Homework corso “Attuazione della sicurezza aziendale” – Leandro Gelasi
MASTER IN GOVERNANCE ED AUDIT DEI SISTEMI
INFORMATIVI A.A. 2017/2018
HOMEWORK CORSO “ATTUAZIONE DELLA
SICUREZZA AZIENDALE”
AREA DI GOVERNANCE PRESCELTA: GOVERNO DELLE INFRASTRUTTURE DI
HOSTING E REMOTE CONNECTIONS DEI SISTEMI LEGACY E DEL NUOVO ERP
Introduzione
Nell’ambito del case study relativo alle iniziative “IPSAS” e “UMOJA” ci si focalizzerà sull’audit
relativo a governance e security delle infrastrutture di hosting e di remote connection coinvolte.
Si procederà seguendo la metodologia Octave Allegro nell’identificazione, analisi e mitigazione dei
rischi. I controlli dell’audit saranno basati sullo standard ISO 27001.
Definizione dell’audit scope
Lo scope dell’audit è centrato sulle infrastrutture fisiche e logiche che garantiscono i servizi di
hosting e remote connections dei sistemi legacy e del nuovo ERP.
In particolare saranno oggetto di audit:
1. i 3 datacenter che ospitano le applicazioni legacy (DC1, DC2, DC3) ed il datacenter che
ospiterà il nuovo ERP (DC4), in termini di
a. sicurezza fisica e controllo degli accessi;
b. sicurezza HR;
c. affidabilità impiantistica (climatizzazione, fornitura elettricità);
d. problematiche di natura logistica;
2. le procedure di disaster recovery/business continuity (BC/DR) fra il nuovo datacenter
DC4 e il datacenter DC3, identificato come polo di BC/DR per il nuovo ERP ed in
particolare:
a. esistenza di procedure di BC/DR documentate e definite;
b. esistenza piano di test periodico delle procedure;
c. verifica su ruoli e responsabilità in ambito BC/DR;
d. efficacia ed efficienza degli strumenti per la sincronizzazione
3. la connettività Internet ed Intranet dei datacenter, con particolare focus su
a. accessi remoti ai sistemi (disponibilità, sicurezza, affidabilità, prestazioni);
b. procedure di autorizzazione e profilazione degli utenti;
c. livelli di servizio della connettività in relazione ai nuovi carichi previsti;
d. stato degli apparati di connettività, dei firewall ed in generale delle infrastrutture di
connessione;
e. contratti di manutenzione hardware/software degli apparati;
f. contratti con i fornitori di connettività.
Pag. 1
Homework corso “Attuazione della sicurezza aziendale” – Leandro Gelasi
Analisi delle vulnerabilità, delle minacce e dei rischi
Stabiliamo preliminarmente una metrica qualitativa per i rischi, definendo la matrice dei rischi, che
combina probabilità del rischio ed impatto dell’evento in un “grado del rischio”:
PROBABILITA’
ALTA
MEDIA
BASSA
ALTO
ALTO
ALTO
MEDIO
IMPATTO
MEDIO
ALTO
MEDIO
BASSO
BASSO
BASSO
BASSO
BASSO
Basandosi sulle serie storiche a disposizione, nella matrice si intende per






probabilità ALTA: stima di oltre 10 eventi/anno;
probabilità MEDIA: stima di 1< eventi/anno <= 10;
probabilità BASSA: stima di meno di un evento/anno;
impatto ALTO: danno monetizzato in oltre 100.000 $;
impatto MEDIO: danno monetizzato compreso fra 10.000 e 100.000 $;
impatto BASSO: danno monetizzato fino a 10.000 $.
Si ipotizza che il committente ritenga i rischi di grado “alto” da eliminare, quelli di grado “medio”
da attenuare e quelli di grado “basso” accettabili.
Nelle tabelle che seguono vengono elencate le principali minacce identificate per le tre macroaree in
cui è suddiviso lo scope dell’audit, le vulnerabilità relative alle minacce, le conseguenze in caso di
sfruttamento delle vulnerabilità, l’impatto, la probabilità ed il grado di rischio calcolato in base alla
matrice dei rischi.
Pag. 2
Homework corso “Attuazione della sicurezza aziendale” – Leandro Gelasi
1. Datacenter
ID
rischio
Minaccia
1.1
Fornitura elettrica
inaffidabile
1.2
Malfunzionamento
del condizionamento
ambientale
1.3
Inaffidabilità
personale di
manutenzione
1.4
Accessi fisici al
datacenter non
controllati
Vulnerabilità
Rete elettrica
instabile;
mancanza di
doppio fornitore di
energia elettrica
Temperatura del
DC non stabile;
impianto di
condizionamento
obsoleto
Alto tasso di
turnover;
bassa qualità del
personale
Mancanza controlli
d’ingresso;
livelli di accesso
differenziato non
presenti
Conseguenze
Interruzione del
servizio;
Perdita di dati
ALTO
MEDIA
Grado
di
rischio
ALTO
Interruzione del
servizio; danni
alle
apparecchiature
ALTO
MEDIA
ALTO
Danni da errata
manutenzione
MEDIO
BASSA
BASSO
Interruzione del
servizio e/o
perdita di dati
ALTO
BASSO
MEDIO
Pag. 3
Impatto
Probabilità
Homework corso “Attuazione della sicurezza aziendale” – Leandro Gelasi
2. Procedure di BC/DR
ID rischio
Minaccia
Vulnerabilità
Conseguenze
Procedure
BC/DR non
allineate allo
stato attuale dei
sistemi; processi
di change
management
che trascurano
BC/DR
Procedure
archiviate
scorrettamente;
versioni delle
procedure non
coerenti
Impossibilità
totale o parziale
di attivazione
DR; perdita
dati;
interruzione del
servizio
ALTO
ALTA
Grado di
rischio
ALTA
Impossibilità
totale o parziale
di attivazione
DR; perdita
dati;
interruzione del
servizio;
fallimento su
RTO/RPO
Impossibilità
totale o parziale
di attivazione
DR; perdita
dati;
interruzione del
servizio;
fallimento su
RTO/RPO
Caos
organizzativo in
caso di
attivazione del
DR; fallimento
su RTO/RPO;
impossibilità
totale o parziale
di attivazione
del DR
ALTO
MEDIA
ALTO
ALTO
MEDIA
ALTO
ALTO
BASSA
MEDIO
2.1
Procedure di
BC/DR non
affidabili
2.2
Procedure di
BC/DR non
documentate
2.3
Procedure di
BC/DR non
testate
Testing non
adeguato;
testing non
eseguito con
frequenza
sufficiente
2.4
Problemi
organizzativi
BC/DR
Ruoli non chiari
in caso di
disastro; team di
DR non
chiaramente
definito
Pag. 4
Impatto
Probabilità
Homework corso “Attuazione della sicurezza aziendale” – Leandro Gelasi
3. Connettività e accesso remoto
ID
rischio
3.1
Minaccia
Vulnerabilità
Accessi
remoti non
autorizzati
Errori di
profilazione
utenti; furto di
credenziali
3.2
Indisponibilità
accesso da
remoto
Malfunzionamento
apparati VPN;
malfunzionamento
network
geografico
3.3
Banda
passante non
sufficiente
3.4
Guasti
hardware
apparati di
rete
Contratti e livelli
di servizio
fornitore di
connettività non
adeguati ai nuovi
carichi;
Hardware
inaffidabile;
hardware fuori
manutenzione;
mancanza
ridondanze hw
3.5
Firewall mal
configurati
Errata definizione
delle regole;
mancata
manutenzione
regole
Conseguenze
Perdita di dati;
interruzione del
servizio; perdita
d’immagine per
accessi abusivi
Impossibilità
manutenzione
servizi;
impossibilità
ripristino urgente
dei servizi
Indisponibilità
servizi per
parte/tutti gli
utenti; perdita
d’immagine
ALTO
BASSA
Grado di
rischio
MEDIO
ALTO
MEDIA
ALTO
MEDIO
BASSA
BASSO
Indisponibilità
servizi per
parte/tutti gli
utenti;
impossibilità di
accesso per
manutenzione
Perdita di dati;
interruzione del
servizio; perdita
d’immagine per
accessi abusivi;
malfunzionamenti
totali/parziali
servizi
ALTO
BASSA
MEDIO
MEDIO
MEDIO
MEDIO
Pag. 5
Impatto
Probabilità
Homework corso “Attuazione della sicurezza aziendale” – Leandro Gelasi
Controlli per la mitigazione dei rischi
Quelli che seguono sono i controlli previsti dalla ISO 27001 per la mitigazione dei rischi definiti
nell’analisi precedente (identificati dal campo ID rischio), lo stato (ipotizzato) dei controlli attuali, il
rischio residuo e le attività connesse all’accettazione/eliminazione/mitigazione del rischio (dove
applicabile).
1. Datacenter
ID
rischio
1.1
Controlli ISO 27001
1.2
A.11.2.2 Supporting utilities
1.3
A.7.1.1 Screening
1.4
A.11.1.1 Physical security perimeter
A.11.1.2 Physical entry controls
A.11.2.2 Supporting utilities
Controlli in
essere
Tutti i datacenter
dispongono di
due forniture
elettriche
indipendenti
DC2 e DC4
hanno impianti
di
climatizzazione
fortemente
ridondati. DC1 e
DC3 hanno
impianti di
condizionamento
obsoleti
I controlli sul
personale
addetto alla
manutenzione
sono
eccessivamente
laschi, in
particolare in
termini di
background. Il
personale di
manutenzione
causa raramente
danni nei DC
Le policy di
sicurezza fisica
su DC1, DC3 e
DC4 sono in
essere e
correttamente
rispettate. Le
policy di DC2
non sono
correttamente
documentate,
anche se i
controlli di
accesso fisico
sono presenti
Pag. 6
Rischio residuo
Nessuno
Accettazione del
rischio
N/A
DC1 e DC3 hanno
climatizzazione
inadeguata.
La climatizzazione
di DC3 (destinata ad
essere polo di
BC/DR) va adeguata
prima dell’avvio
delle operazioni. Si
può ipotizzare di
accettare il rischio
per DC1.
Limitato
Opportuno rivedere
politiche di
assunzione o
validazione
personale esterno di
manutenzione. Non
bloccante rispetto
all’introduzione dei
nuovi sistemi.
Limitato
Le policy di accesso
fisico a DC2 sono in
corso di revisione, a
seguito
dell’inserimento di
un nuovo
responsabile security
di sito.
Homework corso “Attuazione della sicurezza aziendale” – Leandro Gelasi
2. Procedure di BC/DR
ID
rischio
2.1
Controlli ISO 27001
2.2
A.17.1.2 Implementing information
security continuity
A.12.1.1 Documented operating
procedures
2.3
A.17.1.3 Verify, review and
evaluate information
security continuity
2.4
A.17.1.1 Planning information
security continuity
A.16.1.1 Responsibilities and
procedures
A.17.1.1 Planning information
security continuity
A.12.1.2 Change management
Controlli in
essere
Le policy di
BC/DR sono
in essere, ma
il processo di
change
management
non ne tiene
conto in modo
formalizzato.
Le policy di
BC/DR sono
correttamente
documentate
ed accessibili
tramite un
sistema
documentale
indipendente.
Copie
cartacee sono
in mano a tutti
i responsabili
Le procedure
di BC/DR
vengono
testate una
volta l’anno
sull’80% dei
sistemi coperti
Su DC1, DC2,
DC3 ruoli e
responsabilità
in caso di DR
sono
formalmente
definiti ed
assegnati. Su
DC4
l’assegnazione
dei ruoli è
solo
informale.
Pag. 7
Rischio residuo
Rischio elevato che
le procedure
operative di BC/DR
non funzionino se
non parzialmente.
Situazione in
peggioramento a
fronte di ogni change
ad impatto elevato
sulle infrastrutture
Assente
È indispensabile
aumentare la
copertura dei test al
100% e testare le
procedure 2 volte
all’anno, anche in
relazione al rischio
2.1
Nel sito DC4 almeno
un responsabile delle
procedure di BC/DR
non sapeva di
esserlo. Grave
rischio in caso di
incidente
Accettazione del
rischio
Indispensabile
revisione processo di
change management
perché tenga conto
di BC/DR
N/A
Pre avvio nuovo
sistema si aumenterà
frequenza e
copertura dei test.
È indispensabile
provvedere ad
assegnare
formalmente ruoli e
responsabilità per il
sito DC4 prima
dell’avvio dei nuovi
sistemi.
Homework corso “Attuazione della sicurezza aziendale” – Leandro Gelasi
3. Connettività
ID
rischio
3.1
Controlli ISO 27001
3.2
A.11.2.4 Equipment maintenance
3.3
A.13.1.2 Security of network services
A.12.1.3 Capacity management
3.4
A.11.2.4 Equipment maintenance
3.5
A.13.1.1 Network controls
A.13.1.2 Security of network services
A.9.2.3 Management of privileged
access rights
A.9.2.5 Review of user access rights
Controlli in
essere
Policy per la
concessione di
accessi
amministrativi
dall’esterno in
essere. Il
processo di
revisione
periodica degli
accessi non è
però
correttamente
formalizzato
Gli apparati per
VPN sono
ridondati e
sotto garanzia
con SLA
d’intervento in
4 ore; la
connettività
geografica ha
uno SLA di
disponibilità
del 99.99%
Gli SLA sulla
banda passante
contrattualizzati
con i fornitori
sono adeguati
anche a fronte
dei nuovi
carichi. SLA
non definiti per
latenza e
Quality of
Experience
(QoE)
Su DC1, DC3 e
DC4 non si
riscontrano
problemi in
termini di
affidabilità
“storica”. Su
DC2 una serie
di apparati
mostra
difettosità oltre
la media con
incidenti
ripetuti
La gestione
delle regole di
Pag. 8
Rischio residuo
È ipotizzabile che
alcuni utenti possano
mantenere l’accesso
amministrativo ai
sistemi anche se
hanno lasciato
l’incarico
precedentemente
ricoperto.
Accettazione del
rischio
La policy di
rimozione dei
privilegi va
formalizzata e
comunicata a tutti i
settori che si
occupano di access
management.
Si ritiene che il
rischio residuo sia
marginale.
N/A
La QoE potrebbe
essere insufficiente
pur in presenza di
banda passante
adeguata
Revisione contratti
con fornitori di
connettività in ottica
introduzione SLA su
QoE e latenza.
L’affidabilità a
livello di network di
DC2 è troppo bassa.
Gli apparati di DC2
coinvolti nella serie
di guasti verranno
integralmente
sostituiti nei
prossimi 3 mesi.
A seguito
dell’allestimento di
Validazione
procedure di change
Homework corso “Attuazione della sicurezza aziendale” – Leandro Gelasi
ID
rischio
Controlli ISO 27001
A.12.1.2 Change management
Controlli in
essere
firewalling su
tutti i siti è
correttamente
gestite tramite
processi di
change
managemente
strutturati
Rischio residuo
DC4 le procedure di
change management
per il firewalling
andranno
nuovamente validate
Accettazione del
rischio
management post
avvio attività di
DC4.
Piano di implementazione dei controlli
La disponibilità di datacenter affidabili, ridondati e dotati di adeguata connettività, anche in termini
di accesso dall’esterno è una delle criticità maggiori nell’ambito delle due iniziative.
È quindi essenziale che i controlli vengano eseguiti prima possibile nell’ambito delle fasi
progettuali, in modo da poter prendere eventuali contromisure nel caso si rilevassero scoperture non
accettabili per la policy definita.
Andranno eseguiti per primi i controlli relativi ai rischi con livello di rischio “ALTO” (che vanno,
secondo policy, eliminati alla radice), per poi passare ai controlli sui rischi di livello “MEDIO” (che
prevedono mitigazione. Solo nel caso si disponga di risorse temporali/economiche residuali si
passerà ai controlli relativi ai rischi di livello “BASSO” e alla relativa mitigazione.
Proposte per il miglioramento continuo
Si ipotizza che l’ONU abbia già in essere un Information Security Management System strutturato
ed efficace. Il cambiamento tecnico/organizzativo di cui al case study è però ad altissimo impatto su
tantissime strutture e non è pensabile analizzare preventivamente ogni possibile scenario.
Ne consegue che l’ISMS possa rivelarsi non del tutto confacente alle nuove esigenze ed è quindi
necessario impostare, dopo il termine del progetto, un assessment periodico sulla sua adeguatezza.
Alcune scoperture potrebbero infatti evidenziarsi solo quando la nuova soluzione sarà andata
completamente a regime. Si suggerisce quindi:



Di effettuare un assessment complessivo dell’ISMS in termini di copertura ed efficacia ogni
12 mesi (la prima volta dopo 6 mesi dalla chiusura del progetto);
Audit interni ogni 12 mesi (la prima volta dopo 6 mesi dalla chiusura del progetto);
Audit di terza parte ogni 18 mesi (la prima volta dopo 12 mesi dalla chiusura del progetto).
Pag. 9