La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Realizzato da: Alessandra Marino LA SICUREZZA INFORMATICA.

Presentazioni simili


Presentazione sul tema: "Realizzato da: Alessandra Marino LA SICUREZZA INFORMATICA."— Transcript della presentazione:

1 Realizzato da: Alessandra Marino LA SICUREZZA INFORMATICA

2 Realizzato da: Alessandra Marino Elenco degli argomenti Sicurezza informatica Gestione del rischio Organizzazione della sicurezza Standard ed enti di standardizzazione Crittografia Autenticazione Protezione dei dati Le minacce

3 Realizzato da: Alessandra Marino La sicurezza delle informazioni è una componente della sicurezza dei beni in generali. Qualunque programma che si occupi della sicurezza delle informazioni, deve perseguire 3 obiettivi fondamentali: La disponibilità L’integrità La riservatezza

4 Realizzato da: Alessandra Marino La Disponibilità La disponibilità è il grado in cui le informazioni e le risorse informatiche sono accessibili agli utenti che hanno diritto, al momento in cui gli servono. Per impedire che i dati siano accessibili, si deve tener conto: delle condizioni ambientali (energia temperatura, umidità, atmosfera, ecc…) delle risorse hardware e software (guasti, errori, blackout, disastri, ecc…) di attacchi esterni (attacchi provenienti ad esempio da internet che causano l’accessibilità ai dati e alle informazioni).

5 Realizzato da: Alessandra Marino L’Integrità L’ integrità per ciò che riguarda le informazioni, è il grado in cui le informazioni devono essere: corrette, coerenti e affidabili; L’ integrità per ciò che riguarda le risorse informatiche, è il grado in cui le risorse devono avere: completezza, coerenza e buone condizioni di funzionamento; L’ integrità per ciò che riguarda l’hardware e i sistemi di comunicazione, consiste: nella corretta elaborazione dei dati in un livello adeguato di prestazioni in un corretto instradamento dei dati.

6 Realizzato da: Alessandra Marino L’ integrità per ciò che riguarda il software riguarda: - la completezza e la coerenza dei moduli del sistema operativo e delle applicazioni. - la correttezza dei file critici di sistema e di configurazione La Riservatezza La riservatezza consiste nel limitare l’accesso alle informazioni e alle risorse informatiche alle sole persone autorizzate. Si applica sia all’archiviazione, sia alla comunicazione delle informazioni.

7 Realizzato da: Alessandra Marino GESTIONE DEL RISCHIO Adesso esamineremo i rischi connessi ai vari aspetti di sicurezza delle informazioni analizzando: 1.I beni da difendere 2.Gli obiettivi di sicurezza 3.Le minacce alla sicurezza 4.La vulnerabilità dei sistemi informatici 5.L’impatto causato dall’attuazione delle minacce 6.Il rischio

8 Realizzato da: Alessandra Marino 1) Beni da difendere In generale un bene è qualsiasi cosa, materiale o immateriale che ha un valore e deve essere protetto. Nel campo della sicurezza delle informazioni i beni di un azienda sono: le risorse informatiche Il personale (utenti, amministratori, addetti alla manutenzione) Le informazioni La documentazione L’immagine dell’azienda Nel campo della sicurezza delle informazioni, i beni di un individuo sono: Le informazioni personali La privacy

9 Realizzato da: Alessandra Marino 2) O biettivi di sicurezza Gli obiettivi di sicurezza, sono il grado di protezione che si intende attuare per i beni in termini di: Disponibilità Integrità Riservatezza Per sapere quale obiettivo adottare, i beni si classificano in categorie e ad ognuno di essi si assegna il tipo di sicurezza: Per le password e i numeri di identificazione il requisito più importante per raggiungere l’obiettivo della sicurezza, è la riservatezza. Per le informazioni contabili di una banca che segue transazioni on-line i requisiti richiesti sono: disponibilità, integrità e riservatezza. Per le informazioni pubblicate sul sito web i requisiti richiesti sono: disponibilità, integrità.

10 Realizzato da: Alessandra Marino 3) Minacce alla sicurezza Una minaccia è un’azione: potenziale, accidentale, deliberata, essa può portare alla violazione ad uno o più obiettivi di sicurezza. Le minacce possono essere classificate: naturale, ambientale e umana.

11 Realizzato da: Alessandra Marino Esempi di minacce Terremoto = Ambientale Inondazione = Accidentale, Ambientale Bombardamento = Deliberata, Accidentale Furto = Deliberata Temperatura alta o bassa = Deliberata, Accidentale, Ambientale Guasto Hardware = Accidentale Errori software = Deliberata, Accidentale Errori dell’utente = Deliberata, Accidentale Software dannoso = Deliberata, accidentale

12 Realizzato da: Alessandra Marino Per esempio: un allargamento dovuto a forti piogge è una minaccia accidentale di origine naturale che influisce notevolmente alla sicurezza in quanto interrompe l’utilizzo dei servizi informatici. Altro esempio è un cavallo di Troia installato all’apertura di un allegato di posta elettronica infetto,questa è una minaccia deliberata di origine umana e coinvolge tutti gli obiettivi di sicurezza, ciò viola la sicurezza nei 3 obiettivi. - Disponibilità in quanto il computer cade sotto il controllo esterno e non può essere più disponibile al suo proprietario - Integrità in quanto le sue informazioni possono essere cancellate o alterate - riservatezza in quanto i dati possono essere divulgati e letti dagli estranei L’entità che mette in atto la minaccia è chiamato agente.

13 Realizzato da: Alessandra Marino 4) Vulnerabilità dei sistemi informatici La vulnerabilità è un punto debole del sistema informatico (hardware, software e procedure) che, se colpito da una minaccia, porta a qualche violazione degli obiettivi di sicurezza. Una vulnerabilità, di per se, non causa una perdita di sicurezza ma è la combinazione tra vulnerabilità e minaccia che determina la possibilità che vengono violati gli obiettivi di sicurezza. Esempio: se un computer utilizzato per la contabilità di un azienda, non protetto da firewall e antivirus privo delle patch di sicurezza del sistema operativo, è vulnerabile, ma se è tenuto al sicuro, viene usato solo dal titolare e non è collegato da internet, può funzionare senza il pericolo di essere colpito da minacce.

14 Realizzato da: Alessandra Marino 5) L’impatto causato dall’attuazione delle minacce L’impatto si ha quando la minaccia colpisce il sistema e dipende dal valore del bene e dalla violazione degli obiettivi di sicurezza. esempio: Se il titolare di un azienda, connette il suo portatile ad internet senza protezione, apre una infetta propagando l’infezione alla rete aziendale, l’impatto è grave e coinvolge tutti gli obiettivi di sicurezza (disponibilità, integrità e riservatezza). In questo caso il titolare dell’azienda è l’ agente (ovvero colui che ha attuato la minaccia), la vulnerabilità è la conseguenza della cattiva configurazione del portatile per la mancata installazione di antivirus e firewall.

15 Realizzato da: Alessandra Marino 6) Il rischio Il rischio è l’insieme della gravità dell’impatto (conseguenza di un evento dannoso) e la probabilità che si verifichi l’evento dannoso. Possiamo classificare il rischio in due fasi: Analisi del rischio Controllo del rischio Analisi del rischio In questa fase si classificano le informazioni e le risorse soggette alle minacce e vulnerabilità e si identifica al livello di rischio associato ad ogni minaccia. Controllo del rischio In questa fase vengono individuate le modalità che l’azienda intende adottare per ridurre i rischi associata alla perdita della disponibilità delle informazioni e della integrità e della riservatezza di dati ed informazioni.

16 Realizzato da: Alessandra Marino ORGANIZZAZIONE DELLA SICUREZZA La sicurezza delle informazioni è il risultato di un insieme di processi ai vari livelli dell’organigramma aziendale. Non sono sufficienti solo strumenti e tecnologie per ottenere la sicurezza. Occorre, innanzitutto sicurezza e coinvolga l’intera struttura aziendale, in modo che il personale contribuisca nel proprio ambito al disegno generale della sicurezza secondo un organigramma a livelli. L’organizzazione della sicurezza parte dall’alto dove gli obiettivi e le politiche di sicurezza sono definiti dal top management. Uno dei primi compiti del gruppo incaricato nella sicurezza, è quello di inquadrare l’azienda in base al modello di attività, all’esposizione dei rischi e alla dipendenza della infrastruttura informatica e di comunicazione. Questo esame preliminare dovrà tenere in considerazione il quadro legislativo tracciato dalle leggi sulla criminalità informatica e sulla privacy.

17 Realizzato da: Alessandra Marino Standard ed enti di standardizzazione Gli enti di standardizzazione sono organizzazioni di natura molto differente che coprono aspetti normativi diversi a secondo i casi. Operano in ambito nazionale e internazionale ed emetto norme e linee guida per la realizzazione di prodotti, processi e servizi secondo le tecnologie del momento. Svolgono altre attività come la pubblicazione di documenti che possono essere facilmente interpretati secondo gli standard internazionali. Elenchiamo alcuni enti di standardizzazione: ITU: è un’organizzazione ONU dove governi e settore privato coordinano le reti e servizi globali di telecomunicazioni. ISO: è maggiore organizzazione internazionale di standardizzazione e comprende gli enti di standardizzazione nazionale di 146 paesi. IETF

18 Realizzato da: Alessandra Marino La Crittografia La crittografia consiste nel cifrare, cioè rendere incomprensibili, un testo in chiaro attraverso un algoritmo di cifratura che fa uso di input di una chiave. Il risultato della cifratura, sarà un testo inintelligibile che potrà essere cifrato solo disponendo della chiave di decifratura. Le tecniche crittografiche permettono: di trasformare dati, informazioni e messaggi in modo da nascondere il contenuto a chiunque non sia autorizzato e attrezzato per prenderne visione di impedire ad estranei di alterare i dati, segnalando qualunque tentativo in tal senso di garantire l’autenticità dei dati, associandoli in modo certo al loro proprietario, impedendo allo stesso tempo che il mittente di un messaggio possa ripudiarne la paternità. Vi sono due tipi di crittografia:

19 Realizzato da: Alessandra Marino Crittografia simmetrica L’uso della crittografia simmetrica conferisce riservatezza al messaggio, ma non assicura l’autenticazione o il non ripudio, poiché non c’è un associazione univoca e sicura tra la chiave e un individuo. Questo tipo di crittografia viene utilizzata per cifrare grandi quantità di dati cosa che non è possibile con la cifratura asimmetrica. Crittografia asimmetrica La crittografia asimmetrica fa uso di due chiavi diverse per cifrare o decifrare i messaggi o documenti. Un algoritmo asimmetrico prevede che ogni utente abbia una coppia di chiavi: la chiave pubblica e la chiave privata. La chiave privata deve essere custodita al sicuro dal proprietario, mentre la chiave pubblica può essere distribuita senza restrizioni, a patto che sia autenticata.

20 Realizzato da: Alessandra Marino Autenticazione All’atto dell’autenticazione, l’entità che chiede di essere autenticata, deve essere in possesso di una password o un certificato digitale, come prova della propria identità. Una volta che l’utente è stato autenticato, il passo successivo è assicurare che possa accedere solo alle risorse per cui è autorizzato. Vi sono diversi tipi di autenticazione: Autenticazione locale: utilizzata da un computer o un portatile Autenticazione indiretta: è usata nei moderni sistemi distribuiti per consentire a diversi utenti ad accedere ai servizi di rete Autenticazione off-line: utilizzata dai sistemi che utilizzano la chiave pubblica (PKI). Indipendentemente dai metodi usati, i sistemi di autenticazione hanno generalmente alcuni elementi in comune: Una persona da autenticare Una caratteristica su cui basare l’autenticazione I fattori di autenticazione sono divisi in 3 categorie:

21 Realizzato da: Alessandra Marino Qualcosa che sai Qualcosa che hai Quello che sei Password L’uso della password è uno dei più antichi sistemi di autenticazione. Con l’uso delle reti, le password in chiaro, hanno avuto poca vita perché era più facile impossessarsene. A partire dal 1967 cominciò ad essere introdotto l’hashing delle password, che viene tuttora utilizzato. Un hash è un numero binario di lunghezza fissa, ricavo da input di lunghezza variabile che funge da impronta del dato di partenza. Il sistema conserva un file con il nome degli utenti e l’hash delle relative password. All’atto dell’autenticazione, l’hash calcolato in base alla password digitata viene confrontato con quello registrato nei file; se coincidono l’utente è autenticato. Token Un token è un fattore di autenticazione della categoria “quello che hai”, l’utente deve essere in possesso del token al fine di essere autenticato dal computer. Se viene smarrito, rubato o prestato, l’utente non ha modo di farsi autenticare. Token passivi: sono carte di credito, bancomat di vecchia generazione, si chiamano così perché i dati sono registrati su una striscia magnetica. Token attivi: trasmettono il loro dato segreto per qualche calcolo, come una password usata una volta sola. I token attivi usano solitamente tecniche crittografate che li rendono immuni da intercettazioni.

22 Realizzato da: Alessandra Marino Firma digitale Per verificare che un documento sia stato realmente prodotto o inviato, nel caso di comunicazioni in rete, da chi afferma di averlo fatto, viene utilizzata la firma digitale che garantisce l’autenticità colui che dice di aver firmato quel dato documento. La firma digitale deve essere: verificabile, non falsificabile e non ripudiabile. L’ Europa ha cominciato a conferire valore giuridico alla firma digitale, con una serie di provvedimenti legislativi già a partire dal 1997, anche se solo nel gennaio 2000 con la pubblicazione della Direttiva Europea 1999/93/CE ha dato ulteriori impulsi al processo legislativo, imponendo un quadro comune agli Stati dell’Unione Europea. Questa direttiva ha fatto si che la firma digitale generata dagli stati facente parte l’Unione Europea, fosse riconosciuta dagli stessi. Il valore legale della firma digitale in Italia risale al 15 aprile 1999 data di pubblicazione del DPCM 8 febbraio 1999, oggi sostituito dal DPCM 13 gennaio 2004.


Scaricare ppt "Realizzato da: Alessandra Marino LA SICUREZZA INFORMATICA."

Presentazioni simili


Annunci Google