La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Sicurezza: opportunità di crescita e salvaguardia del valore Nozioni s ulla Sicurezza nel Mondo dellInformazione condivisa.

Presentazioni simili


Presentazione sul tema: "Sicurezza: opportunità di crescita e salvaguardia del valore Nozioni s ulla Sicurezza nel Mondo dellInformazione condivisa."— Transcript della presentazione:

1 Sicurezza: opportunità di crescita e salvaguardia del valore Nozioni s ulla Sicurezza nel Mondo dellInformazione condivisa

2 Lera di Internet Anche per la Pubblica Amministrazione linformazione è la risorsa più importanteAnche per la Pubblica Amministrazione linformazione è la risorsa più importante Industry Society Il prodotto è un oggetto Internet Society Il prodotto è uninformazione DatoInformazione Conoscenza Elaborazione

3 La società dellInformazione Uninformazione statica non è competitiva a livello di business (informazione monolitica) Uninformazione statica non è competitiva a livello di business (informazione monolitica) Linformazione condivisa produce nuovi livelli di informazione nuovo business Linformazione condivisa produce nuovi livelli di informazione nuovo business Se uninformazione statica viene corrotta, il danno non si propaga Se uninformazione statica viene corrotta, il danno non si propaga Se uninformazione condivisa viene corrotta, anche il danno è condiviso business attuali e futuri corrotti Se uninformazione condivisa viene corrotta, anche il danno è condiviso business attuali e futuri corrotti La condivisione dellinformazione implica la necessità della sicurezza

4 ma su Internet …. aumenta il numero degli attacchiaumenta il numero degli attacchi aumenta la loro complessità e diminuisce lesperienza necessaria per realizzarli.aumenta la loro complessità e diminuisce lesperienza necessaria per realizzarli. timori per la privacytimori per la privacy lutente non si sente protetto e garantitolutente non si sente protetto e garantito Solo la sicurezza può generare fiducia… … la sicurezza è ormai una delle sfide più importanti con cui deve misurarsi anche la PA

5 I dati italiani di OCI 2001 Fonte: Sicurforum Italia 2001

6 Quale tipo di attacco? Fonte: Sicurforum Italia 2001

7 Perché mi attaccano? Fonte: Sicurforum Italia 2001

8 Limmagine è un bene prezioso! Sono frequenti le notizie di violazioni ai server di grandi aziende sia private sia pubbliche: tutti i portali sono soggetti a questi rischi. I problemi vanno dai danni provocati dalla illecita divulgazione di dati personali allinterruzione di servizi importanti per gli utenti. I danni per la PA potrebbero avere conseguenze importanti anche a livello di immagine e potrebbero minare la fiducia dei cittadini/utenti.

9 E i danni? Fonte: Sicurforum Italia 2001

10 Quanto tempo per recuperare tutto? Fonte: Sicurforum Italia 2001

11 ho paura di …. tipologie di attacchi temuti (%) Fonte: Sicurforum Italia 2001

12 ma io pensavo che …. la percezione la realtà

13 La percezione dei rischi Il pericolo è che alcuni utenti, allarmati dai numerosi rapporti sulle minacce alla sicurezza, rinuncino a sfruttare le potenzialità di comunicazione offerte dalla rete. Altri invece, potrebbero sottovalutare i rischi e potrebbero agire in modo imprudente: ad esempio utilizzando la posta elettronica senza pensare che: i messaggi viaggiano "in chiaro, possono essere letti usando semplici tecniche di sniffing chiunque può spedire messaggi a nome di un altro i messaggi arrivano "in differita": normalmente impiegano pochi minuti per arrivare a destinazione, ma in circostanze particolari potrebbero impiegare anche alcuni giorni o non arrivare affatto esistono servizi di mail forwarding che permettono la creazione di caselle postali fittizie oppure utilizzando le password: chi ne utilizza più di una, per laccesso al proprio PC, per il proprio account Internet, per la posta elettronica, per i vari servizi a cui si accede attraverso in rete e così via... spesso incorre in errori molto comuni come: usare la stessa password per tutti i servizi usare una password semplice come il nome o la data di nascita di un familiare se le password sono diverse è difficile ricordarle tutte e si può cadere nella tentazione di scriverle in posti accessibili da altri.

14 Linnovazione della P.A.: il decalogo Stanca 1.Disponibilità on-line di tutti i servizi prioritari 1.Disponibilità on-line di tutti i servizi prioritari 2.Distribuzione di 30 mil. tra CIE e CNS 3.Diffusione di 1 mil. di firme digitali entro il 2003 Servizi on-line a cittadini e imprese: Efficienza Valorizzazione delle risorse umane Trasparenza 4.Riduzione del 50% della spesa di beni e servizi (e- procurement) 5.Comunicazioni interne della PA via 6.Gestione on-line di tutti gli impegni e mandati di pagamento 7.Alfabetizzazione certificata di tutti i dipendenti pubblici eleggibili 8.Formazione erogata per un terzo via e-lerning 9Accessibilità on-line di due terzi degli uffici della PA saranno perché i cittadini possano seguire liter delle loro pratiche Qualità 10 Sistema di valutazione della customer satisfaction per tutti gli uffici che erogano servizi

15 Linnovazione nella PA: gli obiettivi Stanca Obiettivo primario per la PA è: garantire a tutti laccesso telematico alle informazioni e ai servizi erogati rilevazioni, modifiche o cancellazioni non autorizzate delle informazioni conseguenze sullaffidabilità delle informazioni e dei servizi Ma lapertura del patrimonio informativo verso reti aperte comporta una serie di nuovi rischi!

16 La direttiva 16 gen 2002 Sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni Ministero per lInnovazione e le Tecnologie Base minima di sicurezza

17 Laspetto normativo Ladozione delle contromisure non è più lasciata alla discrezione delle singole Amministrazioni ma in alcuni casi è un obbligo di legge. Negli ultimi anni sono state emanate una serie di leggi che obbligano le Amministrazioni al rispetto di alcune regole e alla messa in opera di una serie di contromisure atte a prevenire o minimizzare i rischi di incidenti informatici. Laspetto normativo è fondamentale e non può essere trascurato! In generale il legislatore è intervenuto in tre grandi tre aree: La tutela della privacy del cittadino Lindividuazione giuridica e la persecuzione della criminalità informatica Lemissione di norme atte a conferire dignità legale ai documenti ed in generale alle procedure informatiche

18 I piani di e-government, si pongono 2 obiettivi: semplificare i procedimenti amministrativi e burocratici fornire servizi ai cittadini. Tali obiettivi sono difficilmente raggiungibili se non si può confidare su adeguati livelli di sicurezza dei sistemi informativi per: La sicurezza al servizio della PA Sicurezza Fiducia generare fiducia nell'utilizzo degli strumenti informatici da parte dell'utente finale. salvaguardare la disponibilità e l'integrità dei dati detenuti dalle amministrazioni pubbliche

19 Bisogna cambiare la visione della sicurezza Da costo discrezionale che si deve in qualche modo sostenere, a fattore critico che: Diversa percezione Diverso approccio Da acquisto di prodotti per risolvere problemi specifici, a soluzioni integrate (HW, SW e servizi) basate su unarchitettura globale e gestite attraverso un processo continuo abilitaproteggegarantisce confidenza nelluso dellIT salvaguardia della privacy e delle informazioni business continuity La sicurezza è un processo e non un prodotto (Bruce Schneider)

20 Lapproccio deve essere globale Lapproccio deve essere globale SICUREZZA PRESTAZIONI USABILITA Budget di spesa per la sicurezzaBudget di spesa per la sicurezza Scopo dellistituzioneScopo dellistituzione Cultura dellistituzioneCultura dellistituzione è necessario tener conto di: Sono necessari 3 elementi opportunamente combinati: Bisogna trovare il giusto compromesso ٭Tecnologie best of breed ٭Security Policy ٭Educazione degli utenti e-banking Portali PA

21 attenzione allanello debole! La sicurezza di un sistema è legata alla sicurezza delle singole componenti. Politiche di sicurezza Infrastruttur e di rete di rete Applicazioni Procedure di disaster recovery Il livello di sicurezza di un sistema è determinato dal livello di sicurezza della componente meno protetta! Organizzazione

22 è un processo ciclico! Aspetti tecnici Aspetti economici Aspetti organizzativi Aspetti legali Aspetti strategici Audit e Monitoraggio

23 ma io non sapevo che …. Oltre alla formazione tecnica tradizionale... Tutte le persone devono essere consapevoli delle politiche di sicurezza adottate.Tutte le persone devono essere consapevoli delle politiche di sicurezza adottate. Ognuno deve essere consapevole delle sue responsabilità e del potenziale danno causato da comportamenti a rischio.Ognuno deve essere consapevole delle sue responsabilità e del potenziale danno causato da comportamenti a rischio. Formazione e Informazione

24 Chi fa che cosa? acquisire tecnologie dell'informazione e della comunicazione che soddisfino i requisiti di sicurezzaacquisire tecnologie dell'informazione e della comunicazione che soddisfino i requisiti di sicurezza integrare la struttura Organizzativa esistente con figure dedicate (Security Manager) in modo specifico alla sicurezza, definendone ruoli e responsabilitàintegrare la struttura Organizzativa esistente con figure dedicate (Security Manager) in modo specifico alla sicurezza, definendone ruoli e responsabilità sviluppare al loro interno una cultura della sicurezzasviluppare al loro interno una cultura della sicurezza le pubbliche amministrazioni dovranno: ma non basta ! è necessario inoltre:

25 La sicurezza è il fattore abilitante La sicurezza è il fattore abilitante sia per tutte le attività volte a migliorare lefficienza operativa interna delle PA (piani di e- government) Uso della posta elettronica per le comunicazioni interne Digitalizzazione dei flussi di documentazione interna Mandati di pagamento elettronici Firma digitale Protocollo Informatico sia per le applicazioni dirette ad offrire ai cittadini ed alle imprese servizi fruibili per via telematica. Carta dIdentità Elettronica Carta Nazionale dei Servizi Uffici digitali per il cittadino

26 Servono delle soluzioni applicative... Firma digitale forte e debole Firma digitale forte e debole Autenticazione e riservatezza dei documenti informatici Autenticazione e riservatezza dei documenti informatici EasySign

27 … a supporto dei servizi TrustWeb Protezione dei servizi erogati su Internet Protezione dei servizi erogati su Internet Transazioni elettroniche sicure Transazioni elettroniche sicure Invio ordine

28 Sicurezza non è chiusura … Non si può pensare di chiudere tutte le comunicazioni con lesterno Il fattore umano è centrale! Il sistema di contromisure ideale combina protezione, capacità di rilevazione e reazione

29 Lapproccio alla sicurezza di Gfi OiS Consulenza e Analisi Formazione Integrazione e Soluzioni 3A Audit e Monitoraggio Managed Security Services

30 Grazie per lattenzione! Daniela Giovanardi Direttore Marketing


Scaricare ppt "Sicurezza: opportunità di crescita e salvaguardia del valore Nozioni s ulla Sicurezza nel Mondo dellInformazione condivisa."

Presentazioni simili


Annunci Google