Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002 Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002 Ing. Andrea

Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002

Ing. Andrea Gelpi

La sicurezza informatica,La sicurezza informatica,la cultura e i metodi di accertamento.la cultura e i metodi di accertamento.

Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002

ing. Andrea Gelpi

•IntroduzioneIntroduzione•Politiche aziendaliPolitiche aziendali•Altri aspettiAltri aspetti•ConclusioniConclusioni

3

- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -

IntroduzioneIntroduzione

• Che cosa comprende la sicurezza informatica

• Leggi da tener presenti• Un problema culturale, non solo tecnologico• Importanza del documento delle policy

4


Che cosa comprende la sicurezza informaticaChe cosa comprende la sicurezza informatica

• Non è solo trattamento dati personali e diritto d'autore

• Tutto ciò che è possibile fare o subire con strumenti informatici e di comunicazione

5


Principali norme da tener presentiPrincipali norme da tener presenti

• L. 547/93• L. 675/96• L. 633/41• L. 248/2000• L. 62/2001• L. 109/91• Norme sulla firma

digitale• Varie direttive

europee

• DPR 318/99• DLgs 518/92• DPCM 338/2001

• DM 314/92

6


Un problema culturale non solo tecnologicoUn problema culturale non solo tecnologico

• Abitudini degli utenti– backup, codici d'accesso, file salvati in locale,

falsa sicurezza

• Manca un senso di cultura della sicurezza• Manca un senso di responsabilità

– Cosa vuoi che succeda

• Manca il concetto di chi a fatto che cosa• I pirati informatici insegnano e aiutano?

7


Importanza del documento delle policyImportanza del documento delle policy

• La sicurezza informatica si realizza con ... un pezzo di carta o una cena !

• E' necessario dare regole prima di applicarle• E' opportuno condividere i contenuti con i

sindacati

8


Policy aziendalePolicy aziendale

• Accessi fisici ai sistemi• Accessi logici ai sistemi e ai dati• Licenze d'uso• La rete aziendale• Navigazione su Internet• Posta elettronica• Monitoraggio delle attività e responsabilità

9


Policy aziendale – accessi fisiciPolicy aziendale – accessi fisici

• DPR 318/99 impone di proteggere i dati• Necessità di locali chiusi per i server

– Tecnici esterni lasciati soli possono essere un rischio

• Come controllare chi accede ai locali• Che cosa si rischia

– danni e/o furto di dati– mancata adozione di misure di sicurezza

10


Policy aziendale – accessi logiciPolicy aziendale – accessi logici

• DPR 318/99 impone di proteggere i dati• DPR 318/99 impone di tenere traccia di chi fa

trattamento• Problema dei codici d'accesso (UserID e Password)• Dove salvare i dati• Falsa sicurezza del salvataggio in locale dei dati• Chiunque può accedere ai dati in locale se esiste un

dominio o se il sistema operativo non è dotato di sufficienti misure di sicurezza (Win9x)

11



• DPR 318/99 impone che per il trattamento di dati sensibili devono esistere codici d'accesso su due livelli (al sistema e all'applicazione), ma non sempre è così

• Soluzione: tutti sono incaricati del trattamento• Vulnerabilità dei sistemi

– Il firewall è solo un aiuto– I server vanno tenuti aggiornati e monitorati– Che cosa fare in caso d'intrusione

• Segnalazione alle forze dell'ordine, no indagini per conto proprio

• Ricreare il server violato

– Mancata installazione di correttivi potrebbe diventare mancata adozione di misure di sicurezza

12



• Il problema dei virus– DPR 318/99 obbliga ad avere un sistema antivirus

aggiornato ogni 6 mesi !– I virus non creano solo danni locali, possono

diffondere informazioni riservate– Si rischia di essere coinvolti nel danneggiamento

di sistemi altrui, tentativo di accesso abusivo a sistema informatico (Patriot Act)

– Antivirus non aggiornato, crea una falsa sicurezza– E' fondamentale il comportamento degli utenti

13


Policy aziendale – licenze d'usoPolicy aziendale – licenze d'uso

• A volte il problema non è sentito– Installazioni senza controllare il numero di licenze

disponibili– Installo per lavorare, quindi sono a posto– Il programma è in azienda quindi lo posso

utilizzare

• Come verificare– Posti di lavoro completamente chiusi– Posti di lavoro completamente aperti

• E' importante responsabilizzare gli utenti• Che cosa si rischia

– Violazione di norme fiscali e dei diritti d'autore

• Open Source e Free Software

14


Policy aziendale – rete aziendalePolicy aziendale – rete aziendale

• Attenzione ai punti d'accesso non controllati– Le postazioni fisse– Le postazioni mobili

• Attacchi dall'interno– Il 50% e più degli attacchi provengono dall'interno– sniffer

15


Policy aziendale – navigazione InternetPolicy aziendale – navigazione Internet

• Uso non consono con le attività lavorative– Visita a siti non attinenti l'attività lavorativa– Scarico di contenuti (musica, ecc...)– Consumo di banda pregiata

• Come fare i controlli– Log di tutto il traffico verso Internet (Firewall log)– Controlli anonimi per evitare il controllo a distanza

del dipendente– Controlli puntuali solo per evidenti violazioni delle

regole aziendali– Possibilità di creare liste nere o liste bianche di siti– Utilizzo di software che aiutano, ma non risolvono

16


Policy aziendale – navigazione InternetPolicy aziendale – navigazione Internet

• Le vulnerabilità del browser• Pagine web con codice maligno• Domande trabocchetto• I servizi gratuiti, li paga l'utente ! (rivendita

informazioni)• E' necessario educare gli utenti

17


Policy aziendale – Posta elettronicaPolicy aziendale – Posta elettronica

• Principale sistema di propagazione di virus e troiani• Lo SPAM – una piaga• Liste di distribuzione e newsgroup• La casella di posta è mia e quindi inviolabile – falso• La casella di posta istituzionale è dell'azienda che, a

determinate regole, la può visionare• Soluzione: casella di posta personale diversa da

quella istituzionale• Lotta allo SPAM con liste nere e filtri

18


Policy aziendale – Posta elettronicaPolicy aziendale – Posta elettronica

• E' necessario educare gli utenti– Non rispondere alla posta non sollecitata– Non fare clic su pulsanti e non tentare di

cancellarsi da liste di ditribuzione– Usare solo il formato di testo puro, per gli altri

formati utilizzare gli allegati– Quando possibile inviare il link al contenuto

19


Policy aziendale – Monitoraggio attivitàPolicy aziendale – Monitoraggio attività

• Descrivere i monitoraggi che verranno fatti• Spiegare come vengono fatti (anonimi, ecc...)• Spiegare perchè vengono fatti• Ribadire le responsabilità di ciascuno• Concordare il tutto con i sindacati• I monitoraggi dovrebbero essere esguiti da un gruppo

apposito diverso da gestori dei sistemi

20


Altri aspettiAltri aspetti

• Rapporti con le forze dell'ordine• La formazione sia degli utenti che degli

amministratori dei sistemi• La programmazione e configurazione del

software

21


Rapporti con le forze dell'ordineRapporti con le forze dell'ordine

• Passa troppo tempo dai fatti al momento delle indagini (anche più di un anno)

• La formulazione della richiesta– Il problema degli orologi– Fornire tutte le informazioni atte ad identificare

l'utilizzatore dell' IP X.Y.Z.T il giorno gg alle ore hh.mm

• Chi deve fare le indagini• Le indagini possono risalire al PC e ai codici

usati, ma non direttamente ad una persona• Il sequestro di materiale informatico

– Una copia dei supporti è il più delle volte prova sufficiente

22


Programmazione e configurazione del softwareProgrammazione e configurazione del software

• Necessità di dotarsi di software sicuro• Scrivere software sicuro è difficile, l'Open

Source può aiutare• Configurazioni errate possono essere fonte

di problemi

23


Formazione degli utentiFormazione degli utenti

• Il documento delle policy deve essere spiegato, non imposto e basta

• Il DPR 318/99 impone l'obbligo di formazione• A medio termine la formazione costa meno

degli interventi per sanare situazioni

24


ConclusioniConclusioni

• La sicurezza informatica è principalmente un problema organizzativo e di cultura

• E' importante riuscire ad attribuire a ciascuno le proprie responsabilità

• Una buona organizzazione aumenta la sicurezza e fa risparmiare tempo e denaro

25


GRAZIE

:-)

Documents

Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002 Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002 Ing. Andrea