Analisi del livello di sicurezza

• Descrizione dello standard del BSI
• Analisi del sistema ICT
• Modellizzazione del sistema ICT
• Tutela dei dati personali
• Analisi del livello di sicurezza
• Strumenti per implementare la metodologia

L'obiettivo dell'analisi è rappresentato da un documento, previsto dallo standard BSI, che, sulla base di tutti i dati raccolti, descriva quali sono le misure di sicurezza non ancora implementate e da predisporre, in quale priorità e possibilmente con quale impegno di risorse economiche e umane.

La verifica del livello di implementazione delle misure di sicurezza fornisce informazioni sugli elementi del sistema ICT che risultano più vulnerabili e consente di individuare quali siano le misure di sicurezza da implementare, su quali oggetti o con quale priorità. Il risultato di tale analisi è costitutito da una scheda che elenca le attività da svolgere, individuando quindi priorità, responsabilità e azioni da intraprendere, facendo riferimento al manuale Grundschutz per la descrizione puntuale delle misure di sicurezza.

In questa fase della metodologia si inserisce lo strumento di valutazione del livello di sicurezza introdotto inizialmente: le schede che raccolgono le informazioni sullo stato di implementazione delle misure previste dal manuale ITGM sono realizzate con un foglio elettronico; attraverso la valutazione percentuale per ogni modulo delle misure implementate e di quelle parzialmente implementate e della rappresentazione di questi valori in forma grafica, si ottiene una visualizzazione intuitiva del livello di sicurezza raggiunto, indicando in percentuale, per ogni modulo, le misure di sicurezza e il loro livello di implementazione.

Come esempio del risultato dell'analisi si riporta un possibile grafico del livello di sicurezza raggiunto nella figura seguente e si delineano le conclusioni più importanti.

Esaminando il grafico è possibile individuare le principali lacune nell'implementazione dei moduli, arrivando alle seguenti priorità, elencate in ordine decrescente:

1. modulo B2.8: Computer Personali (ambito infrastrutturale)
2. modulo B1.0: Gestione della sicurezza (ambito organizzativo)
3. modulo B1.4: Backup dei dati (ambito organizzativo)
4. modulo B1.11: Outsourcing (ambito organizzativo)
5. modulo B3.402: Fax (ambito sistemi ICT)
6. modulo B1.1: Organizzazione (ambito organizzativo)
7. modulo B2.2: Cablaggi (ambito infrastrutturale)
8. modulo B3.106: Windows 2000 Server (ambito sistemi ICT)
9. modulo B3.201: Misure Generiche Client (ambito sistemi ICT)
10. modulo B3.203: Laptop (ambito sistemi ICT)
11. modulo B3.401: Sistemi di Telecomunicazione (ambito sistemi ICT)

In questa prima valutazione sono stati individuati, in ordine prioritario, i moduli con numerose misure non implementate, mentre in una seconda fase è necessario esaminare tutti i moduli che presentano misure di sicurezza parzialmente implementate, presenti in particolare negli ambiti dei sistemi ICT e dell'organizzazione.

In base alla priorità assegnata e all'ambito in cui i moduli risultano collocati, è possibile personalizzare una sequenza di interventi, che maggiormente si adatta alle esigenze e agli obiettivi aziendali, mirati ad elevare il livello di sicurezza del sistema ICT, attraverso la predisposizione delle misure di sicurezza non ancora attive, desumibili dallo stato di implementazione riportato in ogni singola scheda di ogni modulo.

Attraverso la reiterazione di queste attività si sviluppa il processo di gestione della sicurezza informatica alla base della metodologia ITGM e degli standard ai quali essa fa riferimento, come descritto nell'introduzione.