Model for the economic optimization of the vulnerability management process

The protection of information is a key process for the survival and success of organizations; they engage teams of specialists to guarantee the security of the systems handling information. These systems are built of thousands of components, affected by many vulnerabilities that could be exploited by a potential attacker. Since the cost to solve all these flaws is way higher than the resources allocated to this task, it is crucial to implement a prioritization mechanism, to focus on the most critical problems. Current approaches are mainly based on technical data without considering the economic dimension and the indissoluble relationship between information systems and business processes. Hence the effectiveness of resolution plans based on these analyses. From a literature review, the need of a new prioritization framework, oriented toward the risk reduction and considering the economic dynamics, emerged. The goal of this work is to introduce a model to prioritize vulnerabilities, overcoming the limits current approaches suffer. The proposed framework exploits technical and organizational information and tools to properly model the reality of this complex problem. An implementation based on a real case demonstrates the effectiveness of the proposed model.

La protezione delle informazioni rappresenta un processo fondamentale per la sopravvivenza e il successo delle organizzazioni. Per questo motivo, vengono creati team di specialisti dedicati a mantenere e garantire la sicurezza dei sistemi che le gestiscono; tali sistemi sono costituiti da migliaia di elementi hardware e software e sono affetti moltissime vulnerabilità, che potrebbero essere sfruttate da un eventuale attacco informatico. Il costo collegato al risanamento di queste vulnerabilità supera notevolmente il budget normalmente allocato dalle aziende per questo processo. Per tale motivo, è cruciale stabilire un meccanismo per priorizzare le vulnerabilità, in modo da focalizzare le risorse su quelle più rilevanti. Oggigiorno, gli approcci utilizzati per solvere tale compito si basano solamente su informazioni tecniche, senza considerare le dinamiche economiche e l’indissolubile legame esistente tra i sistemi informatici e i processi aziendali; questo si traduce in una mancanza di efficacia. Dall'analisi della letteratura, emerge la necessità di un modello di priorizzazione orientato alla riduzione del rischio dei sistemi informatici, capace di integrare appropriatamente le dinamiche economiche. L'obiettivo di questo lavoro è lo studio e lo sviluppo di un nuovo modello, capace di superare i limiti delle metodologie attuali. Il modello proposto utilizza informazioni e strumenti propri delle discipline economiche e informatiche, per risolvere questo complesso problema. L'efficacia della metodologia proposta è testimoniata da una sua implementazione su un caso di studio reale, eseguita presso l'azienda per cui il modello è stato sviluppato.