Embed Size (px)
Citation preview
Tecnologie dell’Informazione e della Comunicazione
Conoscenze di base
L’azione del Dirigente scolastico non può prescindere da un corretto uso delle TIC.Esse entrano nella vita di un’Istituzione scolastica autonoma caratterizzandone sia l’attività didattica ed amministrativa.
“II dirigente scolastico assicura la gestione unitaria dell'istituzione, ne ha la legale rappresentanza, é responsabile della gestione delle risorse finanziarie e strumentali e dei risultati del servizio (art.25 d.lvo 165/2001)”
“12. Norme generali per l’uso delle tecnologie dell’informazione e delle comunicazioni nell’azione amministrativa.1. Le pubbliche amministrazioni nell’organizzare autonomamente la propria attività utilizzano le tecnologie dell’informazione e della comunicazione per la realizzazione degli obiettivi di efficienza, efficacia, economicità, imparzialità, trasparenza, semplificazione e partecipazione.2. Le pubbliche amministrazioni adottano le tecnologie dell’informazione e della comunicazione nei rapporti interni, tra le diverse amministrazioni e tra queste e i privati, con misure informatiche, tecnologiche, e procedurali di sicurezza, secondo le regole tecniche di cui all’articolo 71.
2
3
5. Le pubbliche amministrazioni utilizzano le tecnologie dell’informazione e della comunicazione, garantendo, nel rispetto delle vigenti normative, l’accesso alla consultazione, la circolazione e lo scambio di dati e informazioni….5-bis. Le pubbliche amministrazioni implementano e consolidano i processi diinformatizzazione in atto, ivi compresi quelli riguardanti l’erogazione in via telematica di servizi a cittadini ed imprese anche con l’intervento di privati.
15. Digitalizzazione e riorganizzazione.2. In attuazione del comma 1, le pubbliche amministrazioni provvedono in particolare a razionalizzare e semplificare i procedimenti amministrativi, le attività gestionali, i documenti, la modulistica, le modalità di accesso e di presentazione delle istanze da parte dei cittadini e delle imprese, assicurando che l’utilizzo delle tecnologie dell’informazione e della comunicazione avvenga in conformità alle prescrizioni tecnologiche definite nelle regole tecniche di cui all’articolo 71. (Codice dell’amministrazione digitale)”
4
LE RETI
Reti di telecomunicazioni La parola telecomunicazione unisce la radice di origine greca tele (lontano) con il verbo latino comunicare e significa trasmissione di informazioni a distanza. Trasmettere informazioni a distanza, superando il limite fisico dei nostri sensi, è da sempre un obiettivo dell'uomo, si pensi ad esempi quali la comunicazione tramite luce riflessa da specchi nelle navi da guerra (già utilizzata dagli antichi romani) o la comunicazione con segnali di fumo degli Indiani d‘America. Nei tempi moderni si è imparato ad utilizzare i segnali elettromagnetici per la comunicazione a distanza e gli sviluppi della tecnologia nel campo delle comunicazioni elettriche e dell'elettronica hanno permesso la nascita delle moderne telecomunicazioni. Una volta che risultino disponibili strumenti per la telecomunicazione, emergono una serie di altri problemi legati all'organizzazione del sistema che si rende necessario per garantire accesso a questo servizio a grandi popolazioni di utenti (siano essi esseri umani o calcolatori). Questi sistemi complessi sono le reti di telecomunicazioni.
1969: viene realizzata la prima rete di calcolatori, ARPAnet, che poi diventerà Internet
5
Vantaggi di un ambiente di rete Il calcolatore elettronico è uno strumento avente lo scopo di elaborare e gestire informazioni. Tali elaborazioni vengono generalmente effettuate sfruttando risorse interne al calcolatore; il processore, le memorie volatili (RAM), le memorie di massa (dischi rigidi, nastri, eccetera). L'interazione fra utente umano e calcolatore, al fine di comandare e/o ottenere i risultati di queste elaborazioni avviene tramite interfacce quali monitor, tastiera, stampante, eccetera, che possono anch'esse essere considerate parte delle risorse a disposizione del calcolatore. Avere una rete di telecomunicazioni fra calcolatori ha l'ovvio vantaggio di permettere lo scambio di informazioni fra gli utenti dei calcolatori stessi, come e-mail, documenti ed immagini, eccetera, ma offre anche la possibilità di realizzare una condivisione delle risorse di un calcolatore con tutti gli altri nella rete. Tramite una rete di calcolatori è possibile avere accesso a risorse, siano esse di elaborazione, di memorizzazione, di stampa o quant'altro che altrimenti potrebbero non essere disponibili per tutti, per ragioni di costo, di complessità, eccetera. Per questo con la progressiva diffusione dei calcolatori si è sempre più sentita la necessità della interconnessione in rete degli stessi, al fine di aumentarne le funzionalità e quindi l'utilità. La rete di calcolatori può quindi essere visto come una sorta di calcolatore esteso che, tramite le funzioni di comunicazione, fa di un insieme di calcolatori isolati un sistema integrato che rende disponibili ad una più vasta popolazione di utenti una serie di risorse.
6
Ambienti Client/Server e Peer-to-Peer Nelle reti di calcolatori fino ad oggi tipicamente si è sempre utilizzata una comunicazione di tipo client/server. Con questi termini si intende che alcuni calcolatori ben identificabili detti server mettano a disposizione informazioni e servizi a cui gli altri calcolatori della rete accedono con modalità opportune. Un tipico esempio è il WWW in cui i server mettono a disposizione dei client pagine di testo, immagini, eccetera, che siano reperibili e visualizzabili tramite i normali browser (Internet Explorer, Netscape,Google Chrome, eccetera). Questo modello di dialogo è di tipo asimmetrico nel senso che i due soggetti partecipanti alla comunicazione svolgono funzioni diverse: il server mette a disposizione le informazioni, il client le reperisce e le rende consultabili localmente dall'utente. Per svolgere questa funzione i server devono essere sempre disponibili, quindi sempre accesi, sempre connessi alla rete e sempre pronti ad accettare nuove comunicazioni. Inoltre i server devono essere opportunamente configurati al fine di salvaguardare il più possibile l'integrità delle informazioni e del servizio. Più di recente si sono sviluppati sulla rete Internet dei servizi di comunicazione che utilizzano un diverso modello di dialogo, detto peer-to-peer. Ciò che cambia è la modalità di fornitura e di reperimento delle informazioni. In pratica il server smette di esistere e tutti i calcolatori connessi alla rete possono contemporaneamente agire come server e/o come client. Nel dialogo peer-to-peer si perde quindi la nozione di server e tutti i calcolatori possono allo stesso tempo rendere disponibili informazioni e reperirne dagli altri
7
In questo caso esistono ancora alcuni calcolatori che svolgono funzione di server solamente per le funzioni di centralizzazione degli indici di informazioni disponibili. Tramite questi indici i singoli computer possono scoprire chi metta a disposizione certe informazioni sulla rete e collegarsi direttamente a questi per il loro reperimento. Il dialogo relativo alle informazioni vere e proprie è quindi sempre diretto fra il fornitore ed il fruitore di informazioni senza l'intermediazione di un server. I server per l'indicizzazione sono necessari in quanto i singoli calcolatori possono collegarsi e scollegarsi alla rete di dialogo. I singoli calcolatori una volta collegati in rete si connettono a questi server per comunicare quali informazioni loro rendano disponibili e per conoscere quali informazioni siano già disponibili e presso chi. Il primo esempio eclatante di servizio utilizzante un dialogo peer-to-peer è il famoso sistema E-Mule.
Sicurezza di un ambiente di rete Una rete di calcolatori, oltre ad offrire i vantaggi descritti precedentemente, pone un importante problema legato alla sicurezza del sistema informatico. Le problematiche di sicurezza di un sistema informatico sono state discusse estensivamente in un precedente modulo; qui ci limitiamo ad accennare quali siano i problemi prettamente legati all'ambiente di rete. La connessione in rete di un calcolatore implica che la rete venga utilizzata per scambiare dati con altri calcolatori e per fornire servizi (server di stampa, server Internet, eccetera). Le problematiche di sicurezza tipiche di questo scenario sono quindi legate alla riservatezza della comunicazione e al mantenimento dell'integrità dei servizi.
8
Per quanto riguarda la riservatezza della comunicazione, è necessario evitare: •che i dati relativi ad una particolare comunicazione fra calcolatori possano essere intercettati e letti, anche senza interromperne il normale flusso (sniffing), in quanto questi dati possono essere di tipo sensibile (password, dati personali, numero di carta di credito, eccetera); •che un calcolatore possa comportarsi in modo malevole prendendo il posto di un altro calcolatore, ad esempio assumendone gli indirizzi di rete (spoofing), sostituendosi ad esso nella comunicazione con altri al fine di appropriarsi di dati sensibili o per l'uso di servizi a lui non permessi. Per quanto riguarda invece l'integrità dei servizi è necessario garantirsi dall'eventualità che utenti malevoli, utilizzando la rete di calcolatori possano interferire con il normale funzionamento di sistemi server.
Mezzi di trasmissione
I mezzi fisici utilizzati per la trasmissione dei dati sono di tre tipi: mezzi elettrici (cavi); si usa l'energia elettrica per trasferire i segnali sul mezzo; mezzi wireless (onde radio); in questo caso si sfruttano onde elettromagnetiche; mezzi ottici (LED, laser e fibre ottiche); con le fibre ottiche si usa la luce.
9
I parametri prestazionali di questi mezzi sono: larghezza di banda; serve per determinare quanti bit al secondo è possibile trasferire; affidabilità; ogni mezzo presenta una certa probabilità di errore nella trasmissione; prestazioni; determinano la distanza massima in un collegamento; caratteristiche fisiche; a seconda del mezzo si usano fenomeni diversi per la trasmissione, occorre perciò sfruttare tecnologie differenti. I mezzi elettrici più usati sono fondamentalmente il cavo coassiale e il doppino. Il doppino è il mezzo più vecchio e comune dei due. Il cavo coassiale è composto da un conduttore centrale ricoperto di isolante, all'esterno del quale vi è una calza metallica. Il coassiale era usato per lunghe tratte telefoniche ma è stato sostituito dalla fibra ottica, ora rimane in uso per la televisione via cavo e per l'uso in reti locali. Le fibre ottiche sono costituite da un sottilissimo cilindro centrale in vetro (core), circondato da uno strato di vetro esterno (cladding), con un diverso indice di rifrazione e da una guaina protettiva Le fibre ottiche hanno delle prestazioni eccellenti, possono raggiungere velocità di trasmissioni pari a 50.000 Gb/s, ossia 50 terabit al secondo con un bassissimo tasso d'errore. Le distanze massime per un collegamento di questo tipo sono di circa 30 kilometri, per collegamenti di lunghezza maggiore si introducono ripetitori e amplificatori lungo la tratta. La trasmissione senza fili si effettua su diverse lunghezze d'onda, e sono le onde radio, microonde, raggi infrarossi, luce visibile e ultravioletti. Il comportamento di questo mezzo dipende dalla lunghezza d'onda e dalla banda utilizzata, le prestazioni possono variare ampiamente.
10
Classificazione delle reti in base alla distanza
La storia delle reti di telecomunicazioni ha visto nascere diverse soluzioni a problemi di tipo eterogeneo, che vanno dalla necessità di comunicare a grande distanza tramite il telegrafo o il telefono, fino alla possibilità di interconnettere tra loro computer residenti nella stessa stanza o edificio. Questa diversità di problematiche ha comportato tradizionalmente una classificazione delle reti sulla base della distanza coperta dalle reti stesse: •LAN -Local Area Network o reti locali: tipicamente sono reti private per l'interconnessione di computer ed altri apparati appartenenti ad un unico ente o azienda; •MAN -Metropolitan Area Network o reti metropolitane: possono essere reti private o pubbliche e fornire servizi di vario tipo in ambito urbano, dall'interconnessione di computer, alla telefonia, alla TV via cavo; •WAN -Wide Area Network o reti geografiche: in passato erano le reti dei grandi gestori tipicamente pubblici che fornivano servizi e connettività a livello nazionale; oggi, dopo la deregulation, possono anche appartenere a privati ed offrire connettività a livello mondiale.
Un esempio di come reti eterogenee possono essere interconnesse è mostrato nella figura seguente:
11
Interconnessione di LAN, MAN e WAN
12
13
USO DEL SOFTWARE LEGISLAZIONE
Secondo il decreto legislativo 518/92 l'autore o il titolare dei diritti di utilizzazione economica dell'opera ha il diritto esclusivo di effettuare: •la riproduzione del software permanente o temporanea, totale o parziale;•la traduzione, l'adattamento, la trasformazione e ogni altra modificazione del programma;•qualsiasi forma di distribuzione al pubblico.Il legittimo acquirente, invece, può:•riprodurre il programma e tradurre, adattare o trasformare il programma solo se tali attività sono necessarie per l'uso del programma conformemente alla sua destinazione, inclusa la correzione degli errori;•effettuare una copia di riserva del programma, qualora tale copia sia necessaria per l'uso;•osservare, studiare o sottoporre a prova di funzionamento il programma.Il decreto legislativo detta soltanto le norme generali. Ampio margine è lasciato alla contrattazione fra l'utilizzatore del software e il soggetto che detiene i diritti di utilizzazione economica del software (l'autore del programma o l'impresa produttrice di software alla quale l'autore ha ceduto i propri diritti). Il contratto che in dettaglio regolamenta i diritti e i doveri dell'acquirente e dell'utilizzatore di software è il contratto di licenza d'uso. Questo contratto è un contratto atipico, cioè non regolamentato dal codice civile, e la definizione del contenuto contrattuale è lasciata all'autonomia delle parti contraenti, le quali possono definire i reciproci diritti e doveri a loro discrezione.
14
Infatti, il mercato offre una grande varietà di contratti, di tipi di licenze, di prezzi, di obblighi e anche di programmi. Pertanto, non si può dare una definizione unitaria dei programmi per elaboratori esistenti né si possono definire tutti i tipi di programmi esistenti, ma si può soltanto fornire una descrizione delle tipologie più diffuse. Ad esempio, per stabilire se una duplicazione è abusiva o meno occorre far riferimento al contratto. Solitamente i contratti di licenza d'uso (cioè i contratti per comprare il programma) limitano l'utilizzo del software ad una sola macchina per volta e talvolta la macchina è espressamente individuata nella documentazione contrattuale. Alcuni contratti di licenza d'uso, tuttavia, consentono la riproduzione del programma su un certo numero di macchine. In genere, i contratti standard di licenza d'uso non consentono l'utilizzazione di un programma da più macchine fra loro collegate in rete. Tuttavia, è possibile stipulare contratti di licenza d'uso che consentano di utilizzare il programma su più macchine o in rete (licenze multiple; a forfait; floating license, cioè licenze per utilizzare i programmi in rete ma da un numero di utenti prefissato) o inserire in contratto clausole ad hoc.
15
TIPOLOGIE PARTICOLARI DI LICENZA
Open source software Il titolare dei diritti di utilizzazione economica del software può rinunciare ad essi e mettere a disposizioni del pubblico il programma, compreso il codice sorgente, senza richiedere un compenso. La rinuncia ad un diritto è una particolare modalità di esercizio di quel diritto. Sulla base di questo principio si è diffuso il cosiddetto open software, che consiste di programmi che sono disponibili sia all'utilizzo che alla modifica da parte di soggetti diversi dall'autore . Il contratto di licenza d'uso per open software più diffuso è costituito dal contratto GNUSoftware freeware e shareware Il software freeware è software distribuito gratuitamente, generalmente in rete, e può essere copiato da chiunque si colleghi con la rete. In genere, reca la scritta freeware e il nome dell'autore. Talvolta viene specificato che il programma può essere liberamente copiato, altre volte si invita l'utente ad inviare osservazioni e commenti all'indirizzo specificato. In questo caso, è evidente la rinuncia da parte dell'autore ai propri diritti di utilizzazione economica dell'opera, quindi il software freeware può essere liberamente copiato. Il software shareware presenta molte delle caratteristiche del software freeware: è software distribuito in rete e può essere copiato da chiunque si colleghi con la rete. In genere, reca la scritta shareware e il nome dell'autore.
16
A differenza che nel software freeware, nel software shareware si invita l'utente ad inviare un corrispettivo, in genere piuttosto basso, all'indirizzo specificato. Talvolta si precisa che il pagamento del corrispettivo dà diritto agli aggiornamenti del programma. In questo caso, non si può ritenere che l'autore abbia rinunciato ai propri diritti di utilizzazione economica dell'opera: si tratta di un contratto di licenza d'uso di software in cui la distribuzione è effettuata mediante rete e in forme particolari. Pertanto, deve essere corrisposto all'autore il compenso richiesto. Occorre comunque precisare, che per una serie di considerazioni di carattere pratico (in genere si tratta di programmi di modesta rilevanza economica; in genere si tratta di programmi distribuiti dallo stesso autore e non da un'impresa produttrice e in genere l'autore è straniero) non è molto probabile un'azione legale da parte dell'autore.
17
18
SICUREZZA
Intercettazione dei messaggi
I messaggi che passano sulla rete sono in realtà facilmente intercettabili. Esempi di attacchi che mirano all'intercettazione dei messaggi sono lo sniffing e lo spoofing dell'indirizzo IP. Oltre a ciò, l'amministratore di una macchina possiede le credenziali per intercettare tutti i dati che passano attraverso quel nodo e quindi un amministratore in malafede può intercettare facilmente messaggi destinati ad altri utenti.L'intera sicurezza del sistema è fortemente compromessa dalla trasmissione di messaggi in chiaro. Un messaggio in chiaro intercettato può infatti essere letto, violando così la confidenzialità . Nel caso si tratti di una password o di una qualunque altra credenziale di identificazione, chi ha intercettato il messaggio avrà modo di sostituirsi al mittente, abusando della sua identità elettronica e infrangendo così anche l' autenticazione e il non ripudio . Con questa credenziale, carpita maliziosamente, sarà poi possibile sostituirsi all'utente nella gestione delle sue risorse, esponendo a rischio infine anche l' integrità e la disponibilità dei dati.Il problema di inviare messaggi riservati attraverso sistemi di distribuzione non affidabili è sentito da secoli in ambito militare e sono innumerevoli le metodologie più o meno complesse messe in atto per spedire informazioni agli alleati, senza che i nemici possano decifrarle. La crittografia è un procedimento di codifica e decodifica dei messaggi basata su funzioni parametriche, la cui computazione dipende da un parametro detto chiave.
19
Un messaggio crittografato non è direttamente leggibile se non si possiede una funzione e una chiave per decriptarlo.Il modello su cui è basato un sistema crittografico è il seguente:Un mittente A vuole inviare un messaggio M a un destinatario B.A cripta il messaggio, ovvero applica al messaggio un metodo di cifratura F con chiave di cifratura K. Il messaggio così modificato viene poi spedito via rete a B.B riceve un messaggio apparentemente illeggibile ma possiede un metodo di decifratura F' e una chiave K' che consentono di riportare il messaggio in chiaro.Se un intruso dovesse intercettare il messaggio cifrato non sarebbe in grado di leggerlo a meno di possedere F' e K'. Le chiavi di cifratura e decifratura possono coincidere e in questo caso si parla di crittografia a chiave simmetrica (o a chiave privata ), oppure possono essere diverse e in questo caso si parla di crittografia a chiave pubblica.I metodi utilizzati tradizionalmente per la crittografia classica erano tutti metodi a chiave simmetrica. La crittografia a chiave pubblica è un metodo asimmetrico basato sull'esistenza di due diverse chiavi, una utilizzata per criptare e una utilizzata per decriptare. Ciascun utente deve quindi possedere due chiavi, una privata che conosce solo lui e una pubblica che rende nota a tutti. Ovviamente esiste una relazione matematica tra chiave pubblica e chiave privata che deve rendere semplice calcolare la chiave pubblica a partire da quella privata e difficilissimo (o meglio computazionalmente impossibile) calcolare la chiave privata a partire da quella pubblica.I meccanismi di crittografia sono alla base delle diverse forme di certificazione a disposizione su Internet e del funzionamento della firma digitale. 20
Il metodo più semplice per l'accesso illecito a un sistema è quello di impossessarsi indebitamente della password di un utente autorizzato e, spacciandosi per esso, di compromettere riservatezza, integrità, autenticazione e a volte disponibilità dei dati. A ogni utente sono tipicamente assegnate una o più password, tra le quali:la password di accesso al computer o al dominio locale, che impedisce l'utilizzo improprio delle risorse interne (hardware, software e dati). La password di accesso alla posta elettronica e ai servizi Internet, che identifica l'utente nell'uso delle risorse esterne. Nella maggior parte dei casi è lo stesso utente che, utilizzando password banali o trascrivendole su promemoria, crea le condizioni perché la credenziale sia scoperta da altri.Per evitare che questo tipo di problema si verifichi è opportuno:•fornire agli utenti un insieme di regole di comportamento (da sottoscrivere ad esempio al momento della creazione degli account), che li responsabilizzino.•suggerire agli utenti di utilizzare password che siano contemporaneamente semplici da ricordare e non banali. •prevedere meccanismi automatici che costringano gli utenti a cambiare periodicamente la password.Definendo il regolamento d'uso delle risorse e in particolare degli account, è opportuno suggerire all'utente come comportarsi nella gestione della password . Ecco un insieme di semplici suggerimenti che possono costituire una porzione del regolamento:Utilizzare password di almeno 6 caratteri e di tipo non banale, ovvero contenenti maiuscole, minuscole e segni di interpunzione. Evitare nomi propri, date o altri riferimenti personali facilmente associabili alla propria persona (come il numero di telefono). Non usare parole che possano essere contenute in un dizionario (in qualsiasi lingua).
21
La password è strettamente personale, per cui è opportuno non comunicare a nessuno la password e prestare attenzione nel momento dell'immissione per evitare che possa essere compresa da terzi. In caso di dubbio modificare, appena possibile, la password.Non trascrivere mai la password su promemoria, agende, telefonini o altri supporti. La password deve essere ricordata a memoria.Contestualmente l'utente va responsabilizzato facendogli comprendere che la password è il meccanismo di base dell'autenticazione e che terze parti in possesso della sua password possono produrre danni ai dati e al sistema in vece sua, sia intenzionalmente che non intenzionalmente.Altre regole di comportamento da suggerire agli utenti riguardano in generale le loro responsabilità riguardo:all'uso corretto delle risorse interne;all'uso corretto di Internet e dei suoi servizi (posta elettronica, chat, news, Web, eccetera);alla riservatezza delle informazioni.Infine possono essere suggeriti comportamenti prudenti che evitino la diffusione dei virus , come evitare di aprire o visualizzare attach ai messaggi di posta provenienti da indirizzi sconosciuti o di utilizzare dischetti senza prima verificarli con un antivirus o scaricare file da siti sospetti.
22
L'identità elettronica degli utenti può essere sostituita in modo malizioso intercettando le credenziali di autenticazione (ad esempio la password) sia al di fuori del sistema (attraverso confidenze o promemoria), sia sfruttando vulnerabilità dei sistemi interni (ad esempio con un cavallo di Troia ), sia mentre queste credenziali transitano sulla rete.In questo caso, utilizzando le credenziali dell'utente ottenute maliziosamente è possibile sostituirsi ad esso. I problemi più gravi si hanno:•quando l'abuso produce gravi violazioni alle norme vigenti.•quando l'abuso avviene in un contesto commerciale e dà origine a obblighi per la persona la cui identità è stata utilizzata impropriamente.•quando viene abusata l'identità dell'amministratore del sistema e, dunque, si è resa possibile la compromissione completa della sicurezza dei dati e delle risorse.In particolare in questo caso sono colpiti:•l'autenticazione, poiché qualunque azione compiuta dall'utente sostituito è stata in realtà compiuta da altri.•il non ripudio, poiché l'utente abusato può negare di aver partecipato ad una comunicazione e/o di avere sottoscritto un accordo.•la riservatezza e l'integrità dei dati che sono rispettivamente visibili e scrivibili dall'utente la cui identità è stata utilizzata impropriamente.Molte volte l'abuso dell'identità elettronica è il primo passo di attacchi più complessi e distruttivi ed è utilizzato proprio per rendere difficile l'identificazione di chi ha compiuto azioni dannose e criminali.
23
Il software doloso ( malicious software , contratto a volte nel neologismo malware) è un software o una porzione di software che produce effetti dannosi o non desiderati. Questo tipo di programmi è dunque da considerarsi nocivo, ovvero potenzialmente lesivo della sicurezza del sistema.Esistono diverse tipologie di software doloso tra cui i più noti e diffusi sono virus, worm e cavalli di Troia:Cavalli di Troia : sono programmi apparentemente innocui che una volta eseguiti, effettuano operazioni diverse da quelle per le quali l'utente li aveva utilizzati e tipicamente dannose. Un esempio di cavallo di troia molto semplice è la creazione di una finestra di login identica a quella del sistema ma finta, che invia password e altre informazioni riservate all'autore del software doloso. Spesso quando un sistema viene compromesso l'intruso inserisce cavalli di troia con lo scopo di mascherare l'attacco, procurarsi informazioni aggiuntive e creare un accesso (backdoor) da sfruttare successivamente.Virus : sono porzioni di codice che realizzano tipicamente due attività: 1. quello di replicarsi e inserire se stessi in file eseguibili preesistenti sul sistema.
Questa attività mira alla diffusione del virus.2. quello di compromettere l'integrità delle informazioni e la disponibilità delle risorse.
Questa fase attiva del virus viene avviata a scoppio ritardato in modo da consentire una prima fase di diffusione dell'infezione e tipicamente comprende l'aggressione ai dati e ai programmi contenuti nella memoria di massa del sistema.
Worm : sono programmi che utilizzano i servizi di rete per propagarsi da un sistema all'altro. Agiscono creando copie di se stessi sugli host ospiti e mettendosi in esecuzione. Sono dunque auto-replicanti e autosufficienti poiché in grado di funzionare senza bisogno di un programma ospite.
24
Un firewall è un sistema connesso alla rete con lo scopo di filtrare i pacchetti in transito. Tipicamente viene posto a bordo della rete con lo scopo di creare una barriera difensiva che aumenti il grado di sicurezza perimetrale, ovvero renda più difficile gli attacchi dall'esterno all'interno del sistema.Un firewall può essere realizzato sia come infrastruttura hardware dedicata che utilizzando un computer e un opportuno insieme di software. Deve essere posto sul bordo (logico) della LAN se si desidera far passare per il firewall tutti i pacchetti in entrata e in uscita dalla rete locale. Il firewall controlla il flusso dei pacchetti, ovvero decide se consentire o negare l'accesso, implementando delle specifiche politiche di filtraggio del traffico.
Utilizzare un firewall significa dunque decidere e implementare delle politiche di sicurezza (security policy) che definiscono i criteri di protezione, ad esempio decidendo che è ammesso solo il traffico generato da alcuni servizi (la posta o il Web) e non traffico derivante da servizi non standard (che potrebbero rendere possibile o nascondere un attacco). Si possono distinguere diverse tipologie di firewall che utilizzano meccanismi di verifica con differenti livelli di sofisticazione. In particolare i firewall più semplici filtrano i pacchetti esaminando le informazioni contenute nell'intestazione e, confrontandole con le security policy, decidono se autorizzare o no il transito. Offrono invece una protezione più completa i firewall che esaminano anche il contenuto dei pacchetti in transito, con lo scopo di assicurasi che il sistema di destinazione dei messaggi sia realmente in attesa, ad esempio che lo scaricamento di una mail sia stato richiesto dal client
25
“Titolo IV - Soggetti che effettuano il trattamento
Art. 28. Titolare del trattamento1. Quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento è l'entità nel suo complesso o l'unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza.Art. 29. Responsabile del trattamento1. Il responsabile è designato dal titolare facoltativamente.2. Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.3. Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti.4. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare.5. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni.Art. 30. Incaricati del trattamento1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.2. La designazione è effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l'ambito del trattamento consentito agli addetti all'unità medesima. 26
Titolo V - Sicurezza dei dati e dei sistemi Capo I - Misure di sicurezza
Art. 31. Obblighi di sicurezza1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Capo II - Misure minime di sicurezza
Art. 33. Misure minime1. Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.Art. 34. Trattamenti con strumenti elettronici1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:a) autenticazione informatica;b) adozione di procedure di gestione delle credenziali di autenticazione; 27
c) utilizzazione di un sistema di autorizzazione;d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;g) tenuta di un aggiornato documento programmatico sulla sicurezza;h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.1-bis.(1) Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte.
28
29
IL SITO WEB
30
3. Diritto all’uso delle tecnologie.1. I cittadini e le imprese hanno diritto a richiedere ed ottenere l’uso delle tecnologie telematiche nelle comunicazioni con le pubbliche amministrazioni e con i gestori di pubblici servizi statali nei limiti di quanto previsto nel presente codice.1-bis. Il principio di cui al comma 1 si applica alle amministrazioni regionali e locali nei limiti delle risorse tecnologiche ed organizzative disponibili e nel rispetto della loro autonomia normativa
13. Formazione informatica dei dipendenti pubblici.1.Le pubbliche amministrazioni nella predisposizione dei piani di cui all’articolo 7-bis, del decreto legislativo 30 marzo 2001, n. 165, e nell’ambito delle risorse finanziarie previste dai piani medesimi, attuano anche politiche di formazione del personale finalizzate alla conoscenza e all’uso delle tecnologie dell’informazione e della comunicazione.
15. Digitalizzazione e riorganizzazione.
2. In attuazione del comma 1, le pubbliche amministrazioni provvedono in particolare a razionalizzare e semplificare i procedimenti amministrativi, le attività gestionali, i documenti, la modulistica, le modalità di accesso e di presentazione delle istanze da parte dei cittadini e delle imprese, assicurando che l’utilizzo delle tecnologie dell’informazione e della comunicazione avvenga in conformità alle prescrizioni tecnologiche definite nelle regole tecniche di cui all’articolo 71.
31
53. Caratteristiche dei siti.1.Le pubbliche amministrazioni centrali realizzano siti istituzionali su reti telematiche che rispettano i princìpi di accessibilità, nonché di elevata usabilità e reperibilità, anche da parte delle persone disabili, completezza di informazione, chiarezza di linguaggio, affidabilità, semplicità di consultazione, qualità, omogeneità ed interoperabilità. Sono in particolare resi facilmente reperibili e consultabili i dati di cui all’articolo 54.
54. Contenuto dei siti delle pubbliche amministrazioni.1. I siti delle pubbliche amministrazioni contengono necessariamente i seguenti dati pubblici:a. l’organigramma, l’articolazione degli uffici, le attribuzioni e l’organizzazione di ciascun ufficio anche di livello dirigenziale non generale, i nomi dei dirigenti responsabili dei singoli uffici, nonché il settore dell’ordinamento giuridico riferibile all’attività da essi svolta, corredati dai documenti anche normativi di riferimento;d. l’elenco completo delle caselle di posta elettronica istituzionali attive, specificando anche se si tratta di una casella di posta elettronica certificata di cui al decreto del Presidente della Repubblica 11 febbraio 2005, n. 68;
2-bis. Il principio di cui al comma 1 si applica alle amministrazioni regionali e locali nei limiti delle risorse tecnologiche e organizzative disponibili e nel rispetto della loro autonomia normativa.
32
3. I dati pubblici contenuti nei siti delle pubbliche amministrazioni sono fruibili in rete gratuitamente e senza necessità di autenticazione informatica.4. Le pubbliche amministrazioni garantiscono che le informazioni contenute sui siti siano conformi e corrispondenti alle informazioni contenute nei provvedimenti amministrativi originali dei quali si fornisce comunicazione tramite il sito.4-bis. La pubblicazione telematica produce effetti di pubblicità legale nei casi e nei modi espressamente previsti dall’ordinamento.
CODICE DELL’AMMINISTRAZIONE DIGITALE – TESTO VIGENTE
33
PER PROGETTARE UN SITO ISTITUZIONALE OCCORRE:
1. Definire gli obiettivi del sito Quanto più ristretto e specifico è l'obiettivo, tanto più efficace è la funzione di un sito e più gestibile è la sua attività. Solo in casi particolari (e in base a specifiche esigenze della strategia d'impresa) può avere senso assumere il ruolo di portale, cioè cercare di essere un punto di riferimento più esteso rispetto alla missione specifica dell'istituzione. In questa ipotesi l'impegno - soprattutto per la generazione e la gestione dei contenuti - è molto maggiore.Tra gli obiettivi, non bisogna assolutamente trascurare i problemi specifici di accesso agli elaboratori da parte delle varie categorie di persone disabili.
2. Privilegiare i contenuti, poi l'esteticaA differenza di una vetrina, un manifesto, un annuncio su un giornale o qualsiasi forma di display, un sito Web non ha il problema di attirare l'attenzione in competizione con altri, anzi la grafica dovrebbe essere finalizzata anch'essa all'idea, ma soprattutto alla usabilità delle informazioni predisposte. Quando una persona arriva su un sito lo fa intenzionalmente e vede solo quello. È bene che un sito abbia anche un aspetto gradevole e attraente - ma la grafica e l'estetica non hanno il compito di attrarre l'attenzione. Devono essere funzionali e favorire un rapido e agevole accesso ai contenuti e alle informazioni.
34
La struttura ipertestuale (a differenza di qualsiasi altro veicolo di comunicazione)permette una quantità potenzialmente infinita di informazione. La conseguenza è chequando una persona si collega a un sito Web (o a qualsiasi sistema di informazionedisponibile in rete) si aspetta di trovare tutto ciò che cerca e se non lo trova rimanedelusa.
Organizzazione di un sito Web
La fase più importante della progettazione di un sito Web è l'organizzazione delleinformazioni. Al fine di considerare accuratamente ciò che si desidera dire e come sidesidera dirlo è fondamentale conoscere profondamente il contenuto del proprio sito.Allora, prima di passare alla realizzazione del sito e delle pagine, bisogna creareprospetti e suddividere le informazioni in sezioni e sottosezioni, e pensare alleinterrelazioni tra le sezioni create. Bisogna inoltre, avere le idee chiare su come unasezione del sito si collega ad un'altra, ed avere un chiaro senso dell'organizzazione.Importante è, inoltre, la scelta del software che ci permetterà di realizzare il sito.A questo proposito, la varietà di soluzioni è molto ampia e sarà necessario rivolgersi ad un esperto web designer, che sia anche disponibile a mantenere il sito aggiornandolo.
35
36
