Your SlideShare is downloading. ×
Introduzione alla sicurezza informatica e giuridica
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Introduzione alla sicurezza informatica e giuridica

2,571
views

Published on

Published in: Business

0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
2,571
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
4
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. LA SICUREZZA INFORMATICAAprile 2011
  • 2. SICUREZZA INFORMATICA● Non esiste una vera e propria definizione di "Sicurezza Informatica". Possiamo comunque delinearla come la scienza che studia come proteggere le informazioni elaborate o trasferite elettronicamente da atti indesiderabili che possono avvenire accidentalmente, o essere frutto di azioni colpose o dolose. (Perri 2003)
  • 3. SICUREZZA INFORMATICA● Non esiste un sistema sicuro al 100%; Il mito del sistema inattaccabile è analogo al mito della nave inaffondabile. (V. Titanic)● Gnu/Linux e MacOS sono veramente immuni ai virus?● Il livello sicurezza di un sistema è dato dal tempo necessario per violare il sistema, dallinvestimento necessario e dalla probabilità di successo.
  • 4. SICUREZZA INFORMATICA● Un sistema più è complesso più è insicuro.● Le entità che compongono un sistema sono necessariamente tre: hardware, software ed humanware.
  • 5. SICUREZZA INFORMATICA●La conoscenza degli strumenti di sicurezza, deiproblemi e delle vulnerabilità che sorgonoprogressivamente devono essere patrimonio culturaledi tutti gli utenti.●A tal proposito si parla di full disclosure contrappostaalla closed disclosure.
  • 6. SICUREZZA GIURIDICA● Perché i giuristi parlano di sicurezza informatica?● Il diritto, volente o nolente, ha dovuto “mutuare” per certi versi la disciplina informatica della sicurezza, integrandola nei testi di legge.
  • 7. SICUREZZA GIURIDICA● Secondo la norma UNI/EN ISO 104559 “La sicurezza è studio, sviluppo ed attuazione delle strategie, delle politiche e dei piani operativi volti a prevenire, fronteggiare e superare eventi in prevalenza di natura dolosa e/o colposa, che possono danneggiare le risorse materiali, immateriali ed umane di cui lazienda dispone e necessita per garantirsi unadeguata capacità concorrenziale nel breve, medio e lungo periodo”.
  • 8. SICUREZZA GIURIDICA● Art. 17 Dir. 95/46/CE comma 1 “Gli Stati membri dispongono che il responsabile del trattamento deve attuare misure tecniche ed organizzative appropriate al fine di garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dallalterazione, dalla diffusione o dallaccesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati allinterno di una rete, o da qualsiasi altra forma illecita di trattamento dei dati personali. Tali misure devono garantire, tenuto conto delle attuali conoscenze in materia e dei costi dellapplicazione, un livello di sicurezza appropriato rispetto ai rischi presentati dal trattamento e alla naturadei dati da proteggere”.
  • 9. DIRITTO DELLA SICUREZZA INFORMATICA● La Comuntà Europea [...] è impegnata nel promuovere un vero e proprio diritto della sicurezza informatica (Cfr. Buttarelli, Verso un diritto della sicurezza informatica in Sicurezza Informatica.1995)● “Nella tematica della sicurezza, lapproccio giuridico non è quello prevalente, ma, nel tempo, la disciplina tecnica si è dovuta coniugare con un insieme di regole simbolicamente contrassegnate come diritto della sicurezza informatica” (Buttarelli 1997)
  • 10. LA NOZIONE DI SICUREZZA● Il diritto della sicurezza informatica ha ad oggetto lo studio delle norme tramite le quali è possibile assicurare lintegrità, la riservatezza e la disponibilità del dato trattato. (Bonavita 2009)
  • 11. IL DATO● “Il concetto di dato esprime una registrazione elementare nella memoria di un computer, pur non avendo una sua dimensione numerica prestabilita, che possa farlo ritenere una precisa unità di misurazione: nel linguaggio comune il termine dati ha invece una accezione più ampia, significando spesso linsieme dei contenuti registrati nella memoria di un computer [...]” (Pica 1999)
  • 12. RISERVATEZZA● L’informazione deve essere accessibile solo a chi è autorizzato a conoscerla. Le informazioni riservate devono essere protette sia durante la trasmissione che durante la memorizzazione. I dati memorizzati devono essere protetti mediante crittografia o utilizzando un controllo d’accesso, mentre per le informazioni riservate trasmesse è necessaria la crittografia.
  • 13. INTEGRITA● Le informazioni devono essere trattate in modo che siano difese da manomissioni e modifiche non autorizzate. Solo il personale autorizzato può modificare la configurazione di un sistema o l’informazione trasmessa su una rete. Per garantire l’integrità dei dati è necessario che il sistema sia preparato ad individuare eventuali modifiche apportate ai dati durante la trasmissione, sia intenzionalmente in seguito ad un attacco, sia involontariamente in seguito ad un errore di trasmissione.
  • 14. DIRITTO DELLA SICUREZZA INFORMATICA● “In Italia la cultura della sicurezza ha tardato ad affermarsi. Per molto tempo, le misure di protezione sono state considerate come una spesa a fondo perduto o come un lusso, incompatibile con le esigenze di economicità” (Buttarelli 1997)
  • 15. DISPONIBILITA● L’informazione deve essere sempre disponibile alle persone autorizzate quando necessario. Una varietà di attacchi possono comportare la perdita o la riduzione parziale della disponibilità di un sistema informatico; alcuni di questi attacchi sono evitabili tramite contromisure automatizzate come l’autenticazione e la crittografia, mentre altri richiedono speciali azioni fisiche per prevenire o ridurre la perdita di dati o di risorse in un sistema distribuito.
  • 16. DIRITTO DELLA SICUREZZA INFORMATICA● D.P.C.M.15 FEBBRAIO 1989 Coordinamento delle iniziative e pianificazioni degli investimenti in materia di automazione nelle amministrazioni pubbliche, Art. 4. “Le amministrazioni pubbliche garantiscono lapplicazione delle misure per la sicurezza dei centri elaborazione dati, la segretezza e la riservatezza dei dati contenuti negli archivi automatizzati, il numero delle copie dei programmi dei dati memorizzati da conservare, le modalità per la loro conservazione e custodia”.
  • 17. LE FONTI● La legge 23 dicembre 1993 n. 547 “Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica”;● · la legge 3 agosto 1998, n. 269 “Norme contro lo sfruttamento della prostituzione, della pornografia, del turismo sessuale in danno di minori, quali nuove forme di riduzione in schiavitù”;● la legge 18 agosto 2000, n. 248 “Nuove norme di tutela del diritto dautore” volta a reprimere i comportamenti illeciti di pirateria informatica;
  • 18. LE FONTI● Il Decreto Legislativo 8 giugno 2001, n. 231 “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dellarticolo 11 della legge 29 settembre 2000, n. 300”● In particolare il d.lgsl. 231/01 viene periodicamente aggiornato con l’inclusione di nuovi reati; nel 2008 è stato aggiornato per tener conto della legge n.48/2008, nel luglio 2009 per tener conto di nuovi delitti in relazione alla violazione del diritto d’autore.
  • 19. LE FONTI● E’ tuttavia nella legge in materia di trattamento dei dati personali che la sicurezza informatica ha trovato il suo luogo di elezione.
  • 20. Codice Privacy art. 31.● I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante ladozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
  • 21. Codice Privacy art. 34● Trattamenti con strumenti elettronici. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:
  • 22. Codice Privacy art. 34 & 31● Quale è la differenza tra misure minime e misure idonee?
  • 23. Codice Privacy art. 15 & 167● Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dellarticolo 2050 del codice civile.● Chiunque, essendovi tenuto, omette di adottare le misure minime previste dallarticolo 33 è punito con larresto sino a due anni.
  • 24. Codice Privacy art. 34● a) autenticazione informatica;● b) adozione di procedure di gestione delle credenziali di autenticazione;● c) utilizzazione di un sistema di autorizzazione;● d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;● e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
  • 25. Codice Privacy art. 34● f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;● g) tenuta di un aggiornato documento programmatico sulla sicurezza;● h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
  • 26. Codice Privacy art. 34Ulteriori misure in caso di trattamento di dati sensibili o giudiziari● I dati sensibili o giudiziari sono protetti contro laccesso abusivo, di cui allart. 615-ter del codice penale, mediante lutilizzo di idonei strumenti elettronici.● Sono impartite istruzioni organizzative e tecniche per la custodia e luso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti.
  • 27. Codice Privacy art. 34● I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili.● Sono adottate idonee misure per garantire il ripristino dellaccesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.
  • 28. Codice Privacy art. 34● I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili.● Sono adottate idonee misure per garantire il ripristino dellaccesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.
  • 29. Codice Privacy art. 34● Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalità di cui allarticolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi allidentità genetica sono trattati esclusivamente allinterno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati allesterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato.
  • 30. Il DPS● Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:
  • 31. Il DPS● lelenco dei trattamenti di dati personali;● la distribuzione dei compiti e delle responsabilità nellambito delle strutture preposte al trattamento dei dati;● lanalisi dei rischi che incombono sui dati;● le misure da adottare per garantire lintegrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;● la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento; la previsione di interventi formativi degli incaricati;
  • 32. Il DPS● La descrizione dei criteri da adottare per garantire ladozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, allesterno della struttura del titolare;● per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, lindividuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dellinteressato.
  • 33. Codice Privacy art. 34 Nel concreto:● Credenziali● Antivirus● Firewall● Backup● Crittografia● Patch● DPS
  • 34. PROVVEDIMENTI DEL GARANTE● Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui allAllegato B) al Codice in materia di protezione dei dati personali -27 novembre 2008● Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 7 novembre 2008● Semplificazione al modello per la notificazione al Garante- 22 ottobre 2008● Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali - 13 ottobre 2008
  • 35. PROVVEDIMENTI DEL GARANTE● Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabilI - 19 giugno 2008● Riconoscimento vocale e gestione di sistemi informatici - 28 febbraio 2008● Trattamento di dati biometrici con finalità di verifica della presenza dei dipendenti e di accesso a particolari aree produttive (mulino) -15 giugno 2006● Dati bancari: accesso non autorizzato e misure di sicurezza -23 luglio 2009
  • 36. D.lgs 231/01● Legge 18 marzo 2008, n. 48 “Ratifica ed esecuzione dellaConvenzione del Consiglio d Europa sulla criminalitàinformatica”●Si prevede lestensione della responsabilitàamministrativa delle le aziende, (D.lgs 231/01) ai reatiinformatici commessi da un vertice o da un dipendentedell’azienda allorquando ciò avvenga nel suo interesse oabbia apportato alla stessa un vantaggio, salvo che questesiano dotate di un piano di gestione degli incidentiinformatici.
  • 37. D.lgs 231/01• Il decreto legislativo 231 del 2001, prevedel’esonero di responsabilità dell’ente allorquando lostesso dimostri di aver predisposto modelli diorganizzazione e di gestione idonei a prevenirereati della specie di quello verificatosi
  • 38. LE FONTI USA● Digital Millennium Copyright Act (DMCA) - 1998● Computer Fraud and Abuse Act (CFAA) -1984● Electronic Communications Privacy Act -1986
  • 39. Grazie