Your SlideShare is downloading. ×
0
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Sicurezza delle Informazioni
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Sicurezza delle Informazioni

1,021

Published on

Slide sulla sicurezza informatica usate nel master in "Metodi e tecniche di prevenzione e controllo ambientale" AA 2008-2009

Slide sulla sicurezza informatica usate nel master in "Metodi e tecniche di prevenzione e controllo ambientale" AA 2008-2009

Published in: Education, Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,021
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
46
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Sicurezza delle informazioni
  • 2. Sicurezza  Dimensione culturale. La sicurezza è parte  integrante della produzione di valore;  Trasmettere una consapevolezza: la sicurezza  non è solo un fatto tecnico  Dimensione metodologica. Fornire una  visione integrata di tutti gli aspetti che  concorrono alla gestione del rischio  informativo.
  • 3. Sistema Informativo Dati Procedure Mezzi Persone E’ un sistema: non è importante solo il singolo pezzo.
  • 4. Sicurezza e gestione del rischio in generale
  • 5. Cultura della sicurezza  Modifica dei comportamenti;  Modifica della progettazione e dell’uso dei  sistemi informativi e delle reti; Siamo sempre più dipendenti dai sistemi  d’informazione, dalle reti e dai servizi a loro collegati, i quali  devono essere tutti affidabili e sicuri.
  • 6. Sicurezza e gestione del rischio in generale Sicurezza = Disciplina che si occupa della predisposizione  di misure di protezione e tutela dell’impresa  da atti ed eventi di natura “non competitiva”  (atti dolosi, colposi, eventi naturali, incidenti  di vario genere) che possono ricadere in  modo negativo o catastrofico sulla capacità  aziendale di perseguire le proprie finalità, e  cioè di soddisfare le attese che gli  stakeholders ripongono in essa.
  • 7. Sicurezza: obiettivi e tipologie di interventi Obiettivo di fondo: elaborare misure idonee a • fronteggiare i rischi a cui è soggetta l’attività di impresa; • contenere il loro eventuale impatto negativo sulle performance; Tipologie di interventi: • Preventivi, atti cioè a eliminare o eludere le cause determinanti gli “  incidenti” (cioè il trasformarsi di rischi potenziali in eventi dannosi), a  ridurre le loro probabilità di evenienza o a limitarne l’eventuale  dannosità. • Contestuali all’incidente. Si tratta delle attività tese alla rilevazione e alla  gestione di eventi dannosi nel momento in cui si manifestano. • Susseguenti all’incidente. Ci si riferisce al complesso di attività che si  rendono necessarie per ristabilire la situazione precedente a un  incidente.
  • 8. Rischio e danno potenziale RISCHIO = f (DANNO POTENZIALE, PROBABILITÀ) Danno: diminuzione o perdita di valore di una risorsa a seguito di un  incidente. Danno diretto: consiste tipicamente nel valore patrimoniale della risorsa  violata, manipolata, sottratta o distrutta (ad esempio la formula di un  prodotto, un’auto del parco aziendale o il contenuto di un database). Danno indiretto: è associato in prima istanza al ripristino di una situazione  di piena operatività, e quindi all’impiego di risorse incrementali (persone,  tempo), a seguito di un malfunzionamento. Questa tipologia di danni  diviene ancora più consistente laddove una eventuale interruzione del  servizio conseguente all’attacco subito dovesse causare anche una  perdita di fatturato. Si tratta quindi, in ogni caso, di danni di tipo  reddituale. Danno consequenziale: connesso alla possibilità che l’attacco subito  abbia delle implicazioni negative sull’immagine dell’azienda colpita.
  • 9. Gestione del rischio Metodologia strutturata, sviluppatasi storicamente nel settore assicurativo, tesa a mettere a fuoco le modalità di identificazione e di gestione consapevole dei rischi. Fasi tipiche per la “gestione del rischio”: 1. Identificazione delle vulnerabilità. Consiste nel censimento e nella classificazione delle risorse aziendali soggette a possibili incidenti in grado di diminuirne o azzerarne il valore. 2. Identificazione delle minacce. È il processo attraverso cui si identificano potenziali minacce (anche scarsamente visibili e con bassissime possibilità di evenienza). 3. Misurazione dei rischi. Consiste nella valutazione dell’impatto potenziale sull’impresa nell’ipotesi in cui una determinata combinazione di vulnerabilità e minaccia si trasformi in un evento negativo; tale valutazione dipende dal prodotto di due fattori: la probabilità di evenienza e le dimensioni dell’impatto. 4. Determinazione delle priorità di intervento. Concerne l’identificazione delle priorità sulle cui basi orientare gli sforzi di protezione. Ovviamente, particolare attenzione verrà data agli eventi catastrofici con elevate probabilità di avvenimento, mentre minore attenzione verrà prestata ai rischi con impatti contenuti o irrilevanti e di scarsa frequenza. 5. Scelte di gestione dei rischi. È la fase conclusiva in cui si determinano le modalità di gestione dei rischi (prevenzione, reattività, ritenzione, trasferimento).
  • 10. Le scelte di gestione del rischio Focus Strategia PREVENZIONE MINACCIA (ELUSIONE) DANNO REATTIVITA’ CONSEGUENZE RITENZIONE O  FINANZIARIE TRASFERIMENTO
  • 11. Il rischio informativo Nella società dell’informazione il rischio  che preoccupa di più è quello legato alla  perdita di informazione
  • 12. Ruolo strategico dell’informatica  Tecnologia per il miglioramento dei processi.  Strumento per l’innovazione dei  processi/prodotti.  Tecnologia per la costituzione di un  patrimonio di conoscenze immateriali.
  • 13. Informatica: il contesto  Crescita delle applicazioni su reti aperte  anche per la PA;  Affermazione di internet come sistema di  scambio informazioni;  Obbligo normativo per la PA che deve fornire  servizi che garantiscano:  Riservatezza, integrità, disponibilità, autenticità;  Trattamento dei dati personali in modo conforme  alla normativa;
  • 14. Nuovi scenari: aspetti normativi Diversi atti legislativi hanno modificato fortemente il quadro di riferimento normativo, ampliando le aree di responsabilità delle aziende e obbligandole a mantenere comportamenti di tutela ritenuti socialmente corretti: • Riservatezza dei dati personali • Tutela del software, Diritto d’autore • Autenticazione e Firma digitale • Contratti informatici • etc. Anche il Governo si è impegnato per stimolare l’adeguamento della P.A. alle impellenti esigenze di sicurezza (es. Direttiva Presidente Consiglio dei Ministri 16/01/02: “Le informazioni gestite dai Sistemi Informativi Pubblici costituiscono una risorsa di valore strategico per il Governo del Paese”, “…assume quindi importanza fondamentale valutare il rischio connesso con la gestione delle informazioni e dei sistemi…si raccomanda pertanto a tutte le pubbliche amministrazioni di avviare nell’immediato alcune azioni prioritarie”).
  • 15. Nuovi scenari: varietà delle minacce  Complessità delle tecnologie;  Valore intangibile crescente;  Computer crime;  Interazioni frequenti/costanti   Frode informatica; con attori esterni (partner,   Sabotaggio; outsources);  Accesso non autorizzato;  Attività contemporanea su più   Perdita di know­how; fronti;  Rilascio inconsapevole di   Scelte compiute in contesti  informazioni; incerti e variabili;  Riproduzione non autorizzata;  Personale inesperto,   Uso non autorizzato di HW e SW; immotivato, demotivato;  Violazione della riservatezza;  Crescente necessità di  integrazione tra i sistemi;  Sostituzione di identità;  Incertezza normativa;  …  Globalizzazione;  …
  • 16. Misure tecniche: un quadro generale FISICHE LOGICHE REATTIVE PREVENTIVE Localizzazione sala macchine; Autenticazione; Sorveglianza; Autorizzazione; Materiali ignifughi, … Crittografia; Controllo accessi ai sistemi; Anti­virus; Firewall, Network scanning Firma digitale Estintori, sistemi antifurto; Anti­virus; Sistemi di continuità; Back­up (dati/informazioni, sw) Back­up (mezzi, persone,  linee di comunicazione); Network management; Intrusion detection systems
  • 17. Misure organizzative e misure tecniche Le misure tecniche sono finalizzate a prevenire gli incidenti e/o a  ripristinare la situazione ex­ante a seguito di un incidente, e  possono essere classificate in funzione delle tipologie di risorse  del sistema – fisiche o logiche – che hanno lo scopo di  proteggere. Le misure tecniche, tuttavia, non sono di­per­sé sufficienti a  garantire un adeguato livello di protezione del patrimonio  informativo aziendale. Le ragioni di questa affermazione possono  essere così sintetizzate: •il loro scopo consiste essenzialmente nel ridurre le vulnerabilità,  trascurando l’esigenza di operare anche a livello organizzativo al  fine di ridurre le minacce; •esse presuppongono, inoltre, l’adozione di misure organizzative  finalizzate alla loro gestione, in assenza delle quali possono  addirittura, paradossalmente, trasformarsi in elementi di vulnerabilità.
  • 18. Misure preventive per la IS PREVENTIVE PIANIFICAZIONE DELLE MISURE DI INFORMATION SECURITY PREVENZIONE/LIMITAZIONE DI COMPORTAMENTI MINACCIOSI •Definizione di compiti/procedure e profili (privilegi) •Separazione dei compiti •Sviluppo della cultura di security e del sistema di responsabilità •Mantenimento dell’atmosfera e partecipazione  LEVA SULLE VARIABILI DI INTEGRAZIONE •Formazione, addestramento •Rotazione delle mansioni •Ruoli di integrazione (PM, …) REATTIVE MECCANISMI DI CONTROLLO E AUDITING  SVILUPPO DELLA CAPACITÀ DI REAZIONE/APPRENDIMENTO GESTIONE DEI COMPORTAMENTI NON ETICI
  • 19. Codice in materia di protezione dei dati personali Misure minime di sicurezza: art. 33, 34  e Allegato B;
  • 20. Misure di sicurezza  Rischi individuati dalla legge:  Distruzione o perdita anche accidentale dei dati;  Accesso non autorizzato;  Trattamento non consentito o non conforme alla  finalità della raccolta.
  • 21. Misure minime di sicurezza  Autenticazione informatica;  Adozione di procedure di gestione delle credenziali di  autenticazione;  Utilizzazione di un sistema di autorizzazione;  Aggiornamento periodico dell’individuazione dell’ambito di  trattamento degli incaricati;  Protezione degli strumenti elettronici e dei dati;  Adozione di procedure per la custodia di copie di sicurezza;  Adozione di procedure per il ripristino della disponibilità dei dati e  dei sistemi;  Tenuta del Documento Programmatico per la Sicurezza (DPS);  Adozione di tecniche di cifratura o di codici identificativi per  determinati trattamenti di dati idonei a rilevare lo stato di salute e  la vita sessuale effettuati da organismi sanitari;
  • 22. Misure minime di sicurezza per trattamenti effettuati senza l’ausilio di mezzi elettronici  Aggiornamento periodico dell’ambito di  individuazione del trattamento;  Previsione di procedura per un’idonea custodia  di atti e documenti affidati agli incaricati;  Previsione di procedure per la conservazione di  determinati atti in archivi ad accesso selezionato  e disciplina delle modalità di accesso
  • 23. Definizioni  Dato personale  Dato anonimo  Dati identificativi  Dati sensibili  Trattamento  Comunicazione  Diffusione  Autenticazione informatica  Autorizzazione  Parola chiave
  • 24. Dato personale  Qualunque informazione riferibile ad una  persona fisica o giuridica, ente o  associazione, in via diretta o mediata
  • 25. Dato anonimo  Il dato che in origine o a seguito di  trattamento non può essere associato ad un  interessato identificato o identificabile  I dati anonimi non rientrano nell’ambito di  applicazione del d. lgs. 196/2003
  • 26. Dati identificativi  I dati personali che permettono  l’identificazione diretta dell’interessato
  • 27. Dati sensibili  Sono i dati idonei a rivelare:  l’origine razziale ed etnica  le convinzioni religiose, filosofiche e politiche  l’adesione a partiti, sindacati, associazioni  lo stato di salute  la vita sessuale
  • 28. Trattamento  Ogni operazione effettuata sui dati: anche  visualizzazione, lettura, conservazione
  • 29. Comunicazione  Dare conoscenza a persona determinata  diversa dall’interessato, dal responsabile e  dall’incaricato
  • 30. Diffusione  Dare conoscenza a soggetti indeterminati: ad  esempio, la pubblicazione
  • 31. Autenticazione informatica  Autenticazione: l’insieme degli strumenti elettronici  e delle procedure per la verifica anche indiretta  dell’identità  credenziali di autenticazione: i dati e i dispositivi,  in possesso di una persona, da questa conosciuti e  ad essa univocamente correlati, utilizzati per  l’autenticazione informatica  Secondo il d.p.r. 445/2000, modificato dal d.p.r.  137/2003 costituisce “firma elettronica“ (non è  sinonimo di “firma digitale”) “l’insieme dei dati in  forma elettronica, allegati oppure connessi tramite  associazione logica ad altri dati elettronici, utilizzati  come metodo di autenticazione informatica”
  • 32. Autenticazione informatica  il codice per l’identificazione non può essere assegnato  ad altri incaricati, neppure in tempi diversi  le credenziali di autenticazione sono disattivate se non  utilizzate da almeno sei mesi  le credenziali di autenticazione sono disattivate in caso  di perdita della qualità  Sono impartite agli incaricati istruzioni per non lasciare  incustodito e accessibile lo strumento elettronico durante  la sessione di trattamento  istruzioni per assicurare la disponibilità dei dati in caso di  assenza dell’incaricato
  • 33. Autorizzazione  Sono impartite agli incaricati istruzioni per non  lasciare incustodito e accessibile lo strumento  elettronico durante la sessione di trattamento  istruzioni per assicurare la disponibilità dei dati in  caso di assenza dell’incaricato  Individuazione dei profili per ciascun incaricato o  classi di incaricati  periodicamente occorre verificare la sussistenza  delle condizioni per la conservazione dei profili
  • 34. Parola chiave  Composta da almeno otto caratteri non deve  contenere riferimenti agevolmente  riconducibili all’incaricato  dev’essere modificata al primo utilizzo  successivamente ogni 6/3 mesi
  • 35. Conclusioni  La sicurezza non è un prodotto, è un  processo;  La sicurezza non è un problema di  competenza ma di responsabilità;

×