L’Icp (Information classification program) è la base per introdurre in azienda metodiche di valutazione del ritorno sugli investimenti fatti in sicurezza. Due le sfere d’azione (check degli incidenti e attribuzione del valore delle informazioni), tante le sottovoci di costo, unico il ben
È ormai prassi consolidata guardare agli investimenti effettuati in information security come a una serie di fattori abilitanti il business. Se questa è sicuramente una scelta corretta, tuttavia la misurazione del ritorno di detti investimenti risulta essere ancora abbastanza complessa. Ma non è impossibile e in questa sede esamineremo alcune problematiche correlate.
Quando bisogna ricevere l’approvazione, da parte del management, al proprio piano di investimenti, la maggior parte delle volte si ricevono domande su come attribuire un valore corretto alle informazioni, tale da giustificare gli investimenti stessi.
La risposta è data dalla sigla Icp (Information classification program). L’Icp è una roadmap di classificazione delle informazioni, che ha come obiettivo quello di generare una correlazione iniziale tra categorie di informazioni e un coefficiente di valore.
Esistono numerose "correnti" generative degli Icp. Tuttavia quasi tutte convengono sulla opportunità di valutare l’importanza dei dati su una scala da uno a cinque, ove cinque rappresenta il valore più alto. Solitamente, una classificazione di questo tipo può essere utile per un duplice scopo:
* Classificazione degli incidenti informatici: esiste una diretta correlazione tra impatto dell’incidente e coefficiente d’importanza attribuito durante la fase di Icp.
* Attribuzione del valore intrinseco delle informazioni. Il parametro base di giustificazione di un determinato investimento è dato dal valore delle informazioni, se queste vengono perdute, rubate, oppure danneggiate. Se quest’ultimo è pari o superiore all’investimento proposto, l’impegno a investire da parte dell’azienda è naturalmente approvabile. Esistono, tuttavia, dei casi in cui il valore non è quantificabile. Ovviamente, anche in queste circostanze una spesa è sempre giustificata.
Si suole aggregare le due classificazioni sopra citate in quanto, nel momento in cui si parla di valutazione del valore complessivo bisogna calcolare anche il costo della gestione del possibile incidente in quanto tale. Solitamente si tende a valutare i costi dell’applicazione della procedura, costi associati al vulnerability assessment obbligatorio dopo ogni violazione accertata, costi legali, costi consulenziali addizionali eccetera.
Rapporto tra leggi e standard
Questo tipo di relazione è sempre più valutata in quanto, in caso di incidente, nel 70% dei casi si intraprende una procedura legale di tipo civilistico e/o penalistico. In entrambi i casi, comunque, è diventata prassi effettuare una correlazione tra possibili norme di legge violate e adozione delle cosiddette "best practice" in sede di protezione.
Una delle prime cose che vengono verificate è se e come siano stati implementati il piano di sicurezza e i rispettivi investimenti. Gli standard di riferimento sono ormai dei classici (Bs 7799 e Iso 17799) e implementarli ha dei costi, che sono relativi sia alla parte procedurale sia a quella architetturale.
Un’altra verifica da effettuare, quindi, riguarda la relazione che esiste tra i costi da sostenere e quelli "sostenendi", in caso di non applicazione delle best practice sopra esposte. In caso di mancata applicazione delle misure minime di sicurezza, inoltre, così come previsto dal Dpr 318/99,
bisognerà calcolare non solo il danno dovuto alla perdita totale o parziale delle informazioni, ma anche il costo del pagamento delle sanzioni previste nei casi di violazione.
