Capitolo 5: Supporto alle decisioni
Pubblicato: 15/10/2004
In questa pagina
Cenni preliminari
Individuazione e confronto delle soluzioni di controllo
Riepilogo
Cenni preliminari
L'azienda ha completato la fase di valutazione dei rischi e ha creato un elenco prioritario dei rischi a cui sono esposti i beni aziendali più preziosi. Adesso è necessario affrontare i rischi più importanti decidendo quali misure prendere per ridurli: tutto ciò avviene nell'ambito della fase di supporto alle decisioni. Nella fase precedente, il Team di gestione dei rischi di protezione aveva individuato i beni, i pericoli per questi beni, le vulnerabilità che potevano essere sfruttate da questi pericoli per danneggiare i beni, come pure le soluzioni di controllo già adottate per proteggere i beni. Il Team di gestione dei rischi di protezione aveva poi creato un elenco di rischi, ordinati in base alla priorità.
Il processo di supporto alle decisioni comprende un'analisi formale dei costi-benefici con ruoli e responsabilità ben definiti all'interno dell'azienda. L'analisi dei costi-benefici fornisce una struttura coerente ed esauriente per l'individuazione, la definizione della portata e la scelta della soluzione più efficiente ed economica per ridurre il rischio a un livello accettabile. Analogamente al processo di valutazione dei rischi, l'analisi dei costi-benefici richiede una definizione rigorosa dei ruoli per poter funzionare efficacemente. Inoltre, prima di effettuare l'analisi dei costi-benefici, il Team di gestione dei rischi di protezione deve assicurarsi che tutti gli interessati, compreso il dirigente che sostiene l'iniziativa, abbiano riconosciuto come valido e accettato questo processo.
Nella fase di supporto alle decisioni, il Team di gestione dei rischi di protezione deve decidere come affrontare i rischi principali nel modo più efficiente ed economico. Il risultato finale sarà costituito da piani chiari volti a controllare, accettare, trasferire o evitare ciascuno dei rischi principali individuati nel processo di valutazione dei rischi. I sei passaggi in cui si articola la fase di supporto alle decisioni sono i seguenti:
Definizione dei requisiti funzionali.
Scelta delle soluzioni di controllo.
Revisione delle soluzioni alla luce dei requisiti.
Stima del livello di riduzione dei rischi fornito da ogni soluzione di controllo.
Stima dei costi di ogni soluzione.
Scelta di una strategia di riduzione dei rischi.
La Figura 5.1, sotto riportata, illustra questi sei passaggi e mostra come la fase di supporto alle decisioni riguardi l'intero processo di gestione dei rischi di protezione Microsoft.
.gif)
Figura 5.1 Processo di gestione dei rischi di protezione Microsoft: fase di supporto alle decisioni
Quando si paragona il valore di una particolare soluzione di controllo a quello di un'altra soluzione, non vi sono semplici formule da poter utilizzare: questa operazione può essere complessa per vari motivi. Ad esempio, alcune soluzioni di controllo potrebbero influire su più beni. In questo caso, spetta al Team di gestione dei rischi di protezione decidere come paragonare il valore delle soluzioni di controllo che influiscono su diverse combinazioni di beni. Vi sono inoltre costi associati alle soluzioni di controllo che vanno al di là dell'implementazione delle soluzioni stesse. Le domande che sarebbe opportuno porsi includono:
Per quanto tempo la soluzione di controllo sarà attiva?
Quante ore lavorative all'anno saranno necessarie per monitorare e aggiornare la soluzione di controllo?
Quanti disagi la soluzione di controllo causerà agli utenti?
Quante ore di formazione saranno necessarie per il personale responsabile dell'implementazione, del monitoraggio e dell'aggiornamento della soluzione di controllo?
Il costo della soluzione di controllo è ragionevole rispetto al valore del bene?
Nelle sezioni seguenti di questo capitolo verranno fornite le risposte a queste domande.
Il processo di supporto alle decisioni avrà esito positivo solo se si segue un percorso chiaro e se i partecipanti al processo hanno compreso il proprio ruolo in ogni passaggio. Il seguente diagramma illustra il ruolo del Team di gestione dei rischi di protezione nel processo di supporto alle decisioni. I responsabili della riduzione dei rischi propongono soluzioni di controllo volte a ridurre i rischi e calcolano i costi di ogni soluzione. Per ogni soluzione proposta, il Team di gestione dei rischi di protezione stima il livello di riduzione dei rischi che ci si aspetta dalla soluzione stessa. Con queste informazioni, il team può effettuare un'analisi efficace dei costi-benefici della soluzione di controllo per decidere se consigliarne o meno l'implementazione. Il Comitato direttivo per la protezione decide quindi quali soluzioni verranno implementate.
.gif)
Figure 5.2 Panoramica della fase di supporto alle decisioni
La definizione rigorosa dei ruoli riduce eventuali ritardi perché solo un gruppo è responsabile di ogni decisione. Tuttavia, l'esperienza mostra che l'efficacia complessiva del programma di gestione dei rischi aumenta se ogni persona che ha delle responsabilità collabora con gli altri interessati.
Nota: essendo la gestione dei rischi un processo continuo, mantenere uno spirito collaborativo tiene alto il morale degli interessati e può ridurre i rischi a cui è esposta l'azienda consentendo agli interessati di riconoscere i benefici del proprio lavoro e spingendoli ad agire prontamente per ridurre eventuali pericoli. È ovvio che si dovrebbe essere pronti a ogni sforzo per mantenere e promuovere questo atteggiamento durante l'intero processo di gestione dei rischi e supporto alle decisioni.
Elemento richiesto per la fase di supporto alle decisioni
Esiste un solo elemento derivante dalla fase di valutazione dei rischi che è necessario per la fase di supporto alle decisioni: l'elenco prioritario dei rischi che devono essere ridotti. Se sono state seguite le procedure descritte nel Capitolo 4, "Valutazione dei rischi", queste informazioni sono già state registrate nel foglio di lavoro di Microsoft® Excel denominato GGRPStrumento3-Priorità rischi livello dettagliato.xls. Questo file contiene i dettagli sui rischi ed è memorizzato nella cartella Strumenti e modelli creata al momento della decompressione dell'archivio contenente questa guida e i relativi file. In questa fase del processo si continuerà a utilizzare lo stesso foglio di lavoro.
Partecipanti alla fase di supporto alle decisioni
I partecipanti alla fase di supporto alle decisioni sono più o meno le stesse persone che hanno già partecipato alla fase di valutazione dei rischi; in realtà, gran parte se non addirittura tutto il team avrà partecipato alla fase precedente. L'analisi dei costi-benefici è alla base della maggior parte delle attività del processo di supporto alle decisioni. Prima di iniziare questa analisi è però necessario assicurarsi che tutti gli interessati capiscano i rispettivi ruoli.
Nella tabella seguente viene fornito un riepilogo dei principali ruoli e responsabilità di ogni gruppo nell'ambito del processo di supporto alle decisioni.
Tabella 5.1: Ruoli e responsabilità nel programma di gestione dei rischi
| Operazioni aziendali |
Individua le soluzioni di controllo procedurali disponibili per la gestione dei rischi |
| Titolare dell'azienda |
È responsabile dell'analisi dei costi-benefici dei beni |
| Amministrazione |
Contribuisce all'analisi dei costi-benefici e potrebbe anche contribuire alla creazione e al controllo del budget |
| Risorse umane |
Individua le esigenze di formazione del personale per le soluzioni di controllo |
| Tecnologia informatica (IT) - Architettura |
Individua e valuta le potenziali soluzioni di controllo |
| Tecnologia informatica - Progettazione tecnica |
Determina i costi delle soluzioni di controllo e decide come implementarle |
| Tecnologia informatica - Operazioni |
Implementa le soluzioni di controllo tecniche |
| Controllo interno |
Individua i requisiti di conformità e rivede l'efficacia delle soluzioni di controllo |
| Ufficio legale |
Individua le soluzioni di controllo legali, contrattuali e di politica e convalida le stime finanziarie per l'impatto sul marchio, la responsabilità aziendale e altre questioni aziendali |
| Relazioni pubbliche |
Convalida le stime finanziarie per l'impatto sul marchio, la responsabilità aziendale e altre questioni aziendali |
| Comitato direttivo per la protezione |
Sceglie le soluzioni di controllo in base alle raccomandazioni del Team di gestione dei rischi di protezione |
| Team di gestione dei rischi di protezione |
Definisce i requisiti funzionali per ogni soluzione di controllo volta a ridurre un rischio e, all'occorrenza, informa gli interessati e gli utenti coinvolti sullo stato del progetto |
Il Team di gestione dei rischi di protezione dovrebbe assegnare a ogni rischio individuato un consulente tecnologico responsabile della protezione. Un'unica persona di contatto riduce infatti le probabilità che il Team di gestione dei rischi di protezione crei messaggi contraddittori e fornisce un modello procedurale chiaro nell'analisi dei costi-benefici.
#### Strumenti forniti per la fase di supporto alle decisioni
Le informazioni raccolte in questa fase del processo devono essere registrate nel foglio di lavoro di Excel contenente i dettagli sui rischi (denominato GGRPStrumento3-Priorità rischi livello dettagliato.xls e memorizzato nella cartella Strumenti e modelli creata al momento della decompressione dell'archivio contenente questa guida e i relativi file).
#### Risultati richiesti per la fase di supporto alle decisioni
Durante questa fase del processo di gestione dei rischi di protezione Microsoft, verranno raccolte e scelte informazioni fondamentali su ciascuno dei rischi principali individuati durante la fase di valutazione dei rischi. Nella tabella seguente viene fornito un riepilogo di queste informazioni fondamentali, che vengono anche presentate nei dettagli in alcune sezioni successive di questo capitolo.
**Tabella 5.2: Risultati richiesti per la fase di supporto alle decisioni**
| Decisione su come trattare ogni rischio |
Si deciderà se controllare, accettare, trasferire o evitare ciascuno dei rischi principali |
| Requisiti funzionali |
Affermazioni che descrivono la funzionalità necessaria a ridurre il rischio |
| Potenziali soluzioni di controllo |
Elenco di soluzioni di controllo individuate dai Responsabili della riduzione dei rischi e dal Team di gestione dei rischi di protezione che possono ridurre efficacemente ogni rischio |
| Riduzione dei rischi di ogni soluzione di controllo |
Valutazione di ogni soluzione di controllo proposta per determinare in che misura ridurrà il livello di rischio a cui è esposto un bene |
| Costo stimato di ogni soluzione di controllo |
Tutti i costi associati all'acquisto, implementazione, supporto e misurazione di ogni soluzione di controllo proposta |
| Elenco di soluzioni di controllo da implementare |
Scelta effettuata in base all'analisi dei costi-benefici |
#### Valutazione delle opzioni possibili nella fase di supporto alle decisioni
Le organizzazioni si rifanno a due strategie essenziali nella gestione dei rischi: accettano un rischio o implementano delle soluzioni di controllo volte a ridurlo. Se un'azienda sceglie di accettare un rischio, può decidere di trasferirlo totalmente o in parte a una terza parte, ad esempio a una compagnia assicurativa o a una società di servizi gestiti. Nelle due sezioni seguenti vengono esaminate queste due strategie di gestione dei rischi: l'accettazione di un rischio e l'implementazione delle soluzioni di controllo volte a ridurlo.
**Nota:** molti esperti di gestione dei rischi di protezione ritengono che una terza opzione sia quella di evitare un rischio. In questo caso, è importante tenere presente che quando si sceglie di evitare un rischio, si decide di interrompere qualsiasi attività che potrebbe comportare quel rischio. Nel caso della gestione dei rischi di protezione, per evitare un rischio le organizzazioni dovrebbero smettere di utilizzare il sistema informatico esposto a quel rischio. Ad esempio, se vi è il pericolo che "nell'arco di un anno i server senza patch possano essere compromessi da software dannoso, che potrebbe a sua volta compromettere i dati contabili", l'unico modo per evitare questo rischio è smettere di utilizzare i server senza patch, il che non è molto realistico. Il processo di gestione dei rischi di protezione Microsoft presume che le organizzazioni siano interessate soltanto all'analisi dei beni che abbiano valore per l'azienda e che debbano quindi rimanere attivi. Di conseguenza, in questa guida non viene trattata la terza opzione, quella che prevede di evitare eventuali rischi.
##### Accettazione del rischio
Il Comitato direttivo per la protezione deve scegliere di accettare un rischio se ritiene che non vi siano soluzioni di controllo vantaggiose che possano effettivamente ridurlo. Ciò non significa che l'azienda non può ridurre il rischio adottando una o più soluzioni di controllo; significa invece che il costo dell'implementazione di una o più soluzioni di controllo o l'impatto di queste soluzioni sulla capacità dell'azienda di portare avanti le normali attività è troppo alto rispetto al valore del bene da proteggere. Si consideri, ad esempio, la situazione seguente:
Il Team di gestione dei rischi di protezione ha stabilito che uno dei principali rischi per i beni fondamentali dell'azienda è l'utilizzo di password per l'autenticazione degli utenti durante l'accesso alla rete aziendale. Il team ritiene che la distribuzione di una tecnologia di autenticazione a due fattori, ad esempio l'utilizzo di smart card, sia il metodo più efficiente per ridurre e in definitiva eliminare l'utilizzo di password per l'autenticazione. Il responsabile della riduzione dei rischi calcola quindi il costo della distribuzione delle smart card nell'intera azienda e l'impatto sui sistemi operativi e sulle applicazioni esistenti dell'azienda. Il costo della distribuzione è alquanto elevato ma potrebbe essere giustificato. Il team fa notare però che molte delle applicazioni aziendali sviluppate internamente si basano sull'autenticazione tramite password e riscrivere o sostituire queste applicazioni sarebbe troppo costoso e potrebbe richiedere alcuni anni. Di conseguenza, per l'immediato futuro il team decide di non consigliare al Comitato direttivo per la protezione l'utilizzo di smart card per tutti i dipendenti, ma trova un compromesso: gli utenti di account particolarmente importanti e riservati, ad esempio gli amministratori di dominio e i dirigenti, potrebbero eseguire l'autenticazione con smart card. Il Comitato direttivo per la protezione prende la decisione definitiva di seguire la raccomandazione del Team di gestione dei rischi di protezione: le smart card non saranno adottate per tutti i dipendenti.
Un'opzione diversa dall'accettazione del rischio è il trasferimento dello stesso a una terza parte, ad esempio a una compagnia assicurativa. Si osservi a questo proposito la sempre maggior disponibilità sul mercato delle polizze assicurative per i beni IT. In alternativa, le organizzazioni possono affidarsi ad altre aziende specializzate in servizi di protezione gestiti; la società di servizi gestiti può assumersi alcune o tutte le responsabilità nell'ambito della protezione dei beni IT dell'azienda.
##### Implementazione delle soluzioni di controllo per ridurre i rischi
Le soluzioni di controllo, definite anche contromisure o misure di protezione, sono mezzi organizzativi, procedurali o tecnologici per la gestione dei rischi. I responsabili della riduzione dei rischi, con la collaborazione del Team di gestione dei rischi di protezione, individuano tutte le possibili soluzioni di controllo, calcolano il costo dell'implementazione di ogni soluzione, determinano gli altri costi associati alla soluzione (ad esempio eventuali disagi per gli utenti o le spese per i continui aggiornamenti della soluzione) e valutano il livello di riduzione del rischio reso possibile da ogni soluzione di controllo. Tutte queste informazioni consentono al team di svolgere efficacemente un'analisi dei costi-benefici per ogni soluzione di controllo proposta. Le soluzioni di controllo che riducono più efficacemente i rischi per i beni fondamentali dell'organizzazione a un costo ragionevole sono quelle la cui implementazione verrà consigliata più vivamente dal team.
#### Fattori chiave del successo
Analogamente a quanto avviene nella fase di valutazione dei rischi, stabilire aspettative ragionevoli è fondamentale per l'esito positivo della fase di supporto alle decisioni. Il processo di supporto alle decisioni richiede contributi significativi da parte di gruppi diversi che rappresentano l'intera azienda. Se uno solo di questi gruppi non capisce l'importanza del processo o non vi partecipa attivamente, l'efficacia dell'intero programma potrebbe essere compromessa. È necessario spiegare chiaramente che cosa ci si attende da ogni partecipante nella fase di supporto alle decisioni, compresi i ruoli, le responsabilità e il livello di partecipazione richiesto.
##### Ricerca del consenso
È importante che l'intero Team di gestione dei rischi di protezione prenda decisioni consensuali, se possibile. Senza il consenso di tutto il team, i commenti di coloro che sono in disaccordo potrebbero minare le raccomandazioni dopo che sono state presentate al Comitato direttivo per la protezione. Anche se il comitato approvasse le soluzioni di controllo consigliate, il dissenso latente potrebbe provocare il fallimento dei successivi progetti di implementazione della soluzione di controllo. Affinché l'intero processo di gestione dei rischi abbia esito positivo, tutti i membri del team devono accettare e sostenere le soluzioni di controllo consigliate.
##### Risoluzione delle situazioni di ostruzionismo
Poiché uno degli scopi di questa fase è creare, attraverso il consenso, un elenco di soluzioni di controllo, qualsiasi persona coinvolta potrebbe rallentare o arrestare il processo con l'aiuto di un ostruzionista. Questo perché qualsiasi partecipante alla fase di supporto alle decisioni potrebbe decidere di rifiutarsi di consigliare una determinata soluzione di controllo. Potrebbe anche verificarsi una situazione contraria, ovvero chiunque potrebbe tentare di imporre la sua opinione minoritaria sulla maggioranza se venisse rifiutata una raccomandazione per una determinata soluzione di controllo. È molto importante che il moderatore per la valutazione dei rischi risolva le situazioni di ostruzionismo ogni volta che si presentano. Fornire consigli esaustivi su come gestire questo tipo di situazioni non rientra negli argomenti trattati in questa guida, ma alcune tattiche efficaci prevedono il chiarimento delle ragioni fondamentali della persona che fa ostruzionismo per poi cercare la collaborazione con il team e tentare di trovare alternative o compromessi ritenuti accettabili dall'intero team.
[](#mainsection)[Inizio pagina](#mainsection)
### Individuazione e confronto delle soluzioni di controllo
In questa sezione viene spiegato come il responsabile della riduzione dei rischi individua le potenziali soluzioni di controllo e determina i tipi di costi associati all'implementazione di ogni soluzione e come il Team di gestione dei rischi di protezione calcola il livello di riduzione dei rischi fornito da ogni soluzione proposta. I responsabili della riduzione dei rischi e il Team di gestione dei rischi di protezione presentano poi le loro conclusioni e le soluzioni consigliate al Comitato direttivo per la protezione, che sceglierà un elenco definitivo di soluzioni di controllo da implementare.
Il seguente diagramma è tratto dal foglio di lavoro contenente i dettagli sui rischi della cartella di lavoro di Excel utilizzata per eseguire la valutazione dei rischi nel capitolo precedente. Questo foglio di lavoro, denominato GGRPStrumento3-Priorità rischi livello dettagliato.xls, è fornito con questa guida ed è memorizzato nella cartella Strumenti e modelli. Il diagramma mostra tutti gli elementi utilizzati durante l'analisi dei costi-benefici. La descrizione delle singole colonne viene fornita nei passaggi seguenti.
[.gif "Figura 5.3 Sezione della fase di supporto alle decisioni nel foglio di lavoro Rischio dettagliato (GGRPStrumento3)")](https://technet.microsoft.com/it-it/cc163155.rmch0503_big(it-it,technet.10).gif)
**Figura 5.3 Sezione della fase di supporto alle decisioni nel foglio di lavoro Rischio dettagliato (GGRPStrumento3)**
**Nota:** il foglio di lavoro si incentra sulla riduzione delle probabilità di impatto nella determinazione del livello di riduzione dei rischi. Si parte dal presupposto che il valore del bene non cambi nel periodo in cui avviene la valutazione dei rischi. Generalmente anche il livello di esposizione (la portata del danno al bene) rimane costante. L'esperienza mostra infatti che i livelli di esposizione rimangono di solito costanti se le descrizioni dei pericoli e delle vulnerabilità sono sufficientemente dettagliate.
#### Passaggio 1 - Definizione dei requisiti funzionali
I requisiti di protezione funzionali sono dichiarazioni che descrivono le soluzioni di controllo necessarie per ridurre i rischi. Il termine "funzionale" è denso di significato: le soluzioni di controllo devono essere espresse in termini di funzionalità desiderate rispetto alle tecnologie enunciate. Potrebbero essere possibili più soluzioni tecniche, e qualsiasi risoluzione è accettabile se rispetta i requisiti di protezione funzionali. Il Team di gestione dei rischi di protezione è responsabile della definizione dei requisiti funzionali, che costituisce la prima operazione da effettuare nel processo di analisi dei costi-benefici. Per individuare correttamente le potenziali soluzioni di controllo, il Team di gestione dei rischi di protezione deve specificare quale sarà il risultato ottenuto dalle soluzioni di controllo che puntano a ridurre i rischi a cui è esposta l'azienda. Sebbene questo team mantenga la responsabilità della definizione dei requisiti funzionali, la collaborazione con il responsabile della riduzione dei rischi è vivamente consigliata.
È necessario definire i requisiti funzionali per ogni rischio trattato nella fase di supporto alle decisioni: questa operazione produrrà come risultato il documento "Definizione dei requisiti funzionali", che è molto importante per il processo di analisi dei costi-benefici. Il documento definisce che *cosa* è necessario per ridurre i rischi individuati ma non specifica *come* ridurli né definisce specifiche soluzioni di controllo da adottare. Questa distinzione consente al Team di gestione dei rischi di protezione di avere responsabilità nella propria area di competenza e, allo stesso tempo, permette al responsabile della riduzione dei rischi, che implementa la soluzione di controllo, di prendere decisioni relative alla gestione e al supporto delle attività aziendali. Le misure volte a ridurre ogni rischio sono riportate nella colonna con l'intestazione "Requisito funzionale di protezione" nel foglio di lavoro GGRPStrumento3-Priorità rischi livello dettagliato.xls. I requisiti funzionali devono essere rivisti almeno una volta all'anno per determinare se sono ancora necessari o devono essere modificati.
[.gif "Figura 5.4 Passaggio 1 della fase di supporto alle decisioni")](https://technet.microsoft.com/it-it/cc163155.rmch0504_big(it-it,technet.10).gif)
**Figura 5.4 Passaggio 1 della fase di supporto alle decisioni**
Il lavoro effettuato nella fase precedente consente alle organizzazioni di comprendere le proprie condizioni di esposizione ai rischi e di decidere razionalmente quali soluzioni di controllo devono essere implementate per ridurre i rischi più significativi. Il dirigente che sostiene l'iniziativa e i titolari dell'azienda vogliono conoscere il parere del Gruppo protezione informatica sulle possibili soluzioni che l'azienda può adottare per far fronte a ogni rischio. Il Gruppo protezione informatica fornisce queste informazioni definendo i requisiti di protezione funzionali. Per ogni rischio, il Gruppo protezione informatica prepara una chiara dichiarazione sul tipo di funzionalità o processo da adottare per ridurre il rischio.
**Esempio di Woodgrove:** riprendendo l'esempio di Woodgrove Bank del capitolo precedente, un utile requisito funzionale per ridurre il rischio di furto delle credenziali di un client LAN gestito (attribuibile alla configurazione obsoleta delle firme dei virus per il programma antivirus utilizzato, alla configurazione dell'host o ad aggiornamenti di protezione superati) è il seguente:
DEVE esistere un meccanismo di autenticazione dell'identità degli utenti che utilizzi due o più fattori al momento della connessione alla rete locale.
Un esempio di requisito non funzionale è il seguente:
La soluzione DEVE utilizzare smart card per l'autenticazione degli utenti.
La seconda dichiarazione non è funzionale perché propone l'utilizzo di una tecnologia specifica. È compito dei responsabili della riduzione dei rischi fornire un elenco di soluzioni di controllo specifiche che soddisfino i requisiti funzionali: spetta a loro trasformare i requisiti funzionali in soluzioni di controllo tecniche e/o amministrative (criteri, standard, linee guida e così via).
Il requisito funzionale volto a ridurre il secondo rischio esaminato durante la definizione dettagliata delle priorità dei rischi di livello, ossia il rischio di furto delle credenziali di host portatili remoti attribuibile a una configurazione di protezione superata, è il seguente:
DEVE esistere un meccanismo di autenticazione dell'identità degli utenti che utilizzi due o più fattori al momento della connessione alla rete da una postazione remota.
Registrare i requisiti funzionali per ogni rischio nella colonna con l'intestazione "Requisiti funzionali di protezione" nel foglio di lavoro GGRPStrumento3-Priorità rischi livello dettagliato.xls.
Nel documento intitolato Request for Comments (RFC) 2119, redatto dall'Internet Engineering Task Force (IETF) e disponibile all'indirizzo www.ietf.org/rfc/rfc2119.txt, sono riportate linee guida su parole ed espressioni chiave da utilizzare nelle dichiarazioni riguardanti i requisiti. Questi termini, spesso riportati in maiuscolo, sono: "DEVE", "NON DEVE", "INDISPENSABILE", "NECESSARIO", "NON PUÒ", "OPPORTUNO", "NON È OPPORTUNO", "CONSIGLIABILE", "POTREBBE" e "OPZIONALE". Microsoft consiglia di utilizzare queste parole chiave nelle dichiarazioni riguardanti i requisiti funzionali attenendosi alle definizioni fornite nel documento RFC 2119:
- DEVE - Questo termine, analogamente a "INDISPENSABILE" e "NECESSARIO", significa che la definizione è un obbligo assoluto della specifica. Ad esempio, se la valutazione dei rischi individua uno scenario con un elevato livello di rischio, il termine "DEVE" è probabilmente la parola chiave che meglio descrive il requisito adatto allo scenario.
- NON DEVE - Questa espressione, analogamente a "NON PUÒ", significa che la definizione è un divieto assoluto della specifica.
- OPPORTUNO - Questo termine, analogamente all'aggettivo "CONSIGLIABILE", significa che, in circostanze particolari, potrebbero esserci dei motivi validi per ignorare un'opzione specifica, ma le implicazioni complete devono essere comprese e attentamente esaminate prima di scegliere una direzione diversa. Ad esempio, se la valutazione dei rischi individua uno scenario con un basso livello di rischio, l'aggettivo "OPPORTUNO" è probabilmente la parola chiave che meglio descrive il requisito adatto allo scenario.
- NON È OPPORTUNO - Questa espressione, analogamente a "NON È CONSIGLIABILE", significa che, in circostanze particolari, ci sono validi motivi per i quali un comportamento specifico è accettabile o addirittura utile, ma le implicazioni complete devono essere comprese e il caso attentamente esaminato prima di adottare qualsiasi comportamento etichettato in questo modo.
- POTREBBE - Questo termine, analogamente all'aggettivo "OPZIONALE", significa che un'opzione è facoltativa. In questo caso, un'azienda potrebbe decidere di adottare l'opzione proposta perché un determinato mercato la richiede o perché si ritiene che migliori il prodotto, mentre un'altra azienda potrebbe decidere di non adottarla. Un'implementazione che non include un'opzione specifica DEVE essere configurata in modo che possa interagire con un'altra implementazione che la include, anche se con funzionalità ridotte. Analogamente, un'implementazione che include un'opzione specifica DEVE essere configurata in modo che possa interagire con un'altra implementazione che non la include (tranne, naturalmente, la funzionalità fornita dall'opzione).
Dopo aver definito i requisiti funzionali e aver documentato ogni rischio, è possibile affrontare il passaggio successivo della fase di supporto alle decisioni.
#### Passaggio 2 - Individuazione delle soluzioni di controllo
Il passaggio successivo di questa fase prevede che i responsabili della riduzione dei rischi creino un elenco di nuove e potenziali soluzioni di controllo volte a soddisfare i requisiti funzionali per ogni rischio. In molte organizzazioni, saranno i membri del Gruppo protezione informatica a individuare una serie di potenziali soluzioni di controllo per ogni rischio identificato e caratterizzato nella fase precedente. Le organizzazioni i cui dipendenti non hanno sufficienti competenze per farlo possono prendere in considerazione l'idea di affiancare ai responsabili della riduzione dei rischi dei consulenti esterni.
[.gif "Figura 5.5 Passaggio 2 della fase di supporto alle decisioni")](https://technet.microsoft.com/it-it/cc163155.rmch0505_big(it-it,technet.10).gif)
**Figura 5.5 Passaggio 2 della fase di supporto alle decisioni**
Il processo di individuazione delle potenziali soluzioni di controllo può sembrare piuttosto impegnativo, soprattutto se pochi o nessuno fra i responsabili della riduzione dei rischi lo hanno mai fatto prima. Esistono due metodi che possono aiutare i team a sviluppare nuove idee e molte organizzazioni ritengono che la strategia più efficace sia di utilizzarli entrambi. Il primo è un metodo informale basato sul confronto delle idee; il secondo è maggiormente strutturato e si basa sulla classificazione e organizzazione delle soluzioni di controllo. Il Team di gestione dei rischi di protezione dovrebbe utilizzare una combinazione di questi due metodi.
Nel metodo basato sul confronto delle idee, per ogni rischio il moderatore per la valutazione dei rischi pone al team la seguente serie di domande. L'incaricato del verbale sulla valutazione dei rischi annota tutte le risposte nella colonna con l'intestazione "Controllo proposto" nel foglio di lavoro GGRPStrumento3-Priorità rischi livello dettagliato.xls. Questa operazione non può dirsi conclusa finché tutti i rischi principali non sono stati esaminati. Al termine, il team passa alla determinazione dei costi associati a ogni soluzione di controllo.
- Quali procedure deve seguire l'organizzazione per contrastare un pericolo o evitare che si verifichi? Ad esempio, adottare meccanismi di autenticazione multilivello per ridurre il rischio di compromissione delle password o distribuire un'infrastruttura per la gestione automatica delle patch per ridurre il rischio che i sistemi vengano compromessi da codice dannoso.
- Che cosa può fare l'azienda per tornare alla normalità dopo essere stata esposta a un pericolo? Ad esempio, istituire, finanziare e istruire un team di risposta ai problemi di protezione o implementare e testare processi di backup e ripristino per tutti i computer che eseguono un sistema operativo di classe server. Ancora meglio, l'azienda può impiantare risorse informatiche ridondanti in sedi remote a cui potrebbe ricorrere qualora si verificasse un'emergenza nella sede principale.
- Quali misure l'azienda può adottare per rilevare la presenza di un pericolo? Ad esempio, installare un sistema di rilevamento delle intrusioni di rete attorno alla rete e in postazioni chiave all'interno della rete oppure installare un sistema di rilevamento delle intrusioni basato su host e distribuito in tutti i computer dell'organizzazione.
- Come è possibile controllare e monitorare la soluzione di controllo per assicurarsi che continui a essere operativa? Ad esempio, installare ed esaminare attentamente gli strumenti di gestione appropriati forniti dal produttore.
- Come può l'organizzazione comprovare l'efficacia della soluzione di controllo? Ad esempio, avvalersi di un esperto di vulnerabilità che tenti di eludere la soluzione di controllo.
- Esistono altre misure che potrebbero essere adottate? Ad esempio, trasferire il rischio a una terza parte acquistando un'assicurazione che copra i danni ad esso associati.
Il secondo metodo per l'individuazione di nuove e potenziali soluzioni di controllo comporta la suddivisione delle soluzioni in tre grandi categorie: organizzative, operative e tecnologiche. Queste vengono a loro volta suddivise in soluzioni di prevenzione, di rilevamento e ripristino e di amministrazione. Le soluzioni di controllo preventive vengono adottate per evitare che un rischio si verifichi: servono, ad esempio ad arrestare eventuali violazioni della protezione prima che si manifestino. Le soluzioni di controllo di rilevamento e ripristino consentono a un'organizzazione di determinare quando si è verificato un evento di protezione e riprendere in seguito le normali attività. Le soluzioni di controllo amministrative non forniscono necessariamente protezione di per sé, ma sono essenziali per implementare altre soluzioni di controllo. Questa categorie sono discusse più dettagliatamente in seguito.
##### Soluzioni di controllo organizzative
Le soluzioni di controllo organizzative sono procedure e processi che stabiliscono come i dipendenti di un'organizzazione devono svolgere i propri compiti.
Le soluzioni preventive di questa categoria includono:
- Ruoli e responsabilità chiari. Questi devono essere definiti e documentati con chiarezza in modo che la direzione e il personale comprendano pienamente chi è responsabile dell'implementazione di un livello di protezione adeguato per le principali risorse IT dell'organizzazione.
- Separazione dei compiti e meno privilegi. Quando sono implementate correttamente, queste soluzioni di controllo assicurano che i dipendenti possano accedere ai sistemi IT solo ed esclusivamente per eseguire in modo efficace il proprio lavoro e niente di più.
- Piani e procedure di sicurezza documentati. Questi vengono creati per spiegare come sono state implementate le soluzioni di controllo e come devono essere gestite.
- Corsi di formazione sulla protezione e campagne di consapevolezza ricorrenti. Sono indispensabili e destinati a tutto il personale aziendale in modo che gli utenti e i membri del team IT comprendano le proprie responsabilità e sappiano utilizzare correttamente le risorse informatiche per garantire la protezione dei dati dell'organizzazione.
- Sistemi e processi per la creazione e l'eliminazione di account utente. Queste soluzioni di controllo sono necessarie per fare in modo che i nuovi dipendenti aziendali diventino produttivi in tempi brevi e devono anche garantire che il personale che lascia l'azienda non abbia immediatamente più accesso ai sistemi IT della stessa. I processi di creazione degli account utente devono anche includere il trasferimento dei dipendenti a un team aziendale diverso, trasferimento che comporta talvolta il cambiamento dei privilegi e dell'accesso da un livello a un altro. Si consideri, ad esempio, il caso di un dipendente governativo che abbia una nuova mansione e che questa comporti la riclassificazione della protezione delle informazioni da Secret a Top Secret o viceversa.
- Processi prestabiliti per consentire l'accesso a consulenti, fornitori, partner commerciali e clienti. Spesso si tratta di una variazione della creazione degli account utente citata sopra, ma in molti casi questi processi sono decisamente diversi. Condividere alcuni dati con un gruppo di utenti esterni mentre si condivide un'altra raccolta di dati con un gruppo diverso può essere complesso. Spesso le scelte sono legate a requisiti legali e normativi, ad esempio quando sono coinvolti dati sanitari o contabili.
Le soluzioni di rilevamento di questa categoria includono:
- Creazione di piani ricorrenti per la gestione dei rischi al fine di valutare e controllare i rischi a cui sono esposti i beni fondamentali dell'organizzazione.
- Esecuzione di revisioni ricorrenti delle soluzioni di controllo al fine di verificarne l'efficacia.
- Controlli periodici dei sistemi per verificare che non siano stati compromessi o configurati in modo non corretto.
- Esecuzione di ricerche su candidati che potrebbero essere assunti. Si dovrebbe anche prendere in considerazione l'idea di fare ulteriori ricerche sui dipendenti candidati a una promozione che comporterebbe un livello di accesso notevolmente più alto ai beni IT dell'organizzazione.
- Avvicendamento di più persone nello svolgere gli stessi compiti. Si tratta di un modo efficace di scoprire attività illecite dei membri del team IT o degli utenti che hanno accesso a informazioni confidenziali.
Le soluzioni amministrative di questa categoria includono:
- Pianificazione delle risposte in caso di problemi. Consente a un'organizzazione di reagire rapidamente e riprendere le normali attività in seguito alle violazioni della protezione riducendone al minimo l'impatto ed evitando la diffusione del problema ad altri sistemi.
- Pianificazione per garantire la continuità delle attività commerciali. Consente a un'azienda di riprendere le normali attività in seguito a eventi catastrofici che colpiscono gran parte dell'infrastruttura IT.
##### Soluzioni di controllo operative
Le soluzioni di controllo operative specificano come i dipendenti aziendali devono gestire i dati, i programmi software e i dispositivi hardware. Queste soluzioni comprendono anche i dispositivi di protezione ambientale e fisica descritti di seguito.
Le soluzioni preventive di questa categoria includono:
- Protezione dei sistemi informatici con mezzi fisici quali dispositivi di sicurezza, serrature e badge elettronici, serrature biometriche e cancelli.
- Protezione fisica per i sistemi degli utenti finali, compresi cavi di sicurezza per portatili, allarmi e cifratura dei file memorizzati su dispositivi portatili.
- Alimentazione elettrica di riserva per far fronte a situazioni di emergenza. Ciò può prevenire danni a sistemi elettrici importanti durante le interruzioni parziali o generali dell'erogazione di energia elettrica; può inoltre garantire che le applicazioni e i sistemi operativi vengano arrestati correttamente per salvaguardare dati e transazioni.
- Sistemi antincendio quali sistemi automatici di spegnimento degli incendi ed estintori, che sono strumenti essenziali per la protezione dei beni fondamentali dell'organizzazione.
- Sistemi di controllo della temperatura e dell'umidità che allungano la vita di apparecchiature elettriche importanti per consentire di proteggere le informazioni in esse memorizzate.
- Procedure di controllo dell'accesso ai supporti e loro smaltimento per garantire che solo il personale autorizzato possa accedere a informazioni confidenziali e che i supporti utilizzati per memorizzare tali informazioni siano resi illeggibili da smagnetizzazione o da altri metodi prima dello smaltimento.
- Sistemi di backup interni ed esterni alla sede dell'organizzazione per facilitare il ripristino di dati persi o danneggiati. In caso di evento catastrofico, i supporti di backup esterni garantiscono la salvaguardia dei dati aziendali importanti archiviati su sistemi diversi da quelli interni.
Le soluzioni di rilevamento e ripristino di questa categoria includono:
- Sicurezza fisica, che protegge l'azienda da coloro che tentano di entrare illecitamente nei locali aziendali; esempi di queste soluzioni di controllo sono sensori, allarmi, videocamere e rilevatori di movimento.
- Protezione ambientale, che protegge l'azienda da pericoli ambientali quali inondazioni e incendi; esempi di queste soluzioni di controllo sono rilevatori di fumo e incendio, allarmi, sensori e rilevatori d'acqua.
##### Soluzioni di controllo tecnologiche
La complessità delle soluzioni di controllo tecnologiche può variare considerevolmente. Queste soluzioni includono infatti i progetti funzionali e tecnici dell'architettura dei sistemi, dispositivi hardware, programmi software e firmware, ovvero tutti i componenti tecnologici utilizzati per costruire i sistemi informatici di un'azienda.
Le soluzioni preventive di questa categoria includono:
- Autenticazione. È la procedura di convalida delle credenziali di una persona, un computer, un processo o un dispositivo. Tale procedura prevede che la persona, il processo o il dispositivo che avanzano la richiesta di autenticazione forniscano delle credenziali che comprovino l'identità del richiedente. Forme comuni di credenziali sono firme digitali, smart card, dati biometrici e combinazioni di nomi utente e password.
- Autorizzazione. È la procedura che consente a una persona, un processo informatico o un dispositivo di accedere a certe informazioni, servizi o funzionalità. L'autorizzazione dipende dall'identità della persona, del processo informatico o del dispositivo che richiede l'accesso, la cui identità viene verificata tramite l'autenticazione.
- Non ripudio. È la tecnica utilizzata per fare in modo che l'autore di un'azione su un computer non possa negare falsamente che sia stato lui a eseguire quell'azione. Il non ripudio fornisce una prova inconfutabile che è stato quell'utente a eseguire un'azione specifica, ad esempio a trasferire fondi, autorizzare un acquisto o inviare un messaggio.
- Controllo dell'accesso. È il meccanismo che limita l'accesso a certe informazioni in base all'identità dell'utente e alla sua appartenenza a gruppi prestabiliti. Il controllo dell'accesso può essere obbligatorio, discrezionale o basato sui ruoli.
- Comunicazioni protette. Queste soluzioni di controllo utilizzano la tecnica della cifratura per proteggere l'integrità e la riservatezza delle informazioni trasmesse sulla rete.
Le soluzioni di rilevamento e ripristino di questa categoria includono:
- Sistemi di controllo. Rendono possibile il monitoraggio e il rilevamento dei comportamenti dei sistemi che si allontanano dalla norma. Si tratta di strumenti fondamentali per il rilevamento e la comprensione delle violazioni della protezione e il ripristino delle normali attività in seguito a un problema.
- Programmi antivirus. Sono programmi pensati per rilevare e reagire a software dannoso, come virus e worm. Le risposte prevedono il blocco dell'accesso utente ai file infettati, la pulizia dei file o dei sistemi infettati e la notifica all'utente che è stato rilevato un programma infettato.
- Strumenti per l'integrità dei sistemi. Consentono al personale IT di determinare se sono state apportate modifiche non autorizzate a un sistema. Ad esempio, alcuni strumenti per l'integrità dei sistemi calcolano un checksum di tutti i file presenti nei volumi di archiviazione del sistema e memorizzano le informazioni nel database di un altro computer. Con tali strumenti è possibile eseguire in modo automatico e affidabile un confronto tra lo stato corrente di un sistema e la sua corretta configurazione (già conosciuta).
Le soluzioni amministrative di questa categoria includono:
- Strumenti di amministrazione della protezione integrati in molti sistemi operativi e applicazioni aziendali, nonché prodotti hardware e software incentrati sulla protezione. Questi strumenti sono necessari per gestire, fornire supporto e risolvere efficacemente i problemi riguardanti le funzionalità di protezione in tutti questi prodotti.
- Crittografia. È alla base di molti altri controlli di protezione. La creazione, memorizzazione e distribuzione sicura di chiavi di crittografia rendono possibili tecnologie quali reti VPN (Virtual Private Network), autenticazione sicura degli utenti e crittografia di dati su vari tipi di supporti di archiviazione.
- Identificazione. Consente di identificare utenti e processi univoci. Grazie all'identificazione, i sistemi possono integrare funzionalità come affidabilità, controllo dell'accesso discrezionale, basato sui ruoli e obbligatorio.
- Protezioni integrate nel sistema. Si tratta di funzionalità incorporate nel sistema per fornire protezione delle informazioni elaborate o memorizzate in quel sistema. Esempi di funzionalità di protezione integrate nel sistema sono il riutilizzo sicuro degli oggetti, il supporto della memoria NX (No-execute) e la separazione dei processi.
Quando si esaminano varie soluzioni di controllo, potrebbe essere utile rivedere la sezione "Organizzazione delle soluzioni di controllo" del Capitolo 6 ("Implementazione delle soluzioni di controllo e misurazione dell'efficacia del programma"). Questa sezione include collegamenti a molteplici istruzioni elaborate per aiutare le organizzazioni a migliorare la protezione dei propri sistemi informatici.
**Esempio di Woodgrove:** il primo rischio, legato alla possibilità che le credenziali dei consulenti finanziari vengano sottratte durante l'accesso alla rete LAN, potrebbe essere ridotto richiedendo agli utenti di eseguire l'autenticazione con smart card quando si connettono localmente alla rete aziendale.
Il secondo rischio, legato alla possibilità che le credenziali dei consulenti finanziari vengano sottratte durante l'accesso alla rete da una postazione remota, potrebbe essere ridotto richiedendo agli utenti di eseguire l'autenticazione con smart card quando si connettono in remoto alla rete aziendale. Registrare tutte le soluzioni di controllo proposte per ogni rischio nella colonna con l'intestazione "Controllo proposto" nel foglio di lavoro GGRPStrumento3-Priorità rischi livello dettagliato.xls.
#### Passaggio 3 - Revisione della soluzione alla luce dei requisiti
Il Team di gestione dei rischi di protezione deve approvare la soluzione di controllo per garantire che soddisfi i requisiti funzionali definiti. Un altro vantaggio derivante dalla collaborazione continua tra i partecipanti al processo di analisi dei costi-benefici è la capacità di anticipare le verifiche e gli equilibri inerenti al processo. Ad esempio, se il responsabile della riduzione dei rischi viene coinvolto nella definizione dei requisiti di protezione, la soluzione non potrà non soddisfare i requisiti. Le soluzioni di controllo che non soddisfano i requisiti funzionali definiti per un rischio specifico vengono eliminate dal foglio di lavoro contenente i dettagli sui rischi.
[.gif "Figura 5.6 Passaggio 3 della fase di supporto alle decisioni")](https://technet.microsoft.com/it-it/cc163155.rmch0506_big(it-it,technet.10).gif)
**Figura 5.6 Passaggio 3 della fase di supporto alle decisioni**
**Esempio di Woodgrove:** il Team di gestione dei rischi di protezione esamina l'utilizzo di smart card per l'autenticazione degli utenti per determinare se la loro implementazione soddisfa o meno i requisiti funzionali. In questo caso, le smart card soddisfano i requisiti funzionali definiti sia per il primo che per il secondo rischio enunciati nell'esempio. Contrassegnare ogni soluzione di controllo rifiutata con un formato particolare nel foglio di lavoro GGRPStrumento3-Priorità rischi livello dettagliato.xls.
#### Passaggio 4 - Stima della riduzione dei rischi
Dopo che il Team di gestione dei rischi di protezione ha approvato una potenziale soluzione volta a ridurre un rischio, deve ricalcolare la riduzione complessiva del rischio per l'azienda. Il livello di riduzione del rischio verrà paragonato al costo della soluzione da adottare per ridurlo. Questo è il primo passaggio nel quale un valore monetario influisce sull'analisi dei costi-benefici. L'esperienza mostra che la riduzione del rischio viene solitamente stimata prolungando nel tempo la probabilità che il problema si manifesti nell'azienda. Si tenga presente che ogni probabilità classificata come alta, media o bassa ha un intervallo di tempo ben definito nel quale è probabile che il problema si verifichi.
[.gif "Figura 5.7 Passaggio 4 della fase di supporto alle decisioni")](https://technet.microsoft.com/it-it/cc163155.rmch0507_big(it-it,technet.10).gif)
**Figura 5.7 Passaggio 4 della fase di supporto alle decisioni**
Il prolungamento del periodo di tempo nel quale il problema potrebbe verificarsi da un anno a più di tre anni fornisce un valore di stima significativo al Team di gestione dei rischi di protezione e al Comitato direttivo per la protezione. Anche se la perdita stimata in termini finanziari potrebbe non diminuire, è meno probabile che questa accada nell'immediato futuro. È importante tenere presente che lo scopo non è quello di ridurre il rischio fino ad eliminarlo, ma definire un livello di rischio accettabile per l'azienda.
Un altro vantaggio derivante dalla riduzione del rischio nell'immediato futuro si ricollega alla tendenza diffusa dei costi delle soluzioni di controllo tecniche di diminuire nel tempo, pur aumentando in efficacia. Ad esempio, un miglioramento nella strategia attuale di gestione delle patch potrebbe ridurre di molto le probabilità che gli host vengano compromessi nel presente. Tuttavia, il costo della distribuzione delle patch e degli aggiornamenti per la protezione potrebbe diminuire man mano che diventano disponibili nuove linee guide e strumenti per gestire efficacemente queste operazioni. La riduzione dei costi utilizzando un meccanismo di autenticazione a due fattori è un altro esempio di questa tendenza.
Quando si determina il livello relativo di riduzione del rischio fornito da una soluzione di controllo, assicurarsi di vagliare tutti i modi in cui la soluzione può avere effetto sul rischio. Alcune domande che sarebbe opportuno porsi sono:
- Questa soluzione di controllo previene un attacco specifico o una serie di attacchi?
- Riduce al minimo il rischio che una certa categoria di attacchi si verifichi?
- È in grado di riconoscere una vulnerabilità quando si manifesta?
- Se riconosce una vulnerabilità, è poi in grado di resistere a un attacco o di monitorarlo?
- Consente di ripristinare la normale attività dei beni che hanno subito un attacco?
- Quali altri vantaggi fornisce?
- Qual è il costo totale della soluzione di controllo rispetto al valore del bene?
Queste domande possono divenire complesse quando una particolare soluzione di controllo riguarda diversi beni e vulnerabilità. In ultima analisi, lo scopo di questo passaggio è fornire una stima quantitativa della riduzione dei livelli di rischio fornita da ogni soluzione di controllo. Registrare i nuovi valori delle valutazioni dell'esposizione, della probabilità e del rischio nelle colonne con l'intestazione "Valutazione dell'esposizione con il nuovo controllo", "Valutazione della probabilità con il nuovo controllo" e "Nuova valutazione del rischio" nel foglio di lavoro GGRPStrumento3-Priorità rischi livello dettagliato.xls per ogni rischio.
**Esempio di Woodgrove:** relativamente al primo rischio, legato alla possibilità che le password dei consulenti finanziari vengano sottratte durante l'utilizzo dei client LAN, il Team di gestione dei rischi di protezione potrebbe concludere, dopo l'implementazione delle smart card per l'autenticazione locale, che la valutazione dell'esposizione è pari a 8 e quella della probabilità si è ridotta a 1, pertanto la nuova valutazione del rischio è pari a 9. Relativamente al secondo rischio, legato alla possibilità che le password dei consulenti finanziari vengano sottratte durante l'accesso alla rete in remoto, il Team di gestione dei rischi di protezione potrebbe trarre conclusioni simili. Registrare le nuove valutazioni dell'esposizione, della probabilità e del rischio nelle colonne "Valutazione dell'esposizione con il nuovo controllo", "Valutazione della probabilità con il nuovo controllo" e "Nuova valutazione del rischio" nel foglio di lavoro sui rischi dettagliati di GGRPStrumento3-Priorità rischi livello dettagliato.xls.
#### Passaggio 5 - Stima dei costi delle soluzioni di controllo
L'operazione da effettuare in questa fase è di competenza del responsabile della riduzione dei rischi, che stima i costi di ogni soluzione di controllo proposta. Il team di progettazione tecnica IT deve poter decidere qual è il modo migliore per implementare ogni soluzione di controllo e fornire stime ragionevolmente accurate sui costi associati all'acquisto, all'implementazione e all'aggiornamento di ogni soluzione. Dato che la gestione dei rischi di protezione proposta da Microsoft è un processo ibrido, non è necessario calcolare i costi precisi delle soluzioni, ma sono sufficienti delle stime. Durante l'analisi dei costi-benefici, verranno confrontati il valore e il costo di ogni soluzione di controllo invece di cifre finanziarie assolute. Quando il team crea queste stime, deve considerare i seguenti costi diretti e indiretti che potrebbero essere associati a una soluzione di controllo. Registrare i costi di ogni soluzione di controllo nella colonna con l'intestazione "Descrizione del costo del controllo" nel foglio di lavoro GGRPStrumento3-Priorità rischi livello dettagliato.xls.
[.gif "Figura 5.8 Passaggio 5 della fase di supporto alle decisioni")](https://technet.microsoft.com/it-it/cc163155.rmch0508_big(it-it,technet.10).gif)
**Figura 5.8 Passaggio 5 della fase di supporto alle decisioni**
##### Costi di acquisto
Sono le spese da sostenere per acquistare i programmi software, i dispositivi hardware e i servizi associati alla nuova soluzione di controllo proposta. Alcune soluzioni di controllo potrebbero non comportare alcun costo di acquisto, ad esempio l'implementazione di una nuova soluzione potrebbe richiedere la semplice attivazione di una funzionalità inutilizzata di un segmento fisico della rete che l'azienda utilizza già. Altre soluzioni potrebbero richiedere invece l'acquisto di nuove tecnologie, ad esempio di software firewall distribuiti o hardware firewall dedicati con funzionalità di filtraggio a vari livelli. Altre ancora potrebbero non richiedere l'acquisto di nuove tecnologie, ma l'utilizzo di servizi forniti da un'azienda esterna. Ad esempio, un'organizzazione potrebbe affidarsi a un'altra azienda per la fornitura quotidiana di un elenco di spammer noti, così da poter integrare questo elenco nei propri filtri antispam già installati sui server di posta aziendali. Potrebbero anche esistere soluzioni di controllo che l'azienda sceglie di sviluppare da sé. In questo caso, tutti i costi associati alla progettazione, allo sviluppo e ai test delle soluzioni devono essere considerati alla stregua dei costi che l'azienda sostiene per acquistare nuove tecnologie.
##### Costi di implementazione
Si tratta di spese da sostenere per il personale o i consulenti che si occuperanno dell'installazione e della configurazione della nuova soluzione di controllo proposta. Per definire, progettare, testare e distribuire correttamente alcune soluzioni di controllo potrebbe essere necessario un team di molte persone. In altri casi, un amministratore di sistema competente potrebbe disattivare alcuni servizi di sistema inutilizzati su tutti i computer desktop e portatili in pochi minuti se l'azienda dispone già di strumenti di gestione aziendali.
##### Costi fissi
Si tratta di spese riconducibili alle attività continuative associate alla nuova soluzione di controllo, quali costi di gestione, monitoraggio e aggiornamento. Poiché in questo caso una stima può essere particolarmente difficile, si provi a calcolare questi costi chiedendosi quante persone dovranno essere coinvolte e quante ore a settimana (o al mese o all'anno) dovranno essere dedicate a queste attività. Si consideri, ad esempio, un affidabile sistema di rilevamento delle intrusioni basato sulla rete e distribuito in una grande azienda con uffici in quattro continenti. Tale sistema richiederebbe un'attività di monitoraggio continua (24 ore su 24) da parte del personale, che dovrà essere in grado di interpretare e reagire efficacemente agli avvisi. Potrebbe essere necessario il lavoro di otto, dieci o addirittura più di dieci dipendenti a tempo pieno affinché l'azienda possa sfruttare pienamente le potenzialità di questa complessa soluzione di controllo.
##### Costi di comunicazione
Queste spese sono riconducibili alla comunicazione di nuove politiche aziendali o procedure per gli utenti. Ad esempio, in un'azienda con poche centinaia di dipendenti che ha deciso di installare serrature elettroniche per accedere alla stanza dei server, saranno sufficienti alcuni messaggi di posta elettronica inviati ad alcuni dirigenti e al personale IT. Tuttavia, in un'azienda che ha deciso di adottare smart card, occorreranno molte comunicazioni prima, durante e dopo la distribuzione delle smart card e dei lettori perché gli utenti dovranno imparare a utilizzare un nuovo metodo di accesso ai computer e dovranno sicuramente far fronte a una molteplicità di situazioni nuove e inaspettate.
##### Costi di formazione per il personale IT
Si tratta di spese per la formazione del personale IT che deve implementare, gestire, monitorare e aggiornare la nuova soluzione di controllo. Si consideri l'esempio precedente dell'azienda che ha deciso di adottare le smart card. I vari team del reparto IT avranno responsabilità diverse e perciò dovranno ricevere diversi tipi di formazione. Il personale dell'helpdesk dovrà imparare ad aiutare gli utenti finali a risolvere problemi comuni, ad esempio smart card o lettori danneggiati e PIN dimenticati. Il personale del supporto desktop dovrà imparare a installare, risolvere, diagnosticare e sostituire i lettori di smart card. Un team del reparto IT, un team delle risorse umane o addirittura un team del reparto protezione fisica dell'azienda dovrà occuparsi della fornitura di smart card nuove e di riserva e del ritiro delle smart card dei dipendenti che lasciano l'azienda.
##### Costi di formazione per gli utenti
Si tratta di spese per la formazione degli utenti che devono assimilare un nuovo comportamento per poter utilizzare la nuova soluzione di controllo. Nell'esempio delle smart card citato in precedenza, tutti gli utenti dovranno capire come vanno utilizzate le smart card e i lettori e dovranno anche sapere come conservare le smart card, perché gran parte di queste tessere sono più sensibili alle condizioni estreme di quanto non lo siano le carte di credito e bancarie in generale.
##### Costi in termini di produttività e convenienza
Si tratta di spese attribuibili al fatto che la nuova soluzione di controllo potrebbe influire sul lavoro degli utenti. Nel caso delle smart card, si potrebbe presumere che le cose saranno più facili per l'organizzazione una volta trascorse le prime settimane o i primi mesi dall'implementazione delle smart card e dei lettori e dopo i primi interventi volti ad aiutare gli utenti a superare i problemi iniziali. Tuttavia, per la maggior parte delle organizzazioni la realtà sarà ben diversa. Molti utenti scopriranno, ad esempio, che le applicazioni esistenti non sono compatibili con le smart card. In alcuni casi ciò potrebbe non avere importanza, ma in altri potrebbe trattarsi di un problema serio, ad esempio in caso di incompatibilità con gli strumenti utilizzati dalle risorse umane per gestire informazioni riservate sui dipendenti oppure nel caso di incompatibilità con il software CMR (Customer Relationship Management) utilizzato dall'intera azienda per monitorare informazioni importanti su tutti i clienti.
Se applicazioni aziendali di importanza critica come quelle menzionate non sono compatibili con le smart card e sono configurate in modo da richiedere l'autenticazione degli utenti, l'organizzazione potrebbe essere costretta a una scelta difficile. Potrebbe scegliere di aggiornare il software, il che farebbe aumentare ulteriormente i costi perché occorrerebbero nuove licenze, operazioni di distribuzione e corsi di formazione oppure potrebbe disattivare le funzionalità di autenticazione, ma ciò ridurrebbe notevolmente il livello di protezione. In alternativa, potrebbe richiedere agli utenti di specificare nomi utente e password quando accedono a queste applicazioni, ma in questo caso gli utenti dovrebbero di nuovo ricorrere a password, compromettendo così uno dei vantaggi maggiori legati all'utilizzo delle smart card.
##### Costi per il controllo e la verifica dell'efficacia
È probabile che un'azienda debba sostenere spese per il controllo e la verifica dell'efficacia della nuova soluzione di controllo dopo averla implementata. Alcune domande che è possibile porsi per definire meglio questi costi sono le seguenti:
- Come è possibile assicurarsi che la soluzione di controllo abbia l'effetto desiderato?
- Alcuni membri del reparto IT eseguiranno test di penetrazione?
- Tenteranno di eseguire del codice dannoso per colpire la risorsa che la soluzione di controllo deve proteggere?
- Dopo che l'efficacia della soluzione di controllo è stata comprovata, come è possibile verificare periodicamente che la soluzione è ancora attiva?
L'organizzazione deve poter provare che nessuno ha modificato o disattivato accidentalmente o intenzionalmente la soluzione di controllo e deve decidere chi sarà responsabile di questa verifica. Per i beni estremamente importanti potrebbe essere necessario avere più persone che convalidino i risultati.
**Esempio di Woodgrove:** nelle tabelle 5.3 e 5.4 di seguito riportate, i responsabili della riduzione dei rischi hanno determinato i costi associati alle soluzioni di controllo. È necessario registrare le stime dei costi per ogni soluzione di controllo proposta nella colonna con l'intestazione "Descrizione del costo del controllo" nel foglio di lavoro GGRPStrumento3-Priorità rischi livello dettagliato.xls.
**Tabella 5.3: Costi di implementazione delle smart card per l'accesso VPN e amministrativo**
| Costi di acquisto |
Il costo di ogni smart card è di $ 15, al quale si aggiungono altri $ 15 per ogni lettore. L'accesso VPN (Virtual Private Networking) e amministrativo dovrebbe essere implementato solo per 10.000 dipendenti della banca, quindi il costo totale per le smart card e i lettori sarebbe di $ 300.000. |
$ 300.000 |
| Costi di implementazione |
La banca dovrebbe assumere consulenti esterni che assistano il personale IT nell'implementazione della soluzione a un costo di $ 750.000. Rimarrebbero comunque notevoli costi da sostenere per il tempo investito dai dipendenti della banca, per un totale di $ 150.000. |
$ 900.000 |
| Costi di comunicazione |
La banca utilizza già alcuni metodi prestabiliti per comunicare con i propri dipendenti, ad esempio newsletter stampate, siti Web interni e liste di distribuzione e-mail, quindi i costi da sostenere per informare i dipendenti della distribuzione delle smart card non sarebbero notevoli. |
$ 50.000 |
| Costi di formazione per il personale IT |
La banca ricorrerebbe agli stessi consulenti esterni che si sono occupati dell'implementazione per tenere corsi di formazione per il personale IT; il costo ammonterebbe a $ 10.000. La maggior parte del personale IT perderebbe da 4 a 8 ore lavorative, per un valore stimato di $ 80.000. |
$ 90.000 |
| Costi di formazione per gli utenti |
La banca si avvarrebbe di corsi di formazione sul Web forniti dal produttore delle smart card per insegnare ai dipendenti a utilizzarle; il costo sarebbe incluso nel prezzo delle smart card. Ogni dipendente della banca impiegherebbe circa un'ora per il corso, il che ammonterebbe a una perdita totale di produttività di circa $ 300.000. |
$ 300.000 |
| Costi in termini di produttività e convenienza |
Secondo la banca, l'utente medio perderà circa un'ora di produttività e un utente su quattro chiamerà l'helpdesk per chiedere assistenza per le smart card. La perdita in termini di produttività ammonterebbe a $ 300.000 e il costo delle chiamate all'helpdesk sarebbe di $ 100.000. |
$ 400.000 |
| Costi per il controllo e la verifica dell'efficacia |
Il Team di gestione dei rischi di protezione ritiene di poter controllare e verificare periodicamente l'efficacia della nuova soluzione di controllo a un costo di $ 50.000 per il primo anno. |
$ 50.000 |
| Totale |
|
$ 2.090.000 |
**Tabella 5.4: Costi per l'implementazione delle smart card per l'accesso locale**
| Costi di acquisto |
Il costo di ogni smart card è di $ 15, al quale si aggiungono altri $ 15 per ogni lettore. Dato che l'accesso locale dovrebbe essere garantito per tutti i 15.000 dipendenti della banca, il costo totale per le smart card e i lettori sarebbe di $ 450.000. La banca potrebbe anche essere costretta ad aggiornare o sostituire molte applicazioni aziendali al costo sostanziale di $ 1.500.000. |
$ 1.950.000 |
| Costi di implementazione |
La banca dovrebbe assumere consulenti esterni che assistano il personale IT nell'implementazione della soluzione a un costo di $ 750.000. Rimarrebbero comunque notevoli costi da sostenere per il tempo investito dai dipendenti della banca, per un totale di $ 150.000. |
$ 900.000 |
| Costi di comunicazione |
La banca utilizza già alcuni metodi prestabiliti per comunicare con i propri dipendenti, ad esempio newsletter stampate, siti Web interni e liste di distribuzione e-mail, quindi i costi da sostenere per informare i dipendenti della distribuzione delle smart card non sarebbero notevoli. |
$ 50.000 |
| Costi di formazione per il personale IT |
La banca ricorrerebbe agli stessi consulenti esterni che si sono occupati dell'implementazione per tenere corsi di formazione per il personale IT; il costo ammonterebbe a $ 10.000. La maggior parte del personale IT perderebbe da 4 a 8 ore lavorative, per un valore stimato di $ 80.000. |
$ 90.000 |
| Costi di formazione per gli utenti |
La banca si avvarrebbe di corsi di formazione sul Web forniti dal produttore delle smart card per insegnare ai dipendenti a utilizzarle; il costo sarebbe incluso nel prezzo delle smart card. Ogni dipendente della banca impiegherebbe circa un'ora per il corso, il che ammonterebbe a una perdita totale di produttività di circa $ 450.000. |
$ 450.000 |
| Costi in termini di produttività e convenienza |
Secondo la banca, l'utente medio perderà circa un'ora di produttività e un utente su quattro chiamerà l'helpdesk per chiedere assistenza per le smart card. La perdita in termini di produttività ammonterebbe a $ 450.000 e il costo delle chiamate all'helpdesk sarebbe di $ 150.000. |
$ 600.000 |
| Costi per il controllo e la verifica dell'efficacia |
Il Team di gestione dei rischi di protezione ritiene di poter controllare e verificare periodicamente l'efficacia della nuova soluzione di controllo a un costo di $ 150.000 per il primo anno. |
$ 150.000 |
| Totale |
|
$ 4.190.000 |
#### Passaggio 6 - Scelta della soluzione di riduzione dei rischi
L'ultimo passaggio nell'analisi dei costi-benefici consiste nel confrontare il livello di rischio ottenuto dopo l'implementazione della soluzione di controllo con il costo della soluzione stessa. Sia il livello di rischio che il costo della soluzione includono valori soggettivi che sono difficili da misurare accuratamente in termini finanziari. In questi casi, si consiglia di: utilizzare i valori quantitativi per effettuare un confronto ragionevole; non cedere alla tentazione di ignorare i costi intangibili che dovrebbero essere sostenuti qualora si verificasse il rischio; chiedere al responsabile del bene che cosa accadrebbe se il problema si verificasse; chiedere al responsabile di annotare per iscritto la sua risposta, che contribuirà alla valutazione dell'importanza della soluzione di controllo. In un confronto matematico questa accortezza può essere persuasiva quanto i valori quantitativi.
[.gif "Figura 5.9 Passaggio 6 della fase di supporto alle decisioni")](https://technet.microsoft.com/it-it/cc163155.rmch0509_big(it-it,technet.10).gif)
**Figura 5.9 Passaggio 6 della fase di supporto alle decisioni**
Un errore comune nell'analisi dei costi-benefici è quello di paragonare la quantità di riduzione del rischio alla quantità di rischio che rimane dopo l'implementazione della soluzione di controllo (*rischio residuo*). Un semplice esempio basato su valori quantitativi è il seguente: se il rischio è quantificabile attualmente in $ 1000 e la soluzione di controllo proposta riduce il rischio di $ 400, il titolare dell'azienda deve accettare un rischio residuo di $ 600 dopo l'implementazione della soluzione di controllo. Anche se la soluzione costa meno di $ 400, rimarrà comunque un rischio residuo di $ 600.
**Esempio di Woodgrove:** è probabile che la banca scelga di implementare le smart card solo per l'accesso remoto, perché il costo della loro implementazione per l'autenticazione di tutti gli utenti è decisamente elevato. Annotare quali soluzioni di protezione consigliate sono state scelte per l'implementazione prima di passare alla fase successiva del processo di gestione dei rischi di protezione Microsoft.
[](#mainsection)[Inizio pagina](#mainsection)
### Riepilogo
Nella fase di supporto alle decisioni, il Team di gestione dei rischi di protezione raccoglie altre informazioni fondamentali su ciascuno dei rischi principali individuati durante la fase di valutazione dei rischi. Per ogni rischio, il team specifica se l'azienda ha scelto di controllarlo, accettarlo, trasferirlo o evitarlo. Il team definisce poi i requisiti funzionali per ogni rischio. Dopo la definizione dei requisiti funzionali, i responsabili della riduzione dei rischi, in collaborazione con il Team di gestione dei rischi di protezione, creano un elenco di potenziali soluzioni di controllo. Il team fornisce quindi una stima del livello di riduzione del rischio fornito da ogni soluzione di controllo e dei costi associati a ogni soluzione proposta. Infine, il Comitato direttivo per la protezione sceglie quali soluzioni di controllo devono implementare i responsabili della riduzione dei rischi nella fase successiva, quella dell'implementazione delle soluzioni di controllo, descritta nel capitolo successivo.
[](#mainsection)[Inizio pagina](#mainsection)