Upload
roberta-bossi
View
222
Download
0
Embed Size (px)
Citation preview
Procedure operative di sicurezza
di un sistema informatizzato in un dipartimento servizi
Corso aggiornamento ASUR10
00 AN
2 corso_sicurezza_asur10 @ www.divini.net
Sicurezza informatica
La "sicurezza" dei dati e delle informazioni è un insieme più ampio della sola "sicurezza" informatica, comprendendo anche la "sicurezza fisica" dei luoghi, delle persone e della "logistica".
Attuare la "sicurezza dei dati" non è possibile se non ricorrendo a strumenti di tipo legale, oltre che ad ovvi accorgimenti tecnici , e ancora più importante attraverso accorgimenti organizzativi, intendendo tale termine come l’insieme delle risorse disponibili atte e necessarie alla protezione dei dati e delle informazioni.
00 AN
3 corso_sicurezza_asur10 @ www.divini.net
Sicurezza informatica
00 AN
4 corso_sicurezza_asur10 @ www.divini.net
La Sicurezza nei sistemi informativi
La Sicurezza rappresenta uno dei punti più critici dei sistemi informativi contemporanei. Questo a causa delle nuove tecnologie aperte impiegate per garantire l’erogazione di servizi, e facilitare attraverso i processi di e-government il funzionamento delle strutture organizzative e tecniche.
Queste tecnologie aperte, se da una parte hanno reso più flessibile la comunicazione e l’accesso, dall’altra hanno aperto numerosi varchi verso il mondo esterno che possono essere utilizzati in modo fraudolento e criminoso
00 AN
5 corso_sicurezza_asur10 @ www.divini.net
La cultura della sicurezza
Potremmo dire che il “crimine” scatenante sia la mancanza di cultura della sicurezza informatica cui corrisponde un mancato adeguamento degli strumenti di garanzia e tutela.
Questa situazione è stata riscontrata nella maggior parte delle aziende, private e pubbliche oggetto di numerose indagini condotte negli ultimi anni
00 AN
6 corso_sicurezza_asur10 @ www.divini.net
Consapevolezza e formazione
La consapevolezza, la formazione, il continuo aggiornamento professionale e lo scambio di informazioni tra enti pubblici e privati, tra le comunità di settore e tra i cittadini-utenti, sono gli strumenti più efficaci per far fronte ai problemi della sicurezza informatica.
00 AN
7 corso_sicurezza_asur10 @ www.divini.net
Cosa stiamo proteggendo
I “beni informatici”Prima di passare ad analizzare le
problematiche di sicurezza strettamente legate all'utilizzo di un particolare sistema operativo, od in una particolare situazione di rischio è bene riflettere per capire cosa stiamo proteggendo e quali siano in linea di massima i mezzi a nostra disposizione per raggiungere gli scopi di protezione
00 AN
8 corso_sicurezza_asur10 @ www.divini.net
Beni dei sistemi informatici
Parlando di Sistemi Informatici o Informativi si è portati a limitare quello che è il reale campo d'applicazione della parola bene, associandola esclusivamente a tre categorie:
1.Hardware: le apparecchiature, tutte le componenti fisiche di un sistema informativo
2.Software: i programmi necessari al funzionamento dell'apparecchiatura e utilizzati per l'elaborazione delle informazioni
3.Dati: le informazioni gestite dai programmi
00 AN
9 corso_sicurezza_asur10 @ www.divini.net
Beni dei sistemi informatici, aggiu...
Ai beni principali, hardware, software e dati, si devono aggiungere:1.Supporti memorizzazione possono
contenere il software ed i dati;2.Reti permettono l'interconnessione dei vari
sistemi consentendo quindi lo scambio di informazioni;
3.Accessi la possibilità che viene data ai soggetti di utilizzare il bene ed i meccanismi di fruizione.
4.Individui chiave come ad esempio unamministratore di sistema oppure un operatore specializzato nell'uso di un determinato programma.
00 AN
10 corso_sicurezza_asur10 @ www.divini.net
Cosa stiamo proteggendo in sintesi
HardwareHardware SoftwareSoftware
DatiDati
Supporti di memorizzazione
Supporti di memorizzazione
RetiReti
AccessiAccessi
Individui chiave(operatori e sistemisti)
Individui chiave(operatori e sistemisti)
+
00 AN
11 corso_sicurezza_asur10 @ www.divini.net
Obiettivi della sicurezza informatica
Disponibilità Integrità
Sicurezza
I beni sono sempre accessibili agli utenti autorizzati
I beni sono accessibili solo agli utenti autorizzati
I beni possono essere modificati solo dagli utenti autorizzati o solo nel modo consentito
00 AN
12 corso_sicurezza_asur10 @ www.divini.net
Rischio e sicurezza
Tutte le “circostanze potenziali” che possono causare un danno rappresentano un rischio
E' da notare che, un progetto o un programma di sicurezza, per quanto integrati non azzerano mai il relativo rischio.
La sicurezza totale infatti è un’astrazione e come tale non esiste nella realtà
Si deve allora seguire la logica secondo cui un progetto di sicurezza ha l'obiettivodi ridurre il rischio
00 AN
13 corso_sicurezza_asur10 @ www.divini.net
Rischi per un sistema informaticoVediamo quali sono i rischi - i colori indicano i settori interessati
dal rischio e i rischi sono ordinati per gravità degli effetti sull’utenza dei servizi e sulla privacy
INTERRUZIONE
INTERCETTAMENTO
MODIFICA
CONTRAFFAZIONE
HardwareHardware SoftwareSoftware
DatiDati
Un bene viene tolto dal sistema, non è più disponibile oppure è inutilizzabile
Un’entità (un programma, un sistema informatico) non autorizzata ottiene l’accesso ad un bene.
Un’entità (un programma, un sistema informatico) non autorizzata ottiene l’accesso ad un bene e lo manomette
Un’entità (un programma, un sistema informatico) non autorizzata potrebbe costruire degli oggetti contraffatti all’interno del sistema informativo.
00 AN
14 corso_sicurezza_asur10 @ www.divini.net
Vulnerabilità
In pratica, per causare un danno basterà sfruttare una vulnerabilità delsistema informativo
Ma che cosa si intende per vulnerabilità? Semplicemente una debolezza di cui
servirsi per raggiungere gli scopi prefissati, presente nel sistema operativo, nelle procedure di sicurezza, nei software e soprattutto nei controlli interni o nell'implementazione
00 AN
15 corso_sicurezza_asur10 @ www.divini.net
Sistema informativo
Un sistema informativo di un’organizzazione è una combinazione di risorse, umane e materiali, e di procedure organizzate per: la raccolta, l’archiviazione, l’elaborazione e lo scambio
delle informazioni necessarie alle attività: operative (informazioni di servizio), di programmazione e controllo (informazioni di
gestione), e di pianificazione strategica (informazioni di governo).
00 AN
16 corso_sicurezza_asur10 @ www.divini.net
Vulnerabilità ed affidabilità dei software
Vulnerabilità, la prima cosa che viene in mente è, un difetto del software. Non necessariamente però una vulnerabilità è solo un difetto del software.
Con un software perfettamente realizzato, progettato, implementato e configurato, un sistema informatico può comunque essere vulnerabile.
Per esempio, potremmo avere un dipendente di un'azienda che ha accesso a sistemi critici che un bel giorno….. passa ad un concorrente ma allo stesso tempo le sue credenziali per l'accesso non vengono cancellate
00 AN
17 corso_sicurezza_asur10 @ www.divini.net
Vulnerabilità, ciclo di vita
I problemi cominciano a nascere quando la vulnerabilità viene scoperta ed inizia quella che viene chiamata, finestra di esposizione, cioè il periodo in cui la vulnerabilità in qualche modo può essere sfruttata per causare un danno.
I casi sono due:
1. La vulnerabilità è stata scoperta da qualcuno interessato ad eliminarla e quindi ci si può aspettare che si vada su una strada che porterà alla fine a una correzione
2. la vulnerabilità viene scoperta da qualcuno, non interessato a correggerla, ma interessato a sfruttarla
00 AN
18 corso_sicurezza_asur10 @ www.divini.net
1 - Vulnerabilità: correzione
In pratica, verranno realizzate le apposite correzioni e queste poi saranno apportate ai singoli sistemi
La vulnerabilità in un determinato software si potrà considerare corretta non quando sarà rilasciata la correzione (patch/pezza), ma quando quest'ultima sarà installata su un sistema
Molti degli attacchi diffusi in modo massiccio,
spesso sfruttavano delle vulnerabilità note da tempo per le quali le correzioni erano già disponibili ma che semplicemente non erano state applicate
00 AN
19 corso_sicurezza_asur10 @ www.divini.net
2 - Vulnerabilità: sfruttamento
Situazione spiacevole la vulnerabilità continua ad essere utilizzata e sfruttata anche diffusamente senza che ne venga a conoscenza chi deve correggerla
Fino a quando qualcuno vedendo come è stato attaccato il suo sistema, non si rende conto di quale è stata la strada utilizzata
00 AN
20 corso_sicurezza_asur10 @ www.divini.net
Principali controlli a disposizione
Crittografia
Controlli software
Controlli hardware
Politiche disicurezza
Controllifisici
Dati inintellegibili contro: IntercettamentoModificaContraffazione
Dispositivi crittografici:HardwareSmartcard
Sono i controlli più semplici, meno onerosi ed a volte più efficaci da implementare.
Controlli interni al programmaControlli del sistema operativoControlli in fase di sviluppo
Creazione di regoleFormazioneAmministrazione
00 AN
21 corso_sicurezza_asur10 @ www.divini.net
Efficacia dei controlliEfficacia dei controlli
00 AN
22 corso_sicurezza_asur10 @ www.divini.net
la sicurezza è un processo
La sicurezza è un processo, non un prodotto, e come tale ha molti componenti, che devono essere affidabili e ben studiati e, soprattutto, collaborare fra loro
L'efficacia del sistema di sicurezza dipende in modo essenziale da come i vari componenti collaborano fra di loro
I punti deboli sono costituiti proprio dalle interfacce fra i componenti
Un sistema di sicurezza può essere paragonato a una catena, composta da vari anelli, ciascuno dei quali influisce in modo determinante sulla sua resistenza
Come in qualsiasi catena, la forza del sistema di sicurezza corrisponde a quella del suo componente più debole