R: [ml] Risk Analysis

Alle 11:01, venerdì 11 agosto 2006, dear72@xxxxxxxxx ha scritto:
>Ciao a tutti,
>sapete darmi indicazioni riguardo una possibile metodologia di Risk   >Analysis da adottare in ambito Sicurezza ICT?

Se non ho compreso male la tua necessita' e' volta a cercare una metodologia che suporti il processo di gestione della sicurezza chiamato anche ISMS (Information Security Management System).

Se e' cosi' la metodologia che devi cercare e' una metodologia per il Risk Management, attivita' di coordinamento volta a dirigere e
controllare il rischio, coordinare gli interventi di tipo tecnologico, organizzativo e logistico, in funzione del grado di sicurezza richiesto e delle caratteristiche dei Sistemi ICT esposti.
Il Risk Management racchiude le seguenti attivita'(*):
- 1 Risk Assessment: Insieme delle attivita' che permettono di valutare correttamente il rischio, concordemente con il management.
- 1.1 Risk Analysis: percorso sistematico che permette di stimare il livello di rischio attraverso la valutazione dell'impatto sui dati, la valutazione delle minacce e vulnerabilita'.
- 1.1.1 Source identification: Modello del perimetro di intervento.
- 1.1.2 Risk estimation: Calcolo della probabilità di accadimento di un rischio e delle sue conseguenze.
- 1.2 Risk evaluation: Processo di pesatura del livello di rischio stimato, attraverso l'utilizzo dei Criteri del rischio. I criteri di riferimento aziendali permettono di stabilire l'atteggiamento che dovrà essere adottato.
- 2 Risk Treatment: attivita' di selezione e implementazione delle misure di sicurezza per modificare il livello di rischio: Rischio evitato, accettato, modificato, trasferito; al fine di determinare il rischio residuo.
- 3 Risk Acceptance: Momento formale di accettazione del rischio residuo da parte del management.
- 4 Risk Communication: Momento formale di comunicazione dei risultati del Risk Management.

(*) ISO/IEC Guide 73 Risk management - Vocabulary - Guidelines for use in standards

Come puoi notare la Risk Analysis e' solo una delle attivita' necessarie per implementare l'ISMS.
La metodologia utile a realizzare l'ISMS e' quella indicata dallo standard ISO/IEC 27001, versione armonizzata e corretta del BS 7799-2:2002. L'armonizzazione e' volta ad avvicinare questo standard agli standard ISO 9001, ISO 14001 per permettere alle aziende di realizzare un processo completo e coordinato della qualita', della sicurezza dell'ambiente e delle informazioni.

>Mi interesserebbe sapere se qualcuno di voi si è già trovato alle prese con >la sua implementazione, quali risultati ha dato e se tali risultati sono >"davvero" utilizzabili per ottimizzare il processo di gestione della >sicurezza ICT

L'implementazione puo' essere accompagnata in modo proficuo da un Software, ti cito quelli di cui ho sperimentato l'utilizzo: CRAMM, RiskWatch, Defender manager, Octave, Cobra.
Tuttavia per la parte di Risk Treatment, determinazione e personalizzazione delle contromisure ho preferito sviluppare un Software ad hoc.
L'utilizzo di questa metodologia permette di non trascurare nessun aspetto della sicurezza, inoltre permette di confrontare, misurare e ripetere nel tempo la sicurezza o l'insicurezza dei sistemi ICT.

Circa i risultati occorre fare una precisazione: sono davvero utilizzabili se i soggetti preposti a vario titolo alla gestione del sistema sottoposto ad analisi implementano correttamente ed in modo coordinato le contromisure: tecnologiche, organizzative, funzionali, etc..
Dalla mia piccola esperienza posso dirti che per riuscire a realizzare efficacemente un processo di gestione della sicurezza occorre un forte impegno del management.

Saluti a tutti.
Davide Bassignana
------------------------------ECAP
davide.bassignana@xxxxxxxxxxxxxxxx
ECAP------------------------------
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
--------------------------------------------------------------------

CONFIDENTIALITY NOTICE

This message and its attachments are addressed solely to the persons above and may contain confidential information. If you have received the message in error, be informed that any use of the content hereof is prohibited. Please return it immediately to the sender and delete the message. Should you have any questions, please contact us by replying to webmaster@xxxxxxxxxxxxxxxxx

        Thank you

                                        www.telecomitalia.it

--------------------------------------------------------------------