Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea...
-
Upload
paolina-gatto -
Category
Documents
-
view
215 -
download
0
Transcript of Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea...
![Page 1: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/1.jpg)
Laureanda: Pamela Peretti
Relatore: prof. Stefano Bistarelli
Security Risk Analysis
Corso di Laurea Specialistica in Economia Informatica
Università degli studi “G.d’Annunzio”
![Page 2: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/2.jpg)
Information Security Risk Management
Conclusioni
Risk Management
Metodologie di Risk Management
Uso di indici quantitativi su attack trees
![Page 3: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/3.jpg)
Risk management è l'insieme di attività coordinate per gestire un'organizzazione con riferimento ai rischi.Tipicamente include l'identificazione, la misurazione e la mitigazione delle varie esposizioni al rischio.
Risk Management
![Page 4: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/4.jpg)
Il rischio è l'incertezza che eventi inaspettati possano manifestarsi producendo effetti negativi per l'organizzazione.
Risk Management
![Page 5: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/5.jpg)
Rischio di Information Technology: il pericolo di interruzione di servizio, diffusione di informazioni riservate o di perdita di dati rilevanti archiviati tramite mezzi computerizzati.
Information Security Risk Management
Risk Management
![Page 6: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/6.jpg)
Risk Assessment >> Risk Mitigation >> Monitoring
Information SecurityRisk Management Il processo di risk assessment è
usato per determinare l'ampiezza delle potenziali minacce dei rischi associati ad un sistema IT ed identificare tutte le possibili contromisure per ridurre o eliminare tali voci di rischio.
Vengono identificate:• asset• minacce • vulnerabilità• contromisure
Vengono determinati:• impatto prodotto dalle minacce,• fattibilità delle minacce,• complessivo livello di rischio.
![Page 7: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/7.jpg)
Risk Assessment >> Risk Mitigation >> Monitoring
Nel processo di risk mitigation vengono analizzati le contromisure raccomandati dal team di assessment, e vengono selezionati e implementate le contromisure che presentano il miglior rapporto costi/benefici.
Information SecurityRisk Management
![Page 8: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/8.jpg)
Risk Assessment >> Risk Mitigation >> Monitoring
All'interno di grandi imprese i sistemi IT subiscono frequenti modifiche dovuti ad aggiornamenti, cambiamento dei componenti, modifica dei software, cambio del personale, ecc.
Mutano le condizioni del sistema, modificando anche gli effetti delle contromisure adottate.
Information SecurityRisk Management
![Page 9: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/9.jpg)
Metodologie diRisk Management
Gli approcci di risk management possono essere classificati in:
• approcci qualitativi,• approcci quantitativi.
![Page 10: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/10.jpg)
Gli approcci di risk management possono essere classificati in:
• approcci qualitativi,• approcci quantitativi.
Vengono studiati i possibili scenari che possono interessare un sistema, dando una valutazione relativa dei rischi che possono colpirlo.
Attack trees
Metodologie diRisk Management
![Page 11: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/11.jpg)
Gli approcci di risk management possono essere classificati in:
• approcci qualitativi,• approcci quantitativi.
Esprimono, in termini assoluti tutte le grandezze riguardanti gli asset, la frequenza delle minacce, l'impatto, le perdite potenziali, l'efficacia delle contromisure, il costo delle contromisure e il livello di rischio presente nel sistema.
Indici
Metodologie diRisk Management
![Page 12: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/12.jpg)
Gli approcci di risk management possono essere classificati in:
• approcci qualitativi,• approcci quantitativi.
Obiettivo: combinare i vantaggi dei due approcci e fornire una metodologia che utilizzi gli attack trees per l’individuazione degli scenari e gli indici per una loro valutazione.
Metodologie diRisk Management
![Page 13: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/13.jpg)
Radice: obiettivo
Nodo AND
Nodo OR
Strategie d’attacco
Approccio qualitativo
Metodologie diRisk Management
![Page 14: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/14.jpg)
L'Exposure Factor (EF) misura il livello di danno, o l'impatto provocato da un evento dannoso su un singolo asset.
Il Single Loss Exposure (SLE) misura il costo associato ad una singola minaccia che agisce su un singolo asset. È dato da:
SLE = AV * EF
L’Annualized Rate of Occurrence (ARO) il numero di volte che una minaccia si verifica nell’arco di un anno.
L’ Annualized Loss Expectancy (ALE) esprime la perdita attesa, su base annua, associata ad una specifica minaccia.
ALE = SLE * ARO
Approccio quantitativo
Metodologie diRisk Management
![Page 15: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/15.jpg)
Return on Investment (ROI) è un indicatore che viene utilizzato per valutare il rendimento di un investimento e confrontare tra loro diverse alternative discelta.
Approccio quantitativo
Per valutare un investimento in sicurezza dei sistemi IT il ROI può essere calcolato come segue:
Metodologie diRisk Management
![Page 16: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/16.jpg)
Il Return on Attack (ROA), è definito come il guadagno atteso dall'attaccante da un attacco portato a termine con successo, tenendo conto delle perdite subite a causa della presenza di una contromisura all'interno del sistema colpito.
Approccio quantitativo
L’impresa deve cercare di minimizzare tale indice al fine di disincentivare l’attacco da parte di un malintenzionato.
Metodologie diRisk Management
![Page 17: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/17.jpg)
È possibile effettuare delle valutazioni complesse sugli attack tree?È possibile utilizzare questo strumento per la selezione dei contromisure necessarie per salvaguardare il sistema?
Uso di indici quantitativisu attack trees
• AV,• EF,• SLE,• ARO,• ALE,• ROI,• ROA.
ROI, ROA ROI, ROA.
![Page 18: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/18.jpg)
Creare un attack tree
Radice: asset del sistema IT
Le minacce e le vulnerabilità
Contromisure
Uso di indici quantitativisu attack trees
![Page 19: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/19.jpg)
Etichettatura per il calcolo del ROI
SLEbAROb
RM3
Cost3
EFbAROb
RM4
Cost4RM5
Cost5
RM1
Cost1RM2
Cost2
EFdAROd
AV
Uso di indici quantitativisu attack trees
EFeAROe
SLEeALEeSLEd
ALEd
![Page 20: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/20.jpg)
Etichettatura per il calcolo del ROI
SLEbAROb
RM3
Cost3
EFbAROb
RM4
Cost4RM5
Cost5
RM1
Cost1RM2
Cost2
EFdAROd
AV
EFeAROe
SLEeALEeSLEd
ALEd
SLEcALEc
EFcAROc
Uso di indici quantitativisu attack trees
![Page 21: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/21.jpg)
Etichettatura per il calcolo del ROA
loss3
costb
loss4
loss5
loss1
loss2 coste
gain
Uso di indici quantitativisu attack trees
costd
![Page 22: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/22.jpg)
Etichettatura per il calcolo del ROA
lossc
costb
loss1
loss2
costc
gain
Uso di indici quantitativisu attack trees
loss3 loss4
loss5
costecostd
![Page 23: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/23.jpg)
Creazione di uno scenario
Uso di indici quantitativisu attack trees
![Page 24: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/24.jpg)
Etichettatura dello scenario per il calcolo del ROI
Attacco EF ARO SLE
Rubare i dati memorizzati nel server grazie ai permessi rubati ad un utente con diritti di root
100% 0,09 100.000€
Rubare i dati memorizzati nel server grazie ai permessi ottenuti corrompendo un utente con i diritti di root
100% 0,09 100.000€
Rubare i dati memorizzati nel server grazie al possesso dei permessi di root
100% 0,40 100.000€
Rubare i dati memorizzati nel server attraverso un attacco da remoto che sfrutti una vulnerabilità sul database on-line
90% 0,08 90.000€
Rubare i dati memorizzati sul server attraverso un attacco da remoto che sfrutti una vulnerabilità sul server di posta
85% 0,68 85.000€
Uso di indici quantitativisu attack trees
![Page 25: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/25.jpg)
AV=100.000€
EF=100%ARO=0,09
SLE = AV * EF
ALE = SLE * ARO
Etichettatura dello scenario per il calcolo del ROI
Uso di indici quantitativisu attack trees
![Page 26: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/26.jpg)
EF=85%ARO=0,68
EF=100%ARO=0,09
EF=100%ARO=0,40
EF=90%ARO=0,08
SLE=90.000€ALE=7.200€
SLE=100.000€ALE=40.000€
SLE=100.000€ALE=9.000€
SLE=100.000€ALE=9.000€
SLE=90.000€ALE=7.200€
SLE = AV * EF
ALE = SLE * ARO
EF=100%ARO=0,09
AV=100.000€
Etichettatura dello scenario per il calcolo del ROI
Uso di indici quantitativisu attack trees
![Page 27: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/27.jpg)
Etichettatura dello scenario per il calcolo del ROI
Contromisure per ogni attacco RM Cost
1 Cambiare la password periodicamente 60% 500 €
Disconnettere il pc dopo l'uso 10% 100 €
Aggiungere un token per il riconoscimento 80% 3.000 €
Distribuire le responsabilità tra più utenti 50% 15.000 €
2 Cambiare la password periodicamente 60% 500 €
Aggiungere un token per il riconoscimento 80% 3.000 €
Distribuire le responsabilità tra più utenti 50% 15.000 €
Motivare il personale 80% 2.000 €
3 Distribuire le responsabilità tra più utenti 50% 15.000 €
Motivare il personale 80% 2.000 €
4 Aggiornare il sistema periodicamente 90% 2.500 €
Controllare la validità degli script 70% 1.300 €
Separare i contenuti sui server 65% 5.000 €
5 Utilizzare un software anti-virus 80% 2.000 €
Pre-configurare i client di posta 35% 1.000 €
Uso di indici quantitativisu attack trees
![Page 28: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/28.jpg)
ALE=9.000€
RM=60%Cost=500€
RM=10%Cost=100€
RM=80%Cost=3.000€
RM=50%Cost=15.000€
Etichettatura delle contromisure per il calcolo del ROI
Uso di indici quantitativisu attack trees
![Page 29: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/29.jpg)
ROI=22,10
ROI=19,23
ROI=9,80
ROI=1,40
ROI=-0,70
ROI=2,60
ROI=9,80
ROI=8,00
ROI=-1,40
ROI=-0,70
ROI=1,59
ROI=2,87
ROI=--0,06
ROI=0,30
ROI=15,00
Calcolo del ROI
Uso di indici quantitativisu attack trees
![Page 30: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/30.jpg)
ROI=22,10
ROI=19,23
ROI=9,80
ROI=1,40
ROI=-0,70
ROI=2,60
ROI=9,80
ROI=8,00
ROI=-1,40
ROI=-0,70
ROI=1,59
ROI=2,87
ROI=--0,06
ROI=0,30
ROI=15,00
Calcolo del ROI
12
Uso di indici quantitativisu attack trees
![Page 31: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/31.jpg)
Calcolo del ROA
loss3
costb
loss4
loss5
loss1
loss2 costd
gain
coste
Uso di indici quantitativisu attack trees
![Page 32: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/32.jpg)
Calcolo del ROA
Contromisure per ogni attacco Costo Perdita
1 Cambiare la password periodicamente 3.000 € 1.000 €
Disconnettere il pc dopo l'uso 3.000 € 500 €
Aggiungere un token per il riconoscimento 3.000 € 1.500 €
Distribuire le responsabilità tra più utenti 3.000 € 700 €
2 Cambiare la password periodicamente 10.000 € 1.000 €
Aggiungere un token per il riconoscimento 10.000 € 1.500 €
Distribuire le responsabilità tra più utenti 10.000 € 700 €
Motivare il personale 10.000 € 2.000 €
3 Distribuire le responsabilità tra più utenti 0 € 700 €
Motivare il personale 0 € 2.000 €
4 Aggiornare il sistema periodicamente 2.000 € 2.500 €
Controllare la validità degli script 2.000 € 3.000 €
Separare i contenuti sui server 2.000 € 1.000 €
5 Utilizzare un software anti-virus 1.000 € 1.500 €
Pre-configurare i client di posta 1.000 € 400 €
Uso di indici quantitativisu attack trees
![Page 33: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/33.jpg)
Etichettatura dello scenario per il calcolo del ROA
gain=30.000€
Cost=10.000€
Cost=0€
Cost=3.000€ Cost=2.000€ Cost=1.000€
Loss=1.500€
Loss=400€
Loss=1.000€
Loss=1.500€
Loss=700€
Loss=2.000€
Loss=1.000€
Loss=500€
Loss=1.500€
Loss=700€
Loss=2.500€
Loss=3.000€
Loss=1.000€
Loss=700€
Loss=2.000€
Uso di indici quantitativisu attack trees
![Page 34: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/34.jpg)
Etichettatura dello scenario per il calcolo del ROI
ROA=12,00
ROA=21,42
ROA=2,72
ROA=2,60
ROA=2,80
ROA=2,50
ROA=7,50
ROA=8,57
ROA=6,67
ROA=8,11
ROA=6,67
ROA=6,00
ROA=10,00
ROA=42,85
ROA=15,00
Uso di indici quantitativisu attack trees
![Page 35: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/35.jpg)
Etichettatura dello scenario per il calcolo del ROI
ROA=12,00
ROA=21,42
ROA=2,72
ROA=2,60
ROA=2,80
ROA=2,50
ROA=7,50
ROA=8,57
ROA=6,67
ROA=8,11
ROA=6,67
ROA=6,00
ROA=10,00
ROA=42,85
ROA=15,00
21
Uso di indici quantitativisu attack trees
![Page 36: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/36.jpg)
ROI=22,10ROI=9,80ROI=9,80 ROI=2,87
ROI=15,00
Valutazione complessiva dello scenario
ROA=12,00ROA=2,50ROA=6,67 ROA=6,00
ROA=15,00
Uso di indici quantitativisu attack trees
![Page 37: Laureanda: Pamela Peretti Relatore: prof. Stefano Bistarelli Security Risk Analysis Corso di Laurea Specialistica in Economia Informatica Università degli.](https://reader036.fdocuments.us/reader036/viewer/2022070313/5542eb75497959361e8deb81/html5/thumbnails/37.jpg)
Conclusioni
Risk Analysis • Risk Management• Information Security Risk Management
• Metodologie di Risk Management• Uso di indici quantitativi su attack trees
Sviluppi futuri • Migliorare la valutazione di ROI e ROA nei nodi and partendo dalle valutazione dei figli•Sviluppare metodi generali (semiring) per valutazione rischi di attacco•Studiare come il ROA possa modificare la valutazione dell’ARO (e quindi il ROI)•Usare intervalli invece di valori assoluti per le etichette dell’albero•Uso di probabilità e possibilità•Studiare come risultati di teoria dei giochi possono applicarsi all’albero and-or