Upload
gualtiero-baldini
View
214
Download
0
Embed Size (px)
Citation preview
2
• Direttiva Europea 114/08 CE• Liste di “Obiettivi sensibili”• Infrastrutture informatizzate (legge Pisanu ecc.)• Infrastrutture con impatto sui servizi e non• Infrastrutture con impatto in tempo reale (non immagazzinabili)
• Sicurezza nazionale o UE o NATO• es. Galileo• …
Prevention
Protection
Preview
Indication & warning Mitigation Response Reconstruction
ID & Designation
•CIP Secretariat
•Law enforcement
•Intelligence
•Local authorities
•Civil Protection
•Ministry of Interior
•Law enforcement
•Local authorities
•Civil Protection
•Ministry of Interior
•Local authorities
•Civil Protection
•Ministry of Interior
Pre-Event Post-Event
Nassim Nicholas TalebIl cigno nero
Impatto
Probabilità
0 1
Cigno nero: Evento non noto, non ne sappiamo calcolare alcuna caratteristica
Vulnerabilità
Esposizione• Eventi antropici• Impulso elettromagnetico• Clima spaziale• Eventi naturali con cadenza superiore alla memoria d’uomo• Premonizioni e millantate previsioni• …
• risk analysis and management• crisis management• business continuity• …
L’obiettivo è…
…stabilire un patto accettabile
88
Keeping up: The Enterprise Strategy Group, a consulting firm, asked 308 IT professionals in large companies what factors motivated their decisions to improve data security. Regulatory compliance topped the list .Credit: Credit: ESG Research Report, Protecting Confidential Data Revisited, April 2009
Perchè proteggersi?
Occorrerebbe parlare anche di una sicurezza "adattativa" alle minacce e quindi di una costante analisi previsionale (fatta in proprio, in outsourcing o condivisa con altri) in tempo reale (dove "tempo reale" si definisce in base alla attività svolta e al tipo di rischio che si vuole mitigare).
• Intelligence economica
• ISAC
• PPP public private partnership
• Formazione (www.sioi.org e www.luspio.it)
Cooperative Models for Effective Public Private Partnerships - Good Practice Guide 2011 ENISA
L’idea
Risk management
Asset
Resilienza
Robustezza
Servizi
•Interoperabilità •Neutralità tecnologica
•Business Continuity
•Back up•Dipendenza•Diversità•Duplicazione•Separazione
DIRETTIVA 2008/114/CE (D. lgsv. 61/2011)relativa all’individuazione e alla designazione delle infrastrutture critiche europee e alla valutazione della necessità di migliorarne la protezione
«infrastruttura critica» un elemento, un sistema o parte di questo ubicato negli Stati membri che è essenziale per il mantenimento delle funzioni vitali della società, della salute della sicurezza e del benessere economico e sociale dei cittadini ed il cui danneggiamento o la cui distruzione avrebbe un impatto significativo (in termini economici, di vittime, di effetti pubblici) in almeno due Stati membri a causa dell’impossibilità di mantenere tali funzioni;
La rilevanza dell'impatto è valutata in termini di dipendenze intersettoriali e prescinde dalla minaccia
Settori pilota: Energia e Trasporti
Infrastruttura Critica - definizione
…e l’ICT????
From Risk analysis to Impact analysis
Risk = f (Threat, Vulnerability, worst Exposure)
Impactdomino
• sum of consequences of outage of CIs involved in the domino effect (victims, economics, pub. consequences, …)
• “mitigation” factors
• real “exposure” at “ground zero” (victims, economics, pub. consequences, …)
• effectiveness of the attack• effectiveness of the reaction
Impactevent
EU programme EU programme "Prevention, "Prevention, Preparedness Preparedness and and Consequence Consequence Management of Management of Terrorism and Terrorism and other Security other Security Related Risks" Related Risks" for the period for the period 2007-2013 2007-2013
A procedure for the A procedure for the identification and identification and designation of ECIdesignation of ECI
A common approach A common approach to the assessment of to the assessment of the needs to improve the needs to improve the protection of such the protection of such infrastructuresinfrastructures
EPCIP Action PlanEPCIP Action Plan
Critical Infrastructure Critical Infrastructure Warning Information Warning Information Network (CIWIN)Network (CIWIN)
CIP expert groups CIP expert groups
CIP information sharingCIP information sharing
identification and analysis identification and analysis of interdependenciesof interdependencies
..
D. Lgs. 61/2011
• Incontri bilaterali con FR, SL, AU effettuati nel 2010• Richieste e offerte inoltrate a MISE e Trasporti nel 2011• Attendiamo decreti dirigenziali…
D. Lgs. 61/2011