Realizzato da: Alessandra Marino LA SICUREZZA INFORMATICA

Realizzato da: Alessandra Marino

LA SICUREZZA INFORMATICA


Elenco degli argomenti

• Sicurezza informatica• Gestione del rischio• Organizzazione della sicurezza• Standard ed enti di standardizzazione• Crittografia• Autenticazione• Protezione dei dati• Le minacce


La sicurezza delle informazioni è una componente della sicurezza dei beni in generali.Qualunque programma che si occupi della sicurezza delle informazioni, deve perseguire 3 obiettivi fondamentali:

• La disponibilità

• L’integrità

• La riservatezza


La Disponibilità

La disponibilità è il grado in cui le informazioni e le risorse informatiche sono accessibili agli utenti che hanno diritto, al momento in cui gli servono.Per impedire che i dati siano accessibili, si deve tener conto:• delle condizioni ambientali (energia temperatura, umidità, atmosfera, ecc…)• delle risorse hardware e software (guasti, errori, blackout, disastri, ecc…)• di attacchi esterni (attacchi provenienti ad esempio da internet che causano l’accessibilità ai dati e alle informazioni).


L’IntegritàL’ integrità per ciò che riguarda le informazioni, è il grado in cui le informazioni devono essere: corrette, coerenti e affidabili;

L’ integrità per ciò che riguarda le risorse informatiche, è il grado in cui le risorse devono avere: completezza, coerenza e buone condizioni di funzionamento;

L’ integrità per ciò che riguarda l’hardware e i sistemi di comunicazione, consiste: • nella corretta elaborazione dei dati• in un livello adeguato di prestazioni• in un corretto instradamento dei dati.


L’ integrità per ciò che riguarda il software riguarda:- la completezza e la coerenza dei moduli del sistema operativo e delle applicazioni.- la correttezza dei file critici di sistema e di configurazione

La RiservatezzaLa riservatezza consiste nel limitare l’accesso alle informazioni e alle risorse informatiche alle sole persone autorizzate. Si applica sia all’archiviazione, sia alla comunicazione delle informazioni.


GESTIONE DEL RISCHIO

Adesso esamineremo i rischi connessi ai vari aspetti di sicurezza delle informazioni analizzando:

1. I beni da difendere2. Gli obiettivi di sicurezza 3. Le minacce alla sicurezza4. La vulnerabilità dei sistemi informatici5. L’impatto causato dall’attuazione delle

minacce6. Il rischio


1) Beni da difendere

In generale un bene è qualsiasi cosa, materiale o immateriale che ha un valore e deve essere protetto.

Nel campo della sicurezza delle informazioni i beni di un azienda sono:

• le risorse informatiche• Il personale (utenti, amministratori, addetti alla manutenzione)• Le informazioni• La documentazione• L’immagine dell’azienda

Nel campo della sicurezza delle informazioni, i beni di un individuo sono:

• Le informazioni personali• La privacy


2) Obiettivi di sicurezzaGli obiettivi di sicurezza , sono il grado di protezione che si intende

attuare per i beni in termini di:• Disponibilità• Integrità• RiservatezzaPer sapere quale obiettivo adottare, i beni si classificano in categorie

e ad ognuno di essi si assegna il tipo di sicurezza:• Per le password e i numeri di identificazione il requisito più

importante per raggiungere l’obiettivo della sicurezza, è la riservatezza.

• Per le informazioni contabili di una banca che segue transazioni on-line i requisiti richiesti sono: disponibilità, integrità e riservatezza.

• Per le informazioni pubblicate sul sito web i requisiti richiesti sono: disponibilità, integrità.


3) Minacce alla sicurezza

• Una minaccia è un’azione: potenziale, accidentale, deliberata, essa può portare alla violazione ad uno o più obiettivi di sicurezza.

Le minacce possono essere classificate: naturale, ambientale e umana.


Esempi di minacce

• Terremoto = Ambientale• Inondazione = Accidentale, Ambientale• Bombardamento = Deliberata, Accidentale• Furto = Deliberata• Temperatura alta o bassa = Deliberata,

Accidentale, Ambientale• Guasto Hardware = Accidentale• Errori software = Deliberata, Accidentale• Errori dell’utente = Deliberata, Accidentale• Software dannoso = Deliberata, accidentale


Per esempio: un allargamento dovuto a forti piogge è una minaccia accidentale di origine naturale che influisce notevolmente alla sicurezza in quanto interrompe l’utilizzo dei servizi informatici.Altro esempio è un cavallo di Troia installato all’apertura di un allegato di posta elettronica infetto,questa è una minaccia deliberata di origine umana e coinvolge tutti gli obiettivi di sicurezza, ciò viola la sicurezza nei 3 obiettivi.- Disponibilità in quanto il computer cade sotto il controllo esterno e non può essere più disponibile al suo proprietario- Integrità in quanto le sue informazioni possono essere cancellate o alterate- riservatezza in quanto i dati possono essere divulgati e letti dagli estranei

L’entità che mette in atto la minaccia è chiamato agente.


4) Vulnerabilità dei sistemi informatici

La vulnerabilità è un punto debole del sistema informatico (hardware, software e procedure) che, se colpito da una minaccia, porta a qualche violazione degli obiettivi di sicurezza.

Una vulnerabilità, di per se, non causa una perdita di sicurezza ma è la combinazione tra vulnerabilità e minaccia che determina la possibilità che vengono violati gli obiettivi di sicurezza.

Esempio: se un computer utilizzato per la contabilità di un azienda, non protetto da firewall e antivirus privo delle patch di sicurezza del sistema operativo, è vulnerabile, ma se è tenuto al sicuro, viene usato solo dal titolare e non è collegato da internet, può funzionare senza il pericolo di essere colpito da minacce.


5) L’impatto causato dall’attuazione delle

minacce L’impatto si ha quando la minaccia colpisce il sistema e

dipende dal valore del bene e dalla violazione degli obiettivi di sicurezza.

esempio: Se il titolare di un azienda, connette il suo portatile ad internet senza protezione, apre una e-mail infetta propagando l’infezione alla rete aziendale, l’impatto è grave e coinvolge tutti gli obiettivi di sicurezza (disponibilità, integrità e riservatezza). In questo caso il titolare dell’azienda è l’agente (ovvero colui che ha attuato la minaccia), la vulnerabilità è la conseguenza della cattiva configurazione del portatile per la mancata installazione di antivirus e firewall.


6) Il rischio Il rischio è l’insieme della gravità dell’impatto (conseguenza di

un evento dannoso) e la probabilità che si verifichi l’evento dannoso.

Possiamo classificare il rischio in due fasi:• Analisi del rischio• Controllo del rischio

Analisi del rischio In questa fase si classificano le informazioni e le risorse

soggette alle minacce e vulnerabilità e si identifica al livello di rischio associato ad ogni minaccia.

Controllo del rischio In questa fase vengono individuate le modalità che l’azienda

intende adottare per ridurre i rischi associata alla perdita della disponibilità delle informazioni e della integrità e della riservatezza di dati ed informazioni.


ORGANIZZAZIONE DELLA SICUREZZA

La sicurezza delle informazioni è il risultato di un insieme di processi ai vari livelli dell’organigramma aziendale.Non sono sufficienti solo strumenti e tecnologie per ottenere la sicurezza. Occorre, innanzitutto sicurezza e coinvolga l’intera struttura aziendale, in modo che il personale contribuisca nel proprio ambito al disegno generale della sicurezza secondo un organigramma a livelli.L’organizzazione della sicurezza parte dall’alto dove gli obiettivi e le politiche di sicurezza sono definiti dal top management.Uno dei primi compiti del gruppo incaricato nella sicurezza, è quello di inquadrare l’azienda in base al modello di attività, all’esposizione dei rischi e alla dipendenza della infrastruttura informatica e di comunicazione.Questo esame preliminare dovrà tenere in considerazione il quadro legislativo tracciato dalle leggi sulla criminalità informatica e sulla privacy.


Standard ed enti di standardizzazione

Gli enti di standardizzazione sono organizzazioni di natura molto differente che coprono aspetti normativi diversi a secondo i casi.Operano in ambito nazionale e internazionale ed emetto norme e linee guida per la realizzazione di prodotti, processi e servizi secondo le tecnologie del momento. Svolgono altre attività come la pubblicazione di documenti che possono essere facilmente interpretati secondo gli standard internazionali.Elenchiamo alcuni enti di standardizzazione:• ITU: è un’organizzazione ONU dove governi e settore privato coordinano le reti e servizi globali di telecomunicazioni.• ISO: è maggiore organizzazione internazionale di standardizzazione e comprende gli enti di standardizzazione nazionale di 146 paesi.• IETF


La CrittografiaLa crittografia consiste nel cifrare, cioè rendere incomprensibili, un testo in chiaro attraverso un algoritmo di cifratura che fa uso di input di una chiave. Il risultato della cifratura, sarà un testo inintelligibile che potrà essere cifrato solo disponendo della chiave di decifratura.Le tecniche crittografiche permettono:• di trasformare dati, informazioni e messaggi in modo da nascondere il contenuto a chiunque non sia autorizzato e attrezzato per prenderne visione• di impedire ad estranei di alterare i dati, segnalando qualunque tentativo in tal senso• di garantire l’autenticità dei dati, associandoli in modo certo al loro proprietario, impedendo allo stesso tempo che il mittente di un messaggio possa ripudiarne la paternità.

Vi sono due tipi di crittografia:


Crittografia simmetrica

L’uso della crittografia simmetrica conferisce riservatezza al messaggio, ma non assicura l’autenticazione o il non ripudio, poiché non c’è un associazione univoca e sicura tra la chiave e un individuo. Questo tipo di crittografia viene utilizzata per cifrare grandi quantità di dati cosa che non è possibile con la cifratura asimmetrica.

Crittografia asimmetricaLa crittografia asimmetrica fa uso di due chiavi diverse per cifrare o decifrare i

messaggi o documenti. Un algoritmo asimmetrico prevede che ogni utente abbia una coppia di chiavi: la chiave pubblica e la chiave privata.

La chiave privata deve essere custodita al sicuro dal proprietario, mentre la chiave pubblica può essere distribuita senza restrizioni, a patto che sia autenticata.


Autenticazione

All’atto dell’autenticazione, l’entità che chiede di essere autenticata, deve essere in possesso di una password o un certificato digitale, come prova della propria identità. Una volta che l’utente è stato autenticato, il passo successivo è assicurare che possa accedere solo alle risorse per cui è autorizzato.

Vi sono diversi tipi di autenticazione:• Autenticazione locale: utilizzata da un computer o un portatile• Autenticazione indiretta: è usata nei moderni sistemi distribuiti per

consentire a diversi utenti ad accedere ai servizi di rete• Autenticazione off-line: utilizzata dai sistemi che utilizzano la chiave

pubblica (PKI).Indipendentemente dai metodi usati, i sistemi di autenticazione hanno

generalmente alcuni elementi in comune:• Una persona da autenticare• Una caratteristica su cui basare l’autenticazioneI fattori di autenticazione sono divisi in 3 categorie:


• Qualcosa che sai• Qualcosa che hai• Quello che sei

PasswordL’uso della password è uno dei più antichi sistemi di autenticazione.Con l’uso delle reti, le password in chiaro, hanno avuto poca vita perché era più

facile impossessarsene.A partire dal 1967 cominciò ad essere introdotto l’hashing delle password, che

viene tuttora utilizzato.Un hash è un numero binario di lunghezza fissa, ricavo da input di lunghezza

variabile che funge da impronta del dato di partenza.Il sistema conserva un file con il nome degli utenti e l’hash delle relative password.All’atto dell’autenticazione, l’hash calcolato in base alla password digitata viene

confrontato con quello registrato nei file; se coincidono l’utente è autenticato.

TokenUn token è un fattore di autenticazione della categoria “quello che hai”, l’utente

deve essere in possesso del token al fine di essere autenticato dal computer. Se viene smarrito, rubato o prestato, l’utente non ha modo di farsi autenticare.

Token passivi: sono carte di credito, bancomat di vecchia generazione, si chiamano così perché i dati sono registrati su una striscia magnetica.

Token attivi: trasmettono il loro dato segreto per qualche calcolo, come una password usata una volta sola. I token attivi usano solitamente tecniche crittografate che li rendono immuni da intercettazioni.


Firma digitalePer verificare che un documento sia stato realmente prodotto o inviato, nel caso di

comunicazioni in rete, da chi afferma di averlo fatto, viene utilizzata la firma digitale che garantisce l’autenticità colui che dice di aver firmato quel dato documento. La firma digitale deve essere: verificabile, non falsificabile e non ripudiabile.

L’ Europa ha cominciato a conferire valore giuridico alla firma digitale, con una serie di provvedimenti legislativi già a partire dal 1997, anche se solo nel gennaio 2000 con la pubblicazione della Direttiva Europea 1999/93/CE ha dato ulteriori impulsi al processo legislativo, imponendo un quadro comune agli Stati dell’Unione Europea. Questa direttiva ha fatto si che la firma digitale generata dagli stati facente parte l’Unione Europea, fosse riconosciuta dagli stessi.

Il valore legale della firma digitale in Italia risale al 15 aprile 1999 data di pubblicazione del DPCM 8 febbraio 1999, oggi sostituito dal DPCM 13 gennaio 2004.

Documents

Realizzato da: Alessandra Marino LA SICUREZZA INFORMATICA