La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Sintesi sugli aspetti di Sicurezza nel Sistema Informativo Gli elementi della professionalità della sicurezza Prof. Daniele Pulcini Università degli Studi.

PubblicatoRaffaela Colombo Modificato 10 anni fa

Presentazioni simili

Presentazione sul tema: "Sintesi sugli aspetti di Sicurezza nel Sistema Informativo Gli elementi della professionalità della sicurezza Prof. Daniele Pulcini Università degli Studi."— Transcript della presentazione:

1 Sintesi sugli aspetti di Sicurezza nel Sistema Informativo Gli elementi della professionalità della sicurezza Prof. Daniele Pulcini Università degli Studi di Roma La Sapienza Genova, 22 Febbraio 2005

2 Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio 2005 - dpdp@mac.com 1 LA SICUREZZA

3 Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio 2005 - dpdp@mac.com La Sicurezza nei sistemi informativi La Sicurezza rappresenta un punto critico nei sistemi informativi attuali, a causa di nuove tecnologie aperte impiegate per garantire lerogazione dei servizi offerti da aziende pubbliche e private, e facilitare attraverso i processi di e-government il funzionamento delle strutture organizzative e tecniche. Queste tecnologie aperte, se da una parte hanno reso anche più flessibile la comunicazione e laccesso ai servizi, dallaltra hanno aperto varchi verso il mondo esterno che possono essere utilizzati in modo fraudolento e criminoso. Possiamo indicare quale crimine scatenante la mancanza di cultura della sicurezza informatica cui corrisponde un mancato adeguamento nel settore della sicurezza informatica. Questa situazione è stata riscontrata nella maggior parte delle aziende, private e pubbliche oggetto di numerose indagini condotte dal sistema universitario. Gli enti spesso non si rendono effettivamente conto dei potenziali rischi che possono generarsi in un Sistema Informativo. La Sicurezza rappresenta un punto critico nei sistemi informativi attuali, a causa di nuove tecnologie aperte impiegate per garantire lerogazione dei servizi offerti da aziende pubbliche e private, e facilitare attraverso i processi di e-government il funzionamento delle strutture organizzative e tecniche. Queste tecnologie aperte, se da una parte hanno reso anche più flessibile la comunicazione e laccesso ai servizi, dallaltra hanno aperto varchi verso il mondo esterno che possono essere utilizzati in modo fraudolento e criminoso. Possiamo indicare quale crimine scatenante la mancanza di cultura della sicurezza informatica cui corrisponde un mancato adeguamento nel settore della sicurezza informatica. Questa situazione è stata riscontrata nella maggior parte delle aziende, private e pubbliche oggetto di numerose indagini condotte dal sistema universitario. Gli enti spesso non si rendono effettivamente conto dei potenziali rischi che possono generarsi in un Sistema Informativo.

4 Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio 2005 - dpdp@mac.com Sicurezza: consapevolezza e formazione La consapevolezza, la formazione, il continuo aggiornamento professionale e lo scambio di informazioni tra enti pubblici e privati, tra le comunità di settore e tra i cittadini-utenti, sono gli strumenti più efficaci per far fronte ai problemi della sicurezza informatica.

5 Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio 2005 - dpdp@mac.com Obiettivi delle politiche della Sicurezza Diffondere la cultura della Sicurezza Informatica presso le Aziende, la Pubblica Amministrazione e i cittadini. Partecipare alla elaborazione di leggi, norme e regolamenti che coinvolgono la Sicurezza Informatica, sia a livello comunitario che italiano. Contribuire alla definizione di percorsi di formazione per la preparazione e la certificazione delle figure professionali operanti nel settore della sicurezza nel mondo dellICT. Promuovere l'uso di metodologie e tecnologie che consentano di migliorare il livello di sicurezza delle varie realtà. Diffondere la cultura della Sicurezza Informatica presso le Aziende, la Pubblica Amministrazione e i cittadini. Partecipare alla elaborazione di leggi, norme e regolamenti che coinvolgono la Sicurezza Informatica, sia a livello comunitario che italiano. Contribuire alla definizione di percorsi di formazione per la preparazione e la certificazione delle figure professionali operanti nel settore della sicurezza nel mondo dellICT. Promuovere l'uso di metodologie e tecnologie che consentano di migliorare il livello di sicurezza delle varie realtà.

6 Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio 2005 - dpdp@mac.com I costi dei crimini informatici

7 Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio 2005 - dpdp@mac.com 2 SOLUZIONI E PRIVACY

8 Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio 2005 - dpdp@mac.com Quali soluzioni, quale privacy Ancora oggi, molte delle organizzazioni sia pubbliche che private sono convinte che linstallazione di un antivirus sia la soluzione a tutti i problemi di Sicurezza Informatica e quindi affrontano il problema in modo inadeguato. Altre organizzazioni sono maggiormente informate ed hanno una consapevolezza maggiore dei problemi inerenti la Sicurezza Informatica, ma il timore di un sistema che possa monitorare tutto quello che accade in rete filtrando ed analizzzando tutti i dati in transito, genera il timore di veder controllato il proprio lavoro o addirittura violata la privacy. E dunque necessario individuare soluzioni di sicurezza idonee che rappresentino una garanzia adeguata di privacy secondo le norme vigenti.

9 Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio 2005 - dpdp@mac.com 3 TEMI DELLA SICUREZZA

10 Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio 2005 - dpdp@mac.com Gli argomenti della sicurezza Le principali problematiche in merito alla Sicurezza nei Sistemi Informativi sono collegate ai seguenti argomenti: 1.Riservatezza; 2.Autenticazione/non disconoscimento; 3.Integrità dei dati; 4.Alta affidabilità del servizio erogato. Queste problematiche possono essere affrontate utilizzando lo schema sintetico che seguirà e risolte poi in modo più complesso attraverso una analisi dettagliata dei parametri concernenti la definizione della sicurezza e la loro applicazione ai modelli reali. Le principali problematiche in merito alla Sicurezza nei Sistemi Informativi sono collegate ai seguenti argomenti: 1.Riservatezza; 2.Autenticazione/non disconoscimento; 3.Integrità dei dati; 4.Alta affidabilità del servizio erogato. Queste problematiche possono essere affrontate utilizzando lo schema sintetico che seguirà e risolte poi in modo più complesso attraverso una analisi dettagliata dei parametri concernenti la definizione della sicurezza e la loro applicazione ai modelli reali.

11 Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio 2005 - dpdp@mac.com Cosa stiamo proteggendo, introduzione ai beni informatici Prima di passare ad analizzare le problematiche di sicurezza strettamente legate all'utilizzo di un particolare sistema operativo, è bene soffermarci per capire cosa stiamo proteggendo e quali siano in linea di massima i mezzi a nostra disposizione per raggiungere lo scopo prefissatoci.

12 Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio 2005 - dpdp@mac.com Cosa stiamo proteggendo, principali beni dei sistemi informatici Parlando di sistemi informatici, a volte si è portati a limitare quello che è il reale campo d'applicazione della parola bene, associandola esclusivamente a tre categorie: 1) Hardware: l'apparecchiatura; 2) Software: i programmi necessari al funzionamento dell'apparecchiatura e utilizzati per l'elaborazione delle informazioni; 3) Dati: le informazioni gestite dai programmi; A questi, che rappresentano i beni principali, si devono aggiungere: 4) Supporti memorizzazionepossono contenere il software ed i dati; 5) Retipermettono l'interconnessione dei vari sistemi consentendo quindi lo scambio di informazioni; 6) Accessila possibilità che viene data ai soggetti di utilizzare il bene ed i meccanismi di fruizione. 7) Individui chiavepensate, per esempio, a quanto tempo e quante risorse economiche occorrono per preparare adeguatamente un valido amministratore di sistema oppure un operatore specializzato nell'uso di un determinato programma.

13 Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio 2005 - dpdp@mac.com Cosa stiamo proteggendo, rappresentazione grafica Hardware Software Dati Supporti di memorizzazione Supporti di memorizzazione Reti Accessi Individui chiave (operatori e sistemisti) Individui chiave (operatori e sistemisti)

14 Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio 2005 - dpdp@mac.com Obiettivi della sicurezza informatica La sicurezza informatica ha, come obiettivo principale, quello di: garantire, riducendo i rischi, un adeguato grado di protezione dei beni, mediante lattuazione di un progetto di sicurezza globale che, partendo dalla definizione di una politica di sicurezza, tenga conto di tutti gli aspetti del problema e pervenga ad un livello di protezione, organizzativo ed informatico, che possa essere monitorato nel tempo. Per raggiungere quello che è l'obiettivo principale, occorre garantire che il bene mantenga inalterate nel tempo queste proprietà: Sicurezza/riservatezza (Confidentiality); Integrità (Integrity); Disponibilità (Availability).

15 Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio 2005 - dpdp@mac.com Obiettivi della sicurezza informatica DisponibilitàIntegrità Sicurezza I beni sono sempre accessibili agli utenti autorizzati I beni sono accessibili solo agli utenti autorizzati I beni possono essere modificati solo dagli utenti autorizzati o solo nel modo consentito

16 Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio 2005 - dpdp@mac.com Definizione di rischio e di sicurezza Tutte quelle circostanze potenziali che possono causare un danno rappresentano un rischio. E' da notare che, come abbiamo visto prima, parlando della sicurezza informatica, un progetto o un programma di sicurezza, per quanto integrati non azzerano mai il relativo rischio. La sicurezza totale infatti è unastrazione e come tale non esiste nella realtà. Si deve allora seguire la logica secondo cui un progetto di sicurezza ha l'obiettivo di ridurre il rischio. Tutte quelle circostanze potenziali che possono causare un danno rappresentano un rischio. E' da notare che, come abbiamo visto prima, parlando della sicurezza informatica, un progetto o un programma di sicurezza, per quanto integrati non azzerano mai il relativo rischio. La sicurezza totale infatti è unastrazione e come tale non esiste nella realtà. Si deve allora seguire la logica secondo cui un progetto di sicurezza ha l'obiettivo di ridurre il rischio.

17 Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio 2005 - dpdp@mac.com Rischi per un sistema informatico Rischi per un sistema informatico Vediamo adesso schematicamente quali sono i rischi relativi ad un sistema informatico. I colori indicano i settori interessati dal rischio e i rischi sono ordinati per gravità degli effetti sullutenza dei servizi e sulla privacy. INTERRUZIONE INTERCETTAMENTO MODIFICA CONTRAFFAZIONE Hardware Software Dati Un bene viene tolto dal sistema, non è più disponibile oppure è inutilizzabile Unentità (un programma, un sistema informatico) non autorizzata ottiene laccesso ad un bene. Unentità (un programma, un sistema informatico) non autorizzata ottiene laccesso ad un bene e lo manomette Unentità (un programma, un sistema informatico) non autorizzata potrebbe costruire degli oggetti contraffatti allinterno del sistema informativo.

18 Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio 2005 - dpdp@mac.com Vulnerabilità, introduzione 1 In pratica, per causare un danno basterà sfruttare una vulnerabilità del sistema informativo. Ma che cosa si intende per vulnerabilità? Semplicemente una debolezza di cui servirsi per raggiungere gli scopi prefissati, presente nel sistema operativo, nelle procedure di sicurezza, nei software e soprattutto nei controlli interni o nell'implementazione.

19 Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio 2005 - dpdp@mac.com Vulnerabilità, introduzione 2 Quando si parla di vulnerabilità, la prima cosa che viene in mente è, chiaramente, il difetto del software. Non necessariamente però una vulnerabilità è solo un difetto del software. Possiamo dire sicuramente che, anche con un software perfettamente realizzato, perfettamente progettato, implementato e configurato, un sistema informatico può comunque essere vulnerabile. Per esempio, potremmo avere un dipendente di un'azienda che ha accesso a sistemi critici che un bel giorno….. passa ad un concorrente ma allo stesso tempo le sue credenziali per l'accesso non vengono cancellate.

20 Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio 2005 - dpdp@mac.com Vulnerabilità, introduzione 3 Da quanto detto discende la definizione di vulnerabilità. La frase "può essere sfruttata", naturalmente presuppone che vi sia la volontà esplicita di violare qualche cosa, in senso generale a violare la politica di sicurezza, che indica che cosa si può e che cosa non si può fare allinterno di un sistema informativo. Una vulnerabilità è quindi tale se ci permette di fare qualche cosa che altrimenti non dovremmo poter fare. Da questo deriva che il problema è quindi da inquadrare in senso generale piuttosto che limitatamente ai difetti nel software. Infatti, prendendo in esame i principali componenti di un sistema informatico, possiamo facilmente associarvi una serie di vulnerabilità:

21 Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio 2005 - dpdp@mac.com Vulnerabilità, lo standard CVE Per quanto riguarda le vulnerabilità del software è stato definito uno standard di fatto denominato CVE (Common Vulnerabilities and Exporures) per: 1.fornire un "linguaggio comune" per la definizione formale del problema; 2.facilitare la condivisione dei dati tra: Intrusion Detection Systems (sistemi per il rilevamento delle instrusioni); Strumenti di verifica (Assessment); Archivi di vulnerabilità; Ricercatori; Gruppi per la gestione degli incidenti. 3.permettere lo sviluppo di strumenti di sicurezza migliorati ed interoperabili. Le vulnerabilità universali definite nel CVE sono quelle vulnerabilità che sostanzialmente sarebbero tali in qualsiasi politica di sicurezza. Viceversa, le exposures, sono delle violazioni solo in certe politiche di sicurezza. Per esempio il fatto che certe informazioni siano disponibili attraverso un servizio che fornisce più informazioni di quante dovrebbe, potrebbe essere o meno una violazione ad una politica di sicurezza. Per quanto riguarda le vulnerabilità del software è stato definito uno standard di fatto denominato CVE (Common Vulnerabilities and Exporures) per: 1.fornire un "linguaggio comune" per la definizione formale del problema; 2.facilitare la condivisione dei dati tra: Intrusion Detection Systems (sistemi per il rilevamento delle instrusioni); Strumenti di verifica (Assessment); Archivi di vulnerabilità; Ricercatori; Gruppi per la gestione degli incidenti. 3.permettere lo sviluppo di strumenti di sicurezza migliorati ed interoperabili. Le vulnerabilità universali definite nel CVE sono quelle vulnerabilità che sostanzialmente sarebbero tali in qualsiasi politica di sicurezza. Viceversa, le exposures, sono delle violazioni solo in certe politiche di sicurezza. Per esempio il fatto che certe informazioni siano disponibili attraverso un servizio che fornisce più informazioni di quante dovrebbe, potrebbe essere o meno una violazione ad una politica di sicurezza.

22 Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio 2005 - dpdp@mac.com Vulnerabilità, ciclo di vita - 1 Un altro concetto fondamentale parlando di vulnerabilità è rappresentato dal ciclo di vita. Cosa vuol dire ciclo di vita di una vulnerabilità? Prendiamo per esempio un sistema informativo con una sua vulnerabilità, non è nota, ma esiste perchè il sistema è stato progettato in modo imperfetto. I problemi cominciano a nascere quando la vulnerabilità viene scoperta ed inizia quella che viene chiamata, finestra di esposizione, cioè il periodo in cui la vulnerabilità in qualche modo può essere sfruttata per causare un danno. I casi sono due:

23 Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio 2005 - dpdp@mac.com Vulnerabilità, ciclo di vita - 2 1. La vulnerabilità è stata scoperta da qualcuno interessato ad eliminarla e quindi ci si può aspettare che si vada su una strada che porterà alla fine a una correzione. In pratica, la vulnerabilità verrà comunicata a chi è in grado di correggerla, verranno realizzate le apposite correzioni e queste poi saranno apportate ai singoli sistemi. Cosa importante è che la vulnerabilità in un determinato software si potrà considerare corretta non quando sarà rilasciata la correzione (patch), ma quando quest'ultima sarà installata su un sistema. Questo è un problema che si è visto moltissimo soprattutto in questi ultimi anni, perchè molti degli attacchi diffusi in modo massiccio, spesso sfruttavano delle vulnerabilità note da tempo per le quali le correzioni erano già disponibili ma che semplicemente non erano state applicate.

24 Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio 2005 - dpdp@mac.com Vulnerabilità, ciclo di vita - 3 2. la vulnerabilità viene scoperta da qualcuno, non interessato a correggerla, ma interessato a sfruttarla. Questa è una situazione spiacevole perchè potenzialmente questa vulnerabilità potrebbe continuare ad essere utilizzata e sfruttata anche diffusamente senza che ne venga a conoscenza chi deve correggerla, fino a quando qualcuno vedendo come è stato attaccato il suo sistema, non si rende conto di quale è stata la strada utilizzata. E' stata la diffusione indiscriminata di informazioni circa le vulnerabilità che ha permesso di definire un vero e proprio ciclo di vita delle stesse, comprendente una finestra di esposizione variabile in base alla logica perseguita.

25 Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio 2005 - dpdp@mac.com Vulnerabilità, processi - 1 Mentre nel secondo caso la conoscenza della vulnerabilità rimane limitata allo scopritore e quindi la sua diffusione pubblica dipende da quest'ultimo, nel primo si può assistere ad un comportamento ciclico, come è stato messo in evidenza dal CERT/CC. In pratica: n la vulnerabilità viene scoperta da un ricercatore o comunque qualcuno dotato di ottime conoscenze nella materia; n viene reso pubblico il metodo per sfruttarla, di solito utilizzando un linguaggio di scripting; n il codice di scripting viene portato in un linguaggio maggiormente diffuso ed inserito all'interno di applicazioni di facile utilizzo (input obbiettivo > esegui azione) n si ha la distribuzione capillare dell'applicazione e quindi lo sfruttamento della vulnerabilità; n la casa produttrice del software corregge il problema; n viene applicata la correzione. Mentre nel secondo caso la conoscenza della vulnerabilità rimane limitata allo scopritore e quindi la sua diffusione pubblica dipende da quest'ultimo, nel primo si può assistere ad un comportamento ciclico, come è stato messo in evidenza dal CERT/CC. In pratica: n la vulnerabilità viene scoperta da un ricercatore o comunque qualcuno dotato di ottime conoscenze nella materia; n viene reso pubblico il metodo per sfruttarla, di solito utilizzando un linguaggio di scripting; n il codice di scripting viene portato in un linguaggio maggiormente diffuso ed inserito all'interno di applicazioni di facile utilizzo (input obbiettivo > esegui azione) n si ha la distribuzione capillare dell'applicazione e quindi lo sfruttamento della vulnerabilità; n la casa produttrice del software corregge il problema; n viene applicata la correzione.

26 Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio 2005 - dpdp@mac.com Vulnerabilità, processi - 2 Nella realtà, si assiste di solito ad una serie di processi simili a quello evidenziato, che, a volte, interessano aspetti diversi dello stesso software. Da qui i ben noti problemi di aggiornamento, legati all'applicazione dell'ultima correzione disponibile, che impegnano il responsabile alla sicurezza di un sistema.

27 Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio 2005 - dpdp@mac.com Vulnerabilità, metodi di difesa Per ridurre o prevenire lo sfruttamento di una vulnerabilità si rende necessaria un'opera di controllo mediante l'applicazione di particolari misure protettive rappresentate da azioni, dispositivi, procedure o tecniche. Naturalmente bisogna fare particolare attenzione al fatto che "la sicurezza è un processo, non un prodotto, e come tale ha molti componenti, che devono essere affidabili e ben studiati e, soprattutto, collaborare fra loro. Infatti, l'efficacia del sistema di sicurezza dipende in modo essenziale da come i vari componenti collaborano fra di loro. A volte i punti deboli sono costituiti proprio dalle interfacce fra i componenti. Un sistema di sicurezza può essere paragonato a una catena, composta da vari anelli, ciascuno dei quali influisce in modo determinante sulla sua resistenza. Come in qualsiasi catena, la forza del sistema di sicurezza corrisponde a quella del suo componente più debole" (Schneier B., Sicurezza Digitale, Tecniche Nuove, Milano, 2001). Per ridurre o prevenire lo sfruttamento di una vulnerabilità si rende necessaria un'opera di controllo mediante l'applicazione di particolari misure protettive rappresentate da azioni, dispositivi, procedure o tecniche. Naturalmente bisogna fare particolare attenzione al fatto che "la sicurezza è un processo, non un prodotto, e come tale ha molti componenti, che devono essere affidabili e ben studiati e, soprattutto, collaborare fra loro. Infatti, l'efficacia del sistema di sicurezza dipende in modo essenziale da come i vari componenti collaborano fra di loro. A volte i punti deboli sono costituiti proprio dalle interfacce fra i componenti. Un sistema di sicurezza può essere paragonato a una catena, composta da vari anelli, ciascuno dei quali influisce in modo determinante sulla sua resistenza. Come in qualsiasi catena, la forza del sistema di sicurezza corrisponde a quella del suo componente più debole" (Schneier B., Sicurezza Digitale, Tecniche Nuove, Milano, 2001).

28 Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio 2005 - dpdp@mac.com Principali controlli I principali controlli a nostra disposizione sono: Crittografia Controlli software Controlli hardware Politiche di sicurezza Controlli fisici Dati inintellegibili contro: Intercettamento Modifica Contraffazione Dispositivi crittografici: Hardware Smartcard Sono i controlli più semplici, meno onerosi ed a volte più efficaci da implementare. Controlli interni al programma Controlli del sistema operativo Controlli in fase di sviluppo Creazione di regole Formazione Amministrazione

29 Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio 2005 - dpdp@mac.com Efficacia dei controlli Affinche i controlli siano efficaci bisogna considerare:

30 Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio 2005 - dpdp@mac.com 4 SOLUZIONI

31 Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio 2005 - dpdp@mac.com La sicurezza dei sistemi informativi Quadro sintetico problema- rischio - soluzione

32 Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio 2005 - dpdp@mac.com Professionalità della sicurezza La professionalità della sicurezza si costruisce sempre sulla base di esperienze concrete e di soluzioni e metodologie ampiamente diffuse. In questo ambito la proposta formativa nel campo delle tecnologie open assume un ruolo decisamente rilevante. Nella composizione interculturale della figura professionale, devono essere forniti gli elementi necessari per comprendere le differenze che esistono tra il software libero ed il software proprietario per ciò che concerne la sicurezza. Devono essere comprese inoltre le metodologie "open rese disponibili dal mercato, frutto della collaborazione di esperti del settore, frutto della collaborazione in rete, che come vedremo è fondamentale per una visione operativa della sicurezza.

33 Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio 2005 - dpdp@mac.com Professionalità della sicurezza La professionalità nel settore ICT ed in modo particolare per la sicurezza si costruisce attraverso percorsi specifici ed attraverso ladozione di metodologie didattiche adeguate ai temi oggetto della formazione. Un ruolo strategico può essere giocato dalla FAD, dalla formazione a distanza, per definire uno standard di livello nazionale ed europeo e per fornire strumenti adeguati a tutti i discenti. Questo tipo di formazione è inoltre adeguata alla dinamicità della sicurezza, che è in continua evoluzione. I contenuti didattici, estesi ai discenti universitari ed ai professionisti, possono garantire una cultura della sicurezza informatica necessaria ad una società moderna che ruota attorno alla dematerializzazione dei documenti.

34 Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio 2005 - dpdp@mac.com Bibliografia Riferimenti AA. VV., Osservatorio sulla criminalità informatica. Rapporto 1997, FrancoAngeli, Milano, 1997; Rosario Marasco, La sicurezza informatica, Jackson Libri, Milano, 1998; Charles P. Pfleeger, Security in Computing, Prentice-Hall, Upper Saddle River, 1997; Statistiche delle vulnerabilità del software su SecurityFocus.com - http://www.securityfocus.com/vulns/stats.shtml Common Vulnerabilities and Exposures - http://cve.mitre.org ICAT Metabase (CVE Vulnerability Search Engine) - http://icat.nist.gov CERT/CC (originariamente Computer Emergency Response Team) - http://www.cert.org http://www.securityfocus.com/vulns/stats.shtml http://cve.mitre.org http://icat.nist.gov Riferimenti AA. VV., Osservatorio sulla criminalità informatica. Rapporto 1997, FrancoAngeli, Milano, 1997; Rosario Marasco, La sicurezza informatica, Jackson Libri, Milano, 1998; Charles P. Pfleeger, Security in Computing, Prentice-Hall, Upper Saddle River, 1997; Statistiche delle vulnerabilità del software su SecurityFocus.com - http://www.securityfocus.com/vulns/stats.shtml Common Vulnerabilities and Exposures - http://cve.mitre.org ICAT Metabase (CVE Vulnerability Search Engine) - http://icat.nist.gov CERT/CC (originariamente Computer Emergency Response Team) - http://www.cert.org http://www.securityfocus.com/vulns/stats.shtml http://cve.mitre.org http://icat.nist.gov

Scaricare ppt "Sintesi sugli aspetti di Sicurezza nel Sistema Informativo Gli elementi della professionalità della sicurezza Prof. Daniele Pulcini Università degli Studi."

Presentazioni simili

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
E-GOVERNMENT IN FORTE CRESCITA IN ITALIA

E-GOVERNMENT IN FORTE CRESCITA IN ITALIA
11 Settembre 2008 ore 9.00 Sala Consiliare Municipio di San Donato Milanese Via Cesare Battisti, 2 Carte dei servizi sociali nel nuovo welfare: una giornata.

11 Settembre 2008 ore 9.00 Sala Consiliare Municipio di San Donato Milanese Via Cesare Battisti, 2 Carte dei servizi sociali nel nuovo welfare: una giornata.
Analisi e progettazione

Analisi e progettazione
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.

© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.
A cura del PROGETTO QUALITA Ministero dellIstruzione, dellUniversità e della Ricerca Ufficio Scolastico Regionale per la Campania Direzione Generale VERSO.

A cura del PROGETTO QUALITA Ministero dellIstruzione, dellUniversità e della Ricerca Ufficio Scolastico Regionale per la Campania Direzione Generale VERSO.
Corso aggiornamento ASUR10

Corso aggiornamento ASUR10
Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.

Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.
Problem solving Metodologia di lavoro.

Problem solving Metodologia di lavoro.
Le tecnologie informatiche per l'azienda

Le tecnologie informatiche per l'azienda
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.

Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Ospedale Pistoia ASL 3 Pistoia

Ospedale Pistoia ASL 3 Pistoia
Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.

Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.
SOFIA Facoltà di Ingegneria Università degli Studi di Udine SOFIA.

SOFIA Facoltà di Ingegneria Università degli Studi di Udine SOFIA.
Introduzione all’analisi forense: metodologie e strumenti

Introduzione all’analisi forense: metodologie e strumenti
DIFFICOLTA’ DEL LINGUAGGIO

DIFFICOLTA’ DEL LINGUAGGIO
Creazione di sale telematiche presso le maggiori biblioteche della provincia Il progetto di istituire presso le,maggiori biblioteche della Provincia di.

Creazione di sale telematiche presso le maggiori biblioteche della provincia Il progetto di istituire presso le,maggiori biblioteche della Provincia di.
Progetto Certificazione GDL: POLO di Calimera Forum del 26.2.2004 PROGETTO DI DECERTIFICAZIONE DEL SISTEMA Agenzia di Assistenza Tecnica agli Enti Locali.

Progetto Certificazione GDL: POLO di Calimera Forum del PROGETTO DI DECERTIFICAZIONE DEL SISTEMA Agenzia di Assistenza Tecnica agli Enti Locali.
L’uso dei database in azienda

L’uso dei database in azienda
La valutazione di impatto netto: alcune riflessioni a margine Gruppo Nazionale Placement Roma, 27 Febbraio 2013.

La valutazione di impatto netto: alcune riflessioni a margine Gruppo Nazionale Placement Roma, 27 Febbraio 2013.

Presentazioni simili

Annunci Google