Fase di definizione

La fase di definizione dei bisogni in termini di sicurezza è il primo passo verso l'attuazione di una politica di sicurezza.

L'obiettivo consiste nel determinare i bisogni dell'organizzazione facendo un vero e proprio rapporto sulla situazione del sistema d'informazione, poi studiare i differenti rischi e la minaccia che essi rappresentano per mettere in essere una politica di sicurezza appropriata.

la fase di definizione comporta quindi tre tappe :

• L'identificazione dei bisogni
• L'analisi dei rischi+
• La definizione della politica di sicurezza

Identificazione dei bisogni

La fase di identificazione dei bisogni consiste in un primo tempo nel fare l'inventario del sistema di informazione, soprattutto per i seguenti elementi :

• Personale e funzioni ;
• Hardware, server e servizi rilasciati ;
• Mappatura di rete (piano di indirizzamento, topologia hardware, topologia software, ecc) ;
• Lista di nomi di dominio dell'azienda ;
• Infrastrutture di comunicazione (router, commutatori, ecc.) 
• Dati sensibili.

Analisi dei rischi

La tappa di analisi dei rischi consiste nel repertoriare i differenti rischi occorsi, nella stima della loro probabilità e infine nello studio del loro impatto.

Il miglior approccio per analizzare l'impatto di una minaccia consiste nello stimare il costo dei danni che potrebbe causare (ad esempio attacco su un server o deterioramento di dati vitali per l'azienda).

Su questa base, può essere interessante redigere una tabella dei rischi e del loro potenziale, cioè la loro probabilità di prodursi, attribuendo loro dei livelli scaglionati secondo un criterio da definire, ad esempio :

• Senza oggetto (o improbabile) : la minaccia non ha ragione d'essere ;
• Debole : la minaccia ha poche possibilità di prodursi ;
• Media : la minaccia è reale ;
• Alta : la minaccia ha elevate possibilità di prodursi.

Definizione della politica di sicurezza

La politica di sicurezza è il documento di riferimento che definisce gli obiettivi perseguiti in materia di sicurezza e i mezzi posti in essere per assicurarli.

La politica di sicurezza definisce un certo numero di regole, procedure e pratiche che permettono di assicurare un livello di sicurezza conforme ai bisogni dell'organizzazione.

Un documento simile deve necessariamente essere trattato come un vero progetto che associ i rappresentanti degli utenti e rivolto al più alto livello gerarchico, affinché possa essere accettato da tutti. Una volta terminata la politica di sicurezza, si devono comunicare le clausole che riguardano il personale, per poter dare alla politica di sicurezza il massimo impatto possibile.

Metodi

Esistono numerosi metodi che permettono di mettere a punto una politica di sicurezza. Ecco una lista non esaudiente dei principali metodi :

• MARION (Metodologia di Analisi dei Rischi Informatici Ortientata per Livello), messa a punto dal CLUSIF ;
  • https://www.clusif.asso.fr/fr/production/mehari/
• MEHARI (Metodo Armonizzata di Analisi dei Rischi) ;
  • https://www.clusif.asso.fr/fr/production/mehari/
• EBIOS (Espressione dei Bisogni di Identificazione degli Obiettivi di Sicurezza), messa a punto dalla DCSSI (Direzione Centrale della Sicurezza dei Sistemi di Informazione) ;
  • http://www.ssi.gouv.fr/fr/confiance/ebios.html
• La norma ISO 17799.