Upload
teodoro-ricciardi
View
215
Download
0
Embed Size (px)
Citation preview
Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002
Ing. Andrea Gelpi
La sicurezza informatica,La sicurezza informatica,la cultura e i metodi di accertamento.la cultura e i metodi di accertamento.
Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002
ing. Andrea Gelpi
•IntroduzioneIntroduzione•Politiche aziendaliPolitiche aziendali•Altri aspettiAltri aspetti•ConclusioniConclusioni
3
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
IntroduzioneIntroduzione
• Che cosa comprende la sicurezza informatica
• Leggi da tener presenti• Un problema culturale, non solo tecnologico• Importanza del documento delle policy
4
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Che cosa comprende la sicurezza informaticaChe cosa comprende la sicurezza informatica
• Non è solo trattamento dati personali e diritto d'autore
• Tutto ciò che è possibile fare o subire con strumenti informatici e di comunicazione
5
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Principali norme da tener presentiPrincipali norme da tener presenti
• L. 547/93• L. 675/96• L. 633/41• L. 248/2000• L. 62/2001• L. 109/91• Norme sulla firma
digitale• Varie direttive
europee
• DPR 318/99• DLgs 518/92• DPCM 338/2001
• DM 314/92
6
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Un problema culturale non solo tecnologicoUn problema culturale non solo tecnologico
• Abitudini degli utenti– backup, codici d'accesso, file salvati in locale,
falsa sicurezza
• Manca un senso di cultura della sicurezza• Manca un senso di responsabilità
– Cosa vuoi che succeda
• Manca il concetto di chi a fatto che cosa• I pirati informatici insegnano e aiutano?
7
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Importanza del documento delle policyImportanza del documento delle policy
• La sicurezza informatica si realizza con ... un pezzo di carta o una cena !
• E' necessario dare regole prima di applicarle• E' opportuno condividere i contenuti con i
sindacati
8
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Policy aziendalePolicy aziendale
• Accessi fisici ai sistemi• Accessi logici ai sistemi e ai dati• Licenze d'uso• La rete aziendale• Navigazione su Internet• Posta elettronica• Monitoraggio delle attività e responsabilità
9
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Policy aziendale – accessi fisiciPolicy aziendale – accessi fisici
• DPR 318/99 impone di proteggere i dati• Necessità di locali chiusi per i server
– Tecnici esterni lasciati soli possono essere un rischio
• Come controllare chi accede ai locali• Che cosa si rischia
– danni e/o furto di dati– mancata adozione di misure di sicurezza
10
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Policy aziendale – accessi logiciPolicy aziendale – accessi logici
• DPR 318/99 impone di proteggere i dati• DPR 318/99 impone di tenere traccia di chi fa
trattamento• Problema dei codici d'accesso (UserID e Password)• Dove salvare i dati• Falsa sicurezza del salvataggio in locale dei dati• Chiunque può accedere ai dati in locale se esiste un
dominio o se il sistema operativo non è dotato di sufficienti misure di sicurezza (Win9x)
11
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Policy aziendale – accessi logiciPolicy aziendale – accessi logici
• DPR 318/99 impone che per il trattamento di dati sensibili devono esistere codici d'accesso su due livelli (al sistema e all'applicazione), ma non sempre è così
• Soluzione: tutti sono incaricati del trattamento• Vulnerabilità dei sistemi
– Il firewall è solo un aiuto– I server vanno tenuti aggiornati e monitorati– Che cosa fare in caso d'intrusione
• Segnalazione alle forze dell'ordine, no indagini per conto proprio
• Ricreare il server violato
– Mancata installazione di correttivi potrebbe diventare mancata adozione di misure di sicurezza
12
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Policy aziendale – accessi logiciPolicy aziendale – accessi logici
• Il problema dei virus– DPR 318/99 obbliga ad avere un sistema antivirus
aggiornato ogni 6 mesi !– I virus non creano solo danni locali, possono
diffondere informazioni riservate– Si rischia di essere coinvolti nel danneggiamento
di sistemi altrui, tentativo di accesso abusivo a sistema informatico (Patriot Act)
– Antivirus non aggiornato, crea una falsa sicurezza– E' fondamentale il comportamento degli utenti
13
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Policy aziendale – licenze d'usoPolicy aziendale – licenze d'uso
• A volte il problema non è sentito– Installazioni senza controllare il numero di licenze
disponibili– Installo per lavorare, quindi sono a posto– Il programma è in azienda quindi lo posso
utilizzare
• Come verificare– Posti di lavoro completamente chiusi– Posti di lavoro completamente aperti
• E' importante responsabilizzare gli utenti• Che cosa si rischia
– Violazione di norme fiscali e dei diritti d'autore
• Open Source e Free Software
14
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Policy aziendale – rete aziendalePolicy aziendale – rete aziendale
• Attenzione ai punti d'accesso non controllati– Le postazioni fisse– Le postazioni mobili
• Attacchi dall'interno– Il 50% e più degli attacchi provengono dall'interno– sniffer
15
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Policy aziendale – navigazione InternetPolicy aziendale – navigazione Internet
• Uso non consono con le attività lavorative– Visita a siti non attinenti l'attività lavorativa– Scarico di contenuti (musica, ecc...)– Consumo di banda pregiata
• Come fare i controlli– Log di tutto il traffico verso Internet (Firewall log)– Controlli anonimi per evitare il controllo a distanza
del dipendente– Controlli puntuali solo per evidenti violazioni delle
regole aziendali– Possibilità di creare liste nere o liste bianche di siti– Utilizzo di software che aiutano, ma non risolvono
16
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Policy aziendale – navigazione InternetPolicy aziendale – navigazione Internet
• Le vulnerabilità del browser• Pagine web con codice maligno• Domande trabocchetto• I servizi gratuiti, li paga l'utente ! (rivendita
informazioni)• E' necessario educare gli utenti
17
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Policy aziendale – Posta elettronicaPolicy aziendale – Posta elettronica
• Principale sistema di propagazione di virus e troiani• Lo SPAM – una piaga• Liste di distribuzione e newsgroup• La casella di posta è mia e quindi inviolabile – falso• La casella di posta istituzionale è dell'azienda che, a
determinate regole, la può visionare• Soluzione: casella di posta personale diversa da
quella istituzionale• Lotta allo SPAM con liste nere e filtri
18
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Policy aziendale – Posta elettronicaPolicy aziendale – Posta elettronica
• E' necessario educare gli utenti– Non rispondere alla posta non sollecitata– Non fare clic su pulsanti e non tentare di
cancellarsi da liste di ditribuzione– Usare solo il formato di testo puro, per gli altri
formati utilizzare gli allegati– Quando possibile inviare il link al contenuto
19
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Policy aziendale – Monitoraggio attivitàPolicy aziendale – Monitoraggio attività
• Descrivere i monitoraggi che verranno fatti• Spiegare come vengono fatti (anonimi, ecc...)• Spiegare perchè vengono fatti• Ribadire le responsabilità di ciascuno• Concordare il tutto con i sindacati• I monitoraggi dovrebbero essere esguiti da un gruppo
apposito diverso da gestori dei sistemi
20
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Altri aspettiAltri aspetti
• Rapporti con le forze dell'ordine• La formazione sia degli utenti che degli
amministratori dei sistemi• La programmazione e configurazione del
software
21
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Rapporti con le forze dell'ordineRapporti con le forze dell'ordine
• Passa troppo tempo dai fatti al momento delle indagini (anche più di un anno)
• La formulazione della richiesta– Il problema degli orologi– Fornire tutte le informazioni atte ad identificare
l'utilizzatore dell' IP X.Y.Z.T il giorno gg alle ore hh.mm
• Chi deve fare le indagini• Le indagini possono risalire al PC e ai codici
usati, ma non direttamente ad una persona• Il sequestro di materiale informatico
– Una copia dei supporti è il più delle volte prova sufficiente
22
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Programmazione e configurazione del softwareProgrammazione e configurazione del software
• Necessità di dotarsi di software sicuro• Scrivere software sicuro è difficile, l'Open
Source può aiutare• Configurazioni errate possono essere fonte
di problemi
23
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Formazione degli utentiFormazione degli utenti
• Il documento delle policy deve essere spiegato, non imposto e basta
• Il DPR 318/99 impone l'obbligo di formazione• A medio termine la formazione costa meno
degli interventi per sanare situazioni
24
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
ConclusioniConclusioni
• La sicurezza informatica è principalmente un problema organizzativo e di cultura
• E' importante riuscire ad attribuire a ciascuno le proprie responsabilità
• Una buona organizzazione aumenta la sicurezza e fa risparmiare tempo e denaro
25
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
GRAZIE
:-)