Aspetti di natura informatica

Slides:



Advertisements
Presentazioni simili
ACCORDO STATO REGIONI DEL 21 DICEMBRE 2011 In vigore dal GENNAIO 2012.
Advertisements

Associazione Industriale Bresciana 24 giugno 2004 PRIVACY ADEMPIMENTI IN MATERIA DI SICUREZZA E DPS Criteri per la redazione Associazione Industriale Bresciana.
OBIETTIVI di REVISIONE Bettina Campedelli - Revisione aziendale e sistemi di controllo 1 per poter esprimere il giudizio di revisione il revisore scompone.
Introduzione alla Sicurezza Informatica ISIS ”C. Facchinetti” - Castellanza ( VA) 7 Maggio 2012.
LinuxDay 2009, Trento Navigare e usare la posta elettronica con consapevolezza Gianluca Ciccarelli, LinuxTrent
ROMA 23 GIUGNO 2016 SPAZIO CONFRONTI L’esperienza di Roma Capitale e della Città metropolitana: un approccio integrato all’uso di dati statistici e amministrativi.
1 L’insieme delle regole, delle procedure, delle strutture organizzative volte a consentire - attraverso un adeguato processo di identificazione, misurazione,
Informativa sull’adempimento degli obblighi di e-cohesion di cui all’art. 122, comma 3 del reg. (UE) 1303/2013 Programma Competitività regionale 2007/13.
Bortolin Giovanni, Ortolan Moreno, Valeri Luca.  servizio Internet fruibile tramite Web o applicazioni mobili  facilita la gestione dei rapporti sociali.
Gestione delle configurazioni Configuration management (CM) E` un processo che controlla le modifiche fatte a un sistema e gestisce le diverse versioni.
La Business Continuity dall’esperienza Unicredit alla P.A.
Umane RISORSE PROCEDURE DATI INFORMAZIONI RACCOLTA SELEZIONE ELABORAZIONE COMUNICAZIONE DISTRIBUZIONE ARCHIVIAZIONE Materiali.
Medicina sociale … Prof. Giovanna Tassoni Istituto di Medicina legale – Università degli Studi di Macerata.
Aggiornamento del 29 Settembre 2011
Internazionalizzazione – Ricerca – Innovazione - Sviluppo
Formazione DS e DSGA Ambito 3 Rendicontazione sociale, Open Data Amministrazione digitale Sicurezza dei dati e Privacy Accessibilità del sito e dei documenti.
Assemblea dei Presidenti
Nuove Tecnologie e disabilità
Security & Privacy Integrità Riservatezza Disponibilità La Normativa
GESTIONE DEL PROCESSO DI VALUTAZIONE DEI RISCHI E DI INDIVIDUAZIONE DELLE MISURE DI PREVENZIONE
Corrado Giustozzi Agenzia per l’Italia Digitale – CERT-PA
GPOI - L’organizzazione aziendale -
Utilizzo e valorizzazione della flora spontanea per i ripristini ambientali e lo sviluppo sostenibile nella regione mediterranea Cagliari, 06/11/2015 Cognome: Nome:
Sicurezza e protezione
E. Bovo – Servizio Affari Legali INFN
Valutazione del servizio scolastico Caratteristiche dell'informazione
CORSO DI FORMAZIONE PER PREPOSTI [ex D.Lgs ]
COMUNICAZIONE ISTITUZIONALE l’Ufficio Relazioni con il Pubblico
CRITTOGRAFIA Per crittografia si intende la protezione delle informazioni mediante l'utilizzo di codici e cifre. La crittografia è un componente fondamentale.
I medici e la legge forme di tutela per la responsabilita’ medica
Commissione Calcolo e Reti
Tutela della privacy: la trasmissione dei Dati personali nella gestione dei sistemi complessi in medicina Convegno ITC- Privacy e Tutela dei dati in sanità.
Aspetti Deontologici Art. 76 R. Chersevani.
Basi di Dati: Introduzione
GIORNATA DELLA TRASPARENZA 2016
Sono stati sperimentati software in grado di rilevare se sono stati compromessi determinati componenti di un sistema operativo.
Consulenza legale, fiscale e strategica alle imprese
Gruppo nazionale difesa integrata (GDI)
Aggiornato al D. Lgs. n. 185 del 2016
IL NUOVO SPAZIO WEB DELLA PROVINCIA CON DATI E INFORMAZIONI SULL’ORGANIZZAZIONE E IL PERSONALE DELLA PROVINCIA I dati sul personale sono stati estratti.
Comitato Paritetico Strategia Nazionale Biodiversità
Il nuovo Regolamento Generale UE 2016/679
Sistemi ERP (Enterprise Resource Planning)
ISTITUTO NAZIONALE DI FISICA NUCLEARE Sezione di Napoli
Database
Protezione delle informazioni e protezione durante gli spostamenti
IL DISASTER RECOVERY Ing. Massimiliano Zuffi
IL NUOVO REGOLAMENTO PRIVACY: ADEMPIMENTI PER GLI AVVOCATI
Privacy e tutela dei dati personali: il Regolamento Europeo 679/2016
Il protocollo elettronico (e altri servizi informatici)
REGOLAMENTO PER L’ACCESSO, L’UTILIZZO E LA PROTEZIONE DELLE RISORSE INFORMATICHE Centro Servizi Informatici Università degli Studi di Bari Aldo Moro.
GDPR – IL COME R.EU 2016/679 Andrea Chiozzi, Warrant Group
REGOLAMENTO PER LA SICUREZZA DEI SERVIZI ICT DELL’UNIVERSITA’ DEGLI STUDI DI BARI ALDO MORO Centro Servizi Informatici Università degli Studi di Bari.
Il Codice etico nei modelli ex D.Lgs. n. 231/2001
CITTADINANZA DIGITALE
LE PROCEDURE DEL PERSONALE AL FRONT OFFICE
REGOLAMENTO PER L’ACCESSO E L’UTILIZZO DEL SERVIZIO DI POSTA ELETTRONICA DI ATENEO DELL’UNIVERSITA’ DI BARI Centro Servizi Informatici Università degli.
CAMBIAMENTI DI PRINCIPI CONTABILI OIC 26
Leggi, teoria e pratica.
BROCHURE COMPLIANCE.
Fonti Legge 30 novembre 2017, n. 179 (Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza.
Piano di formazione e aggiornamento docenti
IT SECURITY Controllo di accesso
Aspetti normativi del D.Lvo n. 196 del 2003
LA SECONDA PROVA NEL NUOVO ESAME DI STATO ISTITUTI TECNICI
Giorgio Giacinto (Università di Cagliari) Fabio Cocurullo (Loanardo)
L’immagine ed il contratto
Il protocollo informatico e il Manuale di Gestione
Misure Minime per la Pubblica Amministrazione
Workshop della Commissione Calcolo e Reti dell'I.N.F.N.
Transcript della presentazione:

Aspetti di natura informatica Sicurezza & Privacy Aspetti di natura informatica Corso di formazione “Sicurezza informatica: aspetti legali per amministrativi” Silvia Arezzini Roma 23 Novembre 2017 Theme created by Sakari Koivunen and Henrik Omma Released under the LGPL license. Roma, 23 novembre 2017 © INFN 2017

Dagli aspetti legali… Disciplinare per l’uso delle risorse informatiche nell’INFN 31 marzo 2016 (delibera CD n.14026) e in vigore dal 1^ giugno 2016 Misure Minime Circolare del 18 aprile 2017, n. 2/2017 (in sostituzione della circolare n. 1/2017 del 17 marzo 2017): «Misure minime di sicurezza ICT per le pubbliche amministrazioni. (Direttiva del Presidente del Consiglio dei ministri 1° agosto 2015)», pubblicata sulla GU del 5-5-2017 GDPR Regolamento UE 2016/679. Entrato in vigore il 24.5.2016 E’ il regolamento generale sulla protezione dei dati personali Roma, 23 novembre 2017 © INFN 2017

… agli aspetti tecnici Security: la Sicurezza informatica Tradurre la normativa di riferimento per Sicurezza e Protezione Dati Personali In azioni effettive e concrete Security: la Sicurezza informatica Privacy: La protezione dei dati personali Security & Privacy Legami fra sicurezza e protezione Sicurezza e rischio accettabile Roma, 23 novembre 2017 © INFN 2017

Sicurezza informatica «Ramo dell'informatica che si occupa di tutelare i sistemi di elaborazione, siano essi reti complesse o singoli computer, dalla possibile violazione, sottrazione o modifica non autorizzata di dati riservati in essi contenuti. Tali tentativi di violazione possono essere contrastati sia mediante programmi sia mediante specifici strumenti hardware.» TRECCANI «Assieme di mezzi e tecnologie tesi alla protezione dei sistemi informatici in termini di disponibilità, confidenzialità e integrità dei beni informatici (spesso chiamati asset in inglese). A questi tre parametri si tende attualmente ad aggiungere l'autenticità delle informazioni.» WIKIPEDIA Roma, 23 novembre 2017 © INFN 2017

Misure Minime Non solo una norma, ma un percorso. Lo spirito è quello di organizzare, di sensibilizzare, di dare consapevolezza di quanto sia importante il patrimonio informatico di una organizzazione (Ente o Università  o Ministero o…) «Le Misure, che si articolano sull'attuazione di controlli di natura tecnologica, organizzativa e procedurale, prevedono tre livelli di attuazione. Il livello minimo è quello al quale ogni pubblica amministrazione, indipendentemente dalla sua natura e dimensione, deve necessariamente essere o rendersi conforme. I livelli successivi rappresentano situazioni evolutive in grado di fornire livelli di protezione più completi, e dovrebbero essere adottati fin da subito dalle organizzazioni maggiormente esposte a rischi (ad esempio per la criticità  delle informazioni trattate o dei servizi erogati), ma anche visti come obiettivi di miglioramento da parte di tutte le altre organizzazioni.» Roma, 23 novembre 2017 © INFN 2017

Misure Minime Inventario dei dispositivi Inventario dei software Proteggere le configurazioni hw e sw dei dispositivi Valutazione e correzione continua delle vulnerabilità Uso appropriato dei privilegi di amministratore Difese contro malware Copie di sicurezza Protezione dei dati Roma, 23 novembre 2017 © INFN 2017

MM & Disciplinare INFN Molto di ciò che è richiesto già lo si fa «a norma di disciplinare», ma si è chiamati ad una maggiore organicità: Tabella da compilare Dettaglio di azioni Piano del rischio Best practices Misure per tutti… In particolare per noi (enti di ricerca, università e simili) 2 classi di macchine: tecnico/scientifiche (macchine da laboratorio o di calcolo) gestionali/amministrative (server ad es. di posta elettronica e PC/server su cui si trattano dati personali) Roma, 23 novembre 2017 © INFN 2017

MM più in dettaglio FONDAMENTALE è la rilevazione delle anomalie operative e ciò rende conto dell'importanza data agli inventari, che costituiscono le prime due classi di misure, nonchè la protezione della configurazione, che è quella immediatamente successiva La quarta classe deve la sua priorità alla duplice rilevanza dell'analisi delle vulnerabilità. In primo luogo le vulnerabilità sono l'elemento essenziale per la scalata ai privilegi che è condizione determinante per il successo dell'attacco; pertanto la loro eliminazione è la misura di prevenzione più efficace. Secondariamente si deve considerare che l'analisi dei sistemi è il momento in cui è più facile rilevare le alterazioni eventualmente intervenute e rilevare un attacco in corso. La quinta classe è rivolta alla gestione degli utenti, in particolare gli amministratori. La sesta classe deve la sua considerazione al fatto che anche gli attacchi complessi prevedono in qualche fase l'installazione di codice malevolo e la sua individuazione può impedirne il successo o rilevarne la presenza. Le copie di sicurezza, settima classe, sono alla fine dei conti l'unico strumento che garantisce il ripristino dopo un incidente. L'ultima classe, la protezione dei dati, deve la sua presenza alla considerazione che l'obiettivo principale degli attacchi più gravi è la sottrazione di informazioni. Roma, 23 novembre 2017 © INFN 2017

PROTEZIONE DEI DATI Proteggere & salvaguardare Perchè un dato risulti protetto devono essere salvaguardate alcune sue caratteristiche intrinseche fondamentali Curare la salvaguardia delle caratteristiche del dato significa curare la sua SICUREZZA Roma, 23 novembre 2017 © INFN 2017

SICUREZZA (security) Salvaguardia della RISERVATEZZA, della INTEGRITA’ della DISPONIBILITA’ del dato. Roma, 23 novembre 2017 © INFN 2017

SICUREZZA e’ riservatezza Impedire che qualcuno possa volontariamente o involontariamente accedere all’informazione senza essere autorizzato Roma, 23 novembre 2017 © INFN 2017

SICUREZZA è integrità INTEGRITA’ Impedire che possano avvenire cancellazioni o modifiche a causa di interventi non autorizzati o a causa di eventi non facilmente controllabili (incendi, allagamenti…) Roma, 23 novembre 2017 © INFN 2017

SICUREZZA è disponibilità DISPONIBILITA’ Far sì che non venga impedito l’accesso all’informazione a chi ne ha invece l’autorizzazione Roma, 23 novembre 2017 © INFN 2017

proteggere una particolare categoria di dati: E LA PRIVACY? Organizzazione del lavoro per proteggere una particolare categoria di dati: I DATI PERSONALI GDPR Roma, 23 novembre 2017 © INFN 2017

Privacy WIKIPEDIA: Il termine privacy (in italiano anche riservatezza) indica il diritto alla riservatezza della vita privata di una persona. TRECCANI: privacy La vita personale, privata, dell’individuo o della famiglia. In psicologia, le aree private di azione, apparentemente sottratte agli influssi sociali, in particolare nel campo della sessualità. Per la legislazione italiana in materia di tutela delle persone rispetto al trattamento dei dati personali ➔ riservatezza. Roma, 23 novembre 2017 © INFN 2017

Non esiste privacy se non esiste sicurezza Perché SICUREZZA è proteggere il dato E proteggere i dati è ciò che si deve fare per garantire la privacy Roma, 23 novembre 2017 © INFN 2017

NON ESISTE LA SICUREZZA ASSOLUTA… Valutazione del rischio tenendo presente che La sicurezza e la tutela della privacy passano attraverso l’organizzazione Dei sistemi informatici Delle procedure Delle strutture organizzative Sistemi di autenticazione-autorizzazione Flussi documentali Roma, 23 novembre 2017 © INFN 2017

Regole (vedi Misure Minime…) Strutturali Macchine server Spazi condivisi Aggiornamenti Copie Difensive Protezione anche fisica Password Crittazione Roma, 23 novembre 2017 © INFN 2017

La criminalità informatica Esiste davvero e ci riguarda! Perchè siamo chiamati alla tutela dei dati personali Non riguarda solo la pura protezione dei dati, ma anche la salvaguardia del sistema informativo nel suo insieme (social engineering) Roma, 23 novembre 2017 © INFN 2017

Varie criticità Violazione della riservatezza Cattivo uso della password Password disabilitate Password comunicate ad altri Mancato inserimento di password sullo screen saver ad esempio Diffusione di informazioni Diffusione di indirizzi di mail SPAM Roma, 23 novembre 2017 © INFN 2017

Ed inoltre Perdita di dati VIRUS Mancate copie di sicurezza copyright Violazione dell’integrità Perdita di dati VIRUS Mancate copie di sicurezza Violazioni della legge copyright Uso di programmi p2p Roma, 23 novembre 2017 © INFN 2017

Attenzione però… I pericoli esistono e non vanno sottovalutati, ma non dobbiamo farci impressionare… Roma, 23 novembre 2017 © INFN 2017

Competenze informatiche Un lavoro di squadra Competenze legali Competenze informatiche = HARMONY Un gruppo di legali e di informatici che da anni prende in esame le problematiche interne INFN, le studia e cerca soluzioni e implementazioni. Una mailing list cui rivolgersi per dubbi: harmony@lists.infn.it Coordinatore: Roberto Cecchini Roma, 23 novembre 2017 © INFN 2017

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.