Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...Andrea Mennillo
Oggi il campo di battaglia per la sicurezza si è allargato all’ambito tecnologico. Ogni processo digitale, risorsa, banca dati o piattaforma virtuale è suscettibile di attacchi informatici. I danni causati ogni anno da questi attacchi sono ingenti.
Data Breach e Garante Privacy: Problemi e soluzioniDFLABS SRL
In caso di distruzione o perdita dei dati personali società telefoniche e Internet provider avranno l'obbligo di avvisare gli utenti
Società telefoniche e Internet provider dovranno assicurare la massima protezione ai dati personali perché tra i loro nuovi obblighi ci sarà quello di avvisare gli utenti dei casi più gravi di violazioni ai loro data base che dovessero comportare perdita, distruzione o diffusione indebita di dati.
In attuazione della direttiva europea in materia di sicurezza e privacy nel settore delle comunicazioni elettroniche, di recente recepita dall'Italia, il Garante per la privacy ha fissato un primo quadro di regole in base alle quali le società di tlc e i fornitori di servizi di accesso a Internet saranno tenuti a comunicare, oltre che alla stessa Autorità, anche agli utenti le "violazioni di dati personali" ("data breaches") che i loro data base dovessero subire a seguito di attacchi informatici, o di eventi avversi, quali incendi o altre calamità.
DFLabs propone un approccio integrato e modulare tra Consulenza (Policy e Procedure di Data Breach), Servizi (Incident Response) e Tecnologie di Incident management (IncMan Suite). In particolare, Incman consente di gestire interamente l'inventario e la reportistica sul data breach richiesta dal Garante Privacy.
Cybersecurity oggi una priorità per i leader. Non più solo rischi operativi e...Andrea Mennillo
Oggi il campo di battaglia per la sicurezza si è allargato all’ambito tecnologico. Ogni processo digitale, risorsa, banca dati o piattaforma virtuale è suscettibile di attacchi informatici. I danni causati ogni anno da questi attacchi sono ingenti.
Data Breach e Garante Privacy: Problemi e soluzioniDFLABS SRL
In caso di distruzione o perdita dei dati personali società telefoniche e Internet provider avranno l'obbligo di avvisare gli utenti
Società telefoniche e Internet provider dovranno assicurare la massima protezione ai dati personali perché tra i loro nuovi obblighi ci sarà quello di avvisare gli utenti dei casi più gravi di violazioni ai loro data base che dovessero comportare perdita, distruzione o diffusione indebita di dati.
In attuazione della direttiva europea in materia di sicurezza e privacy nel settore delle comunicazioni elettroniche, di recente recepita dall'Italia, il Garante per la privacy ha fissato un primo quadro di regole in base alle quali le società di tlc e i fornitori di servizi di accesso a Internet saranno tenuti a comunicare, oltre che alla stessa Autorità, anche agli utenti le "violazioni di dati personali" ("data breaches") che i loro data base dovessero subire a seguito di attacchi informatici, o di eventi avversi, quali incendi o altre calamità.
DFLabs propone un approccio integrato e modulare tra Consulenza (Policy e Procedure di Data Breach), Servizi (Incident Response) e Tecnologie di Incident management (IncMan Suite). In particolare, Incman consente di gestire interamente l'inventario e la reportistica sul data breach richiesta dal Garante Privacy.
Webinar "Sicurezza informatica per dipendenti pubblici" | 15 aprile 2021
Intervento di Pier Paolo Gruero, Chief Information Security Officer CSI Piemonte
Il fenomeno cyber security e il mercato italianoCSI Piemonte
Webinar "Sicurezza informatica per dipendenti pubblici" | 15 aprile 2021
Intervento di Gabriele Faggioli, Presidente Clusit - Associazione Italiana per la Sicurezza Informatica
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...Symantec
Sommario
Questo documento illustra ai responsabili IT l’importanza della Cyber Resilience e della Security Intelligence per
rispondere alle minacce informatiche in continua evoluzione e fornisce un quadro d’insieme sul futuro della sicurezza IT.
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...Codemotion
Codemotion Rome 2015 - La User Experience si evolve guidata delle opportunità tecnologiche (Mobility, Active Spaces, Internet delle Cose, Wearable, ...). I nuovi servizi coinvolgono un sempre maggior numero di utenti e di Smart Objects. I volumi e la complessità degli scenari determinano una serie di nuove vulnerabilità che attirano l'interesse di un Cyber-crimine sempre più determinato e sofisticato. Riconoscere il rischo e sviluppare di conseguenza soluzioni "sicure" è il primo, fondamentale elemento per contribuire a mitigare il quadro complessivo della minaccia tecnologica.
Privacy e sicurezza: come proteggere i dati - Enzo VeiluvaCSI Piemonte
Intervento di Enzo Veiluva, DPO del CSI Piemonte,
al roadshow "Territori del futuro" organizzato da CSI Piemonte, Regione Piemonte e Fondazione Torino Wireless,
in collaborazione con le Camere di Commercio piemontesi.
Webinar "Sicurezza informatica per dipendenti pubblici" | 15 aprile 2021
Intervento di Pier Paolo Gruero, Chief Information Security Officer CSI Piemonte
Il fenomeno cyber security e il mercato italianoCSI Piemonte
Webinar "Sicurezza informatica per dipendenti pubblici" | 15 aprile 2021
Intervento di Gabriele Faggioli, Presidente Clusit - Associazione Italiana per la Sicurezza Informatica
WHITEPAPER: L’Azienda Cyber Resilient: come sfruttare i vantaggi della Securi...Symantec
Sommario
Questo documento illustra ai responsabili IT l’importanza della Cyber Resilience e della Security Intelligence per
rispondere alle minacce informatiche in continua evoluzione e fornisce un quadro d’insieme sul futuro della sicurezza IT.
Rendere sicure le esperienze dell'individuo nel mondo digitale allargato - Pi...Codemotion
Codemotion Rome 2015 - La User Experience si evolve guidata delle opportunità tecnologiche (Mobility, Active Spaces, Internet delle Cose, Wearable, ...). I nuovi servizi coinvolgono un sempre maggior numero di utenti e di Smart Objects. I volumi e la complessità degli scenari determinano una serie di nuove vulnerabilità che attirano l'interesse di un Cyber-crimine sempre più determinato e sofisticato. Riconoscere il rischo e sviluppare di conseguenza soluzioni "sicure" è il primo, fondamentale elemento per contribuire a mitigare il quadro complessivo della minaccia tecnologica.
Privacy e sicurezza: come proteggere i dati - Enzo VeiluvaCSI Piemonte
Intervento di Enzo Veiluva, DPO del CSI Piemonte,
al roadshow "Territori del futuro" organizzato da CSI Piemonte, Regione Piemonte e Fondazione Torino Wireless,
in collaborazione con le Camere di Commercio piemontesi.
HACKERAGGIO- CASI E COME PREVENIRLO.pptxsonicatel2
Con il termine hackeraggio si intende qualsiasi manovra effettuata in modo anonimo da individui o organizzazioni che ha lo scopo di colpire sistemi informatici e dispositivi elettronici. L’attacco informatico è generalmente costituito da un malware, ovvero un programma malevolo in grado di immettersi all’interno di un sistema senza autorizzazione. L’obiettivo di queste operazioni è quello di impadronirsi di dati privati o alterare/distruggere dei sistemi informatici in uso.
iDialoghi - Social Media Security Management iDIALOGHI
La Sicurezza dei Social Media è un processo trasversale ad ogni funzione e processo aziendale.
Come gestire la Social Media Security.
Il processo di Social Media Management.
APT, Social Network e Cybercriminali: Strategie difensiveiDIALOGHI
APT, un cyberattacco mirato e persistente
Chiunque può essere un bersaglio
Obiettivi economici, tecnici, militari, politici
Dal Social Engineering ai Social Networks
Minacce derivanti dai Social Media
I Social Media sono bersagli
...ma sono anche il paradiso del Cybercrime
Incidenti più eclatanti
Maladvertising
Strategie difensive
Il mercato assicurativo italiano si trova ancora in una fase embrionale. Delle 50 compagnie di assicurazioni operanti in Europa che specificamente si dichiarano pronte a sottoscrivere rischi cibernetici, soltanto un terzo opera direttamente in Italia, la restante parte opera fondamentalmente dal Regno Unito (a copertura di rischi italiani)
R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e no...Raimondo Villano
Abstract da: Raimondo Villano, “Verso la società globale dell'informazione” (patrocinio Rotary Club Pompei Oplonti Vesuvio Est, Presentazione del Governatore Rotary International Distretto 2100-Italia Prof. Antonio Carosella, Ed. Eidos, pag. 194; Torre Annunziata, 1^ ed. maggio 1996; 2^ ed. settembre 2000).
L'atteggiamento un tempo più diffuso, quando in azienda si cominciava a parlare di sicurezza informatica, era quello che molte società del settore ancora oggi identificano come quello dello "struzzo". Una comprensibile ignoranza delle problematiche faceva ritenere che la probabilità di subire un attacco informatico fosse molto bassa e che, tipicamente, questi eventi accadessero a qualcun altro. Del resto, lo stesso atteggiamento, ancor oggi, si può osservare se si esaminano le procedure di sicurezza applicate in molte imprese, per esempio in materia di prevenzione degli incendio, in generale, degli incidenti sul lavoro. Eppure la sicurezza è un concetto antico quanto quello stesso d'azienda. La protezione del patrimonio intellettuale, i brevetti, le barriere all'ingresso di una banca, i controlli all'uscita da una miniera di diamanti, le guardie giurate, sono tutti elementi volti a garantire la sicurezza aziendale. Si potrebbe andare ancora avanti a elencare altri provvedimenti per la sicurezza aziendale. La relativa giovinezza degli strumenti informatici e, soprattutto, la diffusione degli stessi, cresciuta nell'ultimo decennio con l'avvento di Internet, hanno posto una "questione culturale" sul fronte della protezione logica dei dati e delle informazioni: da un lato, si è avvertita e si avverte una scarsa percezione di quello che significa ICT security, dall'altro una mancanza di una reale percezione del rischio. Oggi si parla dell'era dell'informazione, per mettere in risalto l'importanza crescente del patrimonio della conoscenza come reale valore di un'impresa. Un concetto sul quale si può facilmente essere tutti d'accordo, anche perché non è una novità. Lo spionaggio industriale non è stato inventato con l'avvento dei computer; eppure cos'è se non furto di informazioni e know-how? Sono cambiati però gli strumenti, mentre il paradigma dell'e-business, che vuole un'impresa affidare all'IT tutte le attività e tutti i processi di business, esalta il ruolo del sistema informativo, facendone il deposito di quelle informazioni e di quel know-how che, in precedenza, si poteva raggiungere solo violando archivi e casseforti. L'estensione in rete dell'azienda, il successo di Internet, intranet ed extranet hanno favoritolo sviluppo di soluzioni e strumenti informatici, sia hardware sia software, che rispondono a esigenze di protezione differenti dal passato.
https://www.vincenzocalabro.it
Similar to Alessandro Canella - convegno privacy - 23 Marzo 2004 (20)
Alessandro Canella - convegno privacy - 23 Marzo 2004
1. Le misure minime di sicurezza dei dati e dei sistemi IT:
adempimenti organizzativi e tecnici
Relatore : Alessandro Canella - Ferrara, 23 Marzo 2004
2. Gli attacchi informatici, storia, modalità e tipologia del rischio
Panoramica sul mondo dei rischi che ci circonda, presa di coscienza sulla non immunità del
“nostro” sistema informatico
Misure minime di sicurezza : obbligo di legge, protezione necessaria o indice di
qualità
La necessità di migliorare sempre la qualità del servizio all’utenza della nostra azienda
passa anche per una organizzazione globale dei sistemi informativi
La protezione dei sistemi, cosa vogliamo e cosa ci chiede lo stato
Punti di contatto tra gli intenti del management di un’azienda moderna e il legislatore
4. Secondo l’Information Technology Security Evaluation Criteria, standard europeo di sicurezza,
sviluppato dai tardi anni 80, un sistema di calcolo viene considerato sicuro quando è in grado di
garantire il soddisfacimento delle proprietà di:
confidenzialità
integrità
disponibilità
È quindi da considerare, il pensiero di molti esperti di sicurezza, riassumibile in:
1) La sicurezza è direttamente proporzionale alla disponibilità di un sistema informatico
2) Un senso di falsa sicurezza è più dannoso di una consapevole insicurezza
3) Non e` questione di “se”, ma di “quando” si presenterà il danno e di “quanto tempo” si avra`per
limitare i danni.
4) Non esiste sicurezza assoluta.
Cos’è un sistema informatico sicuro?
Le informazioni devono essere disponibili solo agli interessati
I dati devono essere integri per poter effettuare elaborazioni attendibili
Il sistema informatico in deve garantire la massima funzionalità percentuale
5. Cosa mette a repentaglio la sicurezza del sistema?
Il sistema non deve mai essere fuori dai canoni di cui sopra : confidenzialità,
integrità, disponibilità devono sempre essere garantite. A parità di qualità degli
applicativi e dei calcolatori che usiamo, è compito dei sistemisti trovare ed applicare
soluzioni che possano maggiormente garantire il rispetto dell’enunciato precedente. Il
prezzo da pagare non può essere considerato ininfluente : al giorno d’oggi gran parte del
business aziendale si basa sui sistemi informativi ed avere il sistema indisponibile o dei
dati non integri va di pari passo con il fornire un servizio non adeguato all’utenza.
$ =
6. Cosa mette a repentaglio la sicurezza del sistema?
I PC client rappresentano un anello importante nella
catena della sicurezza, e i casi di violazione aumento a una
velocità allarmante. Solo nel 2002, la società londinese Mi2g
quantifica in 7 miliardi di dollari il danno derivante da
attacchi digitali dolosi a livello mondiale (Mi2G “Economic
damage from Digital Risk Stablishing”, 22 ottobre 2002).
Catania - La Guardia di Finanza di Catania scopre pirati
informatici che su Internet, accedendo illegittimamente
alla rete telematica dell'università catanese, violavano
sistemi informatici di enti pubblici, banche e società
private italiane ed estere. Sono state denunciate sette
persone (Il Giorno, 11/02/2000)
Imprese sempre più nel mirino dei
virus: in 20 mesi oltre un milione di
casi
Venti mesi di “osservazione”, oltre un
milione di casi accertati. Questo il
risultato d’una ricerca – la più completa,
probabilmente, fin qui condotta sul
problema delle infezioni on line –
effettuata dalla ICSA Laboratories (una
divisione della TruSecure, azienda
specializzata nella sicurezza on line) su
un campione di 300 imprese americane,
nell’arco di tempo che va dal gennaio del
200 all’agosto del 2001. La ricerca,
commissionata da una serie di
corporazioni, ha rilevato una media
mensile di 113 “incontri” – come vengono
definite le scoperte di virus – ogni mille
macchine. Nel 1996, quando questo tipo
di studio era stato effettuato per la prima
volta, gli incontri erano stati 20 ogni mille
macchine.
Gestendo in proprio la sicurezza, ogni azienda vivemesi di noia, qua e là intercalati da istanti di panico’.(Information Security Magazine)
TUTTE Le analisi svolte a livello internazionale dimostranoche, in molti casi, un'adeguata programmazione degliinterventi permetterebbe di ottenere, con lo stesso budgetannuale speso per fronteggiare le emergenze, sistemi piùefficienti dal punto di vista tecnologico e gestionale.(A.Fuggetta, Espansione, novembre 2003)
ATTACCHI E VIOLAZIONI ALLA SICUREZZA
SONO COSTATI ALLE AZIENDE 378 MILIONI DI
DOLLARI NEL 2000
(da un rapporto dell’FBI)
7. Ma ci sono casistiche che possono preoccupare effettivamente?
Il 78% delle aziende e degli enti italiani è vittima di un attacco al proprio sistema
operativo attraverso un virus, un dato in sensibile crescita rispetto al 69% registrato
l'anno precedente. "Le aziende intervistate hanno subito almeno un attacco nell'ultimo
anno, nonostante il 95% di queste avesse un sistema di protezione"
Sempre più spesso le aggressioni provengono dall'esterno dell'azienda: gli attacchi
esterni rappresenterebbero il 73% degli atti di pirateria contro il 27% dei sabotaggi
interni, un dato in contraddizione con i risultati del rilevamento precedente.
Bersagli preferiti degli hacker, sono i servizi professionali, quelli informatici, aziende di
trasporti, assicurazioni, società di telecomunicazioni e banche
(Marco Bozzetti, portavoce di Forum Tecnologia Informazione, associazione sotto il patrocinio del
Ministero delle Attività Produttive)
8. In un periodo particolare della mia vita, a nemmeno 20
anni, decisi di fare un "raid". Quasi 50 sistemi informatici
[…], furono violati. Nomi famosi, tra questi sistemi: Ente
Nazionale Energia Alternativa, Consiglio Nazionale delle
Ricerche, case farmaceutiche di fama mondiale,
compagnie telefoniche americane ed europee, la Banca
d'Italia. Il gioco non era piu' tale, si era fatto pesante e io
non lo sapevo e un giorno venni arrestato per reati di
natura informatica.
[…] La Falange Armata ce la siamo inventata per farci
pubblicità, in realtà la nostra unica vera attività illecita è
stata quella di utilizzare numeri di carte di credito […]
Ma perché dovrebbero prendersela con la nostra azienda?
Quattro anni fa dei ragazzi scrissero un messaggio, il quale apparve su tutta una serie di
monitor e terminali, sparsi per l'Italia. Il messaggio recitava: "Ieri il potere erano le armi
nucleari, era la potenza economica; oggi il potere e' rappresentato dall'informazione.
Milioni di dati, dati economici e personali, che transitano su centinaia di reti, attraverso
migliaia di computer. Abbiamo l'informazione, abbiamo il potere: guardatevi intorno, i
vostri nuovi nemici saranno i monitor". Forse quei ragazzini non si sbagliavano poi di
molto.
D'altra parte era facilissimo, in
alcune di queste aziende le
password (parole chiave per
entrare in un sistema) erano
"prova", "Pippo" oppure
"Maria” […] Quando cercavo
lavoro, mi sono proposto alla
Fiat per curargli la sicurezza
del sistema informatico",
racconta poi Raoul. "Mi hanno
detto che non ne avevano
bisogno. Quella sera stessa ho
verificato che non era così". (
Raoul Chiesa “nobody”, ex hacker, esperto di sicurezza informatica
10. 26,3
22,6
19,7
14,4
7,3
6,7
5,2
2
1,7
1,7
0,8
0,6
0,6
0,3
0,3
virus
perdit a servizi essenziali
guast i
errori ut ilizzo
errori concet t uali
furt i
event i nat urali
at t acchi logici
incident i fisici
frodi
at t i denigrat ori
divulgazione di dat i
sabot aggi
int rusioni
est orsioni
Ci sono tipologie del rischio da sottovalutare??
Fonte : Clusif “étude et statistique sur la sinistralité informatique en France 2002”
11. Misure minime di sicurezza : obbligo di legge, protezione necessaria o indice di
qualità
12. La sicurezza informatica, è oggi necessaria? Analizziamo innanzitutto gli impatti
possibili su una azienda :
Tangibili
- perdita di dati, rilavorazione dei medesimi
- utilizzo di dati non corretti nelle procedure aziendali
- fermo sistemi e fermo lavorazione (compresa la produttività del personale non IT)
- costi di lavoro e materiali per il rilevamento, il ripristino, il contenimento
- costi di lavoro per la raccolta informazioni relative all’accertamento della responsabilità
Intangibili
- utilizzo di dati propri da parte di terzi per marketing, perdita di clienti
- perdita dell’eventuale esclusivo know-how economico e industriale
- danno di immagine e perdita di fiducia dei clienti
- responsabilità per danni involontari a terzi
Quale e perché dovrebbe essere il nostro comportamento?
13. 1. Identificazione degli elementi da proteggere
2. Identificazione delle minacce a cui gli elementi definiti sono sottoposti
3. Analisi dei rischi
Questi step sono meglio identificati sotto il nome di “analisi del rischio”, l’analisi del rischio
serve a individuare i rischi cui si è sottoposti ed è necessaria per poter valutare quali
tipologia di rischio coprire ed il bilanciamento dei costi ad esso correlati. Deve essere
svolta a seconda delle tipologie di dati e di sistemi secondo analisi quantitative e
qualitative
VALORE
basso medio alto
RISCHIO
basso
medio
alto
Come Procedere?
Analisi qualitativa
Rischio = (valore del bene) X
(fattore di esposizione) X
(frequenza di accadimento)
Analisi quantitativa
14. Come Procedere?
SERVER ACCESS
POINT
CLIENT
BACKUP
INTERNAL
NETWORK
L’analisi del rischio, produrrà una tabella contenente questi elementi, ed evidenzieremo per
ogni singolo oggetto, la singola minaccia e decideremo, a riguardo il prodotto o la
procedura adeguata
VIRUS
ACCESSI
UPS
PATCH
DATI
ACCESSI
FIREWALL
VPN
UPS
VIRUS
ACCESSI
UPS
PATCH
DATI
PROCEDURA
STORICO
CONSERVAZI
ONE
ACCESSI
PROCEDURE
PERIMETRO
NODI
15. 4. Analisi costi-benefici
5. Piano operativo
6. Regole comportamentali
7. Procedura di gestione degli incidenti
Trovate le singole criticità e le relative protezioni, analizzeremo i costi-benefici perché se
è vero che la sicurezza non è mai troppa, è anche vero che ogni azienda ha una sua
dimensione del rischio e di conseguenza una sua dimensione dei costi. Il piano operativo
sarà costituito da questi due fattori: un’insieme omogeneo fra sistemi tecnologici e
procedure comportamentali.
Come Procedere?
SERVER ACCESS
POINT
CLIENT
BACKUP
INTERNAL
NETWORK
VIRUS
ACCESSI
UPS
PATCH
DATI
ACCESSI
FIREWALL
VPN
UPS
VIRUS
ACCESSI
UPS
PATCH
DATI
PROCEDURA
STORICO
CONSERVAZI
ONE
ACCESSI
PROCEDURE
PERIMETRO
NODI
17. Ricostruendo l’analisi sin qui effettuata, analizziamo le richieste di legge
L’adozione di misure minime di sicurezza : “il complesso delle misure tecniche, informatiche,
organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di
protezione richiesto in relazione ai rischi previsti dall’art. 31”(rischi di distruzione o perdita
anche accidentale dei dati, rischi di accesso non autorizzato o di trattamento non consentito
o non conforme alle finalità della raccolta)
- I titolari del trattamento sono tenuti ad adottare le misure minime, individuate dal Codice,
secondo le modalità previste dal Disciplinare Tecnico (allegato B), per assicurare un livello
minimo di protezione dei dati personali.
- I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle
conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche
caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e
preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati
stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità
della raccolta.
- Il trattamento dei dati è consentito solo se:
- sono adottate le misure minime di sicurezza individuate dal Codice
- le misure minime di sicurezza sono adottate con le modalità previste dal
Disciplinare tecnico (allegato B)
Effettivamente cosa ci richiede la legge 196?
18. Misure individuate dall’art. 34 del codice
- Autenticazione informatica
- Procedure di gestione delle credenziali di autenticazione
- Utilizzazione di un sistema di autorizzazione
- Aggiornamento periodico dell’individuazione dell’ambito di trattamento consentito agli incaricati
e addetti alla gestione e manutenzione degli strumenti elettronici
- Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti, accessi non
consentiti
- Procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei
sistemi
- Redazione e aggiornamento del Documento Programmatico sulla Sicurezza (DPS)
- Adozione di tecniche di cifratura o codici identificativi per determinati trattamenti di dati
sensibili effettuati da organismi sanitari
Effettivamente cosa ci richiede la legge 196?
19. Misure individuate dall’allegato B
- Il trattamento dei dati è consentito solo agli - incaricati dotati di credenziali di autenticazione
(username + password; dispositivo elettronico di autenticazione eventualmente associato a un
codice identificativo o a una parola chiave; caratteristica biometrica dell’incaricato
eventualmente associata a un codice identificativo o a una parola chiave)
- È prevista una gestione dei codici identificativi (username):
- I criteri di definizione e assegnazione comprendono:
individualità
non riutilizzabilità
- È prevista una validità temporale (disattivazione per mancato utilizzo – o per perdita
qualità)
- È prevista una gestione delle parole chiave (password):
criteri di creazione (almeno 8 caratteri o numero caratteri massimo consentito dal
sistema, non banale, ecc.)
- Sono previsti criteri di gestione ( modifica ogni 6 mesi; 3 mesi in caso di dati sensibili) e di
custodia
Effettivamente cosa ci richiede la legge 196?
20. Misure individuate dall’allegato B
- Ad ogni incaricato possono essere associate una o più credenziali
- Il titolare dovrà fornire agli incaricati precise istruzioni riguardanti:
la gestione e conservazione delle credenziali di autenticazione
la custodia dei dispositivi in possesso e uso esclusivo dell’incaricato
la gestione e custodia dello strumento elettronico durante le sessioni di trattamento
- Deve esserci individuazione puntuale delle modalità di accesso ai dati, in caso di
assenza prolungata o impedimento dell’incaricato, per esigenze organizzative e di
sicurezza aziendale
- Profili di autorizzazione (per ciascun incaricato o per classi omogenee):
- Sono previsti criteri di individuazione preventiva
- Sono previste verifiche periodiche (almeno ogni anno)
- Sono previsti criteri di revoca
Effettivamente cosa ci richiede la legge 196?
21. Altre Misure
- Aggiornamento periodico e verifiche (almeno ogni anno) dell’ambito di trattamento consentito
agli incaricati e redazione della lista degli incaricati
- installazione e aggiornamento software antivirus (almeno ogni 6 mesi)
- aggiornamenti periodici dei software volti a prevenire la vulnerabilità di strumenti elettronici e a
correggere difetti (annualmente; ogni 6 mesi in caso di trattamento di dati sensibili)
- istruzioni tecniche e organizzative per il salvataggio dei dati (frequenza settimanale)
Ulteriori misure in caso di trattamento dati sensibili
- sono previste
- istruzioni organizzative e tecniche per la custodia e l’uso di supporti rimovibili
- istruzioni per la distruzione controllata dei supporti e per la cancellazione delle
informazioni contenute
- adozione di idonee misure per il ripristino dei dati in caso di danneggiamento dei
dati e/o degli strumenti (con un massimo di 7 giorni)
- Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria
struttura, per provvedere alla esecuzione riceve dall’installatore una descrizione
scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del disciplinare
tecnico
Effettivamente cosa ci richiede la legge 196?
22. RICHIESTE DI LEGGE
PROCEDURE
STANDARD
A GARANZIA
DELLA
QUALITA’
DEI SISTEMI
Quale dovrebbe essere in sintesi il nostro piano di attuazione?
EFFETTIVO PIANO
DI GESTIONE
DEL SISTEMA
23. Potendo fare una sintesi organizzativa, basata sulle effettive richieste di legge,
idealmente includeremmo:
- Un sistema di autenticazione per l’accesso ai dati, gestione di password ai
differenti sistemi
- L’aggiornamento periodico dell’individuazione dell’ambito un sistema di
procedure di gestione delle responsabilità e degli accessi
- La protezione degli strumenti elettronici e dei dati, un antivirus con gestione
degli aggiornamenti e degli alerting, policy di utilizzo
- L’ adozione di procedure per la custodia di copie di sicurezza, con
garantita la custodia extra aziendale di copie dei dati (o comunque in ambienti sicuri)
- La tenuta di un aggiornato documento programmatico sulla sicurezza, che
possa garantire l’aggiornamento progettuale ed attuativo
- Formazione per gli incaricati del trattamento, per renderli edotti dei rischi che
incombono sui dati, delle misure disponibili per prevenire eventi dannosi e delle modalità
di contenimento dei rischi
Ma l’effettivo impegno profuso, in cosa si concretizza?
24. - I dati personali sono protetti contro il rischio di intrusione un sistema
firewall, e un sistema IDS con gestione degli aggiornamenti e degli alerting
- L’ adozione di tecniche di cifratura o di codici identificativi con gestione di
chiavi crittografiche
- Gli aggiornamenti periodici dei programmi per elaboratore un sistema di
update dei sistemi operativi e dei software.
- Sono impartite istruzioni organizzative e tecniche per la custodia e l’uso
dei supporti rimovibili per la gestione dei dati estratti dal sistema e pertanto fuori
controllo del medesimo
- I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati
sono distrutti o resi inutilizzabili, un sistema di distruzione dei dati inutili
- Sono adottate idonee misure per garantire il ripristino dell’accesso ai
dati un contingency plan che comprenda il restore dei dati e dei sistemi,
proceduralizzato per poter essere attuato in tempi ristrettissimi
Ma l’effettivo impegno profuso, in cosa si concretizza?
25. No, l’applicazione della legge sulla privacy, prefigura anche:
- Redazione di documentazione sulle effettive responsabilità di gestione
ed utilizzo
nomina del titolare
nomina del responsabile
nomina degli incaricati
elenco accessi ai diversi sistemi, natura e modalità dell’autenticazione
- Redazione di documentazione sulla configurazione software dei sistemi
elenco attrezzature
elenco software
checklist di sicurezza
- Redazione di documentazione sulla configurazione dei sistemi di
protezione del sistema informatico
elenco dei sistemi di sicurezza, modalità di mantenimento, controllo ed
aggiornamento
procedure sulla modalità di esecuzione e gestione dei salvataggi
procedure di ripartenza dei sistemi e di gestione delle emergenze
Tutta questa documentazione deve essere redatta in maniera armonica ed
integrata, prevedere gli effettivi aggiornamenti con cadenze prefissate ed
inclusa nel documento programmatico sulla sicurezza.
Pertanto una mera applicazione di software e capacita progettuali?
27. BIBLIOGRAFIA :
• L'Evoluzione dei Meccanismi per la Sicurezza dei Sistemi Informatici (Danilo Bruschi - dip di Scienze dell Informazione
Università degli Studi di Milano, Computer Emergency Response Team Italiano)
• B. Fraser, "Site Security Handbook", RFC 2196 (Obsoletes RFC1244)
• Espansione novembre 2003 : LA SICUREZZA INFORMATICAÈ UN INVESTIMENTO STRATEGICO (Alfonso Fuggetta, direttore
scientifico di Cefriel-Politecnico di Milano, docente di ingegneria del Software)
• Sicurezza in azienda: integrazione e compromessi (Lorenzo Grespan, 2003)
• Analysis and statistics on computer system losses in france (CLUb for the Security of Information system in France – 2002)
• Analisi del Rischio (Giorgio Giudice, 2003)
Alessandro Canella – acanella@aangstrom.it