Metodologie

Cos’è la metodologia IRAM2 per la gestione dei rischi aziendali

Un sistema che aiuta le aziende a identificare, analizzare e trattare il rischio di compromissione delle informazioni in tutta l’organizzazione. Nella versione aggiornata sono stati integrati nelle informazioni di supporto utilizzate durante la fase di profilazione delle minacce alcuni elementi, incluso l’elenco comune e il catalogo degli eventi delle minacce

27 Ago 2020

Alberto Stefani

data protection officer, consulente cybersecurity

Fondato nel 1989, l’Information Security Forum (ISF) è un’organizzazione indipendente senza fini di lucro che comprende molte delle principali organizzazioni mondiali. Tra gli obiettivi fondamentali troviamo indagare, chiarire e risolvere le questioni chiave nella sicurezza delle informazioni in ambito cyber e nella gestione dei rischi, sviluppando metodologie, processi e soluzioni di best practice che soddisfino le esigenze di protezione dei propri membri.

Basandosi su concetti chiave apparentemente in antitesi di riservatezza e condivisione, l’ISF offre ai membri un ambiente affidabile e riservato all’interno del quale possono trovare spazio le loro conoscenze approfondite e la propria esperienza pratica. Questo approccio consente all’ISF di sfruttare le intuizioni e le conoscenze collettive dei suoi membri per fornire soluzioni all’avanguardia che siano complete, pragmatiche ed efficaci. Lavorando insieme e collaborando, i membri facenti parte del ISF evitano le spese maggiori necessarie per raggiungere gli stessi obiettivi lavorando da soli.

Tra i servizi erogati dall’Information Security Forum esistono anche numerosi tool per la gestione della sicurezza nelle organizzazioni. Tra le varie tematiche affrontate è stato introdotto negli scorsi anni, con un importante aggiornamento nel 2017, la sua metodologia di valutazione del rischio per creare, tra le altre cose, una migliore profilazione delle minacce e una approfondita valutazione delle vulnerabilità.

La metodologia ISF denominata Information Risk Assessment version 2 (nel prosieguo IRAM2) è una metodologia pratica che aiuta le aziende a identificare, analizzare e trattare il rischio di compromissione delle informazioni in tutta l’organizzazione. Nella versione aggiornata, sono stati integrati nelle informazioni di supporto utilizzate durante la fase di profilazione delle minacce, alcuni elementi incluso l’elenco comune delle minacce e il catalogo degli eventi delle minacce.

Le caratteristiche di IRAM2

Sul fronte della vulnerabilità, la precedente libreria di controlli IRAM2, composta da 29 controlli, è stata sostituita con un set più completo di 167 controlli basato su procedure adeguate alla sicurezza delle informazioni. L’approccio per determinare la forza di controllo ora include anche l’estensione della “pertinenza” e “attuazione” dei controlli ambientali. Questo approccio avanzato è supportato dall’introduzione di tabelle di pertinenza del controllo per fornire obiettività e ripetibilità.

Il suo strumento di supporto, IRAM2 Assistant, era in precedenza un singolo strumento di supporto basato su Excel. Ora è stato suddiviso in quattro moduli integrati collettivamente denominati “Assistenti IRAM2”. Ogni modulo supporta una o più fasi della metodologia. Gli Assistenti IRAM2 automatizzano parti della metodologia che altrimenti richiederebbero una maggiore quantità di sforzo manuale e offrono analisi approfondite per migliorare il processo decisionale aziendale. Forniscono inoltre modelli specifici che possono essere applicati per le valutazioni del rischio di informazioni a livello aziendale e utilizzano modelli di report per comunicare in modo chiaro i rischi chiave agli stakeholder.

IRAM2 offre alle organizzazioni che la utilizzano la possibilità di personalizzare le proprie tabelle delle minacce in modo da riflettere la propensione al rischio complessiva della propria organizzazione. Tale procedura funziona valutando e analizzando una varietà di fattori di rischio. Una volta definito a livello organizzativo, la propensione al rischio può essere comunicata e presentata in modo diverso all’interno di un’organizzazione.  Il professionista deve sensibilizzare le principali parti interessate che la mancanza di una propensione al rischio definita potrebbe comportare decisioni incoerenti in merito alla quantità di rischio che l’organizzazione accetta.

Un metodo con 6 obiettivi chiave

IRAM2 è un metodo che ha una prospettiva aziendale e include diversi aspetti. Il metodo è stato sviluppato e rinnovato per affrontare nuove sfide riguardanti la gestione del rischio. Il metodo ha sei obiettivi chiave che descrivono come tale metodologia possa essere utile per le organizzazioni:

  • un approccio semplice, pratico e rigoroso: l’attenzione è rivolta alla semplicità mantenendo un metodo rigoroso che consente un’analisi approfondita che può essere utile nel prendere decisioni aziendali strategiche;
  • comprensione unificata: un quadro e un vocabolario comuni sono utili per coloro che gestiscono il rischio e per i dirigenti in modo da capirsi e utilizzare gli stessi termini;
  • prospettiva aziendale: i rischi sono valutati dal punto di vista aziendale e del risultato che questi possono determinare sui risultati commerciali;
  • concentrarsi su rischi significativi: il metodo consente di identificare i rischi più significativi in modo che il management possa decidere dove concentrare le risorse;
  • impegnarsi con le parti interessate: il metodo fornisce un modo organizzato di interagire tra i professionisti del rischio e altre parti interessate.

La metodologia di valutazione del rischio di informazione IRAM2 è definita in sei fasi. Ogni fase descrive i passaggi e le attività chiave necessarie per raggiungere gli obiettivi.

Fase A: Scoping

La prima fase di IRAM2 riguarda lo sviluppo di un profilo ambientale e la definizione dell’ambito della valutazione. Colui che gestisce il rischio deve sviluppare una comprensione dell’organizzazione nel suo insieme e più specificamente sull’ambiente e sul processo da valutare.

In IRAM2, un ambiente è costituito da persone, processi, tecnologie e condizioni preesistenti nell’ambito della valutazione. L’ambito di applicazione dovrebbe anche essere definito e concordato insieme con le parti interessate. Comprendere l’ambiente è chiamato profiling in termini IRAM2 e per affinare meglio la descrizione l’ambiente dovrebbe essere separato in componenti (servizi aziendali, processi aziendali e assets tecnologici). Nella fase di scoping, è necessario determinare quali siano i servizi, i processi e gli assets che dovrebbero rientrare nell’ambito di applicazione. Dovrebbe anche essere definito quali parti dovrebbero essere coinvolte nella valutazione del rischio.

I passaggi che devono essere eseguiti in questa fase sono:

A1. sviluppare un profilo dell’ambiente.

A2. sviluppare la portata della valutazione.

Per fare un esempio riferito agli asset tecnologici possiamo indicare tutto il sistema informatico che supporta la catena del valore per una determinata azienda o processo produttivo. Per analizzare coerentemente la situazione occorrerà mappare con un diagramma di flusso tutte le entità che prendono parte al processo aziendale. Successivamente si potrà suddividere gli asset aziendali in base al processo che portano a compimento per vedere quali sono fondamentali e non sostituibili per quel processo di business.

Fase B: valutazione dell’impatto sulle imprese

Lo scopo di questa fase è identificare le risorse informative e valutare il potenziale impatto aziendale se le risorse informative fossero compromesse. La conclusione del Business Impacy Assessment (BIA) aiuterà l’organizzazione a ottenere una solida conoscenza delle risorse informative presenti nell’ambiente di valutazione e a determinare l’impatto sul business.

Gli impatti vengono valutati attraverso i famosi parametri RID riguardanti la riservatezza, l’integrità e la disponibilità. La compromissione delle informazioni può naturalmente avere degli impatti commerciali che dovrebbero essere valutati senza che siano stati presi in considerazione i controlli di sicurezza poiché questi verranno introdotti nei passaggi successivi.

I passaggi fondamentali in questa fase sono:

B1. Identificare le risorse informative.

WEBINAR
Come (e perché) garantire la security by default con IT ibrido e multicloud
Cloud
Sicurezza

B2. Valutare l’impatto sul business.

Al fine di rappresentare coerentemente gli impatti è necessario creare una matrice con i vari livelli di impatto (basso, medio-basso, medio-alto, alto) in correlazione con impatti di tipo finanziario, reputazionale e di compliance aziendale.

Passo successivo è quello di valutare ogni business asset in base al potenziale impatto (finanziario, reputazionale e di compliance) riferito ai parametri di riservatezza, integrità e confidenzialità creando in questo modo nove valutazioni per ogni asset che possono avere ben quattro livelli di impatto.

Fase C: profilazione delle minacce

Questa fase riguarda la profilazione e la definizione di tutte le minacce rilevanti per l’ambiente in fase di valutazione. In IRAM2, una minaccia è identificata come “qualunque cosa sia capace, con la sua azione o inazione, di arrecare danno a un bene informativo”. Tutti le minacce pertinenti all’ambiente in cui si svolge l’attività e dove questa ha connessioni con l’esterno devono essere analiticamente codificate per poter creare un quadro coerente e analitico delle minacce.

Le minacce sono raggruppate in tre categorie che sono di difficile traduzione e di cui riportiamo, solo per chiarezza, una semplice trasposizione in italiano; antagonistiche (adversarial), accidentali (accidental) e ambientali (environmental). Il panorama delle minacce non deve essere fatto per ogni valutazione IRAM2 e può essere visto come un panorama di minacce per l’organizzazione nella sua interezza.

In un secondo passaggio la profilazione delle minacce riguarda la comprensione del comportamento delle stesse e viene eseguita attraverso un’attenta valutazione degli attributi che ogni minaccia può incorporare. Gli attributi che vengono presi in considerazione sono capacità, impegno, competenza, cultura, storia, intento, motivazione, origine, predisposizione, privilegio e severità. Ciò comporta due fattori di rischio ossia la probabilità di accadimento e la forza della minaccia. Questi due parametri sono calcolati ​​per ciascun gruppo di minaccia e su queste si determinano anche le priorità su cui intervenire contro le minacce individuate.

L’ultimo passo è quello di identificare quali risorse informative potrebbero avere un impatto sull’evento scatenato dalla minaccia. In conclusione, questa fase dovrebbe comportare una comprensione delle minacce nell’ambito dei relativi eventi e delle modalità che possono influenzare le risorse informative.

I passaggi fondamentali sono:

C1. Popolare il panorama delle minacce.

C2. Identificare le minacce del profilo.

C3. Creare un panorama delle minacce basato sulle priorità.

C4. Scope e mappa degli eventi di minaccia.

C5. Identificare e mappare le risorse informative interessate da ciascun evento di minaccia.

Fase D: valutazione della vulnerabilità

La vulnerabilità è una debolezza del sistema, una sorta di breccia che può trovare nelle persone, nei processi o nella tecnologia un ambiente favorevole in cui insinuarsi per creare danni al sistema. Tale incrinatura del sistema di difesa potrebbe essere sfruttata da una o più minacce. È importante quindi in questa fase effettuare una identificazione delle vulnerabilità che possono essere associate a ciascun evento di minaccia che rientra nell’ambito di applicazione per l’ambiente da valutare.

I controlli di sicurezza sono associati a ogni evento di minaccia per determinare il grado di vulnerabilità. In IRAM2, le vulnerabilità sono valutate stimando l’efficacia dei controlli corrispondenti. Quindi per valutare un controllo è necessario considerare l’efficacia del progetto e l’efficacia operativa.

La forza di controllo è una valutazione soggettiva dell’efficacia aggregata di tutti i controlli associati a una combinazione specifica di minaccia.

I passaggi in questa fase sono:

D1. Identificare le vulnerabilità e i relativi controlli.

D2. Valutare l’efficacia dei controlli identificati.

D3. Determinare la forza di controllo per ogni combinazione di evento e di minaccia.

In merito ai controlli è possibile usare una checklist di riferimento al fine di avere un elenco esaustivo di controlli come ad esempio la normativa NIST, piuttosto che la ISO27001 o il Framework Nazionale per la cybersecurity e la data protection elaborato dal CINI.

Fase E: valutazione del rischio

L’obiettivo è valutare i restanti fattori di rischio andando così a determinare il valore del rischio residuo.

L’output di questa fase dovrebbe essere un profilo di rischio residuo prioritario. Il primo fattore di rischio derivato è la probabilità di successo, ovvero la probabilità che la forza di una minaccia possa essere sufficiente per sopraffare la forza dei controlli in atto e conseguentemente portare a un evento di minaccia andato a segno. Nelle fasi successive è necessario determinare la valutazione di impatto residuo, che è la valutazione dell’impatto sul business dopo che è stato determinato lo scenario di impatto rilevante e l’effetto dei controlli in atto. Il passo finale è derivare la valutazione del rischio residuo che si ottiene tracciando la probabilità residua e l’impatto residuo su una matrice di rischio per ogni rischio individuato. È quindi possibile assegnare la priorità ai rischi in base alla loro valutazione di rischio residuo.

I passaggi sono:

E1. Determinare la probabilità di successo.

E2. Derivare la probabilità residua.

E3. Determinare la valutazione di impatto commerciale residuo.

E4. Calcolare la valutazione del rischio residuo.

Fase F: trattamento del rischio

L’ultima fase riguarda la determinazione di un approccio di trattamento del rischio per ciascun rischio identificato e la creazione di un piano di trattamento per calmierare i possibili effetti. Questa fase dovrebbe essere determinata ogni qual volta un rischio supera la propensione al rischio dell’organizzazione. La propensione al rischio di un’organizzazione definisce la quantità di rischio che si è disposti ad accettare per raggiungere i propri obiettivi. Quindi ogni categoria di rischio dovrebbe essere confrontata con il risk appetite dell’organizzazione per determinare quali devono essere trattati.

I passaggi della fase finale sono:

F1. Valutare ogni rischio rispetto alla propensione al rischio

F2. Creare un piano di trattamento del rischio

F3. Eseguire il piano di trattamento del rischio e convalidare i risultati.

Inutile affermare l’importanza di qualsiasi metodologia che possa abbassare i rischi a cui un’azienda può andare incontro. Naturalmente la metodologia appena esposta è fondamentale per la progettualità che impone ai decisori aziendali ed è fondamentale per programmare nel tempo un piano di interventi coerente e preciso in difesa delle nostre organizzazioni.

@RIPRODUZIONE RISERVATA
S
Alberto Stefani
data protection officer, consulente cybersecurity

Articolo 1 di 5