La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

La sicurezza informatica come creazione di valore: non più solo fattore di costo ma driver per la qualità e lo sviluppo S ICUREZZA E FIRMA DIGITALE Direzione.

Presentazioni simili


Presentazione sul tema: "La sicurezza informatica come creazione di valore: non più solo fattore di costo ma driver per la qualità e lo sviluppo S ICUREZZA E FIRMA DIGITALE Direzione."— Transcript della presentazione:

1 La sicurezza informatica come creazione di valore: non più solo fattore di costo ma driver per la qualità e lo sviluppo S ICUREZZA E FIRMA DIGITALE Direzione Centrale Tecnologia e Processi Area Sistemi Patrizia Gabrieli

2 Indice Pag. 2 Presentazione La sicurezza nellazienda Banca La sicurezza informatica La catena tecnologica della sicurezza La firma digitale

3 Presentazione Banca Marche sviluppa la propria attività prevalentemente nelle Marche, territorio di tradizionale insediamento, ma allarga il proprio raggio di azione anche all'Italia centrale (Emilia Romagna, Abruzzo, Molise, Umbria, Lazio) dove intende fortemente ampliare la propria azione. La storia - Banca Marche nasce nel 1995 dalla fusione di tre casse di risparmio, Jesi, Pesaro e Macerata che si uniscono per creare una grande banca del territorio. Struttura Societaria Banca Marche Carilo – Cassa di Risparmio di Loreto S.p.A. Focus Gestioni S.G.R. S.p.A. Medioleasing S.p.A. Banca delle Marche Gestione Internazionale Lux S.A. Organico Oggi Banca Marche conta 300 sportelli e oltre dipendenti che lavorano al servizio di circa clienti. Direzione Centrale Tecnologia e Processi Pag. 3

4 Indice Pag. 4 Presentazione La sicurezza nellazienda Banca La sicurezza informatica La catena tecnologica della sicurezza La firma digitale

5 La sicurezza nell'azienda BANCA Direzione Centrale Tecnologia e Processi Pag. 5

6 La sicurezza nell'azienda BANCA Direzione Centrale Tecnologia e Processi Pag. 6 Da un servizio di difesa delle infrastrutture A un servizio di supporto al cliente e alle strategie del business

7 La sicurezza nell'azienda BANCA Direzione Centrale Tecnologia e Processi Pag. 7 SicurezzaFiducia Sono elementi fondamentali per lo sviluppo del mercato Offrire fiducia, attraverso servizi di sicurezza informatica a 360° che garantiscano affidabilità nel mondo virtuale della Rete, permettendo così ai clienti e agli utenti di comunicare e collaborare, scambiando dati, documenti ed informazioni online in piena sicurezza ed in linea con le normative attualmente vigenti.

8 Direzione Centrale Tecnologia e Processi Pag. 8 La sicurezza nell'azienda BANCA

9 Direzione Centrale Tecnologia e Processi Pag. 9 Dallultimo rapporto dellAntiphishing Work Group (APWG) (dic 2007) La sicurezza nell'azienda BANCA

10 Indice Pag. 10 Presentazione La sicurezza nellazienda Banca La sicurezza informatica La catena tecnologica della sicurezza La firma digitale

11 La sicurezza informatica Direzione Centrale Tecnologia e Processi Pag. 11 Linteresse per la sicurezza nei sistemi informatici è cresciuto negli ultimi anni in funzione della loro diffusione, del ruolo sempre più importante che essi hanno assunto nei contesti in cui operano, della loro crescente complessità, interconnessione e conseguente esposizione a possibili attacchi I dati e le informazioni elaborate e trattate dai sistemi informativi rappresentano un patrimonio di immenso valore: talvolta la perdita, il danneggiamento, il furto o lalte- razione di dati possono provocare danni incalcolabili fino a determinare limpossi- bilità di proseguire lattività aziendale Le società che svolgono attività su Internet sono quelle più esposte a tale rischio.

12 La sicurezza informatica Direzione Centrale Tecnologia e Processi Pag. 12

13 La sicurezza informatica Direzione Centrale Tecnologia e Processi Pag. 13 Come scegliere una password sicura La scelta di una password sicura è un aspetto di fondamentale importanza per accedere ai servizi in rete protetti; infatti, oltre a creare una chiave per accedere al sistema, si deve individuare un codice che sia difficilmente intercettabile, affinchè nessuno possa scoprirlo e utilizzarlo per scopi fraudolenti o di disturbo. Queste che vi illustriamo sono alcuni semplici regole che tutti gli utenti dovrebbero osservare per essere certi di scegliere e proteggere una buona password……….

14 La sicurezza informatica Direzione Centrale Tecnologia e Processi Pag. 14

15 I rischi e i possibili attacchi Direzione Centrale Tecnologia e Processi Pag. 15 ACCESSO NON AUTORIZZATO: o utilizzo di servizi non autorizzati. GUASTI: hardware e/o guasti di impianti, Disastri naturali. INSERIMENTO DI DATI NON CORRETTI VULNERABILITA delle applicazioni VIRUS, PROGRAMMI SPIA: es WEB TROJAN che una volta installati su un PC senza nemmeno che lutente se ne accorga, registrano e trasmettono le operazioni eseguite o addirittura modificano la configurazione del suo PC PHISHING: prendere allamo o "spillaggio di dati sensibili è una tecnica che ha la finalità di ottenere i dati personali di un soggetto o informazioni riservate quali credenziali SPAMMING: Invio di grandi quantità di messaggi indesiderati quali pubblicità indesiderata SPOOFING: Sono diversi tipi di attacchi spoofing (WEB, SMS, , ecc..). Si tratta di far credere alla vittima che si è qualcosa di diverso acquisendo una reputazione maggiore PHARMING: Si tratta di una tecnica fraudolenta con cui il navigante viene condotto su un sito clone di quello che intendeva raggiungere FURTO DIDENTITA: furto delle credenziali di accesso PROFILAZIONE O TRACCIAMENTO: Si tratta dellattività volta a monitorare i dati personali di un soggetto con la finalità di acquisire le sue abitudini di vita, il lavoro svolto,ecc.

16 Direzione Centrale Tecnologia e Processi Pag. 16 Il PHISHING Il PISHING è una tecnica che ha come obiettivo quello di convincere (Phishing significa prendere allamo) le vittime a fornire modo inconsapevole le proprie credenziali di accesso a sistemi di E-commerce o di E-banking. Esistono diverse modalità di phishing, quella più comune è basata sullutilizzo della . Banche ed istituzioni non fanno mai richiesta dei dati personali a mezzo di una .

17 Altri attacchi Direzione Centrale Tecnologia e Processi Pag. 17 Visitando un sito web con un controllo ActiveX, involontariamente si installa un programma redirector che altera il file HOST del PC o il contenuto della cache DNS o lindirizzo del DNS. Quando lutente si collega ad esempio al sito della sua banca on-line, la sessione viene reindirizzata, senza che lutente se ne accorga o sospetti nulla, al sito web di un hacker. Lutente apre apparentemente legittima, che con messaggi accattivanti invita ad aprire un file allegato o a visitare un sito web. Un programma nascosto nel sito, installa sul PC dellutente un lettore di key-stroke in grado di catturare i caratteri che lutente digita sulla tastiera ed in particolare il nome e la password inseriti al login. PHARMING KEYSTORE LOGGING

18 Indice Pag. 18 Presentazione La sicurezza nellazienda Banca La sicurezza informatica La catena tecnologica della sicurezza La firma digitale

19 La catena della sicurezza Direzione Centrale Tecnologia e Processi Pag. 19

20 Direzione Centrale Tecnologia e Processi Pag. 20 La famiglia dei prodotti di internet banking Banca Marche comprende i seguenti servizi: Inbank Imprese Inbank Famiglie Inbank i mercati a portata di Mouse Inbank Enti Pubblici E-banking

21 La catena della sicurezza Direzione Centrale Tecnologia e Processi Pag. 21 Accesso sicuro Comunicazione sicura Sistemi protetti dalle intrusioni DATI, SW, HW affidabili Identità sicura – Riservatezza – Integrità – Non Ripudio Firma digitale

22 Direzione Centrale Tecnologia e Processi Pag. 22 Accesso sicuro ACCESSO SICURO 1. OTP (per privati) 2. FIRMA DIGITALE (per aziende) 1 Affidarsi ad un solo fattore di autenticazione (una password) può mettere seriamente a rischio la sicurezza: una password digitata sul PC può essere facilmente copiata o sottratta tramite uno degli innumerevoli software di cui gli hacker fanno uso.

23 Direzione Centrale Tecnologia e Processi Pag. 23 Accesso Sicuro - OTP LOTP (One Time Password) è uno strumento estremamente sicuro e di semplice utilizzo, delle dimensioni di un portachiavi, che alla pressione di un pulsante visualizza un numero di 6 cifre da utilizzare come password di conferma delle disposizioni. La sequenza di cifre deriva da una serie di grandezze segrete, ed è in funzione di un orario fornito da un real time clock interno al dispositivo. Ogni 36 secondi viene generata una nuova password completamente diversa e non connessa alla precedente, utilizzabile una sola volta. Dopo aver predisposto una disposizione di pagamento online, ed aver scelto di firmare, basta leggere il numero sul display dellOTP ed inserirlo come richiesto nella procedura dellinternet banking.

24 Direzione Centrale Tecnologia e Processi Pag. 24 Il programma conserva tutte le informazioni personali dentro se stesso in modo protetto. Una volta che la penna USB viene collegata a un qualunque Pc, permette di usare quel computer, anche se poco sicuro, per fare tutto, dall'e- banking alla navigazione in rete all'uso della posta elettronica e di documenti. Ma, una volta che uno esce da Ceedo e scollega la sua penna è come se chiudesse la porta dietro di sè senza lasciare alcuna traccia del suo passaggio. I propri dati rimangono solo sul supporto esterno su cui Ceedo è installato. Il nuovo sistema di autenticazione e firma digitale, che è il sistema oggi più sicuro per gestire servizi online, è composto da un dispositivo hardware USB e da un programma (Ceedo). Il possesso del dispositivo hw con memoria flash e del PIN sono i due elementi alla base del meccanismo di autenticazione forte a due fattori Accesso Sicuro – Firma Digitale

25 Direzione Centrale Tecnologia e Processi Pag. 25 Accesso Sicuro – Firma Digitale Offrire fiducia attraverso i servizi di sicurezza Con lintroduzione della firma digitale e lattivazione del nuovo processo di consegna dei kit, sono previsti i seguenti vantaggi per la clientela: rapidità nellattivazione del servizio (già il giorno successivo alla sottoscrizione dello stesso in filiale); massima sicurezza (la firma digitale rappresenta il massimo in termini di sicurezza oggi presente sul mercato); massima versatilità (il token di firma può essere utilizzato su qualunque computer e non necessita di una postazione definita); possibilità di utilizzare il token di firma anche al di fuori del servizio e-banking, per firmare digitalmente i propri documenti; possibilità di utilizzare il token di firma come un normale dispositivo USB, per salvare file o quantaltro. Infatti il dispositivo contiene unarea di memoria di circa 100 MB a disposizione del cliente.

26 Direzione Centrale Tecnologia e Processi Pag. 26 Comunicazione Sicura COMUNICAZIONE SICURA Cifratura della comunicazione via PKI-SSL (Public Key Infrastructure - Secure Sockets Layer) 2 Secure Sockets Layer (SSL) è un protocollo con cui si realizzano connessioni cifrate, e quindi, protette, su Internet. HTTPS sintatticamente identico allo schema ma con la differenza che tra il protocollo TCP e HTTP si interpone un livello di crittografia/autenticazione.TCPHTTP In pratica viene creato un canale di comunicazione criptato tra il client e il server.client server Questo canale garantisce che solamente il client e il server siano in grado di conoscere il contenuto della comunicazione.

27 Direzione Centrale Tecnologia e Processi Pag. 27 In Internet Explorer verrà visualizzata l'icona di un lucchetto sulla barra dello stato di protezione. La barra dello stato di protezione è situata a destra della barra degli indirizzi. Il certificato utilizzato per crittografare la connessione contiene anche informazioni sull'identità del proprietario del sito Web o dell'organizzazione. Fare clic sul lucchetto per visualizzare l'identità del sito Web.certificatocrittografare Comunicazione Sicura

28 Direzione Centrale Tecnologia e Processi Pag. 28 La crittografia La crittografia è la scienza che si occupa di sviluppare metodi finalizzati a nascondere il contenuto di un messaggio tramite luso di un algoritmo e di una chiave. La crittografia moderna si divide in due branche fondamentali: La crittografia a chiave simmetrica (una sola chiave) La crittografia a chiave asimmetrica (due chiavi)

29 Crittografia Simmetrica Direzione Centrale Tecnologia e Processi Pag. 29 y=f(x) Algoritmo basato su: - Alfabeto in chiaro - Alfabeto cifrante Chiave costituita dalloffset tra i due alfabeti (ad es. 3) Messaggio in chiaro: salve mondo Messaggio crittato:vdoyh prqgr Sicurezza (autenticazione debole dellinterlocutore): paternità e non ripudio non sono possibili Lo scambio della chiave condivisa deve avvenire attraverso un canale sicuro Per n coppie di interlocutori sono necessarie n(n-1)/2 chiavi simmetriche distinte

30 Direzione Centrale Tecnologia e Processi Pag. 30 Crittografia a chiave simmetrica

31 Direzione Centrale Tecnologia e Processi Pag. 31 Crittografia a chiave asimmetrica Viene anche chiamata crittografia a chiave pubblica; ogni soggetto ha due chiavi: Chiave pubblica: da distribuire a tutti i soggetti con i quali si vuole comunicare Chiave privata: da tenere segreta Ciò che viene cifrato con la chiave pubblica può essere decifrato solo con la chiave privata corrispondente (operazione che può essere fatta solo dal proprietario della chiave). Gli algoritmi di questo tipo sono detti a chiave asimmetrica e il più noto di tutti è lalgoritmo RSA. È nel 1978 che questo sistema trova la sua applicazione reale. Infatti sono 3 ricercatori del MIT (Ronald Rivest, Adi Shamir e Leonard Adleman) che hanno saputo implementare tale logica utilizzando particolari proprietà formali dei numeri primi con alcune centinaia di cifre. L'algoritmo da loro inventato viene denominato RSA per via delle iniziali dei loro cognomi.1978MITRonald RivestAdi ShamirLeonard Adleman

32 Direzione Centrale Tecnologia e Processi Pag. 32 Crittografia a chiave asimmetrica

33 Direzione Centrale Tecnologia e Processi Pag. 33 Combinazione di chiavi Viene generata una chiave simmetrica utilizzabile una sola volta (chiave di sessione) Il messaggio viene cifrato con la chiave di sessione La chiave di sessione viene cifrata con la chiave pubblica del destinatario Il protocollo SSL utilizza una combinazione tra crittografia a chiave segreta e crittografia a chiave asimmetrica:

34 Direzione Centrale Tecnologia e Processi Pag. 34 Combinazione di chiavi CLIENT SERVER BANCA

35 Direzione Centrale Tecnologia e Processi Pag. 35 Secure Socket Layer (SSL) Gli utenti dovrebbero accorgersi delle manomissioni della chiave pubblica rilasciata con un certificato digitale, ricevendo un avvertimento da un pop-up circa un problema con il certificato. Quest'ultimo è molto simile a un certificato reale, però non è firmato da una Certification Authority di comprovata fiducia.

36 Direzione Centrale Tecnologia e Processi Pag. 36 Secure Socket Layer (SSL) CLIENT SERVER BANCA

37 Direzione Centrale Tecnologia e Processi Pag. 37 Secure Socket Layer (SSL) Nella crittografia asimmetrica, sussiste il problema di come ottenere la chiave pubblica di un altro utente, in modo fidato. Per risolvere questo problema, si ricorre all'esistenza di una terza parte, una sorta di garante, detta Certification Authority (CA). La CA associa quindi alla chiave pubblica dei singoli individui, l'identità del legittimo proprietario, mediante l'emissione di un Certificato Digitale, che viene firmato utilizzando la propria chiave privata. Chi riceve il certificato firmato può verificare l'autenticità dello stesso (attraverso la chiave pubblica della CA).Certificato Digitale

38 Direzione Centrale Tecnologia e Processi Pag. 38 La catena della sicurezza SISTEMI PROTETTI DALLE INTRUSIONI Proxy, Firewall, IDS, Antivirus, Antispamming, Antipishing 3 Reverse Proxy Il PROXY è uninfrastruttura che si interpone tra il client e il server. Il client non parla direttamente con il server ma passa attraverso il proxy. Firewall Tutto il traffico della rete è soggetto alle regole (policy) definite nel Firewall. La Banca è dotata di una struttura di firewall a due livelli (interno ed esterno) per proteggersi da Internet e da Intranet. Sonde di Intrusion Detection (IDS) Nei punti nevralgici della rete sono state installate delle sonde IDS in grado di rilevare attività sospette sulla rete. Agiscono come poliziotti di quartiere analizzando gli eventi sulla rete comunicando alla Centrale (Security Operation Center) le attività riconducibili ad azioni criminose. Un IDS può essere para- gonato ad un antifurto ed un firewall ad una porta blindatafirewall

39 Direzione Centrale Tecnologia e Processi Pag. 39 Sistemi protetti dalle intrusioni

40 Direzione Centrale Tecnologia e Processi Pag. 40 La catena della sicurezza SERVER FARM SICURA (DATI, SW, HW) VIRTUALIZZAZIONE, DISASTER RECOVERY, BUSINESS CONTINUITY 4 Attraverso la virtualizzazione dei server è possibile garantire massima affidabilità dei sistemi e tempi rapidi di ripartenza in caso di guasto. La virtualizzazione dei server favorisce la standardizzazione e semplifica la gestione delle risorse.

41 Direzione Centrale Tecnologia e Processi Pag. 41 La catena della sicurezza IDENTITA SICURA FIRMA DIGITALE 4 1 Autenticazione: identificazione univoca dell'autore di una transazione 2 Riservatezza: garanzia che le informazioni non siano accessibili da parte di entità non autorizzate 3 Integrità: garanzia che le informazioni non siano alterabili da parte di entità non autorizzate 4 Non ripudio: prevenzione del rischio che una delle controparti neghi di aver spedito e ricevuto le informazioni scambiate


Scaricare ppt "La sicurezza informatica come creazione di valore: non più solo fattore di costo ma driver per la qualità e lo sviluppo S ICUREZZA E FIRMA DIGITALE Direzione."

Presentazioni simili


Annunci Google