Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Sicurezza informatica per le professioni legali

2,785 views

Published on

Fondazione forense e Consiglio dell'ordine degli avvocati, Ferrara “La sicurezza nel web”, 10 giugno 2016

Published in: Law
  • DOWNLOAD THE BOOK INTO AVAILABLE FORMAT (New Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://urlzs.com/UABbn } ......................................................................................................................... Download Full EPUB Ebook here { https://urlzs.com/UABbn } ......................................................................................................................... Download Full doc Ebook here { https://urlzs.com/UABbn } ......................................................................................................................... Download PDF EBOOK here { https://urlzs.com/UABbn } ......................................................................................................................... Download EPUB Ebook here { https://urlzs.com/UABbn } ......................................................................................................................... Download doc Ebook here { https://urlzs.com/UABbn } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book THE can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer THE is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBOOK .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, CookBOOK, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, EBOOK, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story THE Helped Ignite a Movement,-- Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money THE the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths THE Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Be the first to like this

Sicurezza informatica per le professioni legali

  1. 1. La  sicurezza  informatica nelle  professioni  legali Fondazione  Forense  Ferrarese 10  giugno  2016 Raffaella  Brighi CIRSFID  e  Scuola  di  Giurisprudenza,  Università  di  Bologna
  2. 2. Quattro  punti Parte  prima Informatica,  professionisti  e  dati  digitali Parte  seconda Minacce  e  vulnerabilità Parte  terza Rischi  informatici  legati  alla  professione  e  il  quadro   giuridico  di  riferimento Parte  quarta Principi  e  strumenti  per  la  sicurezza  informatica
  3. 3. INFORMATICA,  PROFESSIONISTI  E DATI  INFORMATICI Parte  prima
  4. 4. Il  professionista   e  i  nuovi  scenari  tecnologici • Dal Personal Computer a un complesso sistema di strumenti informatici organizzati tra loro: firme digitali, posta elettronica certificata, marche temporali, console dell’avvocato, bolli on line, ecc. • A ciò si aggiungono nuove opportunità, in termini di servizi, utilità, comodità: – App per smartphone e tablet – Il Cloud Computing – Il modello Bring Your Own Device (BYOD) – … e, in un futuro non molto lontano, cosa porterà l’Internet of Things al professionista forense?
  5. 5. http://wearesocial.com/it/blog/2016/01/report-­digital-­social-­mobile-­in-­2016
  6. 6. Uso  passivo  della  tecnologia • Si osserva una certa passività dell’utente che si limita ad utilizzare le funzioni base con scarsa conoscenza delle funzioni avanzate • I sistemi operativi moderni tendono a nascondere come operano gli strumenti per rendere più semplici all’utente ogni operazione • Degli strumenti impiegati è importante capire: – Le  caratteristiche  di  funzionamento  e  le  finalità – Le  condizioni d’uso – I  limiti degli  strumenti • Valutare preventivamente le risorse tecnologiche, sia in riferimento al corretto trattamento e protezione dei dati, sia nell’ottica di un’eventuale produzione in giudizio degli stessi
  7. 7. Il  dato  digitale • Le attività di raccolta, organizzazione, conservazione e trasmissione dei dati costituiscono uno dei principali compiti dei sistemi informatici • In molte applicazioni i dati sono più stabili rispetto ai programmi utilizzati per elaborarli (problema del porting) • I dati registrati aumentano continuamente, ma la memoria digitale è assai fragile per ragioni tecniche (obsolescenza di hardware, software, piattaforme chiuse, ecc) e per vulnerabilità a virus e cyber attacchi
  8. 8. [http://blogs.intel.com/scoop/files/2012/03/infographic_1080_logo.jpg]
  9. 9. Dato  =  Valore • I dati generati dalle nostre attività online – scambiati, integrati e aggregati dai sistemi informatici (sistemi predittivi, business analytics, data mining, ecc.) – assumono un ruolo centrale nei processi di decisione (Data Driven Economy) • Se è strategico comprendere il valore tutelato • Valore del dato: – per l’interessato – per altri soggetti (governi, aziende, assicurazioni, criminalità, ecc.) • Nella società della conoscenza, il dato deve essere salvaguardato attraverso opportune misure tecnologiche e giuridiche
  10. 10. La  Hidden Data  economy: acquisto  di  dati  personali  nel  Deep Web Acquisto  di  dati  personali Da  The  Hidden Data  Economy  (by  Intel  Security),  2015   http://www.mcafee.com/us/resources/reports/rp-­hidden-­data-­economy.pdf
  11. 11. Gli  hacker  hanno  rivelato   le  informazioni  private  dei   clienti  per  punire  l'azienda   sanitaria,  colpevole  di  non   aver  pagato  il  riscatto. [Report  di  McAfee  Labs del  2015]
  12. 12. MINACCE  E  VULNERABILITÀ Parte  seconda
  13. 13. Minacce  e  vulnerabilità • Il tema della sicurezza informatica riguarda tutte le componenti del sistema informativo: l’hardware, il software, i dati e le persone • La minaccia rappresenta un’azione potenziale, accidentale o deliberata, che può portare alla violazione di uno o più obiettivi di sicurezza (agente esterno) • La vulnerabilità è un punto debole del sistema informativo che, se colpito o sfruttato da una minaccia, porta alla violazione di uno o più obiettivi di sicurezza • La misura del rischio cui è esposto un sistema informativo viene determinata dalla combinazione del valore dei beni, del livello delle minacce e del livello delle vulnerabilità
  14. 14. Categorizzazione  delle  minacce Le minacce a un sistema informativo sono di diverso tipo e difficilmente enucleabili: • catastrofi naturali o incidenti imprevisti • attacchi  esterni  di  soggetti  interessati  a  compromettere  la  sicurezza   del  sistema  informativo,  per  sottrarre  informazioni,  creare  danni   rendendo  indisponibili  dati  o  strumenti • software  malevolo  (virus  o  malware) • errori  umani:  attività  scorrette  o  illecite  da  parte  di  personale  interno
  15. 15. Le  nuove  cyber  minacce
  16. 16. Tipologie  di  attacchi  esterni • Attacchi in grado di sfruttare specifiche debolezze di un programma software: exploit, buffer overflow, cracking • Attacchi in grado di sfruttare connessioni di rete e porte di accesso ai sistemi o di intervenire sul traffico in transito: backdoor, port scanning, sniffing, keylogging, spoofing, DoS/DDooS • Attacchi condotti con l’utilizzo di software malevolo: virus, trojan, spyware, ransomware • Attacchi di social engineering, con l’obiettivo di sfruttare la scarsa consapevolezza da parte del personale di un’organizzazione, per accedere ad informazioni riservate: phishing, chiavette USB che veicolano Trojan, ecc.
  17. 17. Profitto  del  Cybercrime • Profitto  indiretto:  costruzione  di  infrastrutture  di  attacco  affittate  e   vendute  (es.  Ransomware,  SpyEye);;  rivendita  di  informazioni,  codici   di  accesso,  carte  di  credito – con  grande  facilità  si  reperiscono  gli  strumenti  necessari  alla   generazione  dei  nuovi  software  malevoli – non  richieste  competenze  evolute • Profitto  diretto:  frodi  automatizzate,  ransomware,  finti  antivirus,   ecc.  
  18. 18. Alcuni  dati  -­I [McAfee  Labs,  2016]
  19. 19. Alcuni  dati  -­II [McAfee  Labs,  2016]
  20. 20. Alcuni  dati  -­III [McAfee  Labs,  2016]
  21. 21. Alcuni  dati  -­IV [McAfee  Labs,  2016]
  22. 22. Ransomware • Sono software malevoli che infettano i pc e ne cifrano i contenuti chiedendo un riscatto per consegnare la chiave con cui decifrarli (es. Cryptolocker, Cryptowall o TorrentLocker, CTB-­Locker e TeslaCrypt) • Modalità di diffusione: – mail di phishing: false fatture o note di credito allegate al messaggio, codici di tracking di Corrieri Espresso (FedEX, DHL, UPS, SDA, etc) o relative a bollette di gestori di energia (Enel Energia, ecc) o ancora operatori telefonici (TIM, Tre, Vodafone, Wind, ecc) – diffusione tramite siti ”bucati” – indirizzamento verso una cartella in Cloud da cui viene scaricato il malware
  23. 23. Ransom con  phishing su  inchiesta   Procura  della  Repubblica [  fonte:  http://www.ransomware.it/]
  24. 24. [  fonte:  http://www.ransomware.it/]
  25. 25. [  fonte:  http://www.ransomware.it/]
  26. 26. [  fonte:  http://www.ransomware.it/]
  27. 27. Trojan diffuso  tramite  falsa  querela   per  diffamazione  aggravata [  fonte:  http://www.ransomware.it/]
  28. 28. I  rischi  del  mobile • Facilità di smarrimento e sottrazione;; scarso impiego di misure di blocco dello schermo e del dispositivo • Disomogeneità dei sistemi operativi;; numerose release da manutenere e carenza di funzionalità di sicurezza • Grande quantità di informazioni e funzionalità • Impiego di app non sempre controllate adeguatamente dai gestori degli store • Uso di protocolli di trasmissione (wifi, bluetooth) non riservati e spesso condivisi in luoghi pubblici con altri utenti
  29. 29. RISCHI  INFORMATICI  LEGATI  ALLA   PROFESSIONE  E  QUADRO  GIURIDICO Parte  terza
  30. 30. Consapevolezza  dei  rischi   informatici  legati  alla  professione I  rischi  riguardano  tutta  la  catena  degli  operatori: • dominio  delle  tecnologie  in  possesso  dell’avvocato   (personali  e  dello  studio) • dominio  dei  sistemi  informatici  imposti  dalle  istituzioni • capacità  di  gestire  correttamente  dati  e  comportamenti  di   terzi [Ziccardi,  2011]
  31. 31. Alcuni  casi  di  cronaca • LECCE  -­ Allarme  in  Tribunale  per  il  furto  di  un  computer  all’interno   dell’ufficio  del  giudice  Fabrizio  Malagnino,  della  seconda  sezione   penale.  Nel  pc  erano  contenuti  dati  sensibili.  Indagano  carabinieri  e   polizia  [  Corriere  del  mezzogiorno,  15  ottobre  2015] • Catania,  ladri  alla  Corte  d’Appello,  Rubati  alcuni  computer  dell’Unep [La  Sicilia.it,  18  ottobre  2015] • S.M.  Capua  Vetere.  Furto  in  Tribunale,  sparito  il  computer  della   Camera  Penale  [Il  Mattino.it,  21  novembre  2015] • Tribunale  di  Padova,  furto  nell’ufficio  di  un  giudice.  Rubati  il  cellulare   e  il  pc  portatile  con  materiale  di  lavoro [Il  mattino  di  Padova,  29   gennaio  2016] Obblighi  di  diligenza,  segretezza  e  riservatezza  del  Codice  di   deontologia  forense
  32. 32. Un  esperimento  del  2009 • Caso  di  hacking verso  gli  uffici  del  Tribunale  di  Milano  per  verificare   la  vulnerabilità  degli  uffici  giudiziari  dimostra  che  anche  un   attaccante  di  basso  profilo  può  violare  la  sicurezza  del  sistema   (Cajani,  2009)   • Il  patrimonio  informativo  va  pensato  come  un  bene  da  tutelare  con  i   migliori  mezzi  tecnologici!
  33. 33. La  sicurezza  informatica   nel  quadro  giuridico • L’importanza della sicurezza informatica emerge in modo chiaro nella disciplina per la protezione dei dati personali (D.lgs 196 del 2003, in particolare Allegato B) • La  sicurezza  informatica  non  è  contemplata  solo  in  riferimento  alla   privacy  nel  nostro  ordinamento  ma  anche: – dal  CAD  (d.lgs.  n.  82  del  2005),  relativamente  alle  firme  elettroniche  e   digitali  e  alla  continuità  operativa  della  PA  (art.  50-­bis) – relativamente  ai  crimini  informatici  (art.  615-­ter  c.p.,  accesso  abusivo  a   sistema  informatico  o  telematico) – dalla  normativa  sul  diritto  d’autore  (l.  n.  633/41)  che  prevede  misure   tecnologiche  idonee  a  proteggere  le  opere  dell’ingegno  da  usi  non   consentiti  dall’autore
  34. 34. Privacy  e  obblighi  di  sicurezza • Codice Privacy -­ la sicurezza non riguarda i sistemi ma i dati trattati • Il Codice privacy prevede due livelli di sicurezza: le misure minime di sicurezza (art 33 e ss.) e le misure idonee e preventive di sicurezza (art. 31) finalizzate a ”ridurre al minimo [.…] i rischi di distruzione o perdita, anche accidentale, dei dati [.…], di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta” – le misure idonee sono adottate dal titolare tenendo conto di: 1) progresso tecnico, 2) natura dei dati oggetti del trattamento, 3) specifiche caratteristiche del trattamento – le misure minime sono volte ad assicurare un livello minimo di sicurezza • Discrimen fra responsabilità civile e responsabilità (anche) penale [Perri, 2007]
  35. 35. Misure  minime  di  sicurezza (ex  art.  34  ) a) Autenticazione  informatica b) Adozione  di  procedure  di  gestione  delle  credenziali  di  autenticazione c) Utilizzazione  di  un  sistema  di  autorizzazione d) Aggiornamento  periodico  dell'individuazione  dell'ambito  del  trattamento   consentito  ai  singoli  incaricati  e  addetti  alla  gestione  o  alla  manutenzione   degli  strumenti  elettronici e) Protezione  degli  strumenti  elettronici  e  dei  dati  rispetto  a  trattamenti  illeciti  di   dati,  ad  accessi  non  consentiti  e  a  determinati  programmi  informatici f) Adozione  di  procedure  per  la  custodia  di  copie  di  sicurezza,  il  ripristino  della   disponibilità  dei  dati  e  dei  sistemi h Adozione  di  tecniche  di  cifratura  o  di  codici  identificativi  per  determinati   trattamenti  di  dati  idonei  a  rivelare  lo  stato  di  salute  o  la  vita  sessuale   effettuati  da  organismi  sanitari Indicazioni  specifiche  sono  contenute  nel  Disciplinare  tecnico  (Allegato  B)
  36. 36. Nuova  normativa  EU • ll 4 maggio 2016, sono stati pubblicati sulla Gazzetta Ufficiale dell'Unione Europea (GUUE) i testi del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini • Si tratta del passaggio finale per l'entrata in vigore del nuovo "Pacchetto protezione dati", l'insieme normativo che definisce un quadro comune in materia di tutela dei dati personali per tutti gli Stati membri dell'UE • Il Regolamento è entrato in vigore 20 giorni dopo la pubblicazione in GUUE, per diventare definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018, quando dovrà essere garantito il perfetto allineamento fra la normativa nazionale e le disposizioni del Regolamento • La Direttiva, invece, è vigente dal 5 maggio, e da qual momento impegnerà gli Stati membri a recepire le sue disposizioni nel diritto nazionale entro 2 anni [www.garanteprivacy.it]
  37. 37. Un  primo  sguardo   al  Regolamento  EU • Protezione by design e by default Articolo  25 Protezione  dei  dati  fin  dalla  progettazione  e  protezione  per   impostazione  predefinita 1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati. (segue>)
  38. 38. 2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica.
  39. 39. I  principi   della  Privacy  by  Design 1) Essere proattivo non reattivo: la PbD ha come scopo la prevenzione piuttosto che il rimedio 2) La privacy come impostazione di default, ovvero come regola di base di un sistema IT 3) La privacy incorporata nella progettazione, cioè integrata dei sistemi informativi 4) Il perseguimento della massima funzionalità, intesa come valore positivo, non valore zero, quindi vantaggioso per tutti 5) La sicurezza fino alla fine e la piena protezione del ciclo di vita del dato 6) La visibilità e la trasparenza, dal momento che componenti ed operazioni delle tecnologie e delle prassi utilizzate devono sempre essere verificabili 7) Il rispetto per la privacy dell’utente e la centralità dell’utente, potenziate seguendo un approccio user-­centred
  40. 40. Articolo  32   Sicurezza  del  trattamento 1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la  pseudonimizzazione e  la  cifratura dei  dati  personali;; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;; c) la  capacità  di  ripristinare tempestivamente la  disponibilità  e  l'accesso   dei  dati  personali  in  caso  di  incidente  fisico  o  tecnico;; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. (segue  >)
  41. 41. 2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. 3. L'adesione a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione approvato di cui all'articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo. 4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri.
  42. 42. Data  Breach:  Articolo  33 Notifica  di  una  violazione  dei  dati  personali   all'autorità  di  controllo • In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza • Tale notifica deve, tra l’altro: – descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione – descrivere le probabili conseguenze della violazione dei dati personali – descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi
  43. 43. • Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo • Non è richiesta la comunicazione all'interessato se è soddisfatta una delle seguenti condizioni: – il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione, in particolare quelle destinate a rendere i dati personali incomprensibili – il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati – detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficaci Data  Breach:  Articolo  34 Comunicazione  di  una  violazione   dei  dati  personali  all'interessato
  44. 44. PRINCIPI  E  STRUMENTI  PER   LA  SICUREZZA  INFORMATICA Parte  quarta
  45. 45. Obiettivi   della  sicurezza  informatica • “La sicurezza è studio, sviluppo ed attuazione delle strategie, delle politiche e dei piani operativi volti a prevenire, fronteggiare e superare eventi in prevalenza di natura dolosa e/o colposa, che possono danneggiare le risorse materiali, immateriali ed umane di cui l'azienda dispone e necessita per garantirsi un'adeguata capacità concorrenziale nel breve, medio e lungo periodo” (UNI/EN ISO 104559) • Requisiti: – Disponibilità – Integrità – Riservatezza • Finalità: garantire la continuità operativa, proteggere dati personali e sensibili, proteggere il know how legato alla professione, salvaguardare la Reputation
  46. 46. Una  politica  per  la  sicurezza • Per garantire la sicurezza in un sistema complesso, nel quale interagiscono più soggetti, occorre: – individuare correttamente  le  azioni  lecite  che  ciascun  soggetto  può   eseguire  in  riferimento  agli  oggetti  informatici – definire il sistema in tutti i suoi aspetti (tecnici, procedurali, organizzativi, ecc.), in modo tale da contrastare le possibili azioni illecite • Un politica della sicurezza deve valutare, con una metodologia di analisi e gestione dei rischi e le contromisure di tipo tecnico, logico, fisico, procedurale e sul personale che permettano di ridurre a livelli accettabili il rischio residuo globale
  47. 47. Contromisure • Contromisure  di  prevenzione,  che  hanno  l’obiettivo  di  impedire  che   il  rischio  si  manifesti,  controllando  i  punti  di  vulnerabilità  del  sistema   e  proteggendolo  dagli  attacchi • Contromisure  di  rilevazione/monitoraggio,  finalizzate  a  rilevare,  in   seguito  ad  un  attacco,  le  conseguenze  dannose  e  ad  accertare   eventuali  responsabilità • Contromisure  di  ripristino,  che  consentono  di  minimizzare  i  danni   con  la  riattivazione  tempestiva  del  sistema  e  delle  sue  funzionalità,   senza  perdita  di  dati.  Si  parla  di    Business  continuity planning e   Disaster recovery
  48. 48. Gestione  della  sicurezza • La  dimensione  dello  studio  non  determina  la  modalità  di  governo  del   dato,  quanto  piuttosto  l’entità  dell’investimento  per  gestire  una   complessità  maggiore • Ci  sono  valutazioni che  non  si  possono  omettere: – Disponibilità  di  specifiche,  di  documentazione  e  di  codice  sorgente  degli   strumenti  che  ci  propongono – Valutare  licenza  d’uso  per  prodotti  commerciali  e  le  condizioni  d’uso  e   qualora  di  decida  di  ricorrere  a  servizi  “gratuiti” – Portabilità  dei  dati – Dove  e  come  sono  memorizzati  dati  personali,  sensibili   – Tempo  di  ripristino – Punto  di  ripristino
  49. 49. Esempio   di  architettura  esternalizzata [Cfr.  Studio  Previti  e  ITnet (gruppo  ItaliaOnline)]
  50. 50. [Cfr.  Studio  Previti  e  ITnet (gruppo  ItaliaOnline)]
  51. 51. Dieci  punti  di  attenzione 1. Fattore umano: stampe incustodite, password non robuste, evitare di lasciare il proprio computer in disponibilità di terzi, consapevolezza delle tracce delle nostre attività, phishing, wi-­fi aperte, ecc. Può essere utile la redazione di policy di sicurezza per tutte le persone dello studio 2. Autorizzazioni: decidere quali autorizzazioni concedere ad un prefissato soggetto, valutare, per ogni bene e per ogni tipo di interazione con esso, quali eventuali danni possano derivare dalla concessione o dalla negazione della corrispondente autorizzazione (Allegato B Codice Privacy, 12-­14) 3. Autenticazione o codici di accesso: impostare adeguate regole per imporre la scelta di pwd robuste, organizzare la scadenza delle pwd, adottare eventuali sistemi di autenticazione robusta (biometrica, token hw, ecc), attivazione di funzionalità di blocco anche per i dispositivi mobili (Allegato B Codice Privacy, 1-­10)
  52. 52. Dieci  punti  di  attenzione 4. Difesa perimetrale: per collegarsi a un access point, a un cavo di rete, a una connessione di terze parti è opportuno interporre una strumento di difesa perimetrale (il firewall) che filtra il traffico in base a regole predefinite 5. Aggiornamento sw: verificare il periodico aggiornamento dei sistemi operativi e del software di tutti i dispositivi, disattivare le funzioni non utilizzate 6. Protezione da virus e malware: installare programmi specifici e occuparsi della loro manutenzione 7. Gestione della memoria: tenere in considerazione l’usura dei supporti e l’evoluzione dei formati dati, custodire correttamente i supporti per evitare accessi non autorizzati (es. soluzione di cloud storage)
  53. 53. Dieci  punti  di  attenzione 8. Cancellazione sicura dei dati: Allegato B al Codice privacy (regole 21 e 22) e provvedimento del Garante sulla dismissione di rifiuti di apparecchiature elettriche e elettroniche del 2008. La cancellazione sicura di informazioni si ottiene con: – programmi informatici (wiping) che riscrivono ripetutamente sequenze casuali di 0 e 1 sopra allo spazio liberato (es. Eraser, WipeDisk, Permanet Eraser, DBAN ecc.) – formattazione (inizializzazione) a basso livello del supporto di memorizzazione – demagnetizzazione (degaussing)dei dispositivi magnetici – distruzione dei supporti (punzonatura, deformazione meccanica, ecc.) Ci sono strumenti di sync and share che garantiscono una disponibilità illimitata del dato!
  54. 54. Dieci  punti  di  attenzione 9. Cifratura dei dati: è possibile cifrare, un file, una cartella, una parte di disco, una chiavetta USB, un intero hard disk. Alcuni s.o. dispongono di funzione di cifratura (FileVault, Bitlocker) che in maniera trasparente cifrano tutti i dati sul disco, programmi specifici (come TrueCypt, PGP) offrono maggiore flessibilità. Alcuni sistemi di Cloud pubblico nelle versioni professionali offrono servizi di cifratura dati del tutto trasparenti all’utente 10. Il backup: Stabilire cadenza temporale, quali dati, tempo di custodia dei dati, dove fare il backup (su Cloud, on line, su server, ecc.). Esistono dispositivi sofisticati che consentono un alto grado di automazione delle procedure di back up e restore. Attenzione: i sistemi di sync and share gratuiti effettuano il backup dei dati per un periodo limitato!
  55. 55. Apertura  e  trasparenza  come   requisiti  di  sicurezza • Apertura e trasparenza delle tecnologie utilizzate: maggior controllo del codice sorgente, peer review, non presenza di backdoor, conoscenza delle logiche nel trattamento e nella memorizzazione dei dati personali. La sicurezza viene da procedure robuste e non dalla segretezza • Evitare il lock in: passare dall’una all’altra soluzione informatica comporta costi elevati e di conseguenza l’utente tende a diventare prigioniero della tecnologia che ha adottato
  56. 56. Alcuni  riferimenti  bibliografici • AA.  VV.  Rapporto  Clusit 2015  sulla  sicurezza  ICT  in  Italia   • AA.VV.  Da  The  Hidden Data  Economy  (by  Intel  Security),  2015 • Bardari U.(2016)  Le  nuove  frontiere  del  crimine  informatico,  www.informaticaforense.it • Brighi  R.  (2012)  Sicurezza  informatica  e  amministratore  di  sistema  in  Informatica   giuridica  per  le  relazioni  aziendali,  Giappichelli • Cavoukian,  A.  (2009)  Privacy  by  Design.  The  7  Foundational Principles.  Toronto   http://www.privacybydesign.ca/index.php/about-­pbd/7-­foundationalprinciples/ • Federici  C.  (2016)  Cloud Computing:  principi  generali,  benefici  e  criticità,   www.informaticaforense.it. • Floridi,  L.  (2012),  La  rivoluzione  dell’informazione.  Codice  Edizioni • Maioli  C.  2015,  (a  cura  di)  Questioni  di  informatica  forense,  Aracne • Perri P,  2011,  Sicurezza  giuridica  e  sicurezza  informatica  in  Manuale   di  informatica   giuridica  e  diritto  delle  nuove  tecnologie,  Utet • Perri,  P.  2007,  Privacy,  Diritto  e  Sicurezza  informatica.  Giuffré Editore,  Milano • Santucci  G.  (a  cura  di),  2006  Linee  guida  alla  continuità  operativa  nella  Pubblica   Amministrazione,  i  Quaderni,  CNIPA,  n.  28 • Sartor G.  (2012).  Internet  e  il  diritto in  Temi  di  diritto  dell’informatica,  Giappichelli Editore • Ziccardi  G.  (2012).  L’avvocato  Hacker.  Per  un  uso  consapevole  delle  tecnologie.   Giuffré.
  57. 57. Raffaella Brighi CIRSFID  – Università di Bologna raffaella.brighi@unibo.it www.unibo.it

×