Scopriamo come gestire il rischio aziendale e scegliere le corrette contromisure in rapporto all’impiego dei sistemi informativi, usando definizioni e metodi validi per qualsiasi realtà
Sul numero 36 di Linea Edp abbiamo descritto in dettaglio l’analisi del rischio, in un primo articolo che apriva un filone formativo costruito sulla base del corso di certificazione ufficiale europea "Eucip (European Certification of Informatics Professionals – www.eucip.it) It Administrator Sicurezza Informatica" certificazioni europee. L’obiettivo di questa seconda puntata è di valutare in che modo agire sugli elementi di rischio e come scegliere le opportune contromisure.
La fase del controllo del rischio ha lo scopo di eliminare i rischi accertati nella precedente fase di analisi, o perlomeno di ridurli entro limiti accettabili. Parte dei rischi può essere ceduta a terzi, per esempio attraverso polizze di assicurazione (per cautelarsi da eventi come furto, incendio e di-sastri naturali).
Anche l’outsourcing, cioè la delega a terzi di servizi che potrebbero essere svolti da personale interno, può essere utile a ridurre vari tipi di rischio, tra cui il mancato ritorno degli investimenti in addestramento specialistico del personale. Anche la gestione dello storage, ovvero gli archivi e i backup, può essere affidata a terzi appositamente strutturati per garantire alti livelli di sicurezza (disponibilità, integrità e riservatezza delle informazioni). L’hosting dei siti Web è un esempio di outsourcing conveniente alle piccole aziende, solitamente prive di impianti e personale per amministrare hardware, software e sicurezza dei siti.
Tolta la cessione a terzi di parte dei rischi, consideriamo la parte di gestione del rischio che avviene all’interno dell’azienda. Il controllo del rischio viene esercitato attraverso opportune contromisure che agiscano sulle due componenti del rischio: la gravità dell’impatto e la probabilità di attuazione della minaccia.
Nell’articolo precedente (disponibile in versione integrale online) abbiamo visto che le minacce coprono un ampio spettro di fenomeni e attività; ognuna dovrà essere quindi trattata separatamente sia nel valutare l’impatto e la probabilità, sia nel selezionare le contromisure che risultano più efficaci nell’analisi di costo e benefici.
Quali contromisure…
Le contromisure di sicurezza sono le realizzazioni e le azioni volte ad annullare o limitare le vulnerabilità e a contrastare le minacce. Una parte delle contromisure viene solitamente realizzata nel corso della progettazione di un sistema o di un prodotto. Le altre contromisure vengono adottate in fase di utilizzo del sistema o prodotto.
La scelta delle contromisure da mettere in campo è dettata dall’analisi del rischio e dall’analisi costo/benefici delle contromisure. Considerato un bene, il suo valore e il danno potenziale in base alle vulnerabilità e alle probabilità di attuazione di una minaccia, l’effetto di una contromisura si calcola con la riduzione del rischio. Se la riduzione del rischio è ampiamente superiore al costo della contromisura, questa è efficace. Se un certo rischio è di scarsa entità e la contromisura risulterebbe più costosa rispetto ai benefici, si può decidere di accettare il rischio senza alcuna contromisura. Lo stesso dicasi nei casi in cui il rischio residuo (il rischio che rimane dopo l’adozione delle contromisure) non fosse significativamente inferiore al rischio iniziale. In pratica, la scelta e l’adozione delle contromisure è dettata sia dagli obiettivi di sicurezza (e relative priorità di urgenza e importanza) sia dal buon senso economico. Si possono classificare le contromisure in tre categorie a seconda che siano di carattere fisico, di tipo procedurale o di tipo tecnico informatico.
…di carattere fisico
Queste contromisure sono generalmente legate alla prevenzione e al controllo dell’accesso a installazioni, locali, attrezzature, mezzi di comunicazione. Un esempio è un centro di calcolo realizzato in un edificio protetto e accessibile solo dopo il riconoscimento del personale autorizzato. Una server farm per ospitare migliaia di siti Web è probabilmente dotata di varie contromisure di tipo fisico: la collocazione in zona elevata non soggetta ad alluvioni, pompe e rilevatori per evacuare l’acqua, sistemi antincendio, accessi blindati e sorvegliati e via dicendo. Dato che sistemi e installazioni comunicano in rete, anche le linee di comunicazione possono avere bisogno di protezione fisica contro intercettazioni, disturbi e danneggiamenti. Tra le contromisure fisiche ci sono le canalizzazioni dei cavi di rete, magari interrate o sotto traccia per ostacolare l’accesso e le schermature di vetri e pareti per contenere il campo delle reti wireless.
…di tipo procedurale
Queste contromisure definiscono passo per passo le operazioni per eseguire un certo compito oppure regolano il comportamento degli utenti per gli aspetti che riguardano la sicurezza delle informazioni e delle risorse.
Mentre le contromisure fisiche proteggono l’accesso fisico alle risorse e le contromisure informatiche agiscono a livello hardware, firmware e software, le procedure operative e le regole di comportamento si applicano alle persone (utenti e amministratori). Lo scopo, da un lato, è quello di evitare che gli utenti causino vulnerabilità e minacce e, dall’altro, che contribuiscano a mantenere alte le difese riducendo i rischi residui lasciati dalle altre contromisure.
Esempi di contromisure di tipo procedurale sono il controllo dell’identità dei visitatori e la limitazione delle aree a cui hanno accesso. Quando si usa un badge o altra scheda di riconoscimento, anche la sua custodia è oggetto delle procedure, così che non venga lasciato sulla scrivania o in un cassetto aperto o comunque a disposizione di altri.
Le password sono uno strumento di protezione informatico, ma le regole per la loro assegnazione, durata, utilizzo e custodia fanno parte delle contromisure procedurali per ridurre il rischio che cadano in cattive mani. Alcune norme comuni sono: utilizzare password non brevi, contenenti non solo lettere; raccomandare o imporre modifiche periodiche delle password; bloccare l’accesso dopo un numero limitato di tentativi errati; sensibilizzare e responsabilizzare gli utenti sugli effetti della mancata riservatezza (tenere la password su un post-it sotto la tastiera, in un cassetto e così via o comunicare la propria password a un collega o a un sedicente tecnico di assistenza).
Come per le password, ci sono altre contromisure informatiche che sono efficaci solo se si rispettano certe norme d’uso o procedure organizzative. Un antivirus, per esempio, è efficace se è aggiornato di frequente, come minimo una volta al giorno. Una vulnerabilità degli antivirus è, infatti, quella di non proteggere dai virus di recente introduzione; il rimedio è installare un sistema centralizzato e una procedura che assicuri l’aggiornamento almeno quotidiano del file di riconoscimento dei virus e un aggiornamento periodico del software antivirus. Per un piccolo ufficio, lo stesso risultato può essere ottenuto installando un antivirus che scarichi automaticamente gli aggiornamenti tutti i giorni e che esegua una scansione giornaliera dei file.
In generale, le contromisure di tipo procedurale dovrebbero essere ridotte al minimo, sostituendole quando possibile con sistemi automatizzati, meno soggetti agli errori, dimenticanze e violazioni degli utenti. È il caso, per esempio, dei dispostivi di riconoscimento biometrici usati al posto dei badge o delle password. Anche l’aggiornamento periodico del firmware dei firewall, anziché essere oggetto di norme procedurali, può essere automatizzato utilizzando firewall che si aggiornano automaticamente collegandosi al sito del produttore. In questo modo, sia le funzionalità sia le protezioni sono tenute aggiornate evitando il costo degli interventi manuali, l’interruzione del servizio, il rischio di errori manuali e il rischio di una minore protezione a causa dell’invecchiamento del firmware. Altri esempi riguardano le norme d’uso di hardware e software, dove una documentazione inadeguata e un addestramento sommario possono favorire errori o il mancato utilizzo di certe funzioni, aumentando i rischi per la sicurezza.
Nel campo dei backup, non tutte le aziende hanno procedure automatiche che garantiscano il ripristino dopo un disastro (disaster recovery) o la continuità operativa (business continuity) a dispetto di qualsiasi evento catastrofico. Vista l’entità dell’impatto e la frequenza di guasti ai supporti magnetici, è vitale avere una strategia di backup e mettere in atto procedure che garantiscano l’esecuzione dei back a più livelli (con diverse periodicità) e la verifica dell’integrità e utilizzabilità dei supporti di backup. Parte di queste operazioni può essere automatizzata, specialmente nelle aziende medio-grandi; la verifica dei supporti di backup è invece spesso un punto trascurato. Nei piccoli uffici, i più soggetti a improvvisazione e omissioni in tema di backup, la difficoltà di imporre l’osservanza di procedure è aggirabile tramite applicazioni software commerciali che, in modo automatico e pianificato, salvano le immagini delle partizioni degli hard disk, senza interrompere il lavoro sui computer. In questo modo, si può utilizzare una contromisura tecnico informatica al posto di quella che, normalmente, è una contromisura procedurale.
Lo smaltimento dei supporti su cui risiedono informazioni è un altro esempio dell’opportunità di contromisure procedurali per evitare che informazioni riservate siano rese pubbliche. Le contromisure possono includere la distruzione dei documenti cartacei da gettare nella spazzatura, la cancellazione dei supporti magnetici da smaltire o da sostituire in garanzia, lo spostamento degli archivi o l’estrazione degli hard disk prima di mandare un computer in manutenzione (salvo l’uso di personale interno con qualifica di sicurezza) e la distruzione dei supporti ottici da smaltire.
Contromisure di tipo tecnico informatico
Queste sono le contromisure realizzate attraverso mezzi hardware, firmware e software e prendono anche il nome di funzioni di sicurezza. In base al loro campo d’azione, possono essere classificate nelle categorie che seguono.
Identificazione e autenticazione: le funzioni di questa categoria servono a identificare un individuo o un processo e ad autenticarne l’identità. L’esempio più comune è la funzione di accesso (login) a un sistema tramite nome utente (per l’identificazione) e password (per l’autenticazione dell’identità). L’autenticazione viene usata anche nelle comunicazioni tra processi e nei protocolli di comunicazione per accertare l’identità del processo o dell’utente associato al processo.
Controllo degli accessi: in questa categoria troviamo le funzioni di sicurezza che verificano se il processo o l’utente, di cui è stata autenticata l’identità, ha il diritto di accedere alla risorsa richiesta (per esempio file, directory, stampanti) e di eseguire l’operazione specificata (per esempio lettura, esecuzione, modifica, creazione, cancellazione). Per i processi, anche l’accesso alla memoria è regolamentato, in modo che un processo non possa leggere i dati di un altro processo o, in certi casi, non possa eseguire istruzioni contenute in aree destinate esclusivamente a dati. Analoghe funzioni sono svolte a livello hardware dalla Cpu nella sua gestione delle pagine di memoria.
Rendicontabilità (accountability): a questa categoria appartengono le funzioni che permettono di attribuire la responsabilità degli eventi agli individui che li hanno causati. L’accountability richiede l’attuazione delle misure d’identificazione e autenticazione degli utenti e l’associazione a ogni processo dell’identità del suo proprietario, come avviene nei moderni sistemi operativi.
Verifica (audit): a questa categoria appartengono le funzioni che registrano gli eventi in un file di logging, con informazioni riguardo a errori e a violazioni di sicurezza. Grazie a queste registrazioni, è possibile risalire a ciò che è accaduto e prendere provvedimenti. Nel caso di segnalazione di malfunzionamenti hardware o di errori software, si possono intraprendere azioni di diagnosi e manutenzione (per esempio la verifica e correzione del file system). Nel caso di eventi che riguardano la sicurezza, il log permette di scoprire irregolarità, come tentativi di accesso illeciti e tentativi di intrusione. Esempi di funzioni di logging sono quelle di Windows, che registra log degli eventi di sistema, applicativi e di sicurezza oppure il demone syslogd dei sistemi Unix/Linux. Nel caso dei firewall, il log comprende la registrazione selettiva degli eventi che si desidera tenere sotto controllo: tutti, se non attiva nessun filtro, oppure solo quelli che superano un certo livello di gravità. Solitamente i firewall offrono l’opzione di logging remoto, che consiste nell’inviare la segnalazione degli eventi a un computer, in modo da poter tenere registrazioni anche voluminose (su lunghi periodi di tempo) e poterle analizzare più facilmente.
Riutilizzo degli oggetti: questa categoria comprende le funzioni che permettono di riutilizzare oggetti contenenti informazioni riservate: supporti magnetici, supporti ottici riscrivibili, aree di memoria RAM, zone di memoria dei processori (registri, cache, e via dicendo), buffer di periferiche e simili. Lo scopo è quello di evitare che informazioni riservate siano lasciate a disposizione di programmi e utenti dopo il loro regolare utilizzo. Le contromisure in questa area hanno il compito di cancellare le aree di memoria e di disco subito dopo il loro utilizzo per il transito di informazioni riservate. Un esempio riguarda le aree di memoria dove transitano le password o altre informazioni in chiaro prima della loro cifratura: buffer, registri e aree di lavoro dovrebbero essere cancellate per evitare che siano lette da altri processi autorizzati ad accedere a quelle aree ma associati a utenti non autorizzati alla conoscenza di quelle informazioni. Un altro esempio è offerto dalle aree di scambio su disco, come i file di swapping o paging del sistema operativo. È utile attivare l’opzione di cancellazione automatica di questi file alla chiusura del sistema, in modo che utenti non autorizzati non possano esaminarlo a caccia di informazioni riservate.
Accuratezza: fanno parte di questa categoria tutte le funzioni intese a garantire l’accuratezza delle informazioni. Per esempio, perché i file di logging forniscano informazioni attendibili, la registrazione temporale (time stamp) dell’evento deve essere precisa. Questo accade se l’orologio interno è sincronizzato periodicamente con un time server di riferimento. Sistemi operativi, switch, firewall e altri dispositivi offrono questa funzionalità, che se necessario va attivata specificando il nome del time server (per esempio time.nist.gov). In campo software, esempi di funzioni a difesa dell’accuratezza delle informazioni sono le funzioni che controllano i limiti di occupazione di buffer e array e quelle che validano la correttezza dei dati immessi dagli utenti.
Affidabilità del servizio: questa è una vasta categoria di contromisure, perché sono diverse le aree che potrebbero compromettere l’affidabilità dei servizi informatici. Si inizia dalle contromisure per mantenere condizioni di alimentazione elettrica stabile, filtrata e senza interruzione (gruppi di continuità), per passare alle difese dai malfunzionamenti hardware (monitoraggio e manutenzione preventiva) e software (monitoraggio degli errori nei file di logging, aggiornamenti, monitoraggio delle prestazioni, rollback delle transazioni non andate a buon fine, ripristino di uno stato precedente del sistema operativo, ripristino delle partizioni di disco a uno stato integro precedente). Altre contromisure possono essere sviluppate per difendere sistemi e applicazioni dagli errori degli utenti.
Scambio dati sicuro: in questa categoria ci sono le funzioni destinate a garantire la sicurezza delle trasmissioni. Il modello OSI Security Architecture (ISO 7498-2) le classifica nelle seguenti sottoclassi: autenticazione, controllo dell’accesso, riservatezza, integrità (dell’hardware, dei dati e dei flussi di pacchetti trasmessi sia in modo connectionless, come UDP, sia connection-oriented, come TCP, anche ai fini della corretta sequenza dei pacchetti) e non ripudio. Esempi di contromisure in questa area sono l’uso di crittografia a chiave simmetrica e asimmetrica (chiave pubblica più chiave privata) e l’autenticazione tramite Message authentication code (Mac – il risultato dell’hashing applicato al messaggio più una chiave segreta simmetrica; vengono trasmessi messaggio e Mac; a destinazione il Mac viene ricalcolato sul messaggio più chiave simmetrica e confrontato col Mac ricevuto, così da verificare l’integrità del messaggio e l’autenticazione del mittente).
