Modulo integrativo nell’ambito del Corso di Diritto dell’Informatica e delle Nuove Tecnologie.
A.A. 2014/15 - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni - Docente Massimo Farina.
Presentazione tre geni della tecnologia informatica
Ricette e contromisure per la sicurezza delle informazioni
1. A.A. 2014/15
Corso di Laurea Magistrale in
Ingegneria delle Telecomunicazioni
http://tlc.diee.unica.it/
Modulo integrativo
Ricette e contromisure
per la sicurezza delle informazioni
di Alessandro Bonu
Nell’ambito del Corso di
Diritto dell’Informatica e delle Nuove Tecnologie
Docente : Massimo Farina
m.farina@unica.it
Cagliari, 04 dicembre 2014 - Presentazione a cura di Alessandro Bonu
2. Ricette e contromisure per la sicurezza delle informazioni
• « tra perdite di dati sensibili per guasti o errori e interruzioni inattese dei sistemi
informatici, le aziende italiane negli ultimi 12 mesi hanno perso 11,2 miliardi di euro
• a livello mondiale la perdita è stata di 1.700 miliardi di dollari
• in Italia solo il 10% delle aziende è al passo con i tempi per la protezione
• in uno scenario nazionale in cui l'80%delle aziende intervistate ha registrato, negli
ultimi dodici mesi, un blocco inaspettato nei propri sistemi informatici o una
perdita di dati sensibili che hanno portato:
• per il 38% a una perdita della produttività
• per il 22% a un decremento del fatturato
• per il 36%al ritardo nello sviluppo di un prodotto
• in totale, emerge dall'inchiesta, il 79% dei professionisti IT delle aziende italiane
non nutre piena fiducia nella propria capacità di recuperare le informazioni a
seguito di un incidente »
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
3. Ricette e contromisure per la sicurezza delle informazioni
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
4. Ricette e contromisure per la sicurezza delle informazioni
il sistema informatico rappresenta
oggi per moltissime aziende il
«sistema nervoso»
tanto più sensibili sono le informazioni
detenute, tanto più è necessario dotarsi di
SISTEMI, PROCEDURE E RISORSE
che li «mettano al sicuro»
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
5. Ricette e contromisure per la sicurezza delle informazioni
ASPETTI DA CONSIDERARE
primo aspetto da considerare
NON ESISTE CERTEZZA
che garantisca la sicurezza al 100 per cento
avere queste garanzie significa
RIDURRE L’USABILITA’
USABILITA’
del 100 per cento
SICUREZZA
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
6. Ricette e contromisure per la sicurezza delle informazioni
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
Traffico
Manutenzione
Controllo
Pensate a un’auto nuova..
La dovrete usare?
La dovrete tenere in
ordine?
La dovrete
manutenere?
7. Ricette e contromisure per la sicurezza delle informazioni
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
Traffico
Manutenzione
Controllo
Pensate ad un server che ospita i vostri dati..
Lo dovrete usare e mettere in
rete?
Lo dovrete tenere in
ordine?
Lo dovrete
manutenere?
8. Ricette e contromisure per la sicurezza delle informazioni
va ricordato che la tutela dei dati oggi non è più
facoltativa ma obbligatoria, la
«Legge sulla Privacy»
impone rigorose e idonee misure di sicurezza
perché i dati trattati non vengano utilizzati in modo
improprio o diffusi indebitamente
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
9. Ricette e contromisure per la sicurezza delle informazioni
PRINCIPI SU CUI BASARE IL
SIGNIFICATO DI SICUREZZA
un sistema informativo per essere considerato sicuro
deve soddisfare almeno i seguenti principi
CONFIDENZIALITÀ
quali informazioni
possono essere
condivise con altri
DISPONIBILITÀ
come possono
essere accedute
INTEGRITÀ
con quale
accuratezza
devono essere
trattate queste
informazioni
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
10. Ricette e contromisure per la sicurezza delle informazioni
quali strategie devono essere adottate per
realizzare delle buone ricette sulla sicurezza
e con quali ingredienti..?
aumentare il costo di un possibile attacco
l’investimento per chi ATTACCA deve essere
percepito come «troppo oneroso»
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
11. Ricette e contromisure per la sicurezza delle informazioni
RISCHI e MINACCE
QUALI CAUSE
INADEMPIENZA
mancata
ATTUAZIONE
delle
procedure di
sicurezza
mancato
RISPETTO
delle
procedure di
sicurezza
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
12. Ricette e contromisure per la sicurezza delle informazioni
RISCHI e MINACCE
QUALI PROBLEMI
• INTERCETTAZIONE
di informazioni: acquisite, alterate o divulgate
• INTRUSIONE
attraverso canali esterni per accedere alle risorse aziendali
• ACQUISIZIONE DEI PRIVILEGI
per l’accesso alle risorse dell’organizzazione
• DISSERVIZI e/o BACKDOOR
messa fuori uso dei servizi erogati dall’azienda e/o apertura di canali
privilegiati verso terzi
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
13. Ricette e contromisure per la sicurezza delle informazioni
RISCHI e MINACCE
QUALI CONSEGUENZE
• RESPONSABILITA’
1. a carico del dipendente che ha commesso il fatto
2. a carico dell’organizzazione che attraverso i «propri sistemi» ha
tecnicamente consentito tale condotta
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
• DANNI
1. download e utilizzo di software coperto da copyright
2. danni causati da l’utilizzo improprio di diffusissimi tools in grado di
«violare», anche involontariamente, la sicurezza di un sistema informatico
esterno alla propria organizzazione
14. Ricette e contromisure per la sicurezza delle informazioni
FRONTI DI ATTACCO
DUE i potenziali fronti di attacco e quindi di difesa
1. OUTSIDERS: più evidente , soggetti che attaccano
dall’esterno rispetto all’organizzazione
2. INSIDERS: meno evidente, soggetti interni
all’organizzazione: sono i principali utilizzatori del
patrimonio informativo aziendale
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
15. Ricette e contromisure per la sicurezza delle informazioni
OUTSIDERS
• lasciano quasi sempre dei segnali inequivocabili
• intrusione o attacco su un servizio erogato dall’azienda (DoS)
• impatto «visivo» della violazione è una delle motivazioni principali
• se da un lato questo rappresenta un grande danno in termini di
immagine, dall’altro consente di scoprire la violazione e, probabilmente,
anche le origini della stessa se condotta male
• in altri casi le intrusioni possono essere silenti e di non
immediata individuazione
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
16. Ricette e contromisure per la sicurezza delle informazioni
INSIDERS
CHI SONO?
• impiegati infedeli o in contrasto con l’azienda e consulenti disonesti
sono coloro che conoscono meglio le architetture dei sistemi di
sicurezza
• rapporto privilegiato con risorse e sistemi interni all’organizzazione
che detiene dati e informazioni
• la bassa percentuale di reati denunciati è dovuta al fatto che molto
spesso le imprese vogliono tutelare la propria immagine pubblica
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
17. Ricette e contromisure per la sicurezza delle informazioni
ASPETTI DA NON SOTTOVALUTARE
• server e perimetro protetti ma.. il resto?
• gli utenti accedono e utilizzano Internet?
• privilegi sulle workstation: accesso amministrativo o accesso
utente?
• le workstation ha un OS adeguato, aggiornato e protetto da
minacce?
• posso tracciare il loro operato in maniera standardizzata,
durante l’attività operativa?
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
18. Ricette e contromisure per la sicurezza delle informazioni
ASPETTI UMANI E TECNOLOGICI
• contro le minacce derivanti dai « Malicious Code »
occorre contemplare aspettiUMANI eTECNOLOGICI
• controllo sulle mail »T -U
• procedure per acquisti in rete »T -U
• scansione dei file locali, rete o su memorie esterne »T -U
• controllo e attendibilità di link e siti web »T
• protezione contro spyware e malware »T
• aggiornamento costante delle definizioni centralizzate »T -U
importante è in ogni caso un intervento rapido ed efficace
per ridurre i danni
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
19. Ricette e contromisure per la sicurezza delle informazioni
STRATEGIE ADATTIVE
COMPENSANO TEMPORANEE CARENZE
..che possono determinare una vulnerabilità
• AUTENTICAZIONE SUPPLEMENTARE
• dispositivi non registrati nel dominio aziendale
• accesso alla rete aziendale da aree ignote
• PROCEDURE INTEGRATIVE
• sopperire a situazioni non previste e temporanee
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
20. Ricette e contromisure per la sicurezza delle informazioni
SPOSTARE O ELIMINARE IL BERSAGLIO
« il miglior modo per evitare un colpo è quello di non farsi
raggiungere »
• spostare o eliminare il bersaglio oggetto dell’attacco:
dati «sensibili» non necessari
[SCENARIO]: un sito web raccoglie informazioni per fini statistici, tra questi è
presente il Codice Fiscale, che rappresenta un dato identificativo del cliente ma
superfluo ai fini di report e indicizzazione:
• perché trattare un dato identificativo personale? (=> bersaglio)
• meglio utilizzare altri dati che non riportano all’identificazione di un utente
• strategia che comporta meno investimenti in termini di sicurezza e meno
preoccupazioni per chi è responsabile
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
21. Ricette e contromisure per la sicurezza delle informazioni
STRATIFICARE LE CONTROMISURE
• PREVENIRE
• predisporre sistemi atti ad prevenire intrusioni nella rete (IDS)
• INDIVIDUARE
• procedure per rilevare delle intrusioni all’interno della rete
• RISPONDERE
• attivare contromisure in risposta agli attacchi subiti
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
22. Ricette e contromisure per la sicurezza delle informazioni
PERSONE E PROCESSI
altra modalità per progettare
contromisure è quella di variare la
natura delle contromisure
« un bravo hacker può riuscire a bypassare una nostra regola di
firewall e introdursi nel nostro sistema, ma potrebbe non essere
in grado di evitare un sistema di auditing predisposto per
esaminare regolarmente log ed eventi proprio alla ricerca di
anomalie e problemi di sicurezza »
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
23. Ricette e contromisure per la sicurezza delle informazioni
SEPARAZIONE DEI COMPITI
competenza e
specializzazione
del personale
coordinamento
per evitare
sovrapposizioni
STAFF
vincente!
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
24. Ricette e contromisure per la sicurezza delle informazioni
AUTENTICAZIONE
AUTORIZZAZIONE
CONTROLLO
AZIENDA / ORGANIZZAZIONE
da dove iniziare..
DEFINIZIONE
DEGLI ACCOUNT
ASSEGNAZIONE
DIRITTI E
PRIVILEGI
MONITORAGGIO
DI ACCESSI E
TRANSAZIONI
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
25. Ricette e contromisure per la sicurezza delle informazioni
processo di definizione in modo univoco
dell’identità di un utente (computer o software)
che intende usufruire di risorse e servizi
AUTENTICARE
segue all’autenticazione e rappresenta l’insieme
di regole e privilegi per l’accesso ai dati e alle
risorse di rete da parte di chi viene autenticato
AUTORIZZARE
monitoraggio e registrazione dei log relativi a
transazioni di autenticazione e autorizzazione CONTROLLARE
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
26. Ricette e contromisure per la sicurezza delle informazioni
senza una robusta FUNZIONE DI CONTROLLO
dell’accesso, dei processi e delle transazioni, non è
possibile sapere se le contromisure poste in atto stiano
funzionando correttamente
registro e
controllo
CHI HA
OPERATO
VERSO
CHI
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
QUANDO
E COME
27. Ricette e contromisure per la sicurezza delle informazioni
AMBITI SPECIFICI DI APPLICAZIONE
DELLE CONTROMISURE
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
LIVELLO
FISICO
protezione
logistica di sistemi
e apparati
LIVELLO DI
RETE
utilizzo di firewall,
ACL e sistemi atti
a prevenire gli
attacchi (IDS)
LIVELLO
SISTEMA
controllo
amministrativo e
centralizzato degli
endpoint (host)
LIVELLO
APPLICATIVO
analisi e controllo
dello strato
applicativo
LIVELLO
LOGICO
controllo delle
transazioni di
accesso,
autenticazione e
autorizzazione
28. Ricette e contromisure per la sicurezza delle informazioni
GESTIONE DEL RISCHIO
ma cosa occorre fare in caso di
« EMERGENZA »
il sistema avverte che si è
verificato un attacco e
provvede a notificarlo a chi
di competenza «NOTIFICA»
il sistema risponde in tempo
reale all'attacco in corso e
consente di tracciare la sua
origine «REAGISCE»
intervento e applicazione delle procedure previste e
«idonee per quel determinato contesto»
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
29. Ricette e contromisure per la sicurezza delle informazioni
QUESTI DUE METODI POSSONO
AVERE UN PROBLEMA
1. falsi positivi: attività anomale non intrusive, ma che
vengono rilevate e segnalate come tali
2. falsi negativi: attività anomale ma che non vengono
rilevate e segnalate come tali
la situazione più grave si presenta nel caso dei falsi
negativi, poiché può compromettere gravemente la
sicurezza del sistema
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
30. Ricette e contromisure per la sicurezza delle informazioni
FORMAZIONE INFORMAZIONE
come fare una cosa giusta quando non si sa come farla?
• formazione e informazione sono ingredienti
fondamentali nella formulazione dei criteri di sicurezza
e relative contromisure
• necessario integrare la formazione nelle attività
quotidiane dei soggetti coinvolti nei processi
•utilizzo di prodotti dedicati che vengono incontro a
queste esigenze, integrando la formazione nel
contesto delle attività
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
31. Ricette e contromisure per la sicurezza delle informazioni
FORMAZIONE E INFORMAZIONE
• fondamentale è responsabilizzare il dipendente in qualsiasi livello
gerarchico esso si trovi
• l’attività formativa deve andare di pari passo con l’evoluzione delle
strategie aziendali, inutile implementare complessi sistemi di
sicurezza se poi non li si sa utilizzare:
1. creano ulteriore impegno alle attività di routine
2. necessitano di formazione aggiuntiva e specifica
3. determinano una minore produttività
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
32. Ricette e contromisure per la sicurezza delle informazioni
K.I.S.S.
• acronimo usato nell'informatica, che sta per Keep It Simple, Stupid
• il concetto in sintesi è: non complicarsi la vita e mantenere uno
stile semplice e lineare, soprattutto nella fase di start-up
• studi statistici dicono che le misure di prevenzione raccomandate
rispondono ai requisiti di «semplice ed economico»
• mentre una minima percentuale di tali misure è identificata come
«complessa e costosa»
ADATTARE LA MIGLIORE SOLUZIONE
IN TERMINI DI COSTI E QUALITA’
SEMPRE AL CONTESTO IN CUI SI OPERA
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
33. Ricette e contromisure per la sicurezza delle informazioni
[ SCENARI OPERATIVI ]
finora si è parlato di linee generali ma entrando
nello specifico di aspetti concreti..
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
Client
host
endpoint
Server
sistemi
Rete
apparati di
rete
Applicazioni
web
database
Mobile
tablet e
smart phones
..andremo ad applicare ambiti comuni
34. Ricette e contromisure per la sicurezza delle informazioni
ECONOMICO VALUTAZIONE DEI COSTI PER LE AZIENDE
ATTIVITÀ ATTIVITA’ DI ROUTINE NON UNA TANTUM
TECNOLOGICO LIVELLO TECNOLOGICO DI APPARATI E SISTEMI
CONTROLLO CONTROLLO E MONITORAGGIO DI PROCESSI E TRANSAZIONI
AGGIORNAMENTO AGGIORNAMENTO SISTEMI E APPLICATIVI
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
35. Ricette e contromisure per la sicurezza delle informazioni
[SCENARI DI RETE]
• non esiste un metodo
standard da applicare
• criteri troppo generici
rischiano di essere inadeguati
• firewall / ACL granulari su reti
segmentate
• hardware recente e aggiornato
HTTP
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
CUSTOM
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
FTP
SQL Injection
elemento in primo piano nei piani di
prevenzione
RETE
B
RETE
A
DMZ
36. Ricette e contromisure per la sicurezza delle informazioni
[ SCENARI SERVER ]
• l’obiettivo di chi attacca è quello di diventare amministratore:
limitare gli accessi amministrativi e consolidare i sistemi di login
• ridurre al minimo l’esposizione dei sistemi e servizi: logistica e rete
• disabilitare servizi non necessari: creano inutile complessità
• manutenzione: aggiornamento costante di sistemi e applicazioni
• monitoraggio e controllo: transazioni ed accessi
• altre strategie: backup e ridondanza dei dati
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
37. Ricette e contromisure per la sicurezza delle informazioni
[ SCENARI CLIENT ]
apparentemente meno rilevante della parte server, non tralasciare
mai l’aspetto degli endpoint quando si tratta di sicurezza:
• probabilità di una cattiva gestione da parte dell’utente
• evitare che dati sensibili per l’azienda entrino a far parte di questo contesto
• ma gli utenti li devono lavorare e allora?
• implementare robuste procedure di autenticazione, autorizzazione e controllo
• centralizzare le attività amministrative del Sistema Informativo
dell’organizzazione
• formazione e informazione constante sul corretto utilizzo degli strumenti messi a
disposizione
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
38. Ricette e contromisure per la sicurezza delle informazioni
[ SCENARI APPLICATIVI ]
DATABASE: BERSAGLIO PRIMARIO
..continua crescita e nuove
funzionalità peggiorano le cose..
come agire dunque..
• requisiti applicativi adeguati per un sistema in HA
• configurazione appropriata di tutte le componenti applicative
• verifica costante di aggiornamenti e patch
• test di carico e affidabilità su ambiente di stage prima della messa in
produzione
• strategie di backup/ridondanza e check di consistenza dei dati replicati
• monitoraggio e controllo schedulato su funzionalità e sicurezza e
predisposizione delle relative notifiche
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
39. Ricette e contromisure per la sicurezza delle informazioni
[ SCENARI MOBILE ]
• alta diffusione e sempre connessi
• furto, hacking remoto e sms malevoli, solo alcuni esempi..
• adeguare le contromisure per questi dispositivi
• spostare e rimuovere i dati tra le prime possibilità
• nelle mail c’è di tutto, dati sensibili compresi
se disposti ad accettare questo rischio cosa resta da fare?
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
40. Ricette e contromisure per la sicurezza delle informazioni
[ SCENARI MOBILE ]
• avere particolare cura del dispositivo
• abilitare una login allo stand-by
• blocco del dispositivo e cancellazione dei dati dopo «n» tentativi falliti
• utilizzo di APP certificate e non provenienti da ambienti sconosciuti
• aggiornamento costante di OS e APP
• scegliere con attenzione e documentarsi sulle APP da installare
• abilitare sistemi di geo localizzazione in caso di smarrimento
• abilitare sistemi di crittografia dei dati contenuti nel dispositivo
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
41. Ricette e contromisure per la sicurezza delle informazioni
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
http://cisecurity.org
42. Ricette e contromisure per la sicurezza delle informazioni
CONCLUSIONI
EQUILIBRIO
tra sicurezza ed
usabilità dei dati
DIVERSIFICARE
costo complessivo
più elevato per chi
attacca
SEMPLICITÀ
strategie e piani
di intervento
chiare ed efficaci
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
43. Ricette e contromisure per la sicurezza delle informazioni
CONTATTI
alessandro.bonu@gmail.com
http://it.linkedin.com/in/abonu
@abonu
ict4forensics.diee.unica.it
www.andig.it
www.diricto.it
www.massimofarina.it
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2011/12
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
44. LICENZA
Attribuzione - Non Commerciale - Condividi allo stesso modo 2.5
Tu sei libero:
di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o
recitare l'opera
di creare opere derivate
Alle seguenti condizioni:
Attribuzione. Devi riconoscere il contributo dell'autore originario.
Non commerciale. Non puoi usare quest’opera per scopi commerciali.
Condividi allo stesso modo. Se alteri, trasformi o sviluppi quest’opera, puoi
distribuire l’opera risultante solo per mezzo di una licenza identica a questa.
In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza
di quest’opera.
Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste
condizioni.
Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra
Editor's Notes
Linee guida generali sul alcune metodologie da applicare nel contesto di un Sistema Informativo informatizzato per cercare di garantire idonee misure di sicurezza a tutela dei dati gestiti dall’organizzazione
Metterli al sicuro è una parola grossa in questo senso si dovranno applicare delle misure idonee in relazione al contesto in cui si opera
Perché un Sistema Informativo sia considerato sicuro deve soddisfare i principi di confidenzialità, integrità e disponibilità
Responsabilità a carico del dipendente e dell’azienda che non ha messo in atto le misure idonee
Cosa si rischia..
Importante aspetto da tenere in considerazione e che spesso viene sottovalutato
Situazione lato client/desktop
Non possiamo prevedere tutto pertanto dobbiamo pensare anche a strategie che ci consentono di adattarci ad un caso non previsto o di emergenza