Category Archives: Processi di Security

Identity Management

Nell’ambito delle misure di sicurezza logica, negli ultimi anni si stanno affermando tecniche di autenticazione denominate “robuste”, ciò è dovuto principalmente al fatto che l’autenticazione mediante la coppia Utente – Password è più vulnerabile nei confronti di attacchi informatici, quali ad esempio il cracking.
Allo scopo di definire metodi di identificazione sempre più affidabili, sono stati progettati dispositivi che si basano su autenticazioni robuste, fra i quali si segnalano quelli biometrici e fisici.

Dispositivi biometrici
Tali dispositivi forniscono l’autenticazione a partire da caratteristiche peculiari della persona fisica, alcune di tali caratteristiche sono:

  • le impronte digitali,
  • la identificazione della voce,
  • le caratteristiche della retina.

Un vantaggio di tali dispositivi è la verifica non invasiva dell’identità dell’utente.

Dispositivi fisici
Alcuni dispositivi fisici sono smart card e carte magnetiche, che hanno la caratteristica di memorizzazione dati con un buon grado di sicurezza, generalmente hanno le dimensioni di una carta di credito.

Business Continuity

La Business Continuity è un processo aziendale che valuta il livello di rischio dei processi di business e progetta iniziative finalizzate a garantire il funzionamento continuativo dei processi stessi in riposta a eventi di calamità naturali, atti di terrorismo, incidenti di sicurezza


Obiettivi

Di seguito si elencano alcuni obiettivi della business continuity:

  • Contrastare l’interruzione delle attività aziendali e proteggere i processi critici di business dagli effetti dell’interruzione dei sistemi o dalle calamità al fine di garantire la loro tempestiva ripresa;
  • Minimizzare l’impatto sull’organizzazione e limitare la perdita del patrimonio informativo (derivante ad esempio da calamità naturali, incidenti, avarie delle attrezzature e azioni deliberate) ad un livello accettabile attraverso la combinazione di attività di prevenzione e di recupero;
  • Individuare le criticità dei processi aziendali;
  • Valutare gli impatti sugli asset aziendali dovuti ad incidenti di sicurezza;
  • Elaborare ed attuare business continuity plan per garantire una tempestiva ripresa delle operazioni essenziali;

Le fasi del processo di Business Continuity

In base agli standard  il processo di Business Continuity si suddivide nelle seguenti fasi:

  • Risk assessment: Individuazione degli eventi che possono causare l’interruzione dei processi aziendali, delle probabilità di accadimento e dell’impatto di tali interruzioni e le loro conseguenze per la sicurezza.
  • Pianificazione, Sviluppo e implementazione del piano di continuità:Attività atta a mantenere o ripristinare le operazioni e garantire la disponibilità dei sistemi al livello richiesto e nei tempi necessari a seguito di interruzione dei processi di business critici.
  • Manutenzione e verifica periodica dei piani di continuità aziendale: I piani di continuità aziendale devono essere verificati e tenuti regolarmente aggiornati per assicurare la loro efficacia ed efficienza.

Infrastrutture critiche

Per infrastruttura critica si intende quel complesso di reti e sistemi che operando in modo sinergico producono un flusso continuato di merci e servizi essenziali per l’organizzazione, la funzionalità e la stabilità economica di un moderno paese industrializzato e la cui distruzione o temporanea indisponibilità può provocare un impatto debilitante sull’economia, la vita quotidiana o le capacità di difesa di un paese.

Alcune infrastrutture critiche sono le seguenti:

  • infrastrutture per la produzione, trasporto e distribuzione di energia (elettrica, gas ecc.),
  • infrastrutture di telecomunicazioni;
  • circuiti bancari e finanziari;
  • sistema sanitario;
  • infrastrutture di trasporto (aereo, viario, ferroviario, navale ecc.);
  • infrastrutture per la raccolta, distribuzione e trattamento delle acque superficiali;
  • servizi di emergenza;
  • filiera alimentare.

Evoluzione delle Infrastrutture Critiche

Il contesto sociale, economico e tecnologico, sempre in evoluzione, ha indotto ad un profondo mutamento nelle architetture delle diverse infrastrutture.

L’attuale scenario è caratterizzato dallo instaurarsi di forti interdipendenze fra le infrastrutture critiche, che possono essere anche di diversa natura. In letteratura sono generalmente individuate quattro diverse cause di interdipendenza:

  • Interdipendenza fisica
  • Cyber interdipendenza
  • Interdipendenza geografica
  • Interdipendenza logica

Protezione delle Infrastrutture critiche

Una protezione efficace delle infrastrutture comprende l’individuazione delle minacce, la riduzione delle vulnerabilità e l’identificazione della causa o dell’origine del danno o dell’attacco, affinché sia sottoposta all’indagine degli investigatori.

Il fine di questa attività è quello di limitare i danni e minimizzare i tempi di indisponibilità del servizio.

Programma europeo di protezione delle infrastrutture critiche (PEPIC-EPCIP)

La tematica sulla importanza della protezione delle infrastrutture critiche è stata trattata anche dalla Commissione Europea, che ha esposto in una comunicazione del 12.12.06 i principi e gli strumenti necessari per l’attuazione di un programma europeo (PEPIC-EPCIP)

In tale comunicazione sono illustrati i principi, le procedure e gli strumenti proposti per attuare l’EPCIP. Le minacce a cui il programma dovrebbe far fronte non si limitano al terrorismo, ma comprendono le attività criminali, le catastrofi naturali e altre cause di incidenti, sulla base di un approccio multirischio.

L’obiettivo generale dell’EPCIP è di migliorare la protezione delle infrastrutture critiche (PIC) nell’Unione europea. Tale obiettivo sarà garantito grazie alla creazione di una legislazione europea in materia di protezione delle infrastrutture critiche che viene presentata in tale comunicazione.

Antifrode

La frode interessa vari settori come quello informatico e quello contrattuale e può essere causata ad esempio da infedeltà o azioni illecite di un dipendente aziendale o da fenomeni come la contraffazione e l’antiriciclaggio.

Nell’approccio sistematico ed etico al contrasto delle frodi, la ricerca dell’eccellenza nello svolgimento della propria professione, la percezione della frode come problema “sociale”, lo sviluppo di metodologie e best practice di prevenzione, di investigazione, di deterrenza, rivestono un ruolo sempre più significativo e importante.
Il fenomeno delle frodi, negli ultimi anni, ha subito una notevole crescita a seguito dell’individuazione di nuove vulnerabilità tecnologiche e commerciali opportunamente utilizzate dai truffatori per realizzare frodi ad elevati impatti economici.

Obiettivi
Gli obiettivi della Antifrode possono essere così di seguito sintetizzati:

  • definire le attività di prevenzione delle frodi a seguito delle evoluzioni tecnologiche e comportamentali;
  • Monitorare  fenomeni esistenti ed emergenti;
  • Individuare in anticipo nuovi scenari di frode.

Minacce e sistemi di difesa
Per acquisire maggiori informazioni alcune tipologie  di frode esistenti, si rimanda alla sezione……(cyber crime)

Cosa e’ stato fatto
Le istituzioni europee hanno il dovere di garantire, nei confronti del contribuente, il migliore impiego del suo denaro e, in particolare, di lottare il più efficacemente possibile contro la frode. Per questo motivo la tutela degli interessi finanziari della Comunità Europea è diventata un obiettivo primario.
A livello europeo  è stato istituito l’OLAF (acronimo francese di Ufficio europeo per la lotta antifrode) ,che svolge funzioni investigative  al fine di rafforzare la lotta contro le frodi, la corruzione e qualsiasi altra attività illegale che danneggi gli interessi finanziari della Comunità europea collaborando con i più svariati settori da quello della polizia a quello giudiziario, finanziario e doganale.

In ambito legislativo italiano si ricordano le seguenti leggi:

  • Legge n. 166 del 17 agosto 2005 “Istituzione di un sistema di prevenzione delle frodi sulle carte di pagamento”, pubblicata nella Gazzetta Ufficiale n. 194 del 22 agosto 2005;
  • La frode informatica costituisce reato con fattispecie e pene distinte da quello di frode, di recente istituzione, introdotta dalla legge n. 547/1993 e disciplinata dall’art. 640 ter del c.p.…“chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a se o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 516 a euro 1032. La pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro 1549 se ricorre una delle circostanze previste dal n.1 del secondo comma dell’art. 640 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema. […]”.
  • Accordo di Cooperazione tra la Procura Generale della Corte dei conti Italiana e l’OLAF (Ufficio Europeo Anti-Frode).

Gestione Incidenti

La corretta gestione del patrimonio aziendale è strettamente correlata anche ad un efficace sistema di monitoraggio degli incidenti di sicurezza.
E’ necessario predisporre un modello di gestione idoneo ad individuare, contrastare e risolvere gli eventi di sicurezza che comportano un rischio per l’azienda.

Di seguito si riportano alcuni punti cardine del processo di gestione degli incidenti di sicurezza.

Segnalazione degli eventi
Un efficace servizio di gestione delle segnalazioni deve prevedere almeno le seguenti fasi:

  • Definire i canali di comunicazione per segnalare tempestivamente gli incidenti;
  • Individuare le strutture organizzative da coinvolgere per la raccolta delle segnalazioni;
  • Definire le norme di segnalazione degli incidenti;
  • Definire adeguate attività di awareness sugli eventi di sicurezza e sulle azioni correttive/preventive da intraprendere.

Gestione degli incidenti
Il processo deve prevedere la definizione di adeguate procedure al fine di definire le responsabilità e assicurare una tempestiva ed efficace  risposta agli incidenti di sicurezza.

Alcune attività da porre in essere sono indicate di seguito:

  • Individuare le strutture incaricate della gestione degli incidenti di sicurezza.
  • Definire un sistema di classificazione degli incidenti, in modo da attribuire una scala di criticità;
  • Regolamentare i comportamenti da mettere in atto prima, durante e dopo la rilevazione di un incidente di sicurezza;
  • Produrre Report periodici per valutare l’evoluzione degli incidenti.

Analizzare gli incidenti
È opportuno analizzare i dati raccolti, in modo da individuare gli incidenti più ricorrenti, per predisporre adeguate azioni correttive e/o preventive.