INTRODUZIONE
Negli ultimi anni si e` verificato un esponenziale aumento dei servizi che utilizzano
tecnologie informatiche.
In molti casi vengono trattati dati personali, dati bancari - finanziari e dati aziendali
che devono essere protetti. Nasce cosi l’esigenza di avere sistemi informatici sicuri.
Parlando di sicurezza informatica si pensa subito all’utilizzo di antivirus, firewall,
intrusion detection system e strumenti per la prevenzione dei piu` comuni attacchi
informatici quali phishing e denial of service.
L’utilizzo di questi strumenti puo` non essere in grado di controllare e ridurre tutte
le vulnerabilita`, e suscitare un falso senso di sicurezza nei sistemi informativi grandi e
complessi situati in aziende, amministrazioni pubbliche o universita`.
Oltre a questo aspetto non vengono quasi mai presi in considerazione i seguenti
aspetti: possibili errori accidentali degli utilizzatori del sistema, impatti dovuti a con-
dizioni climatiche avverse e formazione periodica del personale sulle tecnologie e sulle
innovazioni.
Spesso e` difficile avere una panoramica completa delle connessioni delle macchine
(workstation,notebook e server) che compongono il sistema.
Questo lavoro si vuole concentrare sull’analisi del rischio di grandi e complessi
sistemi informativi e sulle contromisure che si possono adottare per prevenirlo e stimare
il rischio residuo.
La sicurezza di un sistema di gestione delle informazioni puo` essere certificato da
enti preposti.
Lo standard internazionale di riferimento attuale e` l’ISO27001:05 (recepito dall’en-
te di normazione italiano, UNI, con una versione classificata e tradotta come: UNI
ISO/IEC ISO27001:05) che, creato ai fini certificativi, fornisce i requisiti di un sistema
V
di gestione della sicurezza nelle tecnologie dell’informazione.
Come ambiente di studio si e` considerato il sistema informativo del dipartimento
d’informatica di Torino che e` estremamente complesso ed eterogeneo.
Vista la complessita` di questo sistema sono stati utilizzati alcuni tools per la
valutazione del rischio.
La scelta dei programmi da utilizzare e` stato uno dei passaggi chiave di questo lavoro
in quanto sono presenti molti software (la maggior parte commerciali) che, seguendo
metodologie differenti, effettuano un’analisi dei rischi.
La scelta finale e` ricaduta su tre prodotti estremamente diversi tra di loro sia in
termini di metodologia di calcolo del rischio che in termini economici.
Il primo tool esaminato e` Thor: un nuovo programma commerciale prodotto da
Deveco informatica, societa` torinese.
Il secondo studio e` stato effettuato con Pilar, software spagnolo anch’esso commer-
ciale, che segue la metodologia Magerit.
In ultimo ho utilizzato il tools open source Ebios, creato dal dipartimento della
difesa francese, che si sta affermando per gli studi di risk analysis.
Ho effettuato un’analisi comparativa dei tre tools e definito alcuni parametri per
una valutazione globale, una tecnica-commerciale e una informatica.
Una particolare attenzione e` dedicata al what-if che permette, in base alle contromi-
sure che potrebbero/dovrebbero essere adottate, di creare nuovi scenari per migliorare
la sicurezza del sistema e utili, in fase di pre-certificazione, per rimediare ai possibili
punti di debolezza del sistema esaminato.
Il presente lavoro si articola in 8 capitoli piu` un’appendice che illustra i report piu`
significativi ottenuti coi vari tools.
Nel primo capitolo vengono presentate dettagliatamente le normative italiane sul
trattamento dei dati personali e quelle internazionali per la certificazione di un sistema
di gestione della sicurezza nelle tecnologie dell’informazione.
La trattazione prosegue, nel secondo capitolo, con la formalizzazione del concetto
di rischio offrendo un’ampia panoramica sull’analisi dei rischi, sulle fasi che ne carat-
terizzano lo studio e affronta anche l’aspetto economico. Il capitolo termina con la
presentazione di un approccio matematico e algoritmico della risk analysis.
VI
Nel terzo capitolo viene presentato il perimetro su cui e` stata effettuata l’analisi e
viene dettagliato ogni servizio e ogni asset valorizzato.
Nei successivi tre capitoli vengono descritti i tre tools utilizzati per la risk analysis
del dipartimento d’informatica di Torino.
L’obiettivo di questa parte del lavoro non e` quello di fornire un manuale che descriva
il funzionamento dei programmi, ma quello di evidenziare i punti fondamentali che
caratterizzano la metodologia utilizzata dai tools per la valutazione del rischio.
Nel settimo capitolo viene fatta un’analisi comparativa dei tre prodotti evidenzian-
done i principali pregi e difetti e, sulla base di 35 parametri da me definiti, e` stata
effettuata una valutazione finale obiettiva. Si prosegue con la presentazione dell’analisi
comparativa tra le metodologie Magerit e Ebios tradotta dal sito dell’ENISA1 e infine
confrontando i risultati ottenuti dalle varie analisi con i questionari CNIPA2.
Il lavoro termina, nell’ottavo capitolo, una panoramica italiana e internazionale
sugli enti certificatori e infine con la presentazione delle fasi da eseguire, dopo aver
effettuato una risk analysis, per ottenere la certificazione ISO27001.
Vengono infine presentati, in allegato, i report piu` significativi prodotti dai tools.
1Agenzia europea per la sicurezza delle reti e dell’informazione
2Centro Nazionale per l’Informatica nella Pubblica Amministrazione
VII
Capitolo 1
NORMATIVE
Lo sviluppo della societa` dell’informazione e` caratterizzato dall’introduzione di nuovi
servizi di comunicazione elettronica.
L’accesso alla rete e` ormai a disposizione e alla portata di un pubblico sempre
crescente. La rete ha grande capacita` e possibilita` di trattare i dati personali.
Internet ha sconvolto le tradizionali strutture del mercato fornendo un’infrastrut-
tura mondiale comune per la fornitura di una vasta serie di servizi di comunicazione
elettronica come ad esempio l’home banking o il commercio elettronico.
I servizi di comunicazione elettronica accessibili al pubblico attraverso Internet apro-
no nuove possibilita` agli utenti ma rappresentano, inevitabilmente, nuovi pericoli per i
dati personali e per la vita privata.
Nel settore delle reti pubbliche di comunicazione occorre adottare disposizioni le-
gislative, regolamenti e tecniche specifiche finalizzate a tutelare i diritti e le liberta`
fondamentali delle persone fisiche.
L’utilizzo sempre crescente degli strumenti informatici per la gestione delle infor-
mazioni ha portato i legislatori a varare delle norme per il trattamento dei dati e delle
informazioni.
In Italia per tutte le aziende e amministrazioni pubbliche e` obbligatoria la compi-
lazione annuale del DPS (“Documento programmatico per la sicurezza”) che e` l’attua-
zione del decreto legge 196 varato nel 2003.
A livello internazionale son state varate varie normative e linee guida. La nostra
attenzione si rivolgera` alla famiglia ISO 27000 che e` lo standard di riferimento di un
sistema di sicurezza per la gestione delle informazioni.
1
1.1 Decreto legge 196
Ogni ente, sia pubblico che privato, e` tenuto alla compilazione annuale del documento
programmatico per la sicurezza, che tiene conto della gestione dei dati personali, dei
responsabili, degli incaricati al trattamento dell’informazione e al trattamento della
stessa in base a quanto definito dal decreto legge 196 del 2003.
Per la redazione di questo documento sono a disposizione alcuni software che ac-
compagnano l’analisi nelle sue fasi principali. Un buon tool per svolgere questo lavoro
e` Privacy D.P.S. scaricabile liberamente dal sito http://www.pianosicurezza.it/
Gli articoli piu` significativi della normativa sono:1
Art. 1 Diritto alla protezione dei dati personali
Chiunque ha diritto alla protezione dei dati personali che lo riguardano.
Art. 2 Finalita`
Il presente testo unico, di seguito denominato “codice”, garantisce che il trattamento
dei dati personali si svolga nel rispetto dei diritti e delle liberta fondamentali, nonche`
della dignita` dell’interessato, con particolare riferimento alla riservatezza, all’identita`
personale e al diritto alla protezione dei dati personali.
Il trattamento dei dati personali e` disciplinato assicurando un elevato livello di tutela
dei diritti e delle liberta di cui al comma 1 nel rispetto dei principi di semplificazione,
armonizzazione ed efficacia delle modalita` previste per il loro esercizio da parte degli
interessati, nonche` per l’adempimento degli obblighi da parte dei titolari del tratta-
mento.
Art. 3 Principio di necessita` nel trattamento dei dati
I sistemi informativi e i programmi informatici sono configurati riducendo al minimo
l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il tratta-
mento quando le finalita` perseguite nei singoli casi possono essere realizzate mediante,
rispettivamente, dati anonimi od opportune modalita che permettano di identificare
l’interessato solo in caso di necessita`.
1Articoli del dlg. 196 tratti da: http://www.camera.it/parlam/leggi/deleghe/Testi/03196dl.htm
2
Art. 4 Definizioni
Ai fini del presente codice si intende per:
• “trattamento”, qualunque operazione o complesso di operazioni, effettuati anche
senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione,
l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modifica-
zione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco,
la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se
non registrati in una banca di dati;
• “dato personale”, qualunque informazione relativa a persona fisica, persona giu-
ridica, ente od associazione, identificati o identificabili, anche indirettamente,
mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di
identificazione personale;
• “comunicazione”, il dare conoscenza dei dati personali a uno o piu soggetti deter-
minati diversi dall’interessato, dal rappresentante del titolare nel territorio dello
Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la
loro messa a disposizione o consultazione;
• “diffusione”, il dare conoscenza dei dati personali a soggetti indeterminati, in
qualunque forma, anche mediante la loro messa a disposizione o consultazione;
• “banca di dati”, qualsiasi complesso organizzato di dati personali, ripartito in
una o piu unita dislocate in uno o piu siti.
1.2 BS7799
BS 7799 - “Code of Practice for Information Security Management” - e` una norma
originariamente pubblicata dal British Standards Institute (BSI), nel 1995 al fine di di
affrontare le problematiche di gestione della sicurezza delle informazioni ad alto livello,
concentrandosi sul modello organizzativo.
Una seconda parte di BS7799 e` stata pubblicata da BSI nel 1999, nota come BS
7799 Parte 2, intitolato “Information Security Management Systems”.
3
La BS 7799-2 e` incentrata su come implementare un sistema di gestione della si-
curezza delle informazioni (ISMS), riferendosi alla struttura di gestione della sicurezza
delle informazioni e dei controlli.
BS7799 per molti anni e` stato lo standard di riferimento per il sistema di gestione
della sicurezza dell’informazione.
Lo standard ruota intorno a due concetti:
• la politica di sicurezza
• il sistema di governo della sicurezza dell’informazione
L’oggetto della norma e quindi l’informazione, sotto qualsiasi forma o supporto, per la
quale devono essere garantiti:
• la riservatezza
• l’integrita`
• la disponibilita`
Per garantire tutto cio`, occorre innanzitutto identificare i requisiti di sicurezza
relativi alle informazioni gestite e valutarne i rischi associati in termini di conseguenze in
caso di perdita delle informazioni o inosservanza dei requisiti di riservatezza, integrita`,
disponibilita.
Dopo diverse revisioni, BS7799 e` stato poi adottato dalla ISO come ISO/IEC17799,
“Information Technology - Codice di buona pratica per la gestione della sicurezza delle
informazioni” nel 2000 e nel 2005 la BS7799-2 e` diventata la ISO27001.
1.3 Famiglia ISO 27000
L’Organizzazione internazionale per la normazione “International Organization for
Standardization” (ISO), e` la piu` importante organizzazione a livello mondiale per la
definizione di norme tecniche.
Fondata il 23 febbraio 1947, ha sede a Ginevra in Svizzera.
Membri dell’ISO sono gli organismi nazionali di standardizzazione di 157 Paesi del
mondo e ha una produzione di oltre 1200 norme all’anno tra revisioni e nuovi documenti.
4
In Italia le norme ISO vengono recepite, armonizzate e diffuse dall’UNI attraverso
l’UNINFO2, il membro che partecipa in rappresentanza dell’Italia all’attivita` normativa
dell’ISO.
Obiettivo della famiglia ISO 27000 e` quello di fornire un modello e una guida per
ridurre l’esposizione delle imprese a rischi collegati alla sicurezza delle informazioni.
Questa famiglia di standard affronta dettagliatamente il tema della gestione dei
rischi, l’efficacia dei sistemi di sicurezza e le metodologie di attuazione. 3
Figura 1.1: Famiglia ISO27000
1.3.1 ISO 27001
Lo standard e` stato creato e pubblicato nell’ottobre 2005 a fini certificativi, in modo da
costituire un sistema completo per garantire la gestione della sicurezza nella tecnologia
dell’informazione: con la sua pubblicazione ha sostituito la norma inglese BS 7799:2
(che conteneva la linea guida e lo standard vero), che fino ad allora rappresentava
la principale norma di riferimento per l’applicazione di un sistema di gestione per la
sicurezza delle informazioni.
2Ente federato all’UNI, opera con delega UNI, a livello nazionale ed internazionale e rappresenta
l’Italia presso l’ISO, l’ISO/IEC e il CEN.
3 Sezione tratta da: “Norme Iso e sicurezza Informatica, ICT Security” n◦52 Gennaio-Febbraio
2007, Fabio Guasconi
5
Il nuovo standard ha assorbito entrambe le parti: la linea guida e` diventata ISO
27002 (Information Technology - Security Techniques), mentre la seconda parte, lo
standard vero e proprio, e` diventata nell’ottobre 2005 ISO 27001:05.
Volendo essere piu` precisi, ISO 27002 prescrive la conservazione e la difesa delle
risorse informative di un’impresa; ISO 27001:05 e` il documento normativo di certifica-
zione al quale un’azienda deve fare riferimento.
Dal momento che l’informazione e` un bene che aggiunge valore all’impresa, e che
ormai la maggior parte delle informazioni sono custodite su supporti informatici, ogni
organizzazione deve essere in grado di garantire la sicurezza dei propri dati, in un
contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono
in continuo aumento.
L’obiettivo dello standard ISO 27001:05 e` proprio quello di proteggere i dati e le
informazioni (in ogni forma) da minacce, al fine di assicurarne l’integrita`, la riservatezza
e la disponibilita`, e fornire i requisiti per adottare un adeguato sistema di gestione della
sicurezza delle informazioni (SGSI) finalizzato ad una corretta gestione dei dati sensibili
dell’azienda.
La norma e` applicabile a imprese operanti nella gran parte dei settori commerciali
e industriali, come finanza e assicurazioni, telecomunicazioni, servizi, trasporti, settori
governativi.
L’impostazione dello standard ISO 27001, coerente con quella del sistema di gestione
per la qualita` ISO 9001:2000 e il risk management, si basa sull’approccio per processi,
strutturato in politica per la sicurezza, identificazione, analisi dei rischi, valutazione e
trattamento dei rischi, riesame e rivalutazione dei rischi, utilizzo di procedure e di stru-
menti per l’audit interno, non conformita`, azioni correttive e preventive, sorveglianza.
Il tutto nell’ottica di un continuo miglioramento seguendo il ciclo PDCA4.
La conformita` alla ISO 27001, pur accreditata da un organismo autorizzato, non
solleva l’organizzazione dal rispetto delle misure minime di sicurezza e dalla produzione
della documentazione richiesta dalla legge sulla Privacy; il controllo A.15.1.4 richiede
4
Il ciclo di PDCA e` un modello per il miglioramento continuo della qualita`. Serve per promuovere
una cultura della qualita` che e` tesa al miglioramento continuo dei processi e all’utilizzo ottimale delle
risorse. Questo strumento parte dall’assunto che per il raggiungimento del massimo della qualita` e`
necessaria la costante interazione tra ricerca, progettazione, test, produzione e vendita. Per migliorare
la qualita` le quattro fasi devono ruotare costantemente tenendo come criterio principale la qualita`.
6
infatti che “La protezione dei dati e della privacy deve essere garantita come richiesto
nella legislazione, nelle norme e, se applicabile, nelle clausole contrattuali”.
La differenza sostanziale tra legge sulla Privacy e la norma ISO 27001 e`, che la
legge sulla privacy tutela dati personali e sensibili , mentre la ISO 27001 pur richie-
dendo che cio` sia fatto, s’interessa anche, se non principalmente, ai dati di business
dell’organizzazione che devono essere salvaguardati.
Il D.Lgs.81/2008, che in Italia regolamenta la sicurezza sui luoghi di lavoro, viene
in genere individuato tra quelle normative la cui osservanza deve essere esplicitamente
definita e documentata. 5
1.3.2 ISO 27005
Nella ISO27005 il processo di gestione dei rischi viene schematizzato in due macro fasi:
• valutazione (Risk Assessment)
• trattamento (Risk Treatment) dei rischi
a cui si aggiungono quale “collante” la comunicazione dei rischi e l’accettazione degli
stessi quale stadio finale.
Propedeutica a tutto il processo e` la definizione dell’ambito, ovvero dell’estensione
dell’analisi, in termini di processi, risorse etc.
La valutazione dei rischi e` a sua volta composta dall’analisi dei rischi (Risk Analysis)
e dalla valorizzazione dei rischi (Risk Evaluation).
Durante l’analisi dei rischi vengono identificati gli asset, le minacce e le vulnerabilita`
rilevanti per il perimetro del Sistema, quindi si procede all’adeguata valorizzazione
degli elementi identificati, la quale puo` essere qualitativa (e.g. alto, medio, basso) o
quantitativa (e.g. in euro o basata su statistiche).
La valorizzazione dei rischi prevede la comparazione dei livelli di rischio individuati
con i criteri di valutazione definiti.
Una volta terminata l’articolata fase di valutazione dei rischi, si passa a quella di
trattamento dei rischi; tale fase include fondamentalmente le quattro possibili azioni
che possono essere esercitate sui rischi:
5Fonte: http://it.wikipedia.org/wiki/ISO 27001
7
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
