Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
1
SICUREZZA INFORMATICASICUREZZA INFORMATICADEGLI STUDI PROFESSIONALI DEGLI STUDI PROFESSIONALI
G. Annunziata, G. Annunziata, G.MancoG.Manco
Napoli 28 Maggio 2010Napoli 28 Maggio 2010
EDILMED/ 2010
Ordine degli Ingegneri della Provincia di Napoli
Commissione Telecomunicazioni
EDILMED 2010EDILMED 2010
2EDILMED10
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
► SOMMARIO● La digitalizzazione (dematerializzazione) degli studi professionali● La sicurezza informatica degli studi professionali● Le aree da proteggere● Architettura tipica di un sistema ICT per studio professionale● I rischi (minacce)● Le misure per la mitigazione dei rischi● Conclusioni
3EDILMED10
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
► LA DIGITALIZZAZIONE DEGLI STUDI PROFESSIONALI ● Anni ’80
Attività essenzialmente basate sul cartaceo pochi strumenti di ufficio(calcolatrice, fax, primi PC, ecc.).
● Anni ‘90♦ SI diffonde l’uso dei PC con nuovi strumenti di ufficio e professionali (programmi di calcolo strutturale, ecc.),♦ Inizia a diffondersi l’uso di Internet e della posta elettronica● Oggi♦ Diffusione di Internet 2.0, e-mail, nuovi programmi di utilità, mobile
computing, smartphone, PEC (posta elettronica certificata), Firma Digitale, dematerializzazione delle attività professionali, della P.A., delle banche, ecc.
♦ Nuovi asset da gestire e proteggere: dati clienti ,ecc♦ Nuovi modalità di comunicazione con i clienti♦ Busìness continuity
4EDILMED10
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
► LA DIGITALIZZAZIONE DEGLI STUDI PROFESSIONALI● Comporta la presenza di rischi informatici● Comporta nuove problematiche di disponibilità delle funzioni e dei dati
(business continuity)● Comporta nuovi obblighi (privacy) nella gestione dei dati personali e di quelli
sensibili relativi ai clienti
OCCORRE UN APPROCCIO SISTEMATICO E GLOBALE PER LA SICUREZZA INFORMATICA E LA GESTIONE DEI DATI
RISERVATI ( PRIVACY)
“Ogni nuova tecnologia apre la strada a nuovi crimini”
5EDILMED10
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
► GLI OBIETTIVI DELLA SICUREZZA INFORMATICA definizione ISO, la sicurezza è l’insieme delle misure atte a garantire la disponibilità, la integrità e la riservatezza delle informazioni gestite:
● Disponibilità● Integrità● Confidenzialità o riservatezza● Autenticità e non ripudio
6EDILMED10
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
► QUADRO NORMATIVO DI RIFERIMENTO
● ISO/IEC TR 13335-3 (Modello per la valutazione del rischio informatico)● ISO 2700x Certificazione Sist. Gest. Sicurezza Informazioni● DPR n. 445 12/2000 T.U. Su Doc. Amministrativa● Legge 196/2003 (Privacy)● Legge 4/2004 (Accessibilità)● D.Lgs. 82/2005 (Codice amm.digitale con introduzione firma digitale)● TU Dlgs 81/2008 e sue evoluzioni (Confidenzialità e riservatezza dei dati)● Legge 2/2009 (PEC obbligatoria per aziende, professionisti e PA)
7EDILMED10
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
► LE AREE DA PROTEGGERE
8EDILMED10
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
► IL SISTEMA INFORMATICO
9EDILMED10
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
► LE MINACCE Si definisce malware un qualsiasi software creato con il solo scopo di causare danni più o meno gravi al computer su cui viene eseguito.VirusE’ un malware che spesso si annida all’interno del codice di un altro programma. Dopo essere stato attivato, inizia a far danni, eliminando files, occupando risorse, aprendo porte del PC, così consentendo accessi indesiderati dall’esternoWormCome i virus, essi hanno la capacità di autoreplicarsi e sfruttano le email come veicolo di diffusione, ma non distruggono informazioni.Trojan horseSi presentano sotto le mentite spoglie di programmi innocui ed utili ma aprono porte del PC, introducono virus e worm all’interno dei pc su cui vengono eseguiti.
10EDILMED10
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
► LE MINACCE SpywareE’ un malware che raccoglie informazioni riguardanti l'attività online di un utente (siti visitati, acquisti eseguiti in rete etc) senza il suo consenso, trasmettendole tramite Internet ad un'organizzazione che le utilizzerà per trarne profittoIntrusioniAccesso non autorizzato dal mondo esterno di hacker su pc o server, collegati alla rete, sfruttando vulnerabilità del perimetro esterno SpammingLa posta indesiderata, oltre ad essere fonte di fastidio e perdite di tempo, è il principale veicolo di diffusione di virus e di malware in generale
11EDILMED10
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
► LE MINACCE PhishingUna delle più gravi minacce informatiche annidate in internet, utilizzata per ottenere informazioni personali o riservate con la finalità del furto d'identità. Grazie a messaggi che imitano grafica e logo di aziende istituzionali, l'utente è ingannato e portato a rivelare dati personali, come numero di conto corrente, numero di carta di credito, codici di identificazione, ecc..
► QUALCHE DATO STATISTICOSecondo una statistica della Symantec, l'Italia è al secondo posto in Europa come percentuale di computer infetti: sono il 12% del totale.Inoltre l’Italia è il primo paese, di lingua non inglese, per furto di dati e di identità via computer.Secondo il CNIPA i malware arrivano per il 70% via E.mail e c.a. il 30% via Internet
12EDILMED10
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
► STRUMENTI E COMPORTAMENTI PER LA MITIGAZIONE DEL RISCHIO
Per garantire un buon livello di sicurezza è necessario considerareil sistema informatico a tutti i livelli, esaminandone attentamente gliaspetti:
- Legali (Leggi e regolamenti, normative internazionali, ecc.)- Strategici (obiettivi e budget)- Organizzativi (definizione ruoli, procedure, formazione, ecc.)- Economici (analisi dei costi, valutazione rischi, formazione)- Tecnologici (sicurezza fisica e logica)
13EDILMED10
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
► STRUMENTI HW E SW PER LA MITIGAZIONE DEL RISCHIO
AntivirusIndividua ed elimina i virusAntirootkitE’ in grado di riconoscere i sistemi usati dai virus per rendersi invisibiliAntispywareIdentifica i programmi che raccolgono informazioni sensibili.AntispammingFiltra ed elimina le email indesiderate. AntiphishingMette in guardia contro i tentativi di frode via internet, in particolare quelle che tentano di recuperare password dei sistemi home banking.
14EDILMED10
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
► STRUMENTI HW E SW PER LA MITIGAZIONE DEL RISCHIO
FirewallApparato di rete hardware o software che filtra tutti i pacchetti entranti ed uscenti, da e verso una rete o un computer, applicando regole che contribuiscono alla sicurezza della stessa.Monitoraggio di reteIdentifica potenziali minacce dalla rete, ed evita la diffusione di dati personali.Protezione dai botDifende contro gli attacchi via internet da parte dei sistemi di infezione di tipo “botnet”.Protezione del browserVerifica il contenuto dei file scaricati da internet.
15EDILMED10
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
► COMPORTAMENTI PER LA MITIGAZIONE DEL RISCHIO
1. ANTIVIRUSInstallare e aggiornare regolarmente un buon antivirus
2. FIREWALLMantenere attivi sia quelli “perimetrali” hardware, a livello di router, che quelli software sul singolo computer.
3. E-MAILNon aprire i files allegati ai messaggi di posta elettronica proveniente da mittenti sconosciuti, e, se necessario, salvare tali files su disco e sottoporli a scansione con antivirus prima di aprirli.
4. PROGRAMMINon aprire assolutamente file eseguibili (.exe) dei quali non si conosca origine e genuinità. Lo stesso dicasi per i files che possono avere al loro interno delle macro (word, excel, ecc).
16EDILMED10
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
► COMPORTAMENTI PER LA MITIGAZIONE DEL RISCHIO
5. PATCHInstallare sempre le più recenti sia per il sistema operativo che per tutti i gli applicativi presenti sul pc.
6. ANOMALIENel caso in cui il sistema operativo presenti anomalie e malfunzionamenti, utilizzareappositi software per rilevare eventuali spyware presenti nel nostro computer.
7. JAVA, JAVASCRIPT e ACTIVE-XIn assenza di un buon antivirus, disabilitarle nel nostro browser di navigazione, in quanto punto debole per la nostra sicurezza.
8. SCRIPTING POSTA ELETTRONICADisabilitare tali funzioni dal menù di configurazione dei client di posta elettronica, visto che i pericoli spesso si annidano nei contenuti interattivi dei messaggi di posta.
17EDILMED10
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
► COMPORTAMENTI PER LA MITIGAZIONE DEL RISCHIO
9. BACKUPEffettuare, ad intervalli di tempo prestabiliti e regolari, una copia dei dati importanti presenti nel computer, e custodire la stessa in luogo sicuro.
10. DISCO di RIPRISTINOPrepararne uno per riavviare il computer nel caso di sistema operativo danneggiato.
11. PASSWORDUtilizzare password di accesso efficaci (ovvero non semplici) provvedendo a cambiarle almeno ogni 90 giorni.
12. CRITTOGRAFIACrittografare i dati più importanti presenti sui pc per renderli inutilizzabili anche in caso di furto o smarrimento.
18EDILMED10
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
Infine una rapida panoramica sugli strumenti atti a garantire l’opponibilità ai terzi, l'integrità, l'autenticità, la non ripudiabilità delle informazioni trasmesse via posta elettronica:
► LA POSTA CERTIFICATA (PEC)
La PEC è uno strumento che permette di dare ad un messaggio di postaelettronica, lo stesso valore legale di una raccomandata con avviso di ricevimento tradizionale (DPR 11 Febbraio 2005 n.68, Dlgs n.2/2009).La PEC garantisce, in caso di contenzioso, l'opponibilità a terzi del messaggio. La PEC non certifica però l'identità del mittente, né trasforma il messaggio in
“documento informatico”, se il mittente non usa la propria firma digitale.
► LA FIRMA DIGITALE
La Firma Digitale è l'equivalente elettronico di una tradizionale firma autografa apposta su carta. Associata stabilmente ad un “documento informatico” ne attesta con certezza l'integrità, l'autenticità, la non ripudiabilità.
19EDILMED10
SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI
CONCLUSIONI
► La digitalizzazione delle attività professionale comporta di dover affrontare e risolvere problemi di sicurezza informatica e di privacy.
► La sicurezza non è solo un problema tecnologico ma essenzialmente un problema di attitudine mentale e quindi di comportamenti da assumere.
► E’ necessario dotarsi dei giusti strumenti e delle giuste procedure per proteggere il valore rappresentato dalle informazioni possedute.
“La tecnologia non fa la sicurezza ma senza tecnologia non si può fare sicurezza ”
20EDLIMED/10