laboratorio di informatica sicurezza ict analisi · pdf filelaboratorio di informatica ......

22/11/2012

1

1Ing. M. Paolizzi (A.A.2012-13)Sicurezza ICT e Analisi del rischio

LABORATORIO DI INFORMATICA

Sicurezza ICTAnalisi del rischio

Corso di Laurea Magistrale in finanza delle aziende e dei mercatiFacoltà di Scienze Politiche

A.A.2012/2013

2

Introduzione alla sicurezza ICT

• La sicurezza è una tematica complessa earticolata per introdurre la qualedefiniremo la metodologia di base perrispondere alle seguenti domande:– Cosa vuol dire “sicuro” in ICT ?

– Cosa bisogna proteggere ?

– Da cosa bisogna proteggere ?

– Come bisogna proteggere ?

– Quanto bisogna proteggere ?

Ing. M. Paolizzi (A.A.2012-13)Sicurezza ICT e Analisi del rischio

3

Introduzione alla sicurezza ICT– Cosa vuol dire “sicuro” in ICT ?

Che posso accedervi solo io?

Che si tratta di informazioni «affidabili»? Chi certifica la «affidabilità»?

– Cosa bisogna proteggere ? Il PC?

I dati sull’hard disk?

Le connessioni?

– Da cosa bisogna proteggere ? Dagli hacker??? Ma chi sono?

Ma un Computer che non va su Internet deve essere protetto?

Dai terremoti?

Dai virus?

– Come bisogna proteggere ? Basta installare il software giusto?

Basta non andare su siti «strani»?

– Quanto bisogna proteggere ? Sempre al «massimo»? Ma che vuol dire?

Quanto basta? Ma chi lo stabilisce?


22/11/2012

2

4

Sicurezza ICT

• Disciplina che attraverso vari processi,azioni, procedure, consente di trattareinformazioni e risorse informatiche inmodo appropriato in relazione a obiettiviriferiti ai seguenti concetti base:1. Riservatezza

2. Integrità

3. Disponibilità

4. Autenticità

5. Non ripudio


5

Concetti base della sicurezza

1. RISERVATEZZA: informazioni e risorsedevono essere accessibili esclusivamentea coloro che ne sono i legittimi fruitori;

2. INTEGRITA’: informazioni e risorse nondevono essere modificabili (alterabili) dachi non ne ha diritto;

3. DISPONIBILITA’: Gli utenti devono poteraccedere e fruire di informazioni e risorsedi cui hanno legittimamente bisogno equando ne hanno bisogno;


6

Concetti base

4. AUTENTICITA’: E’ necessario potersempre attribuire in modo certo e univocouna azione, un documento, un messaggio,a colui che ne è il vero autore;

5. NON RIPUDIO: E’ necessario impedire ildisconoscimento di una azione, di unmessaggio o di un documento, da partedell’autore.


22/11/2012

3

7

Beni

• Un bene è tutto ciò (materiale oimmateriale) che ha un valore e, pertanto,deve essere protetto.

• Esempi:– le informazioni;

– le risorse informatiche;

– l’immagine della Azienda;

– la Privacy;

– …


8

Obiettivi di sicurezza

• Gli obiettivi di sicurezza sono ciò che ci siprefigge di ottenere per i propri beni intermini di riservatezza, integrità,disponibilità, etc.

• Proteggere un bene significa raggiungereun adeguato livello di riservatezza,integrità, disponibilità, etc.

• Tale livello è l’obiettivo di sicurezza perquel bene.


9

Minacce

• Una minaccia è qualsiasi azione, accidentale odeliberata, che potrebbe comportare laviolazione di qualche obiettivo di sicurezza;

• Una minaccia dipende sempre da un fattoreesterno al sistema che può essere di originenaturale o antropica;

• ESEMPI:– Terremoto: minaccia accidentale di origine naturale;– Attacco «Hacker»: minaccia deliberata di origine

antropica;– Smarrimento password: minaccia accidentale di

origine antropica.Ing. M. Paolizzi (A.A.2012-13)Sicurezza ICT e Analisi del rischio

22/11/2012

4

10

Vulnerabilità

• Una vulnerabilità è una debolezzaintrinseca di un sistema informatico;

• A differenza delle minacce non dipende daagenti esterni ma è una proprietà delsistema stesso;

• Se un agente esterno attua una minacciache sfrutta una vulnerabilità si ha unaviolazione di un obiettivo di sicurezza;

• ESEMPI:– Errori di progettazione– Gli… utenti!!!


11

Rischio

• Il rischio è il prodotto di due fattori:– La probabilità che un evento dannoso si possa

verificare;– L’impatto (nel senso delle conseguenze) che

l’evento dannoso avrebbe sul sistema se siverificasse;

• RISCHIO=PROBABILITA’x IMPATTO• Il rischio deve essere gestito attraverso

azioni mirate a ridurre uno o entrambi ifattori che lo costituiscono.


12

Contromisure

• Le contromisure di sicurezza sono le scelteprogettuali, le azioni, gli accorgimenti,finalizzati a:– limitare le vulnerabilità– fronteggiare le minacce

• Le contromisure possono essere di vari tipi:– fisiche (es. chiudo la sala server)– procedurali (politica di aggiornamento del SW)– tecniche (sistemi Hardware/software/firmware)


22/11/2012

5

13

Costo della sicurezza

• Le contromisure hanno un costo, propriocome il verificarsi di un evento dannoso;

• Il costo delle contromisure deve essereproporzionato al valore del bene daproteggere e ai rischi connessi;

• Non è possibile annullare completamenteun rischio (costo infinito);

• Occorre stabilire il livello di rischio che èaccettabile conservare: compromesso tracontromisure e rischio residuo;


14

Riservatezza: un Esempio

• Obiettivo: impedire che dati e risorsepossano essere visibili o accessibili per chinon è autorizzato;

• Rischio: persone estranee possono leggereun messaggio;

• Vulnerabilità: le informazioni viaggianoapertamente sul mezzo trasmissivo;

• Contromisure: Crittografia;


15

Crittografia

• Disciplina che studia il modo di nascondere il significato deimessaggi a chi non è il legittimo destinatario;

• Costituisce una contromisura finalizzata a garantire lariservatezza;

• Un sistema crittografico consta di 4 elementi fondamentali:– il testo in chiaro: il messaggio del quale si vuole garantire la

riservatezza;

– l’algoritmo di cifratura: il metodo con il quale un testo in chiaroviene trasformato;

– la chiave di cifratura: elemento fondamentale che stabilisce larelazione sussistente tra il messaggio in chiaro e quello cifrato inbase alla trasformazione operata dall’algoritmo di cifratura;

– testo cifrato: il risultato della applicazione della chiavecrittografica al testo in chiaro con l’algoritmo di cifraturaprescelto.


22/11/2012

6

16

Sistema Crittografico


0FF0120134900001A000099912473220

Insegnamento di "LaboratorioInformatico" A.A. 2012-13Ing, Mariano PaolizziCorso di Laurea Magistrale infinanza delle aziende e dei mercatiFacoltà di Scienze Politiche

±þƒ^ä©Á"ü~à¶Qg9½¶ý'Çñ{m¨rT²lBž]¹5Œ˜Î5ÔÆ4Æ60™Ä˜ß~7Šâz0@À>“†¹°›aÒÿXhg,¡þ[ZCìn˜nHÑ½¸n‚ü#£¸ôý&•�_ŠHê$m!c{°pû˜?Ù¿9RhB†RÞwÃ$—$‰çÛKüÀòW1p·m\ÜZÉy?fƒÅý7›É%ñ´ÅN

3DES

17

Algoritmi crittografici

• Il metodo utilizzato per crittografare unmessaggio è detto algoritmo crittografico;

• Esistono due grandi classi di algoritmicrittografici:– Algoritmi simmetrici (o a chiave simmetrica);– Algoritmi asimmetrici (o a chiave pubblica);

• Negli algoritmi SIMMETRICI si utilizza lamedesima chiave sia per cifrare che perdecifrare;

• Negli algoritmi ASIMMETRICI si utilizzanodue chiavi diverse chiamate rispettivamente«chiave pubblica» e «chiave privata».


18

• Bob, seduto all’ultimobanco, deve trasmettereun messaggio riservatoad Alice;

• Il foglio con ilmessaggio deveattraversare tutti ibanchi sino a quello diAlice;

• Anche se altrileggessero il messaggioAlice deve essere l’unicaa comprenderne ilcontenuto.

Il problema: un semplice esempio


PerAlicePerAlice

BOB

ALICEPerAlicePerAlice

22/11/2012

7

19

Il problema: un semplice esempio

• Bob vuole chiedere ad Alice diuscire assieme e le propone unappuntamento. Non vuole chealtri lo sappiano;

• Il testo che vorrebbe scrivere sulfoglietto è:


PerAlicePerAlice

BOB

Per AliceCiao, vorrei uscire conte. Ci vediamo domanialle 18.00 in Piazzadella Repubblica?

Per AliceCiao, vorrei uscire conte. Ci vediamo domanialle 18.00 in Piazzadella Repubblica?

20

Una semplice soluzione

• Scriviamo su un foglio l’alfabeto (inglese)26 lettere:

ABCDEFGHIJKLMNOPQRSTUVWXYZ

• E sotto di esso lo stesso alfabeto«ruotato» di un certo numero K diposizioni, per esempio K=13:– ABCDEFGHIJKLMNOPQRSTUVWXYZ

– NOPQRSTUVWXYZABCDEFGHIJKLM

• Sostituiamo ogni lettera del testo in chiarocon la lettera corrispondente dell’alfabeto«ruotato».


21

Una semplice soluzione

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

N O P Q R S T U V W X Y Z A B C D E F G H I J K L M

• Per Alice Ciao, vorrei uscire con te. Ci

• Cre Nyvpr Pvnb, ibeerv hfpver pba gr. Pvvediamo domani alle 18.00 in Piazza della

• irqvnzb qbznav nyyr 18.00 va Cvnmmn qryyn

• Repubblica?

• Erchooyvpn?


22/11/2012

8

22

• Bob, fa scorrere tra ibanchi il messaggiocifrato;

• Il foglio con ilmessaggio corre dimano in mano senzache nessuno riesca acapirne il significato;

• Alla fine il messaggiogiunge ad Alice…

• Alice riesce acomprenderlo?

Una semplice soluzione e un altropiccolo problema


CreNyvprCreNyvpr

BOB

ALICECreNyvprCreNyvpr

23

La trasmissione della chiave

• Perché il legittimodestinatario (Alice)possa decifrare ilmessaggio deveconoscere la chiavecrittografica (K=13)utilizzata dal mittente(Bob);

• Scambiarsi la chiavepuò essere unproblema analogo aquello di scambiarsi ilmessaggio!!!


CreNyvprCreNyvpr

BOB

ALICECreNyvprCreNyvpr

24

Cifrario di Cesare

• Poiché la chiave crittografica è la stessasia per cifrare che per decifrare, siamo inpresenza di un sistema crittograficoSIMMETRICO;

• Questo algoritmo (K=3) veniva utilizzatoda Giulio Cesare in Gallia;

• Poiché le lettere dell’alfabeto in chiarovengono sostituite da lettere diverse delmedesimo alfabeto, ci sono SOLO 25chiavi;

• E’ facile forzare un tale cifrario.Ing. M. Paolizzi (A.A.2012-13)Sicurezza ICT e Analisi del rischio

22/11/2012

9

25

Forzare il cifrario di Cesare

• Forse per i Galli era difficile, ma per noi èbanale forzare il cifrario di Cesare:– Le chiavi possibili sono 25: alla peggio andiamo

per tentativi (metodo per esaustione);

– L’alfabeto italiano ha delle regolaritàstatistiche: se il testo è abbastanza lungopossiamo sfruttare il fatto che le letterericorrono sempre con la stessa frequenza (LeonBattista Alberti, 1404-1472).


26

Le frequenze della lingua italiana

• Le lettere dell’alfabeto in chiaro e quelledell’alfabeto cifrante avranno la stessafrequenza;

• Le lettere più frequenti (più probabili) sono levocali (E 12.63%, I 11,62%, A 10,41%,…).


27

Esercizio: metodo statistico

• Applichiamo l’analisi statistica al seguentetesto crittografato:

• A' eilknpwjpa aooana ykjowlarkhe zaexajabeye a zae neoyde hacwpe whh'qokzache opnqiajpe payjkhkceye. Jkj zkxxewikhwoyewnye ejcwjjwna zwhhw bwyehepà zeqpehevvk ze pwhe opnqiajpe. Neyknzewikoailna yda aooe okjk wh jkopnk oanrevek ajkj reyaranow.

• Utilizziamo MS EXCEL;


22/11/2012

10

28

Analisi statistica con MS Excel - 1

• Nella cella A1 scriviamo in grassetto:TESTO CIFRATO;

• Copiamo il testo cifrato nella cella A2;


29


• Dobbiamo «contare» le occorrenze diciascuna lettera dell’alfabeto presente nelmessaggio cifrato;

• Per fare questo dobbiamo inserireciascuna lettera in una diversa cella;

• Naturalmente non dobbiamo farlo «amano»;

• Possiamo sfruttare:– Funzioni;

– Completamento automatico;


30

• Utilizziamo la FUNZIONE:=STRINGA.ESTRAI(testo;inizio;num_caratt)

che restituisce un numero specifico di caratteri(num_caratt) a partire da una posizione data (inizio);

• Estraiamo, uno alla volta i caratteri dalla stringacostituente il testo cifrato:– STRINGA.ESTRAI(A2;1;1)

– STRINGA.ESTRAI(A2;2;1)

– STRINGA.ESTRAI(A2;3;1)

– …fino all’ultimo carattere della stringa!!!

– Come facciamo a sapere quanti caratteri ha la stringa: =LUNGHEZZA(A2)

249



22/11/2012

11

31


• In A3 scriviamo in grassettoil testo «lettere»;

• In C3 scriviamo il testo«lunghezza stringa»;

• In C4 poniamo la funzione=LUNGHEZZA(A2)

• Nella colonna C, da C4 aC252 mettiamo gli indici«inizio» per la funzioneSTRINGA.ESTRAI utilizzandoil completamentoautomatico.


32


• In A4 scriviamo:=STRINGA.ESTRAI($A$2;D4;1)ponendo attenzione airiferimenti assoluti di cella;

• Utilizziamo il completamentoautomatico da A4 a A252;

• Otteniamo così che ciascuncarattere del testo cifrato siain una cella distinta in mododa poterne contare lafrequenza.


33


• Nell’intervallo F4: F9, utilizzandosempre la funzione dicompletamento automaatico,scriviamo le 26 letteredell’alfabeto;

• Nella cella G3 scriviamo ingrassetto il testo «frequenza»;

• Nella cella G4 calcoliamo lafrequenza con cui la lettera in F4compare nell’intervallo A4:A252:=CONTA.SE($A$4:$A$252;F4)/$C$4

• Prestando attenzione airiferimenti di cella assoluti,usiamo il completamentoautomatico da G4 a G29.


22/11/2012

12

34


• Abbiamo ottenuto le frequenze deltesto cifrato;

• Confrontiamole con quelledell’alfabeto in chiaro:

• le lettere più frequenti sono le vocali«E» ed «I»;

• Nel testo cifrato sono «e» ed «a».


35


• e lettere più frequenti sono le vocali«e» ed «i»;

• Nel testo cifrato sono «e» ed «a».

• Chiaramente la «e» non puòcorrispondere alla «e»: supponiamoche la «a» corrisponda alla «e» e la«e» alla «i»;


36


• Proviamo a sovrapporre gli alfabeti:A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

W X Y Z A B C D E F G H I J K L M N O P Q R S T U V

• Proviamo a sostituire i caratteri deltesto cifrato…


22/11/2012

13

37


• A' eilknpwjpa aooana ykjowlarkhe zaexajabeye a zae neoyde hacwpe whh'qokzache opnqiajpe payjkhkceye. Jkj zkxxewikhwoyewnye ejcwjjwna zwhhw bwyehepà zeqpehevvk ze pwhe opnqiajpe. Neyknzewikoailna yda aooe okjk wh jkopnk oanrevek ajkj reyaranow.

• E' importante essere consapevoli dei beneficie dei rischi legati all'uso degli strumentitecnologici. Non dobbiamo lasciarci ingannaredalla facilità di utilizzo di tali strumenti.Ricordiamo sempre che essi sono al nostroservizio e non viceversa.


38

Crittografia asimmetrica

• Le chiavi per cifrare e decifrare sonodiverse;

• Ogni utente possiede due chiavi:– Chiave privata: nota sempre e solo al

proprietario;

– Chiave pubblica: conoscibile da chiunque;

• Se Alice vuole inviare un messaggiocrittografato a Bob, deve solo cifrarlo conla Chiave Pubblica di Bob: a Bob basteràdecifrarlo con la propria chiave privata.


39

Una semplice analogia

• Bob utilizza un cofanetto pertrasmettere un messaggio ad Alice;

• Bob possiede un lucchetto di cui eglisolo ha la chiave;

• Anche Alice possiede un lucchetto dicui, sola, possiede la chiave;

• Il messaggio è dentro il cofanetto edeve rimanere accessibileesclusivamente a Bob ed Alice;

• Come può fare Bob?


22/11/2012

14

40


1. Bob chiude il cofanetto con il propriolucchetto e lo spedisce ad Alice;

2. Alice (che non può aprirlo) chiude ilcofanetto (anche) con il proprio lucchettoe lo rispedisce a Bob;


41


3. Bob apre il proprio lucchetto e rispedisceil cofanetto ad Alice;

4. Alice apre il proprio lucchetto e legge ilmessaggio…

5. …e non vi è stato scambio di chiavi!!!


42

Malware

• Il Malware (MALicious softWARE) o codicemaligno è una ampia categoria di programmiprogettati e sviluppati appositamente perdanneggiare i sistemi su cui vengonoeseguiti;

• Esistono molti tipi di malware:– Virus– Worm– Trojan (cavalli di troia)– Spyware– …


22/11/2012

15

43

Virus

• Un virus è un particolare software che si inserisce all’interno diun programma esistente ed è in grado, una volta eseguito, diinfettare dei file in modo da riprodursi facendo copie di sestesso, senza farsi rilevare dall'utente;

• In analogia ai virus biologici, i virus informatici infettano un fileesistente e si propagano mano a mano infettando altri file;

• I virus possono essere più o meno dannosi per il sistemaoperativo che li ospita, ma anche nel caso migliore comportanoun certo consumo di risorse in termini di RAM, CPU e spazio suldisco fisso;

• Questo malware costituisce una minaccia per riservatezza,integrità e disponibilità;

• La contromisura è l’avere installato un software antiviruscontinuamente aggiornato e adottare un comportamentoresponsabile.


44

Worm

• Un worm (verme), è una particolarecategoria di malware in grado diautoreplicarsi;

• È simile ad un virus, ma a differenza diquesto non necessita di legarsi ad altri fileseseguibili per diffondersi;

• Un worm si replica continuamenteconsumando risorse onde inficiare ladisponibilità;

• La contromisura è l’avere installato unsoftware antivirus continuamente aggiornatoed adottare un comportamento responsabile.


45Ing. M. Paolizzi (A.A.2012-13)Sicurezza ICT e Analisi del rischio

Trojan horse

• Un Trojan Horse è un malware che si maschera in modo dasembrare qualcos'altro, in genere qualcosa di allettante;

• Ha spesso nomi accattivanti come tuttogratis.exe opasswordfree.exe;

• Il Trojan Horse non replica né copia se stesso ma danneggia ocompromette la sicurezza del computer tipicamenterimuovendo le difese per consentire attacchi più massicci dallarete;

• Un Trojan (Horse) può essere inviato o trasportato da un altroprogramma e può arrivare nella forma di programma burla oapplicazione di altro tipo;

• La contromisura è l’avere installato un software antiviruscontinuamente aggiornato ed adottare un comportamentoresponsabile.

22/11/2012

16

46

Esempio di virus


47

Esempio di Trojan


48

Spyware

• Si tratta di malware progettati perraccogliere informazioni sulle attivitàdell’utente;

• Trasmettono le informazioni raccoltetramite la rete a qualcuno che ne trarrà unillecito profitto;

• La contromisura è l’avere installato unsoftware antispyware continuamenteaggiornato ed adottare un comportamentoresponsabile.


22/11/2012

17

49

Il malware come minaccia


50

Una new entry: lo Scareware

• Lo scareware è una recente forma di malwareapparsa su Internet;

• Si tratta di un codice malevolo in grado di imitaregli alert dei browser più diffusi per implementareuna forma ingannevole di Web marketing;

• Lo scopo è quello di spaventare gli utenti,paventando il rinvenimento di file pericolosi oinfetti sul PC, allo scopo di indurli all'acquisto eall'installazione del software millantato qualesoluzione al problema.

• E’ opportuno diffidare di messaggi che compaionodurante la navigazione Internet ed invitano adinstallare software o plug-in che renderebbero piùsicuro il PC in uso.


51

Esempio di scareware: Msil/Zeven


22/11/2012

18

52

Phishing

• Tipo di attacco basato sulla ingenuità dell’utenteche “abbocca” alla trappola;

• Viene mandata una email in cui l’attaccante sispaccia per un servizio noto all’utente (la propriabanca, ebay, etc.);

• Nell’email si chiede di inserire le propriecredenziali per una verifica, per accedere a unpremio o per migliorare il servizio;

• La mail è camuffata in modo da sembrareautentica;

• I servizi reali non chiedono MAI le credenziali viae-mail.


53

Esempi di Phishing


54

Ingegneria sociale

• Insieme di metodi e tecniche, basate suinganno, persuasione e mistificazione,finalizzate ad indurre gli utenti a rivelareinformazioni o rimuovere “volontariamente”protezioni affinché l’attaccante possaperseguire i suoi scopi criminosi (cfr. Phishinge Scareware).

• Minaccia mirata ad una vulnerabilitàterribilmente pericolosa: l’utente!!!

• «Secondo un detto famoso, il solo computersicuro è quello spento. Arguto, ma inesatto:un pretesto ti convincerà ad andare in ufficioper accenderlo» ( Kevin «condor» Mitnick).


22/11/2012

19

55

Ingegneria sociale• «Un'azienda potrebbe anche essersi dotata delle

migliori tecnologie di sorveglianza, avereaddestrato i dipendenti a mettere sotto chiavetutti i segreti prima di smontare la sera e assuntoguardie giurate della migliore agenzia del settore.Ed essere ancora vulnerabile.

• I singoli individui possono seguire le miglioritattiche consigliate dagli esperti, installaresupinamente tutti i prodotti raccomandati, essereassolutamente rigorosi sull'adatta configurazionedi sistema e tempestivi nell'apportare lecorrezioni del caso.

• Ma queste persone sarebbero ancora totalmentevulnerabili».

• «Quando non molto tempo fa ho deposto davantial Congresso, ho spiegato che spesso riuscivo aottenere password e altre informazioni delicatedalle aziende fingendo di essere qualcun altro ebanalmente chiedendole».

• Perché il fattore umano è sul serio l'anello piùdebole della sicurezza.


56

Antivirus

• Programma che effettua scansioni di dischie memoria per individuare e rimuoverevirus, trojan e worm;

• Utilizza un database dei malwareconosciuti;

• Deve essere aggiornato costantemente;

• Esistono anche antivirus online.


57

Antispyware

• Programma che effettua scansioni di dischie memoria per individuare e rimuoverespyware;

• Utilizza un database dei malwareconosciuti;

• Deve essere aggiornato costantemente.


22/11/2012

20

58

Firewall

• Si tratta di un dispositivo hardware o di un software (es.firewall personali);

• Isola due porzioni di una rete filtrando e controllando ipacchetti in transito dall’una all’altra;

• Tipicamente viene utilizzato per separare una rete interna"fidata" da una rete esterna (per esempio Internet);

• La funzione del firewall è quella di limitare l'accesso alla reteinterna consentendo solo il traffico che possa presumersi"sicuro".


59

Non sottovalutiamo le minacce…


60

Risk Assessment

• ll "Risk Assessment" o "Analisi del Rischio"è una metodologia per la determinazione(quantitativa o qualitativa) del rischioassociato a determinate «minacce» o«pericoli»;

• E’ parte della più ampia Risk Management;

• Essa può essere applicata in moltissimicampi:o Modello di Organizzazione e Gestione «231»;

o Sistemi di gestione Ambientale (SGA);

o Sicurezza sul Lavoro;

o …

22/11/2012

21

61

Fasi della Analisi del Rischio

• Classificazione delle informazioni e dellerisorse informatiche (beni);

• Identificazione delle minacce;

• Identificazione delle vulnerabilità;

• Identificazione del livello di rischio.


62

Analisi del rischio quantitativa

• Si considerano le previsioni di danno perogni attuazione di minaccia;

• Si stima in qualche modo (es. frequenza,dati storici, esperienza) la probabilità;

• L’analisi quantitativa è veramentecomplessa.


63

Analisi del rischio qualitativa

• Si basa sull’esperienza;

• Esistono diversi metodi per rendere ilgiudizio meno soggettivo possibile (es. cisi basa su valutazioni di diversi soggetti);


22/11/2012

22

64

FINE


laboratorio di informatica sicurezza ict analisi · pdf filelaboratorio di informatica ......

Documents