Con04 accesso

534 views

Published on

Published in: Education, Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
534
On SlideShare
0
From Embeds
0
Number of Embeds
13
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Con04 accesso

  1. 1. Corporate IT Compliance L’accesso ai sistemi informatici di Michele Canalini [email_address] www.vlearn.it
  2. 2. Introduzione <ul><li>L’accesso ai sistemi informatici costituisce elemento fondamentale anche per le implicazioni in merito a: </li></ul><ul><li>questioni legate alla sicurezza ed in particolare “ sicurezza informatica ” </li></ul><ul><li>questioni legate alla privacy e al trattamento dei dati personali </li></ul><ul><li>più in generale questioni che potrebbero avere implicazioni giudiziarie dal punto di vista civile e penale (e.g. diritto d’autore, intercettazioni, dati riservati, concorrenza tra aziende e segreti industriali, proprietà intellettuale, ecc.) </li></ul>
  3. 3. Le funzionalità di accesso accesso tramite password (1) <ul><li>L’accesso più comune ai sistemi informativi avviene tramite username e password con alcune caratteristiche fondamentali: </li></ul><ul><li>password criptata </li></ul>
  4. 4. Le funzionalità di accesso accesso tramite password (2) <ul><li>si deve consentire il recupero “anonimo” della password </li></ul><ul><ul><li>Invio sulla email personale </li></ul></ul><ul><ul><li>Individuazione dell’utente attraverso la verifica della domanda/risposta (ad es. “il nome del tuo cane”, “il cognome di tua madre da nubile”) </li></ul></ul><ul><ul><li>Utilizzo di codici numerici su immagini grafiche da visualizzare “one-shot” per avere certezza che l’utente sia effettivamente connesso e che non si stia accedendo con sistemi malevoli di de-criptazione </li></ul></ul>
  5. 5. Le funzionalità di accesso accesso tramite password (3) <ul><li>sistemi biometrici e/o smart-card </li></ul><ul><ul><li>Token che visualizzano codici numerici da inserire per l’autenticazione e per determinate operazioni </li></ul></ul><ul><ul><li>Chiavi usb contenenti i certificati di firma digitale </li></ul></ul><ul><ul><li>Lettori di Smart card sincroni </li></ul></ul><ul><ul><li>Lettori di Smart card che consentono la generazione di codici numerici da inserire su accessi e transazioni </li></ul></ul><ul><ul><li>Lettori biometrici di impronta digitale </li></ul></ul><ul><ul><li>Lettori biometrici di iride </li></ul></ul>
  6. 6. Le funzionalità di accesso addestrare gli utenti (1) <ul><li>L’accesso ai sistemi rientra nelle c.d. “ policies ” o politiche di sicurezza che gli utenti devono essere in grado di conoscere attraverso opportuni interventi di addestramento e formazione. </li></ul><ul><li>Di seguito riportiamo alcune tra le indicazioni più comuni: </li></ul><ul><li>memorizzazione della password </li></ul><ul><ul><li>non deve essere scritta ma memorizzata </li></ul></ul><ul><ul><li>deve essere sufficientemente complessa, di almeno 8 caratteri e comprendente almeno 2 cifre </li></ul></ul>
  7. 7. Le funzionalità di accesso addestrare gli utenti (2) <ul><li>modi meno e più sicuri per recuperare la password </li></ul><ul><ul><li>visualizzata nell’applicazione (--) </li></ul></ul><ul><ul><li>visualizzata nell’applicazione attraverso una domanda dell’utente, ad es. “il nome del mio cane” (-) </li></ul></ul><ul><ul><li>inviata via email all’utente (+) </li></ul></ul><ul><ul><li>inviata via email dopo la verifica della risposta data alla domanda impostata dall’utente (++) </li></ul></ul><ul><ul><li>inviata via email attraverso la digitazione di un codice numerico casuale in forma di immagine (+++) </li></ul></ul><ul><ul><li>utilizzo di un dispositivo biometrico (++++) </li></ul></ul>
  8. 8. Le funzionalità di accesso addestrare gli utenti (3) <ul><li>la password deve essere modificata almeno ogni 30 giorni </li></ul><ul><li>se l’applicazione lo richiede, in termini più stringenti </li></ul><ul><li>l’applicazione potrebbe avere regole interne per valutare il grado di “sicurezza” di una password inserita (generalmente mentre si imposta la nuova password il sistema indica il grado di sicurezza - alto medio basso) </li></ul>
  9. 9. Le funzionalità di accesso Single Sign On – SSO <ul><li>In determinati contesti organizzativi, soprattutto laddove esiste una molteplicità di applicazioni (ad es. Protocollo, Intranet, CRM, Contabilità, ecc.) a cui l’utente deve accedere potrebbe sorgere l’esigenza di razionalizzare l’accesso al fine di: </li></ul><ul><li>Centralizzare in un unico punto l’accesso alle applicazioni </li></ul><ul><li>Gestire centralmente i profili degli utenti rispetto alle varie funzionalità applicative </li></ul><ul><li>Disporre di una unica anagrafica degli utenti </li></ul><ul><li>Definire univocamente le “politiche” di sicurezza </li></ul>
  10. 10. Le funzionalità di accesso Come funziona il Single Sign On – SSO Controllo del profilo utente Archivio Anagrafico Utenti Utenti e Profili
  11. 11. Le applicazioni critiche <ul><li>La criticità delle applicazioni deve essere percepita dall’utente in modo che sia ben chiaro che il comportamento tenuto è determinante per un corretto utilizzo del sistemi informativi all’interno dell’organizzazione. </li></ul>

×