calcolato moltiplicando il valore di ARE per SLE. Il valore di ALE fornisce un valore di budget da utilizzare per ridurre o eliminare il rischio in esame. Il budget è quindi influenzato da vari fattori, non solo dal valore dell’asset originale.
Stimare il costo delle contromisure (Value of safeguard to company – VSC), viene fornito calcolando la differenza fra ALE prima di applicare le contromisure e ALE dopo averle applicate.
Il risultato di tutto ciò è un report estremamente dettagliato, mediante il quale il management è in grado di valutare l’impatto dell’incidente in caso di non investimento in sicurezza. Parte del tool di Microsoft (allo stato attuale non si conoscono le intenzioni del vendor circa la sua diffusione) può essere altresì utilizzato per il calcolo del danno a seguito di intrusione
