Contromisure ai rischi per un sistema informatico
Individuato l’insieme degli eventi indesiderati e valutato il rischio ad essi associato (Valutazione del rischio per un sistema informatico), occorre ora scegliere le contromisure ai rischi da adottare per neutralizzarli. In questa selezione, accanto ai criteri, è opportuno tenere conto degli standard e dei modelli di riferimento emessi da varie organizzazioni internazionali. Delineato l’insieme di tutte le contromisure ai rischi utili, occorre poi effettuare una valutazione costo/benefici per ciascuna contromisura, allo scopo di selezionare un sottoinsieme efficace di minimo costo.
Di seguito approfondiamo dunque gli aspetti legati alla valutazione del costo e della efficacia di una contromisura mentre nel prossimo articolo parleremo delle Contromisure da adottare per proteggere un sistema informatico.
Valutazione del costo e dell’efficacia di una contromisura
La considerazione, almeno qualitativa, del rapporto costo/efficacia di ciascuna contromisura, permette di valutarne il grado di adeguatezza, evitando in particolare quelle contromisure con un costo ingiustificato rispetto al rischio dal quale proteggono.
L’efficacia di una contromisura può essere valutata, in prima analisi, come funzione del rischio dal quale protegge, cioè dal rischio complessivamente legato agli eventi indesiderati che neutralizza.
Il costo di una contromisura deve essere valutato ponendo la dovuta attenzione sui cosiddetti costi nascosti. Oltre al lavoro necessario per individuare ed attuare le contromisure, infatti, occorre tenere presenti le limitazioni che esse impongono e le operazioni di controllo che introducono nel flusso di lavoro del sistema informatico e dell’organizzazione nel suo complesso. Il costo di una contromisura, insomma, deve essere valutato su vari fronti, sia tecnologici che organizzativi.
Si hanno, in particolare:
- un costo di messa in opera della contromisura: si tratta di un costo “una tantum” che assume particolare rilevanza laddove la contromisura imponga un riassetto logistico dell’ organizzazione (adeguamento di locali, trasloco di apparecchiature, ecc.);
- un peggioramento dell’ergonomia della interfaccia utente: aumentare la sicurezza di un sistema informatico impone generalmente la introduzione o la complicazione delle procedure di autenticazione degli utenti; l’utente che viene costretto a digitare una password ogni volta che accede ad un servizio riservato, ad esempio, troverà il sistema informatico meno piacevole da utilizzare;
- un decadimento delle prestazioni del sistema nell’erogare i servizi: allo scopo di validare le autorizzazioni di accesso, o di cifrare le informazioni riservate, un sistema informatico può spendere una parte anche consistente della sua potenza elaborativa; ne consegue un decadimento prestazionale che, superati certi limiti, si traduce in un calo nella produttività degli utenti;
- un aumento nella complessità di procedure e norme comportamentali come la registrazione delle presenze o le richieste di intervento tecnico.