Docs Italia beta

Documenti pubblici, digitali.

Linee guida per lo sviluppo e la definizione del modello nazionale di riferimento per i CERT regionali
Progetto: Documenti in consultazione
Amministrazione: AGID
Informazioni
Sorgente
Azioni

12. Modelli di analisi e valutazione dei risultati raggiunti

Disporre di metriche ben definite è essenziale per poter valutare i risultati delle attività di un CERT e dell’azione complessiva verso la propria constituency. Tali prestazioni devono essere valutate sia in termini di robustezza dei risultati (efficacia) che di tempestività nel raggiungimento (efficienza).

Tali misure forniscono informazioni fondamentali per il management del CERT al fine di migliorare le prestazioni dell’organizzazione e determinare il livello target di efficacia delle pratiche e processi di sicurezza implementati in favore della propria constituency.

Esistono diverse modalità per misurare i risultati delle attività di un CERT. Nell’ambito di questo documento, si propongono alcune metriche organizzate rispetto a tre differenti categorie:

  • indicatori sulla qualità della risposta degli incidenti;
  • indicatori sulla qualità della prevenzione degli incidenti;
  • indicatori sulle capacità generali del CERT, utilizzate per valutare – anche indirettamente - l””impatto” della mission del CERT.

12.1. Indicatori sulla qualità della risposta agli incidenti

  • Numero di incidenti segnalati
  • Numero di incidenti gestiti
  • Numero di incidenti ricorrenti già gestiti in passato
  • Tempo medio di risoluzione di un incidente (espresso ad esempio rispetto al tipo di incidente, al livello di gravità, alle risorse critiche coinvolte)
  • Definizione di processi con fasi chiaramente identificate, ruoli e responsabilità e meccanismi di escalation
  • Disponibilità di strumenti e standard condivisi
  • Livello di consapevolezza raggiunto dalle diverse parti interessate (come indicatore delle capacità di comunicazione del CERT)
  • Tempo medio per il contenimento iniziale di un incidente cyber
  • Tempo medio tra il momento in cui l’incidente è rilevato e il momento in cui è assegnato a un gruppo di lavoro
  • Capacità di identificare la natura dell’incidente e/o delle caratteristiche dell’attacco (vulnerabilità sfruttata, attaccante, motivazione)
  • Percentuale di incidenti di sicurezza gestiti in conformità con le politiche, le procedure e i processi stabiliti
  • Capacità di rimuovere la minaccia dal target attaccato
  • Capacità di collaborare con altri team CERT a supporto di indagini e procedimenti giudiziari (ad es. espressa come numero di organizzazioni/CERT con cui sono stati sottoscritti accordi di reciproco data-sharing)
  • Livello di precisione delle stime effettuate dal CERT durante la gestione dell’incidente rispetto a quelle convalidate durante l’analisi post-incidente (ciò può fornire indicazioni utili sull’efficacia della capacità decisionale del CERT in condizioni di incertezza)
  • Capacità del CERT di adattarsi rapidamente all’evoluzione delle circostanze dell’incidente, mantenendo i livelli di servizio e qualità attesi

12.2. Indicatori sulla qualità della prevenzione degli incidenti

  • Percentuale di incidenti cyber che hanno sfruttano vulnerabilità esistenti con soluzioni, patch o workaround
  • Percentuale di incidenti cyber che hanno sfruttato vulnerabilità non note (es. Zero-day attacks)
  • Tempi medi che intercorrono tra gli incidenti
  • Numero di exploit di vulnerabilità per organizzazioni e/o individui appartenenti alla constituency del CERT
  • Percentuale di sistemi con risorse o funzioni critiche che sono stati oggetto di attività di vulnerability assessment
  • Trend di rilevamento per famiglie di malware rilevanti
  • Accesso a feed di dati su minacce e attacchi
  • Livello di supporto per capacità di threat intelligence e relativi risultati (sia dal punto di vista della data collection che degli analytics)
  • Traduzione in informazioni per la distribuzione alla comunità degli stakeholder
  • Traduzione di informazioni utilizzabili per la risposta agli incidenti

12.3. Indicatori sulle capacità generali

  • Volume di informazioni prodotte dal CERT (avvisi, bollettini, rapporti)
  • Numero di accessi alle informazioni fornite dal CERT
  • Numero di richieste raccolte dalla constituency
  • Quantità di informazioni presentate alla propria constituency su tematiche di cyber security o sulle attività in corso
  • Perdite monetarie totali derivanti da attacchi cyber subite dalla constituency servita dal CERT (normalizzate rispetto alle dimensioni della constituency)
  • Capacità di offrire servizi in termini di numero e/o qualità rispetto ai propri peer (ciò può essere misurato sia effettuando la valutazione rispetto a standard o best practice di settore, sia effettuando una misurazione comparativa dei risultati dei peer in situazioni analoghe)
  • Disponibilità di finanziamenti sufficienti
  • Numero totale di membri dello staff
  • Assegnazione tra i membri dello staff di esperti legali e di comunicazione specializzati
  • Assegnazione di personale specializzato in discipline tecniche (analisi del codice, analisi forense, ecc.)
  • Livelli di istruzione / formazione dei membri dello staff
  • Frequenza e qualità della formazione interna su aspetti tecnici specialistici
  • Numero di esercitazioni cyber condotte dal CERT internamente
  • Livello di conformità dei processi e delle procedure del CERT a standard e specifiche normative (può essere determinato attraverso l’ottenimento di certificazioni o attività di audit)
  • Capacità di proteggere la confidenzialità dei dati e delle informazioni durante le proprie operazioni (ad esempio durante il processo di gestione di un incidente)
  • Livello di utilizzo delle risorse del CERT rispetto alla sua effettiva capacità (si noti come un elevato utilizzo delle risorse possa portare da un lato a tempi di risposta migliori e/o indicare una migliore allocazione, mentre dall’altro il pieno utilizzo potrebbe essere un indicatore del raggiungimento della capacità massima con possibili ripercussioni nella capacità di erogare altri servizi)
  • Capacità del CERT di stabilire canali di comunicazione che permettono una trasmissione efficiente dei dati e delle informazioni (sia verso l’interno che verso l’esterno)
  • Livello di soddisfazione della constituency (customer satisfaction), determinabile attraverso survey e questionari
  • Capacità del CERT di effettuare le proprie operazioni senza necessità di supporto esterno (un eccessivo ricorso a capacità esterne potrebbe essere un indicatore di risorse inadeguate o insufficienti a supporto dei servizi)