Risk Management

Richard Zoni Business Unit Manager ICT Security

ver 2.1

Agenda
> Introduzione
> Obiettivi e prospettive operative
> Risk Analysis
> Gap Analysis
> Risk Management
> Il prodotto: SkyboxView Suite
> Case Study: Progetto di gestione della Sicurezza delle Informazioni per il Gruppo Hera
> Presentazione di Business-e

Introduzione
> Le aziende hanno la necessit di ridurre lesposizione al rischio dei
propri asset (materiali e immateriali)

> Per tutelare i fattori-chiave del proprio business, le aziende devono non solo
reagire ai danni che subiscono ma prevenirli attraverso politiche adeguate di
Analisi e Gestione del Rischio.

> La percentuale di rischi accettati dipende dagli asset da proteggere e

dallimpatto delle eventuali contromisure

> Lonerosit di queste attivit spinge le aziende ad esternalizzare queste

attivit presso outsourcer qualificati e specializzati (in termini
metodologici, tecnologici ed organizzativi)

Obiettivi
Obiettivi Tattici
Proteggere le proprie risorse (umane, IT,
dati, processi, immagine) dal ripetersi di
danni;
Adeguarsi a normative (Privacy,
Telecomunicazioni, etc.);
Tutelare i vincoli contrattuali con i clienti

Obiettivi Strategici
Prevenire danni alle risorse;
Ottimizzare i processi rispetto agli
obiettivi di business;
Aumentare la competitivit (in termini di
immagine, sicurezza, soddisfazione del
cliente)

Procedure Operative
Progetti di censimento e classificazione (dati, processi IT, architetture IT)
Progetti di Analisi dei Rischi (metodologia e supporto allutilizzo del tool CRAMM)
Progetti di Gestione dei Rischi
- Piani di Sicurezza

- Documenti Programmatici sulla Sicurezza

- Piani di adeguamento Privacy
- Piani di Business Continuity e Disaster Recovery
- Assistenza alla implementazione
- Supporto post-implementazione

Risk Assessment
>

La metodologia di Risk Analysis adottata fa riferimento alle Best Practices e

gli standard internazionali in materia (ITSEC, ISO17799, CRAMM)

>

Le attivit previste sono:

> Rilevazione dello Scenario Informativo
> Classificazione dello Scenario Informativo
> Analisi del Rischio (Risk Analysis)
> Analisi del Rischio residuo (Gap Analysis)
> Gestione del Rischio (Risk Management)

Risk Assessment
Risk Assessment secondo la metodologia ed CRAMM (Computer Risk Analysis and Management Method)
che risulta essere conforme allo standard ISO/IEC 17799
ANALISI DEI RISCHI
FASE 1:
Identificazione e
valutazione asset

Identificazione Asset

FASE 2: Analisi Minacce

e Vulnerabilit e
Misurazione del Rischio

Asset Modeling

Valutazione Asset

Rilevazione
vulnerabilit e minacce

Calcolo esposizione
al Rischio

GESTIONE DEI RISCHI

FASE 3:
Generazione
Contromisure

Identificazione
Contromisure

FASE 4:

Calcolo del
Rischio Residuo

Gap Analisys

FASE 5: Piano
degli interventi

Piano degli
interventi

Risk Management
DEFINIZIONE DELLE SPECIFICHE FUNZIONALI
> Questa

attivit ha lo scopo di individuare per ogni

contromisura residua i fattori costitutivi:
> Livello di copertura della rispettiva funzione di Sicurezza
> Benefici attesi
> Costi previsti (investimento, manutenzione, tasso di
obsolescenza)
> Impatti stimati (impegno risorse umane, performances,
qualit del servizio e degli output)

Risk Management
PIANO DEGLI INTERVENTI
>
>

Definite le specifiche di alto e basso livello si deve procedere

allo sviluppo di un Piano degli Interventi di Sicurezza.
Il Piano deve individuare gli interventi necessari per
mitigare i rischi residui sulla base di:
> Analisi dei costi e dei benefici dellintervento
> Valutazione delle interrelazioni nascenti da pi interventi
> Classificazione degli interventi per tipologia ed impatto
organizzativo
> Classificazione degli inteventi per priorit (per ragioni di
criticit, costo, etc.)

Risk Management
PIANO DEGLI INTERVENTI: ANALISI COSTI/BENEFICI
> Singoli

interventi del Piano devono essere analizzati

sulla base di:
> Benefici tecnici attesi in termini di funzionalit, sicurezza e
performances
> Benefici economici
> Costi in termini di impegno delle risorse, funzionalit e
performances
> Costi economici

Risk Management
PIANO DEGLI INTERVENTI: CLASSIFICAZIONE PER TIPOLOGIA
>I

singoli interventi del Piano devono essere

classificati sulla base della propria tipologia:
> Interventi architetturali che impattano sullarchitettura del
Sistema Informativo (soluzioni topologiche)
> Interventi tecnologici che impattano sugli asset IT
(hardware, piattaforme, applicazioni di mercato o
proprietarie, apparati di rete, etc.)
> Interventi organizzativi che impattano sulla struttura
aziendale (ruoli, responsabilit, procedure)
> Interventi di esternalizzazione del rischio (contratti di
outsourcing, contratti assicurativi)

Risk Management
PIANO DEGLI INTERVENTI: CLASSIFICAZIONE PER PRIORITA
>I

singoli interventi del Piano devono essere

classificati sulla base della priorit attribuita.
> Questa attribuzione di priorit pu essere distribuita
su scale di diversa granularit ma deve comunque
considerare alcuni fattori-chiave:
>
>
>
>
>

Impatto sul business dei rischi oggetto dintervento

Probabilit di accadimento dei rischi oggetto dintervento
Ragioni di tempistica rispetto al calendario aziendale
Rispetto di prescrizioni normative
Impatto dei costi dellintervento rispetto alle capacit di
spesa/investimento dellazienda in un dato momento

Risk Management: SkyboxView Suite /

IT & Exposure Risk management
Con laumento esponenziale della complessit delle infrastrutture tecnologiche a
supporto dei processi di business, valutare correttamente ed in tempi brevi la
minaccia di impatti tecnologici, riducendo il tempo di esposizione unattivit
spesso ingestibile senza gli strumenti corretti.

Vulnerability Risk Management

Business Impact Analysis and Mitigation
Patch Remediation Planning
Firewall Auditing & Compliance
Change Management
Network Policy Compliance & Assurance

Risk Management: SkyboxView Suite /

Risk

Compliance

Risk Management: SkyboxView Suite /

Stepsto
toSecurity
Security//
Steps

STEP

STEP

Model your environment /

Analyze your Security /

STEP

Reporting /

STEP

Analyze your Compliance /

Risk Management: SkyboxView Suite /

Modelyour
yourenvironment
environment//
Model

STEP

Vulnerability Assessment
Network Configuration
Threat Origins
Business Assets

Risk Management: SkyboxView Suite /

Analyzeyour
yourCompliance
Compliance//
Analyze

STEP

Network Compliance
Device Compliance
FW Change Management
What if Modeling

Risk Management: SkyboxView Suite /

Reporting//
Reporting

STEP

Pdf Reporting
Dashboard
Auditors Reporting
Automated Process

Risk Management: SkyboxView Suite /

SkyboxArchitecture
Architecture//
Skybox

CASE STUDY
Progetto di gestione della Sicurezza delle Informazioni
per il Gruppo Hera

Obiettivo del progetto

-

Analizzare i rischi alla sicurezza delle informazioni critiche del

sistema informativo del Gruppo Hera SpA

Individuare strategie e contromisure di sicurezza per ridurre o

eliminare i rischi seguendo le indicazioni della Norma ISO
27001:2005.

Fornire indicazioni operative atte a realizzare le contromisure

selezionate al fine di dare avvio ad un Sistema di Gestione per la
Sicurezza delle Informazioni (SGSI) idoneo a proteggere
l'integrit, la riservatezza e la disponibilit delle informazioni

Principali Attivit
- Definizione del processo di gestione della sicurezza delle
informazioni secondo lo standard ISO/IEC 27001:2005
- Definizione della Politica Generale per la Sicurezza delle
Informazioni
- Risk Assessment
- Gap analysis a norma ISO/IEC 27001:2005
- Vulnerability Assessment
- Definizione del Piano di Implementazione

IL PROCESSO DI GESTIONE DELLA SICUREZZA

IN OTTICA ISO/IEC 27001:2005
Il Processo di Gestione della Sicurezza stato definito sulla base del modello proposto dal
ISO/IEC 27001:2005 al fine di consentire il governo di tutte le attivit necessarie alla
Pianificazione, allImplementazione, al Controllo ed al Miglioramento delle misure di sicurezza
fisiche, logiche ed organizzative.

Parti

Ciclo di sviluppo, manutenzione e miglioramento

Plan

interessate

Parti
interessate

Definizione del ISMS

Requisiti e
aspettative
di
Information
Security

Gestione

Do

Implementazione e
messa in opera del
ISMS

Manutenzione e
miglioramento del
ISMS

Monitoraggio e
revisione del ISMS

Check

della

Act

Information
Security

POLITICA GENERALE PER LA SICUREZZA DELLE

INFORMAZIONI
La Politica Generale per la Sicurezza delle Informazioni definisce le linee guida ed i principi
generali a cui lOrganizzazione deve attenersi per garantire la sicurezza delle informazioni.
Di seguito si riporta lindice della Politica emessa:
1 INTRODUZIONE
1.1 Destinatari
1.2 Riferimenti
2 LA POLITICA DI SICUREZZA DELLE INFORMAZIONI
3 SICUREZZA FISICA
3.1 Ruoli e Responsabilit
3.2 Controlli Ambientali
3.3 Protezione Degli Asset
4 SICUREZZA LOGICA
4.1 Ruoli e Responsabilit
4.2 Identificazione E Autenticazione
4.3 Riservatezza
4.4 Tracciamento
4.5 Integrit
4.6 Disponibilit
5 SICUREZZA ORGANIZZATIVA
5.1 Ruoli E Responsabilit
5.2 Gestione Delle Conformit Nei Confronti Del Quadro Normativo Vigente
5.3 Analisi E Gestione Del Rischio
5.4 Audit
5.5. Business Continuity E Disaster Recovery
5.6 Gestione Del Personale Interno E Di Terze Parti
5.7 Normative Comportamentali
6 PROVVEDIMENTI
\

Risk Assessment
Lattivit di Risk Assessment stata condotta utilizzando la metodologia ed il tool software messo a disposizione
da CRAMM (Computer Risk Analysis and Management Method) che risulta essere conforme allo standard ISO/IEC
27001:2005.
Di seguito si riportano le fasi principali dellattivit:
Risk Assesment CRAMM
FASE 1:
Identificazione e
valutazione asset

Identificazione Asset

FASE 2: Analisi Minacce

e Vulnerabilit e
Misurazione del Rischio

Asset Modeling

Rilevazione
vulnerabilit e minacce

FASE 3:
Generazione
Contromisure

FASE 4: Piano
degli interventi

Gap Analysis ISO 27001:2005

Vulnerability Assessment

Valutazione Asset

Identificazione e
Valutazione Asset

Calcolo esposizione
al Rischio

Livello Minacce
Vulnerabilit e
Grado di esposizione
al Rischio

Identificazione
Contromisure

Gestione
del Rischio

Piano degli
interventi

Piano degli
Intereventi

Risk Assessment
Fase 1 : Identificazione e Valutazione degli asset
Principali Step
1.

Identificazione degli asset

Censimento di tutti i beni che costituiscono il patrimonio informativo del Gruppo HERA

2.

Asset Modeling
Creazione un modello che schematizza le relazioni che intercorrono fra Processi, Macrodati, Software,
Hardware e Location
Ad ogni coppia MACRODATO/PROCESSO sono stati associati gli asset che supportano i macrodati del
processo, secondo il seguente schema che, a titolo esemplificativo, si riporta di seguito:

PROCESSO

MACRODATO

SOFTWARE

HARDWARE

LOCATION

Amministrazione

Archidoc
Lotus Notes
Microsoft Office
SAP

HW_Archidoc
HW_PdL_BO_Berti Pichat
HW_File_Server_Berti Pichat
HW_SAP

IMOLA - Data Center

Bologna CED Berti Pichat
IMOLA Data Center

Finanza Operativa

Archidoc
Lotus Notes
Microsoft Office
SAP

HW_Archidoc
HW_PdL_BO_Berti Pichat
HW_File_Server_Berti Pichat
HW_SAP

IMOLA - Data Center

Bologna CED Berti Pichat
IMOLA Data Center

Finanza Strutturata

Archidoc
Lotus Notes
Microsoft Office
SAP

HW_Archidoc
HW_PdL_BO_Berti Pichat
HW_File_Server_Berti Pichat
HW_SAP

IMOLA - Data Center

Bologna CED Berti Pichat
IMOLA Data Center

Controllo di Gestione

Archidoc
Lotus Notes
Microsoft Office
REMA

HW_Archidoc
HW_PdL_BO_Berti Pichat
HW_File_Server_Berti Pichat
HW_REMA

IMOLA - Data Center

CED Berti Pichat
IMOLA Data Center

Amministrazione, Finanza
e Controllo

Risk Assessment
Fase 1 : Identificazione e Valutazione degli asset
Principali Step
Valutazione degli Asset
Per ogni processo stato determinato il potenziale IMPATTO derivante dalla perdita intenzionale o
casuale della riservatezza, integrit o disponibilit delle informazioni trattate.
Di seguito si riporta un esempio dei grafici di sintesi ottenuti il cui obiettivo quello di evidenziare i dati
pi critici.

Amministrazione

Deliverable
>
>

Identificazione e Valutazione Asset

Controllo di Gestione

Finanza Operativa

ot

fs

est

dis t

d iv

i nt

raf

d iv

div

mo n
t

c
er i n
st

rep l
i

rip m
it
rip d
es
n on
con s

i ndi
sp 1
s
i ndi
sp 2
s
i nd i
s. ..
i nd i
s. ..
mo d
pp
mo d
gp
mo d
int
i nse
r fm

i nd i
sp 1
g

Processo: Amministrazione,
Finanza e Controllo

10
9
8
7
6
5
4
3
2
1
0
i nd i
sp 2
g

3.

Finanza Strutturata

Risk Assessment
Principali Step
1.

Fase 2 : Analisi Minacce e Vulnerabilit e Misurazione del

Rischio

Rilevazione grado di vulnerabilit e livello della minaccia

In questa fase sono state valutate le potenziali Minacce che potrebbero causare gli Impatti,
determinati nella fase precedente e le Vulnerabilit del sistema nei confronti di tali Minacce.
I livelli di Minaccia e Vulnerabilit sono stati valutati sulla base dei valori indicati da CRAMM:
Valore della Minaccia
VERY LOW: Ci si aspetta un incidente una volta ogni 10 anni
LOW: Ci si aspetta un incidente una volta ogni 3 anni
MEDIUM: Ci si aspetta un incidente una volta allanno
HIGH: Ci si aspetta un incidente una volta ogni 4 mesi
VERY HIGH: Ci si aspetta un incidente una volta al mese

Valori Vulnerabilit
LOW: In caso di incidente c meno del 33% di probabilit
che si realizzi il peggior scenario
MEDIUM: In caso di incidente c tra il 33% e il 66% di
probabilit che si realizzi il peggior scenario
HIGH: In caso di incidente c pi del 66% di probabilit
che si realizzi il peggior scenario

Risk Assessment
Fase 2 : Identificazione e Valutazione degli asset
Principali Step
2.

Calcolo Esposizione al Rischio

I valori della misura del rischio sono stati calcolati su una scala da 1 a 7, in cui 1 indica un rischio quasi
trascurabile e 7 il massimo della criticit, calcolati sulla base degli Impatti e dei livelli di Minaccia e
Vulnerabilit valutati nelle fasi precedenti, attraverso la seguente matrice di valutazione ricavata dal
modello CRAMM:

Deliverable
>
>

Livello Minacce - Vulnerabilit e Grado di esposizione al Rischio

Risk Assessment : Fase 3 - Generazione delle Contromisure

IDENTIFICAZIONE DELLE CONTROMISURE

Sono state identificate le contromisure di natura organizzativa, logica e fisica che devono essere adottate
per contrastare le minacce e le vulnerabilit e il rischio definiti.
Per ogni contromisura stata definita la priorit di attuazione (HIGH; MEDIUM; LOW)
stato poi, eseguito un confronto tra le contromisure suggerite e quelle esistenti al fina di identificare
puntualmente i progetti di sicurezza da riportare nel Piano degli Interventi

Deliverable
>
>

Gestione dei Rischi

Risk Assessment : Fase 4 - Piano degli Interventi

DEFINIZIONE DEL PIANO DEGLI INTERVENTI
Il Piano degli Interventi costituisce le indicazioni progettuali che dovrebbero essere implementate al fine
di contrastare i rischi emersi nel corso delle precedenti attivit di analisi e costituisce il Report di
conclusione a seguito delle attivit di Risk Assessment e Gap Analysis.

Deliverable
>
>

Piano degli Interventi

Il Gruppo Itway
Ravenna
Milano
Roma
Bergamo
Vicenza
Massa
Parigi
Madrid
Barcellona
Lisbona
Atene

La Forza dellintegrazione
La forza del Gruppo Itway data dall'approccio integrato con il quale si propone sul
mercato.

Le aziende del Gruppo sono

in grado di rispondere a
tutte le esigenze dei clienti
proponendosi come partner
affidabili

nell'offerta

di

soluzioni ICT ad alto valore

aggiunto.

CONSULENZA
& SERVIZI

BUSINESS-E

R
O
D
O

E-BUSINESS

& SECURITY

T
I
ITWAY VAD

ITWAY ACADEMY
ASSISTENZA
& FORMAZIONE

Il Profilo
Business-e costituisce l'Area Strategica d'Affari (ASA Enterprise) del Gruppo Itway
(societ quotata al TechStar di Borsa Italiana) e opera nel mercato dei Servizi ICT per
lazienda estesa.

Business-e vanta una posizione di rilievo nazionale

nei settori della sicurezza informatica,
delle-business e dell'integrazione dei sistemi
aziendali.
Le nostre sedi
> Ravenna, Roma, Milano, Curno, Massa

Milano
Curno
Ravenna
Massa

Roma

Le nostre dimensioni
> Addetti: 180 professionisti
> Fatturato 2005: 19,5 M

La Mission
> Drive your e-success: insieme per volare verso il successo
> La nostra missione quella di fornire il pi valido supporto
tecnologico ai nostri clienti per lo sviluppo della loro redditivit e del
loro business, migliorandone al contempo la competitivit e la
sicurezza.
> Ottimizziamo i processi aziendali attraverso soluzioni concrete,
aiutando i clienti a governare e a proteggere la crescita dei loro
affari, per noi una missione ed al tempo stesso uno stimolo per un
costante miglioramento.

Business-e Excellence Areas

SECURITY CONSULTING

SECURITY AND
TECHNOLOGY
SOLUTIONS

OUTSOURCING

BUSINESS
SOLUTIONS

SECURITY CONSULTING

Security Governance

Pro-active Security

Compliance Consulting (SOX,

ISO27001, Dlgs. 196.)

Vulnerabilty Assessment &

Ethical Hacking

Security Audit and assessment

Web Application Security

Risk assessment
Security solution design

Business-e Excellence Areas

SECURITY CONSULTING
Security Governance
Pro-active Security
Ethical Hacking

BUSINESS SOLUTIONS

SECURITY AND TECHNOLOGY

SOLUTIONS
Network and Applications Security
Content Security
End Point Security
Identity and Access Management
Data Protection and Retention
IT Infrastructure
Physical security

Security Management
Infrastructure Management
Desktop Fleet Management

Web Application
Security
Compliance Consulting

Document Management
E-Commerce e Portali
CRM e Multicanalit
Progetti Custom
Oracle Advanced Services

OUTSOURCING

Application Management
Help Desk
Presidi
Reperibilit

Security Consulting
Lofferta di Business-e si distingue perch mira apertamente ad affiancare il management di
PMI ed Enterprises nella Corporate Security Governance, attraverso un modello
originale che tiene conto di COBIT e ISO 27001.

> Consulenza Organizzativa e Metodologica

Security Governance, Policy Management,
Risk Assessment, Risk Management, Contenimento e
Protezione dei Dati, Business Continuity,
Security Assurance, Formazione

la sicurezza pro-attiva

Web Applications Security, Code Review,

Vulnerability Assessment,Penetration Testing

Data Level Protection

IPS

Exposure

> Consulenza Tecnica e per

Evolution of Data Security

> Consulenza per la conformit

a Standard e Normativa

Protezione Dati Personali (D.Lgs 196), Misure Minime,

Firma Digitale, Conservazione Sostitutiva, Responsabilit
Amministrativa. Compliance ISO27001(BS7799), SOX, Basel II

F/W

VPN

A/V

Time

Source: Morgan Stanley Research

Riferimenti
www.business-e.it
info@business-e.it
RAVENNA
Viale della Lirica, 35 Tel. +39 0544 271014
ROMA
Via Valentino Mazzola, 66 Tel. +39 06 5159081
MILANO
P.zza Martiri di Via Fani, 19 - Sesto S. Giovanni (Mi) - Tel. +39 02 26261316
BERGAMO
Via Dalmine 10/a 35 Curno - Tel. +39 035 377411
MASSA
Via degli Oliveti, 110 Tel. +39 0585 790002