Relizzato da:Cataldo Irene La sicurezza informatica Anni fa l’uso del computer non portava molte preoccupazioni per la perdita di dati, comunque, per evitare

relizzato da:Cataldo Irene

La sicurezza informatica

Anni fa l’uso del computer non portava molte preoccupazioni per la perdita di dati, comunque, per evitare eventuali perdizioni si utilizza il Backup.Per avere più sicurezza si utilizza la password all’accensione del Computer, per evitare l’accesso da parte di altre persone.Cn la nascita di Internet il livello di rischio è aumentato,i rischi che si corrono sono: • Minacce di intrusione• Possibilità di divulgazione non autorizzata di informazioni• Interruzioni e distruzioni di servizi offerti dall’utenzaPer far in modo che questi problemi si attenuassero, i legislatori dei paesi più industrializzati hanno istituito Sicurmatica che è un settore informatico che si occupa delle norme inerenti:il trattamento e la salvaguardia degli strumenti informatici e delle informazione in esse contenute


Elenco degli argomenti

• Sicurezza informatica• Gestione del rischio• Organizzazione della sicurezza• Standard ed Enti di Standardizzazione• Crittografia• Autenticazione• Protezione dei dati• Le minacce


La sicurezza informatica1LA DISPONIBILITA’

La disponibilità è il grado in cui le informazioni e le risorse informatiche

Sono accessibili agli utenti.Per impedire che i dati siano accessibili si

deve tener conto:

• Delle condizioni ambientali (energia, temperatura, umidità ecc..)

• Delle risorse hardware e software (guasti, errori, blackout ecc…)

• Di attacchi esterni (attacchi provenienti ad es. da internet)


La sicurezza informatica2

Ogni programma che si occupa della sicurezza delle informazioni deve seguire 3 obiettivi fondamentali:

1. La disponibilità

2. L’integrità

3. La riservatezza

Alla sicurezza si possono aggiungere altri 2 obiettivi:

o L’autenticità: che garantisce l’invio di un messaggio effettivamente arrivato al destinatario

o Il non ripudio: che garantisce che il messaggio conosca il suo autore

L’integrità riguarda le informazioni, devono essere:corrette, coerenti

e affidabili; mentre l’integrità che riguarda le risorse informatiche devono

avere: completezza, coerenza e buone condizioni di funzionamento,mentre

l’integrità che riguarda l’hardware e i sistemi di comunicazione,consiste:


LA SICUREZZA INFORMATICA

- nella corretta elaborazione dei dati

- in un livello adeguato di prestazioni

- in un corretto instradamento dei dati

Mentre per l’integrità che riguarda il software:

- la completezza e la coerenza dei moduli del sistema e delle applicazioni

- la correttezza dei file critici di sistema e di configurazione

LA RISERVATEZZA

La riservatezza consiste nel limitare l’accesso alle informazioni e alle risorse

Informatiche alle sole persone autorizzate.Si applica sia alla comunicazione

all’archiviazione sia alla comunicazione delle informazioni.


GESTIONE DEL RISCHIO1

I rischi connessi agli aspetti della sicurezza delle informazioni sono:

- I beni da difendere

- Gli obiettivi di sicurezza

- Le minacce alla sicurezza

- La vulnerabilità dei sistemi informatici

- L’impatto causato dall’attuazione delle minacce

- Il rischio

I BENI DA DIFENDERE

Un bene è qualsiasi cosa,materiale o immateriale che ha un valore e deve essere

Protetto.Parlando della sicurezza delle informazioni i beni di un azienda sono:- le risorse informatiche - Il personale (utenti, amministratori, addetti alla manutenzione)- le informazioni- la documentazione- L’immagine dell’azienda


GESTIONE DEL RISCHIO2

Nel campo della sicurezza delle informazioni, i beni di un individuo sono:

- informazioni personali

- La privacy

GLI OBIETTIVI DI SICUREZZA

Gli obiettivi di sicurezza, sono il grado di protezione che si intende attuare pei

beni in termini di:

- Disponibilità

- Integrità

- Riservatezza

I beni si classificano in categorie per sapere quale obiettivo adottare ed ognuno

di essi si assegna il tipo di sicurezza :

- per le password e i numeri di identificazione il requisito più importante per raggiungere della sicurezza è la riservatezza.


Gestione del rischio3

- Per le informazioni contabili di una banca che esegue transizioni on-line i i

i requisiti richiesti sono: disponibilità, integrità e riservatezza.

- Per le informazioni pubblicate sul sito web i requisiti richiesti sono: disponibilità, integrità e riservatezza.

- Per le informazioni pubblicate sul sito web i requisiti richiesti sono: disponibilità e integrità


Minacce alla sicurezza - Una minaccia è un azione: potenziale, accidentale, deliberata, essa può portare

alla violazione ad uno o più obiettivi di sicurezza.Le minacce si distinguono in:

- NATURALI, AMBIENTALI E UMANI

Minacce Deliberate Accidentale Ambientale

Terremoto X

Guasto hardware

X

Furto X


Per esempio: un allargamento dovuto a forti piogge è una minaccia Accidentale di origine naturale che influisce notevolmente alla Sicurezza in quanto interrompe l’utilizzo dei servizi informatici.Altro esempio è un cavallo di troia installato all’apertura di un allegato di posta elettronica infetto, questa è una minaccia deliberata di origine umana e coinvolge tutti gli obiettivi di sicurezza, ciò viola la sicurezza nei 3 obiettivi:•Disponibilità in quanto il computer cade sotto il controllo esterno e non può più essere disponibile al suo proprietario•Integrità in quanto le sue informazioni possono essere cancellate o alterate•Riservatezza in quanto i dati possono essere divulgati e letti dagli estranei.L’ENTITA’che mette in atto la minaccia è chiamato agente.


Vulnerabilità dei sistemi informatici

La vulnerabilità è un punto debole del sistema informatico (hardware,software e procedure) che se colpito da una minaccia porta a qualche violazione degli obiettivi di sicurezza. Una vulnerabilità di per se non causa una perdita di sicurezza ma è la combinazione tra vulnerabilità e minaccia che determina la possibilità che vengano violati gli obiettivi di sicurezza.Per fare un esempio,un computer utilizzato per la contabilità di un azienda, non protetto da firewall e antivirus e privo delle patch di sicurezza del sistema operativo,è vulnerabile, ma se è tenuto al sicuro,viene usato solo dal titolare e non è collegato ad internet, può funzionare senza il pericolo di essere colpito da minacce.


L’impatto causato dall’attuazione delle minacce

L’impatto si ha quando la minaccia colpisce il sistema e dipende dal valore del bene e dalla violazione degli obiettivi di sicurezza.Per fare un esempio, il titolare di un azienda,connette il suo portatile ad internet senza protezione, apre un e-mail propagando l’infezione alla rete aziendale,l’impatto è grave e coinvolge tutti gli obiettivi di sicurezza(disponibilità,integrità e riservatezza).In questo caso il titolare dell’azienda è il l’agente (ovvero colui che ha attuato la minaccia), la vulnerabilità è la conseguenza delle cattive abitudini e delle incompetenze del titolare.Tutto ciò provoca il blocco temporaneo della rete e dei computer ad essa collegata, la disinfestazione con il conseguente rischio della perdita dei dati e la reinstallazione del software.


Il rischio

Il rischio è tanto maggiore quanto maggiore è l’impatto che l’ha causato è l’alta probabilità che esso si verifichi.Possiamo definire il rischio l’insieme:della gravità dell’impatto (conseguenza di n evento dannoso) e la probabilità che si verifichi l’evento dannoso.Il rischio si può classificare in due fasi:

• ANALISI DEL RISCHIO

• CONTROLLO DEL RISCHIO


Organizzazione della sicurezzaLa sicurezza delle informazioni è il risultato di un insieme di processi ai vari livelli dell’organigramma aziendale.L’organizzazione della sicurezza parte dall’alto dove gli obiettivi e le politiche di sicurezza sono definiti dal top management per poi essere specificati nei dettagli man mano che si scende attraverso gli strati del modello organizzativo della sicurezza.In cima a questo modello ci sono gli obiettivi strategici in cui si deve fare carico l’organizzazione di sicurezza .Uno dei primi compiti del gruppo incaricato nella sicurezza è quello di inquadrare l’azienda in base al modello di attività, all’esposizione ai rischi e alla dipendenza della infrastruttura informatica e di comunicazione.Questo esame preliminare dovrà tenere in considerazione il quadro legislativo tracciato dalle leggi sulla criminalità informatica e sulla privacy.


La crittografia

La crittografia è la scienza che fa uso della telematica per cifrare e decifrare i dati.Questa scienza studia come nascondere il significato o contenuto di un messaggio in modo che risulti comprensibile solo al destinatario.Vi sono due tipi di crittografia:

•CRITTOGRAFIA SIMMETRICA:questo tipo di crittografia conferisce riservatezza al messaggio ma non assicura l’autenticazione o il non ripudio.Questo tipo di crittografia viene utilizzata per cifrare grandi quantità di dati


Il Malware

Si definisce malware un qualsiasi software creato con il solo scopo di creare danni più o meno estesi al computer su cui viene eseguito.

Il termine deriva dalla contrazione delle parole inglesi malicious e software e ha dunque il significato letterale di "programma malvagio".

Worm, Trojan, Spyware, Adware

Coookie, Spam, Hijacking, Phishing, Dialer


Il TroianUn trojan, (Cavallo di Troia), è un programma per computer

che contiene funzionalità maliziose note a chi lo ha programmato, ma non all'utente.

Un trojan horse è chiamato in questo modo poichè esegue delle azioni nascoste all'utente, facendo credere a quest'ultimo di essere in possesso di qualcosa di realmente utile.

In genere col termine Trojan ci si riferisce ai trojan ad accesso remoto, composti generalmente da 2 file: il file server, che viene installato nella macchina vittima, ed un file client, usato dal pirata per inviare istruzioni che il server esegue. In questo modo, la vittima è indotta a far entrare il programma nel computer, ed eseguire il programma.I trojan non si diffondono autonomamente come i virus o i worm, quindi richiedono un intervento diretto dell'attaccante per far giungere l'eseguibile malizioso alla vittima Un trojan può contenere qualsiasi tipo di istruzione maliziosa e pornografica. Spesso i trojan sono usati come veicolo alternativo ai worm e ai virus per installare delle backdoor o dei Keylogger sui sistemi bersaglio.


Worm

Un worm è una particolare categoria di malware in grado di autoreplicarsi. È simile ad un virus, ma a differenza di questo non necessita di legarsi ad altri eseguibili per diffondersi.

Tipicamente un worm modifica il computer che infetta, in modo da venire eseguito ogni volta che si avvia la macchina e rimanere attivo finché non si spegne il computer o non si arresta il processo corrispondente. Il worm tenta di replicarsi sfruttando Internet in diverse maniere, spesso i mezzi di diffusione sono più di uno per uno stesso worm.

http://it.wikipedia.org/wiki/Malware


Lo SpamLo spam ( o e-mail spazzatura) è l’invio di tanta pubblicità e l’invio delle e-mail indesiderate che invadono le caselle di posta elettronica. Il rimedio è quello di far controllare le e-mail da un programma che fa da filtro antispam.

Gli spam arrivano al vostro indirizzo grazie a programmi specifici che sfruttano tutto ciò che contiene una “@” nei forum e nelle chat. Questi programmi, chiamati crawler funzionano grosso modo come i motori di ricerca in internet.


Spyware

Mentre state navigando in Internet, qualcuno, di nascosto, sta raccogliendo

dei dati sul vostro Pc.

Si tratta di un programma “Spyware”. Vengono usati da da “spamer” e “ craker” ovvero diversi tipi di pirati informatici, e anche da società che si occupano di pubblicità on-line, per conoscere le vostre abitudini quando navigate in Internet, quali programmi usate e quali avete installato. Alcuni raccolgono dati anche su tutto quello che digitate.


PhishingIn ambito informatico si definisce phishing una

tecnica utilizzata per ottenere l'accesso ad

informazioni personali e riservate con la finalità

del furto di identità mediante l'utilizzo dimessaggi

di posta elettronica fasulli, opportunamente creati per apparire autentici.

Grazie a questi messaggi, l'utente è ingannato e portato a rivelare dati sensibili, come numero di conto corrente, nome utente e password, numero di carta di credito ecc. Per difendersi dal phishing inviato via e-mail, basta cancellare l'e-mail.


Dialer

Un dialer è un programma per computer che crea una connessione ad Internet, ad un'altra rete di calcolatori o semplicemente ad un altro computer tramite la comune linea telefonica o un collegamento ISDN.

Alcuni di questi programmi sono creati per connettersi a numeri a tariffazione speciale. La maggior parte dei dialer impostati per connettersi a numeri a tariffazione speciale utilizza metodi illegali, rientrando così nella fattispecie del reato di truffa. Per le denunce compete la Polizia Postale

Gli utenti con una connessione DSL o simile (per esempio una connessione ad internet attraverso la rete locale) generalmente non sono soggetti alla minaccia dei dialer.


FirewallIl firewall è un componente passivo di difesa perimetrale che può anche svolgere funzioni di collegamento di due o più tronconi di rete. Usualmente la rete viene divisa in due sottoreti: una, detta esterna, comprende l'intera internet mentre l'altra interna, detta LAN (Local Area Network)che comprende una sezione più o meno grande di un insieme di computer locali.

La sua funzionalità principale in sostanza è quella di creare un filtro sulle connessioni entranti ed uscenti, in questo modo il dispositivo innalza il livello di sicurezza della rete e permette sia agli utenti interni che a quelli esterni di operare nel massimo della sicurezza.


• Un worm è una particolare categoria di almware in grado di autoreplicarsi. È simile ad un virus, ma a differenza di questo non necessita di legarsi ad altri eseguibili per diffondersi.

• Tipicamente un worm modifica il computer che infetta, in modo da venire eseguito ogni volta che si avvia la macchina e rimanere attivo finché non si spegne il computer o non si arresta il processo corrispondente. Il worm tenta di replicarsi sfruttando Internet in diverse maniere, spesso i mezzi di diffusione sono più di uno per uno stesso worm.

• Il mezzo più comune impiegato dai worm per diffondersi è la posta elettronica: il programma malizioso ricerca indirizzi e-mail memorizzati nel computer ospite ed invia una copia di se stesso come file allegato (attachment) a tutti o parte degli indirizzi che è riuscito a raccogliere.




Adware

E’ un tipo di software distribuito gratuitamente in cambio della visualizzazione di pubblicità tramite appositi banner inseriti nel programma stesso. È’ una forma di distribuzione che si è diffusa notevolmente grazie a Internet e un modo per ripagare dei costi di sviluppo i produttori di programmi. Spesso viene data la possibilità di far scomparire il banner dalla finestra di lavoro del programma, pagando una piccola cifra in denaro al produttore, di entità simile a quelle richieste per la fornitura di software in modalità shareware.


Cookie

I cookies (letteralmente "biscottini") sono piccoli file di testo che i siti web utilizzano per immagazzinare alcune informazioni nel computer dell'utente. I cookie sono inviati dal sito web e memorizzati sul computer. Sono quindi re-inviati al sito web al momento delle visite successive. Le informazioni all'interno dei cookie sono spesso codificate e non comprensibili. Le applicazioni più comuni vanno dalla memorizzazione di

informazioni sulle abilitazioni dell'utente, alla tracciatura dei movimenti dell'utente stesso all'interno dei siti web che visita.


HijackingHijacking: portare l'utente a visitare determinate pagine indipendentemente dalla sua volontà e dalle sue abitudini in rete. Questo può essere fatto solo assumendo direttamente il controllo della macchina usata dall'utente.

Questa tecnica, permette ai dirottatori di eseguire sul

nostro computer una serie di modifiche tali da garantirsi la

nostra visita alle loro pagine al solo scopo di incrementare

in modo artificioso il numero di accessi e di click diretti al

sito e conseguentemente incrementare i guadagni dovuti

alle inserzioni pubblicitarie

Queste azioni possono limitarsi alla semplice modifica della pagina iniziale del browser, all'aggiunta automatica di siti tra i preferiti fino a radicali modifiche al nostro.


Riferimenti normativi sulla Sicurezza Informatica

L’evoluzione tecnologica e l’uso sempre più diffuso di strumenti informatici in tutti i settori di attività, hanno spinto negli anni il legislatore ad adeguare progressivamente il sistema legislativo vigente, ai cambiamenti imposti dall’emergere di nuovi e sempre più sofisticati strumenti e sistemi di scambio delle informazioni, al fine di tenere conto delle mutate realtà che la tecnologia ha inevitabilmente comportato.

Di seguito vengono elencati, in ordine cronologico, i principali riferimenti normativi riguardanti la sicurezza informatica:


• 1993: Legge 23/12/93 n. 547 Integrazione del codice penale con l’introduzione dei reati di criminalità informatica;

• 1996: Legge 31/12/96 n. 675 Tutela dei dati personali (legge sulla privacy)

• 1999: Decreto del Presidente della Repubblica 28/07/99 n. 318 Regolamento per l’individuazione delle misure minime di sicurezza per il trattamento dei dati personali (regolamento previsto dalla legge 675/96);

• 2002: Direttiva del Presidente del Consiglio dei ministri 16 gennaio 2002 Sicurezza informatica e delle telecomunicazioni nelle Pubbliche Amministrazioni;

• 2003: Decreto Legislativo 30/6/03 n. 196 Codice in materia di protezione dei dati personali (abroga ed estende la legge sulla Privacy del ’96 e il suo regolamento sulle misure minime di sicurezza).


Reati di criminalità informaticaNel 1993 la storia informatica entra ufficialmente nei codici del nostro sistema legislativo nel quale è stata promulgata la legge 23 dicembre 1993 n. 547, che ha modificato e integrato il codice penale e quello di procedura penale, introducendo i reati di criminalità informatica. In questa legge veniva così attribuita una importanza giuridica agli strumenti e sistemi informatici e telematici, che fino ad allora non erano stati considerati alla stessa stregua dialtri mezzi.


Con questa legge vengono effettuate molte importanti equiparazioni dei sistemi informatici: vengono ad esempio modificati alcuni articoli del codice penale estendendo alcuni reati inerenti violenza alle cose, anche all’alterazione o distruzione dei programmi informatici, nonché alle azioni volte al malfunzionamento di sistemi informatici e telematici. Viene sancita l’applicazioni delle disposizioni concernenti gli atti pubblici e le scritture, anche ai documenti informatici; si introduce il concetto di “domicilio informatico”; v iene equiparata la corrispondenza informatica o telematica a quella epistolare, telegrafica e telefonica; viene punito il furto e la diffusione di password.


La legge sulla Privacy

• In termini di riservatezza e privacy, la legislazione vigente non mira ad impedire il trattamento dei dati personali, bensì a regolamentarlo, permettendo all’interessato di conoscere la finalità del trattamento dei suoi dati e subordinandone la legittimità, al consenso informato della persona.

• La legge 31 dicembre 1996 n. 675, comunemente nota come “legge sulla privacy” finalizza alla tutela delle persone rispetto al trattamento dei dati personali. Questa legge prevedeva al suo art. 15, l’emanazione di un regolamento riguardante le misure minime di sicurezza per il trattamento dei dati personali. Tale regolamento veniva pubblicato con il Decreto del Presidente della Repubblica 28 luglio 1999 n. 318.


A decorrere dal 1° gennaio 2004 la legge 675/96 è stata abrogata e sostituita dal Decreto legislativo 30 giugno 2003 n. 196 – “Codice in materia di protezione dei dati personali”, il quale estende la legge sulla privacy del 1996 e il suo regolamento del 1999 sulle misure minime di sicurezza.

Uno dei primi aspetti è comprendere il significato dei termini “ trattamento”, “dati identificativi” e soprattutto “dati personali” e “dati sensibili”.

•“trattamento”: qualunque operazione o complesso di operazioni, effettuanti anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il rafforzo, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati, anche se non registrati in una banca dati;


• “dato personale”: qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;

• “dati identificativi”: i dati personali che permettono l’identificazione diretta dell’interessato;

• “dati sensibili”: i dati personali idonei a rilevare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rilevare lo stato di salute e la vita sessuale.


La finalità della legge riguarda la garanzia che il

trattamento dei dati personali si svolga nel rispetto

dei diritti, delle libertà fondamentali e della dignità

dell’interessato, con particolare riferimento alla

riservatezza e protezione dei suoi dati personali.

Riassumendo gli aspetti della legge, possiamo

evidenziare 3 aspetti fondamentali:– Il diritto di accesso della persona ai dati che lo

riguardano;

– La legittimità e le finalità del trattamento dei dati personali;

– Il consenso informato dell’interessato.


Cosa si rischia se non si rispettano le norme sulla

protezione e sul trattamento dei dati personali Le sanzioni possono essere sia di carattere risarcitorio che di carattere amministrativo e penale.

• Aspetto risarcitorio: è previsto l’art. 15 che cita: “chiunque cagioni danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile”.

• Sanzioni amministrative: L’omessa o inidonea informativa all’interessato, sanzionata dall’art. 161, prevede multe da 3.000 a 18.000 euro che possono arrivare fino a 30.000 euro nei casi di dati sensibili giudiziari o di trattamenti che presentano rischi specifici.

• Sanzioni penali: sono stabilite dall’art. 167 che riguarda il trattamento illecito di dati e nel quale, se dal fatto deriva nocumento, è prevista la reclusione da un minimo di 6 mesi ad un massimo di 3 anni, in funzione degli articoli violati e della tipologia di violazione.


Definizione “legale” di Sicurezza Informatica

Sicurezza tecnica

Sicurezza logistica

Sicurezza legale

Sicurezza applicazioni

Sicurezza dei programmi

Sicurezza dei dati

Sicurezza fisica

Documents

Relizzato da:Cataldo Irene La sicurezza informatica Anni fa l’uso del computer non portava molte preoccupazioni per la perdita di dati, comunque, per evitare