La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Presentazione. Introduzione Fino a circa dieci anni fa, l’uso del PC non comportava particolari preoccupazioni nella protezione dei dati contenuti in.

Presentazioni simili


Presentazione sul tema: "Presentazione. Introduzione Fino a circa dieci anni fa, l’uso del PC non comportava particolari preoccupazioni nella protezione dei dati contenuti in."— Transcript della presentazione:

1 Presentazione

2 Introduzione Fino a circa dieci anni fa, l’uso del PC non comportava particolari preoccupazioni nella protezione dei dati contenuti in esso. Per evitare perdita di dati, effettuavamo il Backup per prevenire perdite di dati nel caso in cui si fosse verificato un mal funzionamento del computer. L’utilizzo di password all’avvio del computer, ci garantiva una garanzia contro l’accesso da parte di terze persone. Con il nascere e il diffondersi delle reti informatiche, cominciarono a nascere problemi di rischio dovuti a: Minacce di intrusione Possibilità di divulgazione non autorizzata di informazioni Interruzione e distruzioni di servizi offerti dall’utenza. Con il nascere di questi ed altri problemi di sicurezza, si è sentita la necessità di istituire un settore specifico dell’informatica denominato Sicurmatica che si occupasse delle norme inerenti: il trattamento e la salvaguardia degli informatici e delle informazioni in esse contenute.

3

4 Elenco degli argomenti Sicurezza Informatica Gestione del rischio Organizzazione della Sicurezza Standard ed Enti di Standardizzazione Crittografia Autenticazione Protezione dei dati Le Minacce Malware

5 La Sicurezza Informatica La sicurezza delle informazioni è una componente della sicurezza dei beni in generale. Qualunque programma che si occupi della sicurezza delle informazioni, deve perseguire 3 obiettivi fondamentali: 1. La disponibilità La disponibilità 2. L’integrità L’integrità 3. La riservatezza La riservatezza Alla sicurezza possiamo aggiungere altri due obiettivi che possiamo considerarli una estensione dell’integrità delle informazioni: L’autenticità: essa garantisce che l’invio di un messaggio o una transazione vengano attribuiti con certezza al destinatario Il non ripudio: garantisce che il messaggio o transazione, conosca il suo autore

6 La disponibilità La disponibilità è il grado in cui le informazioni e le risorse informatiche sono accessibili agli utenti che ne hanno diritto, nel momento in cui servono. Per impedire che i dati siano accessibili, si deve tener conto: Delle condizioni ambientali Delle risorse hardware e software Di attacchi esterni

7 L’integrità L’integrità può riguardare le informazioni, le risorse informatiche, l’hardware e i sistemi di comunicazione e il software Per ciò che riguarda le informazioni, è il grado in cui le informazioni devono essere: corrette, coerenti e affidabili; Per ciò che riguarda le risorse informatiche, è il grado in cui le risorse devono avere: completezza, coerenza e buone condizioni di funzionamento; Per ciò che riguarda l’hardware e i sistemi di comunicazione, consiste: - Nella corretta elaborazione dei dati - In un livello adeguato di prestazioni - In un corretto instradamento dei dati. Per ciò che riguarda il software riguarda: - La completezza e la coerenza dei moduli del sistema operativo e delle applicazioni - La correttezza dei file critici di sistema e di configurazione.

8 La riservatezza La riservatezza consiste nel limitare l’accesso alle informazioni e alle risorse informatiche alle sole persone autorizzate. Si applica sia l’archiviazione, sia alla comunicazione delle informazioni.

9 Gestione del rischio Adesso esamineremo i rischi connessi ai vari aspetti di sicurezza delle informazioni analizzando : 1. I beni da difendere I beni da difendere 2. Gli obiettivi di sicurezza Gli obiettivi di sicurezza 3. Le minacce alla sicurezza Le minacce alla sicurezza 4. La vulnerabilità dei sistemi informatici La vulnerabilità dei sistemi informatici 5. L’impatto causato dall’attuazione delle minacce L’impatto causato dall’attuazione delle minacce 6. Il rischio Il rischio

10 I beni da difendere Un bene è qualsiasi cosa che ha un valore e deve essere protetto. Nel campo della sicurezza delle informazioni, i beni sono aziendali ed individuali. I beni di un azienda sono: - Le risorse informatiche - Il personale - Le informazioni - La documentazione - L’immagine dell’azienda I beni di un individuo sono: - Informazioni personali - La privacy Gestione del rischio

11 Obiettivi di sicurezza Gli obiettivi di sicurezza, sono il grado di protezione che si intende attuare per i beni di: - Disponibilità - Integrità - Riservatezza Per sapere quale obiettivo adottare, i beni si classificano in categorie e ad ognuno di essi si assegna il tipo di sicurezza: - Per le password e i numeri di identificazione il requisito più importante per raggiungere l’obiettivo della sicurezza, è la riservatezza. - Per le informazioni contabili di una banca che esegue transazioni on- line i requisiti richiesti sono: disponibilità, integrità e riservatezza. - Per le informazioni pubblicate sul sito web i requisiti sono: disponibilità e integrità. Gestione del rischio

12 Minacce alla sicurezza Una minaccia è un azione: potenziale, accidentale, deliberata. Essa può portare alla violazione ad uno o più obiettivi di sicurezza. Le minacce possono essere classificate: naturale, ambientale e umana. Tabella esempi di minacce Per esempio: un cavallo di Troia installato all’apertura di un allegato di posta elettronica infetto, questa è una minaccia deliberata di origine umana e coinvolge tutti gli obiettivi di sicurezza, ciò coinvolge la sicurezza nei 3 obiettivi: - disponibilità in quanto il computer cade sotto il controllo esterno e non può più essere disponibile al suo proprietario - Integrità in quanto le sue informazioni possono essere cancellate o alterate - Riservatezza in quanto i dati possono essere divulgati e letti dagli estranei. L’entità che mette in atto la minaccia è chiamato agente. Gestione del rischio

13 Tabella MinacciaDeliberataAccidentaleAmbientale Terremotox Inondazionexx Bombardamentoxx Furtox Temperatura alta o bassaxxx Guasto hardwarex Errori softwarexx Deterioramento supporto di memoriax Errori softwarexx Accesso illegale alla retex Software dannosoxx Interruzione servizio Providerx Errori di trasmissionex Infiltrazione di retex

14 Vulnerabilità dei sistemi informatici La vulnerabilità è un punto debole del sistema informatico che, se colpito da una minaccia, porta a qualche violazione degli obiettivi di sicurezza. Una vulnerabilità, non causa una perdita di sicurezza, ma è la combinazione tra vulnerabilità e minaccia che determina la possibilità che vengano violati gli obiettivi di sicurezza. Esempio: se un computer utilizzando per la contabilità di un azienda, non protetto da firewall, antivirus e patch di sicurezza del sistema operativo, è vulnerabile, ma se è tenuto al sicuro, viene usato solo dal titolare e non è collegato ad internet, può funzionare senza il pericolo di essere colpito da minacce Gestione del rischio

15 L’impatto causato dall’attuazione delle minacce L’impatto si ha quando la minaccia colpisce il sistema e dipende dal valore del bene e dalla violazione degli obiettivi di sicurezza. Esempio: se il titolare di un’azienda, connette il suo portatile ad internet senza protezione, apre una infetta propagando l’infezione alla rete aziendale, l’impatto è grave e coinvolge tutti gli obiettivi di sicurezza. In questo caso il titolare dell’azienda è l’agente, la vulnerabilità è la conseguenza della cattiva configurazione del portatile per la mancata installazione di antivirus e firewall, la minaccia è data dalle cattive abitudini e incompetenze del titolare. Ciò causerebbe: il blocco temporaneo della rete e dei computer ad essa collegata, la disinfestazione con il conseguente rischio della perdita dei dati e la reinstallazione del software. Gestione del rischio

16 Il rischio Il rischio è tanto maggiore quanto maggiore è l’impatto che l’ ha causato e l’alta probabilità che esso si verifichi. Possiamo definire il rischio: l’insieme della gravità dell’impatto e la probabilità che si verifichi l’evento dannoso. Possiamo classificare il rischio in due fasi: Analisi del rischio Controllo del rischio Gestione del rischio

17 Analisi del rischio In questa fase si classificano le informazioni e le risorse soggette a minacce e vulnerabilità e si identifica il livello di rischio associato ad ogni minaccia

18 Controllo del rischio In questa fase vengono individuate le modalità che l’azienda intende adottare per ridurre i rischi associati alla perdita della disponibilità delle informazioni e risorse informatiche e della integrità e della riservatezza di dati ed informazioni. Gestione del rischio

19 Organizzazione della sicurezza La sicurezza delle informazioni è il risultato di un insieme di processi ai vari livelli dell’organigramma aziendale. Occorre creare un organizzazione per le sicurezza che assuma la responsabilità di quanto attiene alla sicurezza e coinvolga l’intera struttura aziendale, in modo che tutto il personale contribuisca nel proprio ambito al disegno generale della sicurezza secondo un organigramma a livelli. L’organizzazione della sicurezza parte dall’alto dove gli obiettivi e le politiche di sicurezza sono definiti dal top management per poi essere specificati nei dettagli man mano che si scende attraverso gli strati del modello organizzativo della sicurezza. In cima a questo modello ci sono gli obiettivi strategici in cui si deve fare carico l’organizzazione di sicurezza: classificazione dei beni e del loro valore,censimento e vulnerabilità e minacce, analisi del rischio, analisi costi/benefici delle contromisure, valutazione del grado di protezione, definizione delle politiche di sicurezza, ecc. Il primo compito è quello di inquadrare l’azienda in base al modello di attività, all’esposizione ai rischi e alla dipendenza della infrastruttura informatica e di comunicazione..

20 Standard ed enti di standardizzazione Gli enti di standardizzazione sono organigrammi di natura molto differente che coprono aspetti normativi diversi a secondo di casi. Operano in ambito nazionale e internazionale ed emettono norme e linee guida per la realizzazione di prodotti, processi e servizi a secondo delle tecnologie del momento. Svolgono altre attività come la pubblicazione di documenti che possano essere facilmente interpretati secondo gli standard internazionali. Ecco alcuni enti di standardizzazione: - ITU: è un’organizzazione ONU dove governi e settore privato coordinano le reti e i servizi globali di telecomunicazione. - ISO: è la maggiore organizzazione internazionale di standardizzazione e comprende gli enti di standardizzazione nazionale di 146 paesi. - IETF: internet Engineering task force.

21 La crittografia La crittografia consiste nel cifrare un testo in chiaro attraverso un algoritmo di cifratura che fa uso in input di una chiave. Il risultato della cifratura sarà un testo inintelligibile che potrà essere cifrato disponendo della chiave di decifratura. Le tecniche crittografiche permettono: - di trasformare dati e informazioni in modo da nascondere il contenuto a chiunque non sia autorizzato e attrezzato per prenderne visione - di impedire ad estranei di alterare i dati, segnalando qualunque tentativo in tal senso - Di garantire l’autenticità dei dati, associandoli in modo certo al loro proprietario, impedendo allo stesso tempo che il mittente di un messaggio possa ripudiare la paternità. Vi sono due tipi di crittografia: crittografia simmetrica e crittografia asimmetrica.crittografia simmetrica crittografia asimmetrica

22 Crittografia simmetrica L’uso della crittografia simmetrica conferisce riservatezza al messaggio, ma non assicura l’autenticazione o il non ripudio, poiché non c’è associazione univoca e sicura tra la chiave e un individuo. Di conseguenza, il mittente apparente di un messaggio cifrato con chiave simmetrica potrebbe sempre negare di avere spedito il messaggio, attribuendone la responsabilità diretta o indiretta al destinatario detentore della stessa chiave. Questo tipo di crittografia viene utilizzata per cifrare grandi quantità di dati cosa che non è possibile con la cifratura asimmetrica.

23 Crittografia asimmetrica La crittografia asimmetrica, fa uso di due chiavi diverse per cifrare e decifrare i messaggi o documenti. Con un sistema di crittografia a chiave pubblica, gli utenti possono comunicare in modo sicuro attraverso un canale insicuro senza dover concordare in anticipo una chiave. Un algoritmo asimmetrico prevede che ogni utente abbia una coppia di chiavi: la chiave privata e pubblica. La chiave pubblica può essere distribuita senza restrizioni, a patto che sia autenticata. La chiave privata deve essere custodita al sicuro dal proprietario. La crittografia

24 Autenticazione All’atto dell’autenticazione, deve essere in possesso di una password o un certificato digitale, come prova della propria identità. L’utente, una volta autenticato, può accedere solo alle risorse per cui è autorizzato. Vi sono diversi tipi di autenticazione: - autenticazione locale: è quella utilizzata da un computer o un portatile - Autenticazione indiretta: è usata nei moderni sistemi distribuiti per consentire a diversi utenti ad accedere ai servizi di rete - Autenticazione off-line: è quella utilizzata dai sistemi che utilizzano la chiave pubblica. I sistemi di autenticazione hanno generalmente alcuni elementi in comune: - una persona da autenticare - Una caratteristica su cui basare l’autenticazione I fattori di autenticazione sono divisi in 3 categorie: - Qualcosa che sai: password, PIN, passphrase - Qualcosa che hai: smart card, token - Quello che sei: impronte digitali, retina,iride, ecc.

25 Password L’uso delle password è uno dei più antichi sistemi di autenticazione. Quella che viene tuttora utilizzato è l’hashing delle password. Un Hash è un numero binario di lunghezza fissa, ricavato da un input, di lunghezza variabile che funge da impronta del dato di partenza. All’atto dell’autenticazione, l’hash viene confrontato con quello registrato nel file; se coincidono, l’utente è autenticato. Autenticazione

26 Token Un token è un fattore di autenticazione della categoria “quello che hai”, l’utente deve essere in possesso del token al fine di essere autenticato dal computer. Ci sono due tipi di token: token passivi e attivi. Token passivi: sono le carte di credito, bancomat di vecchia generazione, si chiamano così perché i dati di identificazione sono registrati su una striscia magnetica. Token attivi: a differenza dei token passivi, quelli attivi non trasmettono il proprio dato segreto per autenticare l’utente, ma lo utilizzano per qualche calcolo. I token attivi usano tecniche crittografate che li rendono immuni da intercettazioni. L’autenticazione

27 Firma digitale Per verificare che un dato documento sia stato realmente prodotto o inviato, viene utilizzata la firma digitale che garantisce l’autenticità di colui che dice di aver firmato quel dato documento. La firma digitale deve essere: verificabile, non falsificabile e non ripudiabile. L’autenticazione

28 Protezione dei dati Parlando di disponibilità dei dati viene spontaneo pensare alla possibilità che si guastino i dischi fissi o la rete cessi di funzionare o che si verifichi un blackout, ma è anche importante considerare che gli eventuali meccanismi di protezione e di controllo degli accessi funzionino regolarmente e che i relativi database siano a loro volta accessibili e contengano dati validi. Per garantire l’accessibilità dei dati è naturalmente necessario che le connessioni di rete funzionino e siano affidabili. L’insieme delle garanzie di disponibilità dei dati e ininterrotto e regolare funzionamento dei processi aziendali sono i pilastri della cosiddetta “Business Continuity”. Questa è la misura in cui un organizzazione riesce a garantire la stabilità ininterrotta dei sistema e delle procedure operative anche a fronte di eventi eccezionali. Le dotazioni hardware sono importanti per il buon funzionamento.

29 Backup Nel caso di attacchi da virus, il danno si ripercuote anche in tutti i dischi con possibili cause di cancellazione di tutti i dati. Una soluzione adeguata riguarda il cosiddetto Backup il quale consente di proteggere i dati in un supporto fisico diverso da quello in uso, effettuando una copia di riserva dei dati di interesse dell’Organizzazione, per poterne fare uso al momento di necessità. Il backup può essere effettuato in diversi modi: Backup normale : copia tutti i file ma richiede più tempo Backup incrementale : copia solo i file selezionati ed è più veloce.

30 Le minacce Un virus è un frammento che inserisce se stesso in un programma ospite, inclusi i sistemi operativi, al fine di diffondersi. Esso non va in esecuzione indipendentemente ma per potersi attivare, richiede che il suo programma ospite sia eseguito. Esistono diverse tipologie di virus: Virus che infettano i file Virus del settore boot Virus MBR ( Master Boot Record) Virus multipartito Macro virus Virus Hoax

31 Virus che infettano i file Questi virus infettano i programmi, normalmente file eseguibili con estensioni “.com” e “.exe”. Possono infettare altri file quando un programma infetto viene eseguito da floppy, disco fisso, cd-rom ecc. Molti di questi virus rimangono residenti in memoria e una volta infettata la RAM, qualunque programma che viene mandato in esecuzione sarà infettato. Le Minacce

32 Virus del settore boot Questi virus infettano il boot record del disco fisso o di un floppy, ovvero quell ‘aria che serve ad avviare il computer. Questi virus sono sempre residenti in memoria. Le Minacce

33 Virus MBR Sono simili ai precedenti, solo che il codice virale si localizzerà in parti diverse a secondo del tipo di partizione del disco. Le Minacce

34 Virus multipartito Questi virus infettano sia il boot che i file programma. Sono particolarmente difficili da rimuovere perché ripulendo il record di boot senza rimuovere i virus dai file infetti, comporterà una nuova infezione del boot record e viceversa. Le Minacce

35 Macro virus Questi tipi infettano i dati. I macro virus possono infettare i file prodotti dalle applicazioni quali: Word Excel PowerPoint Access Le Minacce

36 Virus Hoax Più che virus, sono messaggi di avviso contenente falsi allarmi. Vengono chiamati Bufale e sono quasi sempre spedite via . Le Minacce

37 Malware Il malware è un software creato con il solo scopo di creare danni estesi al computer su cui viene eseguito. Esistono molte categorie di malware: Virus Worm Trojan horse Backdoor Spyware Dialer Adware

38 Virus Sono parti di codice che si diffondono copiandosi all’interno di altri programmi, in modo da essere eseguiti ogni volta che il file infetto viene aperto.

39 Worm Questi malware modificano il sistema operativo della macchina ospite in modo da essere eseguiti automaticamente e tentare di replicarsi sfruttando per lo più Internet.

40 Trojan horse Sono software utili per indurre l’utente ad utilizzarli, contenendo istruzioni dannose che vengono eseguite all’insaputa dell’utilizzatore. Per diffondersi devono essere inviati alla vittima “consapevolmente”.

41 Backdoor Sono programmi che consentono un accesso non autorizzato al sistema su cui sono in esecuzione. Si diffondono abbinate ad un trojan o ad un worm.

42 Spyware Software che vengono usati per raccogliere informazioni dal sistema su cui sono installati e per trasmetterle ad un destinatario interessato.

43 Dialer Questi programmi si occupano di gestire la connessione ad internet tramite la normale linea telefonica. Possono modificare anche il numero telefonico chiamato dalla connessione telefonica predefinita con una tariffazione speciale, allo scopo di trarne illecito profitto all’insaputa dell’utente Elenco attacchi

44 Adware Tipo di software distribuito gratuitamente in cambio della visualizzazione di pubblicità.

45 Presentato da

46 Guglielmo Marchetta


Scaricare ppt "Presentazione. Introduzione Fino a circa dieci anni fa, l’uso del PC non comportava particolari preoccupazioni nella protezione dei dati contenuti in."

Presentazioni simili


Annunci Google