La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

1 La sicurezza Corso di Perfezionamento in e-learning Gestione e Tutoring – ICT per le-learning.

Presentazioni simili


Presentazione sul tema: "1 La sicurezza Corso di Perfezionamento in e-learning Gestione e Tutoring – ICT per le-learning."— Transcript della presentazione:

1 1 La sicurezza Corso di Perfezionamento in e-learning Gestione e Tutoring – ICT per le-learning

2 2 Cosa accade sulla rete? Social Network (Facebook, Linkedin,..) Social Network (Facebook, Linkedin,..) Blog (Wordpress,..) e microblog (Twitter,..) Blog (Wordpress,..) e microblog (Twitter,..) Social bookmarking (Delicious, Digg..) Social bookmarking (Delicious, Digg..) Chat (ICQ, MSN Messenger, …) Chat (ICQ, MSN Messenger, …) File sharing (Gnutella, Bittorrent, Napster) File sharing (Gnutella, Bittorrent, Napster) Condivisione di documenti (Google,..), video (Youtube,..), biblioteche (Anubi,..), presentazioni (Slideshare,..) Condivisione di documenti (Google,..), video (Youtube,..), biblioteche (Anubi,..), presentazioni (Slideshare,..) …… ……

3 3 Un repository condiviso

4 4 Chi può accedere?

5 5 Un Social Network

6 6 E la Privacy ?

7 7 Un altro Social Network

8 8 Ma i furti di identità?

9 9 attenti ai link!!

10 10 Io non uso il web 2.0! Ma ho un servizio ADSL flat e la sera lascio il computer collegato ad Internet Ma ho un servizio ADSL flat e la sera lascio il computer collegato ad Internet una mattina, allalba, la Polizia Postale mi bussa e sequestra il computer per aver scaricato materiale illegale una mattina, allalba, la Polizia Postale mi bussa e sequestra il computer per aver scaricato materiale illegale

11 11 Io chiudo il Pc la sera! Ma vivo in una zona dove la linea elettrica ha balzi di tensione. Ma vivo in una zona dove la linea elettrica ha balzi di tensione. un giorno non leggo più lhard disk dove conservo tutto il mio lavoro e non ho un salvataggio recente dei dati un giorno non leggo più lhard disk dove conservo tutto il mio lavoro e non ho un salvataggio recente dei dati

12 12 Io salvo i dati e proteggo il PC! Ma tra antivirus, antispyware, antispam e firewall il mio portatile si è troppo rallentato e così ho disattivato diverse funzioni. Ma tra antivirus, antispyware, antispam e firewall il mio portatile si è troppo rallentato e così ho disattivato diverse funzioni. finché non riesco più ad accedere ad Internet e il computer inizia a riavviarsi lanciando strani messaggi di errore finché non riesco più ad accedere ad Internet e il computer inizia a riavviarsi lanciando strani messaggi di errore

13 13 Io uso il PC della scuola! Ho preparato i compiti in classe a scuola e ne ho lasciata una copia sul file server. Ho preparato i compiti in classe a scuola e ne ho lasciata una copia sul file server. a quella verifica prendono tutti ottimi voti !! a quella verifica prendono tutti ottimi voti !!

14 14 E voi?

15 15 RIVEDIAMO LE RETI !! PC domestico Server DNS (Domain Name System) LAN - aziendale WAN Server WEB Server router Server WEB, Firewall / NAT (Network Address Translation) Router multiprotocollo Modem/Router DMZ=DeMilitaryZone Proxy File Server DHCP Server Server DHCP Dynamic Host Configuration Protocol IP statico

16 16 E distinguiamo i casi visti in Sicurezza logica Sicurezza logica –Protezione da pericoli e violazioni software, sia interni che esterni Sicurezza fisica Sicurezza fisica –Protezione da accessi non autorizzati, incidenti e rotture, eventi calamitosi

17 17 Pc domestico Ma un computer completamente isolato (standalone) è scevro da rischi? Ma un computer completamente isolato (standalone) è scevro da rischi?

18 18 Pc in WAN E può esserlo un computer connesso a Internet, magari in WI-FI? E può esserlo un computer connesso a Internet, magari in WI-FI?

19 19 Chi cè dallaltra parte? PC domestico Server DNS (Domain Name System) LAN - aziendale WAN Server WEB Server router Server WEB, Firewall / NAT (Network Address Translation) Router multiprotocollo Modem/Router DMZ=DeMilitaryZone Proxy File Server DHCP Server Server DHCP Dynamic Host Configuration Protocol IP statico

20 20 Pc in LAN E un computer connesso ad una LAN? E un computer connesso ad una LAN?

21 21 Chi è collegato? PC domestico Server DNS (Domain Name System) LAN - aziendale WAN Server WEB Server router Server WEB, Firewall / NAT (Network Address Translation) Router multiprotocollo Modem/Router DMZ=DeMilitaryZone Proxy File Server DHCP Server Server DHCP Dynamic Host Configuration Protocol IP statico

22 22 Reti e sicurezza logica La rete ha come fine la comunicazione La rete ha come fine la comunicazione Posso solo pensare ad una riduzione dei rischi con: Posso solo pensare ad una riduzione dei rischi con: –Adozione di adeguati accorgimenti operativi –Adozione di adeguate tecnologie

23 23 Sicurezza vs utilità E necessario attuare scelte mediate tra sicurezza e utilità: E necessario attuare scelte mediate tra sicurezza e utilità: –massima sicurezza/computer spento –massima utilità/computer che condivide e accede alle risorse delle rete La sicurezza è un compromesso tra gli amministratori di rete e gli utenti La sicurezza è un compromesso tra gli amministratori di rete e gli utenti

24 24 Rischi - Denial of Service Azione che blocca i servizi di un server Azione che blocca i servizi di un server –SYN Flooding: invio di numerosi messaggi di sincronizzazione da parte di un client inesistente –Smurf Attack: Invio di un ping a numerosi server presentandosi con lIP (numero identificativo) del server oggetto dellattacco –…. Sfrutta i bugs (bachi, errori) del sistema operativo Sfrutta i bugs (bachi, errori) del sistema operativo

25 25 Rischi - Malware Sono programmi, immagini, , pagine html, apparentemente utili che nascondono codice minaccioso Sono programmi, immagini, , pagine html, apparentemente utili che nascondono codice minaccioso Possono: Possono: –danneggiare il contenuto del computer –aprire una porta di servizio (backdoor) –spiare le operazioni dellutente (password) –inviare informazioni ad altri computer –…

26 26 Rischi - Network Sniffer Intercettano tutti i pacchetti sulla rete Intercettano tutti i pacchetti sulla rete Una password inviata in chiaro (non cifrata) sulla rete può essere intercettata Una password inviata in chiaro (non cifrata) sulla rete può essere intercettata

27 27 Rischi - Social Engineering Consiste nellottenere informazioni direttamente dagli utenti Consiste nellottenere informazioni direttamente dagli utenti Larte dellinganno di K.D. Mitnick e W. Simon – Feltrinelli Larte dellinganno di K.D. Mitnick e W. Simon – Feltrinelli (nelle foto Mitnick il giorno dellarresto e oggi)

28 28 Accorgimenti operativi Mantenere sempre aggiornati il sistema operativo, i software di base e lantivirus Mantenere sempre aggiornati il sistema operativo, i software di base e lantivirus Installare solo software sicuro Installare solo software sicuro Usare programmi (network scanner), che scandiscono la rete e cercano debolezze conosciute Usare programmi (network scanner), che scandiscono la rete e cercano debolezze conosciute

29 29 Accorgimenti operativi Accertare lidentità dellutente tramite username e password Accertare lidentità dellutente tramite username e password Utilizzare le seguenti regole minime per la password: Utilizzare le seguenti regole minime per la password: –Diversa dallo username –Da modificare periodicamente (scadenza) –Costituita da N caratteri alfanumerici (più di 8) –Non ripetibile (storico)

30 30 Accorgimenti operativi Per sistemi critici, usare automatismi di modifica costante della password : Per sistemi critici, usare automatismi di modifica costante della password : –Lhost cambia costantemente la password dellutente –Per autenticarsi lutente usa un token (smart card o periferica USB), che aggiorna la password parallelamente allhost.

31 31 Accorgimenti operativi Cosa non si deve fare: Cosa non si deve fare: –Non rendere nota la password –Non aprire accessi ad utenti esterni –Non utilizzare password troppo comuni –Non aprire file allegati a sospette –Non modificare le impostazioni di rete del computer –Non installare software non autorizzati

32 32 Tecnologie da utilizzare Firewall Firewall Proxy Proxy Router NAT Router NAT VPN VPN

33 33 ARCHITETTURA RETI PC domestico Server DNS (Domain Name System) LAN - aziendale WAN Server WEB Server router Server WEB, Firewall / NAT (Network Address Translation) Router multiprotocollo Modem/Router DMZ=DeMilitaryZone Proxy File Server DHCP Server Server DHCP Dynamic Host Configuration Protocol IP statico

34 34 Firewall (1) Software o Hardware dedicato posto nellunico punto di accesso alla rete WAN Software o Hardware dedicato posto nellunico punto di accesso alla rete WAN Analizza e blocca tutti i pacchetti che transitano tra la rete interna e lesterno, esclusa una lista di eccezioni Analizza e blocca tutti i pacchetti che transitano tra la rete interna e lesterno, esclusa una lista di eccezioni

35 35 Firewall (2) Compromesso tra sicurezza e convenienza: Compromesso tra sicurezza e convenienza: –Arrestando tutto il traffico in entrata e uscita si rende la rete sicura, ma del tutto inutilizzabile –Consentendo tutto il traffico in entrata e uscita si rende la rete insicura, ma del tutto utilizzabile

36 36 Firewall (3) Il compromesso è: Il compromesso è: –Configurare il firewall in modo che blocchi tutto il traffico –Aprire le porte gradualmente, per consentire solo il traffico necessario (Es. aprire a qualsiasi richiesta interna la porta 80 significa permettere a tutti gli utenti della rete di accedere al Web, ma non a giochi che richiedono altre porte applicative)

37 37 Firewall (4) Il firewall impedisce traffico di rete non autorizzato Il firewall impedisce traffico di rete non autorizzato Può quindi prevenire unincursione dovuta a un trojan horse su un computer della rete Può quindi prevenire unincursione dovuta a un trojan horse su un computer della rete Non è infallibile: Non è infallibile: –Alcuni trojan usano le porte amichevoli –Può essere aggirato da altri dispositivi (modem nella rete che si collegano senza passare per il firewall)

38 38 Reti DMZ Il firewall deve essere lunico punto di accesso tra la rete interna e la rete pubblica Il firewall deve essere lunico punto di accesso tra la rete interna e la rete pubblica Una terza rete, la zona demilitarizzata (DMZ), si utilizza per disporre i server che offrono servizi alla rete pubblica ( web server, mail server, ftp server) Una terza rete, la zona demilitarizzata (DMZ), si utilizza per disporre i server che offrono servizi alla rete pubblica ( web server, mail server, ftp server) In questo caso il firewall deve avere tre adattatori di rete In questo caso il firewall deve avere tre adattatori di rete

39 39 Proxy Firewall Non permette il traffico diretto tra le reti Non permette il traffico diretto tra le reti Accetta il traffico dallapplicazione di un client interno e predispone un collegamento separato con la rete pubblica Accetta il traffico dallapplicazione di un client interno e predispone un collegamento separato con la rete pubblica Isola il client della rete interna dal server esterni Isola il client della rete interna dal server esterni Rifiuta collegamenti non espressamente configurati Rifiuta collegamenti non espressamente configurati

40 40 Proxy Firewall Vantaggi: Vantaggi: –Effettua un controllo sui collegamenti, autorizzandoli o rifiutandoli –Restringe le richieste di uscita a determinati servizi (solo richieste HTTP e non FTP) limitando il rischio di attacchi –Mantenendo la registrazione dei collegamenti, è utile per tracciare attacchi o richieste di accesso non autorizzate

41 41 Proxy Firewall Svantaggi: Svantaggi: –Rende necessaria una specifica configurazione delle applicazioni (es. browser) sui client, in funzione del proxy utilizzato –Da solo non è sufficiente ad assicurare la protezione della rete

42 42 Router NAT Network Address Translation Network Address Translation Traduce indirizzi IP multipli della rete interna in un unico indirizzo IP pubblico Traduce indirizzi IP multipli della rete interna in un unico indirizzo IP pubblico Un collegamento in entrata, non precedentemente richiesto da un client, viene trattato con regole definite o scartato Un collegamento in entrata, non precedentemente richiesto da un client, viene trattato con regole definite o scartato

43 43 VPN Permette la connessione sicura di un client remoto a una rete LAN e luso dei servizi di rete in modo trasparente Permette la connessione sicura di un client remoto a una rete LAN e luso dei servizi di rete in modo trasparente –Deve essere affiancata da un sistema di autenticazione Permette di connettere due reti LAN attraverso la rete pubblica Permette di connettere due reti LAN attraverso la rete pubblica –Quando il firewall locale riceve dati per una Lan remota, cripta i dati e linvia al firewall remoto, che li decripta e linvia a destinazione

44 44

45 45 Sicurezza fisica - Misure preventive Controllo accessi (badge o rilevatori biometrici e log) e blindatura porte Controllo accessi (badge o rilevatori biometrici e log) e blindatura porte Allarmi anti-intrusione e anti-incendio Allarmi anti-intrusione e anti-incendio Gruppi di continuità (UPS) e condizionatori ridondati Gruppi di continuità (UPS) e condizionatori ridondati Linee elettriche dedicate e generatori Linee elettriche dedicate e generatori Apparati e cavi di rete protetti e ridondati Apparati e cavi di rete protetti e ridondati

46 46 Sicurezza fisica - Misure preventive Ridondanza delle funzionalità dei server e degli apparati di rete Ridondanza delle funzionalità dei server e degli apparati di rete Backup centralizzato dei dati strategici, localizzato in sito diverso e protetto con le stesse misure Backup centralizzato dei dati strategici, localizzato in sito diverso e protetto con le stesse misure Conservazione di doppie copie dei backup in armadi ignifughi Conservazione di doppie copie dei backup in armadi ignifughi Definizione delle regole di Disaster recovery Definizione delle regole di Disaster recovery

47 47 Codice in materia di protezione dei dati personali D.Lgs. 196/03

48 48 D.Lgs. 196/03 - Principi Generali Chiunque ha diritto alla protezione dei dati personali che lo riguardano. Le notizie concernenti lo svolgimento delle prestazioni di chiunque sia addetto ad una funzione pubblica e la relativa valutazione non sono oggetto di protezione della riservatezza personale (art.1) Chiunque ha diritto alla protezione dei dati personali che lo riguardano. Le notizie concernenti lo svolgimento delle prestazioni di chiunque sia addetto ad una funzione pubblica e la relativa valutazione non sono oggetto di protezione della riservatezza personale (art.1) Il.. testo unico … garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali. (art. 2 c.1) Il.. testo unico … garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali. (art. 2 c.1)

49 49 D.Lgs. 196/03 - Dati Personali I dati personali riguardano qualunque informazione relativa a persona fisica o giuridica che ne permettano lidentificazione I dati personali riguardano qualunque informazione relativa a persona fisica o giuridica che ne permettano lidentificazione Es: nome, cognome, ragione sociale, codice fiscale, indirizzo, foto, impronta digitale Es: nome, cognome, ragione sociale, codice fiscale, indirizzo, foto, impronta digitale

50 50 D.Lgs. 196/03 - Dati Sensibili e Giudiziari Sono dati sensibili quelli idonei a rivelare lorigine razziale ed etnica, le convinzioni religiose, filosofiche, le opinioni politiche, … lo stato di salute e la vita sessuale Sono dati sensibili quelli idonei a rivelare lorigine razziale ed etnica, le convinzioni religiose, filosofiche, le opinioni politiche, … lo stato di salute e la vita sessuale Sono dati giudiziari quelli idonei a rivelare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative, …, la qualità di imputato o di indagato Sono dati giudiziari quelli idonei a rivelare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative, …, la qualità di imputato o di indagato

51 51 D.Lgs. 196/03 Titolo V Capo I Misure di sicurezza Art.31 : i dati personali sono custoditi e controllati in modo da ridurre al minimo i rischi di distruzione o perdita, di accesso non autorizzato o di trattamento non consentito o non conforme Art.31 : i dati personali sono custoditi e controllati in modo da ridurre al minimo i rischi di distruzione o perdita, di accesso non autorizzato o di trattamento non consentito o non conforme Art.33 : i titolari del trattamento sono tenuti ad adottare le misure minime di protezione dei dati personali Art.33 : i titolari del trattamento sono tenuti ad adottare le misure minime di protezione dei dati personali

52 52 D.Lgs. 196/03 Titolo V Capo I Misure di sicurezza Art. 34 : le misure minime da adottare per consentire il trattamento dei dati personali con strumenti elettronici sono : Art. 34 : le misure minime da adottare per consentire il trattamento dei dati personali con strumenti elettronici sono : –Autenticazione informatica –Adozione procedure di gestione delle credenziali di autenticazione –Utilizzo di un sistema di autorizzazione –Aggiornamento periodico dellindividuazione dellambito del trattamento consentito ai singoli incaricati e addetti –Protezione rispetto a trattamenti illeciti di dati e accessi non consentiti –Adozione di procedure per la custodia di copie di sicurezza e di ripristino dei dati e dei sistemi –Tenuta di un aggiornato Documento Programmatico sulla Sicurezza –Adozione di tecniche di cifratura o codici identificativi per trattamento di dati sensibili da parte di organismi sanitari

53 53 D.Lgs. 196/03 Titolo V Capo I Misure di sicurezza Art.35 : le misure minime da adottare per consentire il trattamento dei dati personali senza strumenti elettronici sono: Art.35 : le misure minime da adottare per consentire il trattamento dei dati personali senza strumenti elettronici sono: –Aggiornamento periodico dellindividuazione dellambito del trattamento consentito ai singoli incaricati –Previsione di procedure per unidonea custodia di atti e documenti affidati agli incaricati –Previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata allidentificazione degli incaricati

54 54 D.Lgs. 196/03 - Sanzioni Lart.162 c.2 bis prevede che in caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 è applicata la sanzione amministrativa di una somma da ventimila euro a centoventimila euro. Lart.162 c.2 bis prevede che in caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 è applicata la sanzione amministrativa di una somma da ventimila euro a centoventimila euro. Lart.169 prevede che chiunque, essendovi tenuto, omette di adottare le misure minime, è punito con larresto fino a due anni o con lammenda amministrativa e lobbligo di adeguamento del proprio sistema entro 6 mesi. Lart.169 prevede che chiunque, essendovi tenuto, omette di adottare le misure minime, è punito con larresto fino a due anni o con lammenda amministrativa e lobbligo di adeguamento del proprio sistema entro 6 mesi.

55 55 Passiamo ad altro … Passiamo ad altro …


Scaricare ppt "1 La sicurezza Corso di Perfezionamento in e-learning Gestione e Tutoring – ICT per le-learning."

Presentazioni simili


Annunci Google