Quando si parla dell’impatto che la scelta delle autorizzazioni può avere sul costo delle
contromisure necessarie a ridurre il rischio ad un valore accettabile è necessario fare riferimento
all’analisi dei rischi.
Analisi dei rischi (Risk Analysis)
In questa analisi si da per scontato che le autorizzazioni siano state già definite a monte del processo
e che non vi sia la necessità di modificarle conseguentemente all’applicazione del processo di
analisi dei rischi. In realtà questa è una semplificazione perché se come normalmente si dichiara
sempre, si deve mirare ad ottenere il più basso livello di rischio e con una certa entità degli
investimenti in sicurezza ci si rende facilmente conto che l’aspetto delle autorizzazioni può avere la
sua rilevanza. Quindi per capire ciò basta descrivere il seguente esempio cosi raffigurato:
Nell’esempio qui descritto siamo in presenza di due soggetti A e B i quali li prendo in
considerazione dal punto di vista della possibilità di concedere loro l’accesso in lettura di un
informazione che si trova su un sistema ICT che è all’interno di questo perimetro che mi definisce
un ambiente protetto, all’interno del quale ad es. non mi devo occupare di problemi relativi alle
violazioni di informazioni da un punto ad un altro etc. In queste condizioni è evidente che
supponiamo di non poterci fidare di nessuno dei due soggetti e quindi concedere a nessuno
l’accesso in lettura a determinate informazioni. Se considero la questione dal punto di vista dei costi
( mirare ad ottenere un livello di rischio minimo con una quantità prefissata di investimenti) capisco
facilmente che se l’autorizzazione la concedo facilmente all’utente remoto A, mi devo preoccupare
di installare sul mio sistema delle adeguate misure di protezione per quanto riguarda questa
comunicazione, cosa che invece non mi era richiesta qualora avessi concesso questa autorizzazione
in lettura al soggetto che opera all’interno del perimetro protetto. In questo caso sarebbe opportuno,
qualora non vi siano altre motivazioni che lo sconsiglino, autorizzare il soggetto B e non A alla
lettura dell’informazione I in modo da non dover dedicare una parte delle risorse alla protezione di I
fuori del perimetro sicuro. Questo è un aspetto che normalmente non viene esplicitato nell’analisi
dei rischi ma che in certe situazioni può essere utile essere presente. Normalmente l’analisi dei
rischi tratta il problema di quantificare il valore dei beni da proteggere, beni che tipicamente sono
informazioni. Normalmente l’approccio che si segue sul valore dei beni da proteggere è quello di
considerare i possibili danni che da un eventuale violazione del bene considerato possono derivare.
Infatti la risk analysis ha lo scopo di individuare l’insieme delle autorizzazioni e l’insieme delle
contromisure tecniche (funzioni di sicurezza) e non tecniche che consentono di ridurre il rischio
globale (danno x probabilità del danno) al minimo valore consentito dall’entità dell’investimento in
contromisure o comunque ad un valore accettabile. Può raggiungere il suo scopo con un
procedimento iterativo che preveda ad ogni passo il calcolo del rischio e l’eventuale modifica di
autorizzazioni e/o contromisure qualora lo scopo non sia stato ancora raggiunto. Di solito, però, si
utilizza solo per la selezione delle contromisure, considerando già fissate le autorizzazioni.
L’impossibilità di modificare le autorizzazioni può in casi particolari comportare un utilizzo poco
efficiente delle risorse utilizzabili per la realizzazione delle contromisure ed un conseguente
aumento del rischio globale.
L’analisi dei rischi presente determinate fasi cosi dettagliate:
1) Definizione di obiettivi di sicurezza/autorizzazioni;
2) Individuazione delle minacce nell’ambiente considerato;
3) Calcolo del rischio relativo ad ogni minaccia;
4) Valutazione del rischio globale Rg e confronto con il massimo rischio accettabile Ra;
5) Se Rg < Ra fine dell’analisi;
6) Modifica dell’insieme delle autorizzazioni e/o dell’insieme delle contromisure;
7) Ripetizione del procedimento fino a quando la condizione espressa nella fase 5) non risulta
verificata.
a cura del Dottor Antonio Guzzo – Responsabile CED – Sistemi Informativi del Comune di Praia a Mare
Scrivi un commento
Accedi per poter inserire un commento