Realizzato da: Ivana Gambino Presentazione Realizzato da: Ivana Gambino
Realizzato da: Ivana Gambino Introduzione Fino a circa dieci anni fa, l’uso del PC non comportava particolari preoccupazioni nella protezione dei dati contenuti in esso. Per evitare perdita di dati, effettuavamo il Backup per prevenire perdite di dati nel caso in cui si fosse verificato un mal funzionamento del computer. L’utilizzo di password all’avvio del computer, ci garantiva una garanzia contro l’accesso da parte di terze persone. Realizzato da: Ivana Gambino
Realizzato da: Ivana Gambino Con il nascere e il diffondersi delle reti informatiche, cominciarono a nascere problemi di rischio dovuti a: Minacce di intrusione Possibilità di divulgazione non autorizzata di informazioni Interruzione e distruzioni di servizi offerti dall’utenza. Con il nascere di questi ed altri problemi di sicurezza, si è sentita la necessità di istituire u settore specifico dell’informatica denominato Sicurmatica che si occupasse delle norme inerenti: il trattamento e la salvaguardia degli informatici e delle informazioni in esse contenute. Realizzato da: Ivana Gambino
Elenco degli argomenti Sicurezza Informatica Gestione del rischio Organizzazione della Sicurezza Standard ed Enti di Standardizzazione Crittografia Autenticazione Protezione dei dati Le Minacce Realizzato da: Ivana Gambino
La Sicurezza Informatica La sicurezza delle informazioni è una componente della sicurezza dei beni in generale. Qualunque programma che si occupi della sicurezza delle informazioni, deve perseguire 3 obiettivi fondamentali: La disponibilità L’integrità La riservatezza Realizzato da: Ivana Gambino
Realizzato da: Ivana Gambino Alla sicurezza possiamo aggiungere altri due obiettivi che possiamo considerarli una estensione dell’integrità delle informazioni: L’autenticità: essa garantisce che l’invio di un messaggio o una transazione vengano attribuiti con certezza al destinatario Il non ripudio: garantisce che il messaggio o transazione, conosca il suo autore Realizzato da: Ivana Gambino
Realizzato da: Ivana Gambino La disponibilità La disponibilità è il grado in cui le informazioni e le risorse informatiche sono accessibili agli utenti che ne hanno diritto, nel momento in cui servono. Per impedire che i dati siano accessibili, si deve tener conto: Delle condizioni ambientali Delle risorse hardware e software Di attacchi esterni Realizzato da: Ivana Gambino
Realizzato da: Ivana Gambino L’integrità L’integrità può riguardare le informazioni, le risorse informatiche, l’hardware e i sistemi di comunicazione e il software Per ciò che riguarda le informazioni, è il grado in cui le informazioni devono essere: corrette, coerenti e affidabili; Per ciò che riguarda le risorse informatiche, è il grado in cui le risorse devono avere: completezza, coerenza e buone condizioni di funzionamento; Per ciò che riguarda l’hardware e i sistemi di comunicazione, consiste: Nella corretta elaborazione dei dati In un livello adeguato di prestazioni In un corretto instradamento dei dati. Per ciò che riguarda il software riguarda: La completezza e la coerenza dei moduli del sistema operativo e delle applicazioni La correttezza dei file critici di sistema e di configurazione. Realizzato da: Ivana Gambino La sicurezza
Realizzato da: Ivana Gambino La riservatezza La riservatezza consiste nel limitare l’accesso alle informazioni e alle risorse informatiche alle sole persone autorizzate. Si applica sia l’archiviazione, sia alla comunicazione delle informazioni. Realizzato da: Ivana Gambino La sicurezza
Realizzato da: Ivana Gambino Gestione del rischio Adesso esamineremo i rischi connessi ai vari aspetti di sicurezza delle informazioni analizzando : I beni da difendere Gli obiettivi di sicurezza Le minacce alla sicurezza La vulnerabilità dei sistemi informatici L’impatto causato dall’attuazione delle minacce Il rischio Realizzato da: Ivana Gambino
Realizzato da: Ivana Gambino I beni da difendere Un bene è qualsiasi cosa che ha un valore e deve essere protetto. Nel campo della sicurezza delle informazioni, i beni sono aziendali ed individuali. I beni di un azienda sono: - Le risorse informatiche Il personale Le informazioni La documentazione L’immagine dell’azienda I beni di un individuo sono: Informazioni personali La privacy Realizzato da: Ivana Gambino Gestione del rischio
Obiettivi di sicurezza Gli obiettivi di sicurezza, sono il grado di protezione che si intende attuare per i beni di: - Disponibilità Integrità Riservatezza Per sapere quale obiettivo adottare, i beni si classificano in categorie e ad ognuno di essi si assegna il tipo di sicurezza: Per le password e i numeri di identificazione il requisito più importante per raggiungere l’obiettivo della sicurezza, è la riservatezza. Per le informazioni contabili di una banca che esegue transazioni on- line i requisiti richiesti sono: disponibilità, integrità e riservatezza. Per le informazioni pubblicate sul sito web i requisiti sono: disponibilità e integrità. Realizzato da: Ivana Gambino Gestione del rischio
Minacce alla sicurezza Una minaccia è un azione: potenziale, accidentale, deliberata. Essa può portare alla violazione ad uno o più obiettivi di sicurezza. Le minacce possono essere classificate: naturale, ambientale e umana. Tabella esempi di minacce Per esempio: un cavallo di Troia installato all’apertura di un allegato di posta elettronica infetto, questa è una minaccia deliberata di origine umana e coinvolge tutti gli obiettivi di sicurezza, ciò coinvolge la sicurezza nei 3 obiettivi: disponibilità in quanto il computer cade sotto il controllo esterno e non può più essere disponibile al suo proprietario Integrità in quanto le sue informazioni possono essere cancellate o alterate Riservatezza in quanto i dati possono essere divulgati e letti dagli estranei. L’entità che mette in atto la minaccia è chiamato agente. Realizzato da: Ivana Gambino Gestione del rischio
Realizzato da: Ivana Gambino Tabella Minaccia Deliberata Accidentale Ambientale Terremoto x Inondazione Bombardamento Furto Temperatura alta o bassa Guasto hardware Errori software Deterioramento supporto di memoria Infiltrazione di rete Realizzato da: Ivana Gambino
Vulnerabilità dei sistemi informatici La vulnerabilità è un punto debole del sistema informatico che, se colpito da una minaccia, porta a qualche violazione degli obiettivi di sicurezza. Una vulnerabilità, non causa una perdita di sicurezza, ma è la combinazione tra vulnerabilità e minaccia che determina la possibilità che vengano violati gli obiettivi di sicurezza. Esempio: se un computer utilizzando per la contabilità di un azienda, non protetto da firewall, antivirus e patch di sicurezza del sistema operativo, è vulnerabile, ma se è tenuto al sicuro, viene usato solo dal titolare e non è collegato ad internet, può funzionare senza il pericolo di essere colpito da minacce Realizzato da: Ivana Gambino Gestione del rischio
L’impatto causato dall’attuazione delle minacce L’impatto si ha quando la minaccia colpisce il sistema e dipende dal valore del bene e dalla violazione degli obiettivi di sicurezza. Esempio: se il titolare di un’azienda, connette il suo portatile ad internet senza protezione, apre una e-mail infetta propagando l’infezione alla rete aziendale, l’impatto è grave e coinvolge tutti gli obiettivi di sicurezza. In questo caso il titolare dell’azienda è l’agente, la vulnerabilità è la conseguenza della cattiva configurazione del portatile per la mancata installazione di antivirus e firewall, la minaccia è data dalle cattive abitudini e incompetenze del titolare. Ciò causerebbe: il blocco temporaneo della rete e dei computer ad essa collegata, la disinfestazione con il conseguente rischio della perdita dei dati e la reinstallazione del software. Realizzato da: Ivana Gambino Gestione del rischio
Realizzato da: Ivana Gambino Il rischio Il rischio è tanto maggiore quanto maggiore è l’impatto che l’ ha causato e l’alta probabilità che esso si verifichi. Possiamo definire il rischio: l’insieme della gravità dell’impatto e la probabilità che si verifichi l’evento dannoso. Possiamo classificare il rischio in due fasi: Analisi del rischio Controllo del rischio Realizzato da: Ivana Gambino Gestione del rischio
Realizzato da: Ivana Gambino Analisi del rischio In questa fase si classificano le informazioni e le risorse soggette a minacce e vulnerabilità e si identifica il livello di rischio associato ad ogni minaccia Realizzato da: Ivana Gambino
Realizzato da: Ivana Gambino Controllo del rischio In questa fase vengono individuate le modalità che l’azienda intende adottare per ridurre i rischi associati alla perdita della disponibilità delle informazioni e risorse informatiche e della integrità e della riservatezza di dati ed informazioni. Realizzato da: Ivana Gambino Gestione del rischio
Organizzazione della sicurezza La sicurezza delle informazioni è il risultato di un insieme di processi ai vari livelli dell’organigramma aziendale. Non sono sufficienti solo strumenti e tecnologie per ottenere la sicurezza, ma occorre creare un organizzazione per le sicurezza che assuma la responsabilità di quanto attiene alla sicurezza e coinvolga l’intera struttura aziendale, in modo che tutto il personale contribuisca nel proprio ambito al disegno generale della sicurezza secondo un organigramma a livelli. L’organizzazione della sicurezza parte dall’alto dove gli obiettivi e le politiche di sicurezza sono definiti dal top management per poi essere specificati nei dettagli man mano che si scende attraverso gli strati del modello organizzativo della sicurezza. In cima a questo modello ci sono gli obiettivi strategici in cui si deve fare carico l’organizzazione di sicurezza: classificazione dei beni e del loro valore,censimento e vulnerabilità e minacce, analisi del rischio, analisi costi/benefici delle contromisure, valutazione del grado di protezione, definizione delle politiche di sicurezza, ecc. Il primo compito è quello di inquadrare l’azienda in base al modello di attività, all’esposizione ai rischi e alla dipendenza della infrastruttura informatica e di comunicazione. Questo esame preliminare dovrà tenere in considerazione il quadro legislativo tracciato dalle leggi sulla criminalità informatica e sulla privacy. Realizzato da: Ivana Gambino
Standard ed enti di standardizzazione Gli enti di standardizzazione sono organigrammi di natura molto differente che coprono aspetti normativi diversi a secondo di casi. Operano in ambito nazionale e internazionale ed emettono norme e linee guida per la realizzazione di prodotti, processi e servizi a secondo delle tecnologie del momento. Svolgono altre attività come la pubblicazione di documenti che possano essere facilmente interpretati secondo gli standard internazionali. Ecco alcuni enti di standardizzazione: ITU: è un’organizzazione ONU dove governi e settore privato coordinano le reti e i servizi globali di telecomunicazione. ISO: è la maggiore organizzazione internazionale di standardizzazione e comprende gli enti di standardizzazione nazionale di 146 paesi. IETF: internet Engineering task force. Realizzato da: Ivana Gambino
Realizzato da: Ivana Gambino La crittografia La crittografia consiste nel cifrare un testo in chiaro attraverso un algoritmo di cifratura che fa uso in input di una chiave. Il risultato della cifratura sarà un testo inintelligibile che potrà essere cifrato disponendo della chiave di decifratura. Le tecniche crittografiche permettono: di trasformare dati e informazioni in modo da nascondere il contenuto a chiunque non sia autorizzato e attrezzato per prenderne visione di impedire ad estranei di alterare i dati, segnalando qualunque tentativo in tal senso Di garantire l’autenticità dei dati, associandoli in modo certo al loro proprietario, impedendo allo stesso tempo che il mittente di un messaggio possa ripudiare la paternità. Vi sono due tipi di crittografia: crittografia simmetrica e crittografia asimmetrica. Realizzato da: Ivana Gambino
Crittografia simmetrica L’uso della crittografia simmetrica conferisce riservatezza al messaggio, ma non assicura l’autenticazione o il non ripudio, poiché non c’è associazione univoca e sicura tra la chiave e un individuo. Di conseguenza, il mittente apparente di un messaggio cifrato con chiave simmetrica potrebbe sempre negare di avere spedito il messaggio, attribuendone la responsabilità diretta o indiretta al destinatario detentore della stessa chiave. Questo tipo di crittografia viene utilizzata per cifrare grandi quantità di dati cosa che non è possibile con la cifratura asimmetrica. Realizzato da: Ivana Gambino
Crittografia asimmetrica La crittografia asimmetrica, fa uso di due chiavi diverse per cifrare e decifrare i messaggi o documenti. Con un sistema di crittografia a chiave pubblica, gli utenti possono comunicare in modo sicuro attraverso un canale insicuro senza dover concordare in anticipo una chiave. Un algoritmo asimmetrico prevede che ogni utente abbia una coppia di chiavi: la chiave privata e pubblica. La chiave pubblica può essere distribuita senza restrizioni, a patto che sia autenticata. La chiave privata deve essere custodita al sicuro dal proprietario. Realizzato da: Ivana Gambino La crittografia
Realizzato da: Ivana Gambino Autenticazione All’atto dell’autenticazione, deve essere in possesso di una password o un certificato digitale, come prova della propria identità. L’utente, una volta autenticato, può accedere solo alle risorse per cui è autorizzato. Vi sono diversi tipi di autenticazione: autenticazione locale: è quella utilizzata da un computer o un portatile Autenticazione indiretta: è usata nei moderni sistemi distribuiti per consentire a diversi utenti ad accedere ai servizi di rete Autenticazione off-line: è quella utilizzata dai sistemi che utilizzano la chiave pubblica. I sistemi di autenticazione hanno generalmente alcuni elementi in comune: una persona da autenticare Una caratteristica su cui basare l’autenticazione I fattori di autenticazione sono divisi in 3 categorie: Qualcosa che sai: password, PIN, passphrase Qualcosa che hai: smart card, token Quello che sei: impronte digitali, retina,iride, ecc. Realizzato da: Ivana Gambino
Realizzato da: Ivana Gambino Password L’uso delle password è uno dei più antichi sistemi di autenticazione. Quella che viene tuttora utilizzato è l’hashing delle password. Un Hash è un numero binario di lunghezza fissa, ricavato da un input, di lunghezza variabile che funge da impronta del dato di partenza. All’atto dell’autenticazione, l’hash viene confrontato con quello registrato nel file; se coincidono, l’utente è autenticato. Realizzato da: Ivana Gambino L’autenticazione
Realizzato da: Ivana Gambino Token Un token è un fattore di autenticazione della categoria “quello che hai”, l’utente deve essere in possesso del token al fine di essere autenticato dal computer. Ci sono due tipi di token: token passivi e attivi. Token passivi: sono le carte di credito, bancomat di vecchia generazione, si chiamano così perché i dati di identificazione sono registrati su una striscia magnetica. Token attivi: a differenza dei token passivi, quelli attivi non trasmettono il proprio dato segreto per autenticare l’utente, ma lo utilizzano per qualche calcolo. I token attivi usano tecniche crittografate che li rendono immuni da intercettazioni. L’autenticazione Realizzato da: Ivana Gambino
Realizzato da: Ivana Gambino Firma digitale Per verificare che un dato documento sia stato realmente prodotto o inviato, viene utilizzata la firma digitale che garantisce l’autenticità di colui che dice di aver firmato quel dato documento. La firma digitale deve essere: verificabile, non falsificabile e non ripudiabile. L’autenticazione Realizzato da: Ivana Gambino
Realizzato da: Ivana Gambino Protezione dei dati Parlando di disponibilità dei dati viene spontaneo pensare alla possibilità che si guastino i dischi fissi o la rete cessi di funzionare o che si verifichi un blackout, ma è anche importante considerare che gli eventuali meccanismi di protezione e di controllo degli accessi funzionino regolarmente e che i relativi database siano a loro volta accessibili e contengano dati validi. Per garantire l’accessibilità dei dati è naturalmente necessario che le connessioni di rete funzionino e siano affidabili. L’insieme delle garanzie di disponibilità dei dati e ininterrotto e regolare funzionamento dei processi aziendali sono i pilastri della cosiddetta “Business Continuity”. Questa è la misura in cui un organizzazione riesce a garantire la stabilità ininterrotta dei sistema e delle procedure operative anche a fronte di eventi eccezionali. Le dotazioni hardware sono importanti per il buon funzionamento. Realizzato da: Ivana Gambino
Realizzato da: Ivana Gambino Backup Nel caso di attacchi da virus, il danno si ripercuote anche in tutti i dischi con possibili cause di cancellazione di tutti i dati. Una soluzione adeguata riguarda il cosiddetto Backup il quale consente di proteggere i dati in un supporto fisico diverso da quello in uso, effettuando una copia di riserva dei dati di interesse dell’Organizzazione, per poterne fare uso al momento di necessità. Il backup può essere effettuato in diversi modi: Backup normale : copia tutti i file ma richiede più tempo Backup incrementale : copia solo i file selezionati ed è più veloce. Realizzato da: Ivana Gambino
Realizzato da: Ivana Gambino Le minacce Un virus è un frammento che inserisce se stesso in un programma ospite, inclusi i sistemi operativi, al fine di diffondersi. Esso non va in esecuzione indipendentemente ma per potersi attivare, richiede che il suo programma ospite sia eseguito. Esistono diverse tipologie di virus: Virus che infettano i file Virus del settore boot Virus MBR ( Master Boot Record) Virus multipartito Macro virus Virus Hoax Realizzato da: Ivana Gambino
Virus che infettano i file Questi virus infettano i programmi, normalmente file eseguibili con estensioni “.com” e “.exe” . Possono infettare altri file quando un programma infetto viene eseguito da floppy, disco fisso, cd-rom ecc. Molti di questi virus rimangono residenti in memoria e una volta infettata la RAM, qualunque programma che viene mandato in esecuzione sarà infettato. Le Minacce Realizzato da: Ivana Gambino
Realizzato da: Ivana Gambino Virus del settore boot Questi virus infettano il boot record del disco fisso o di un floppy, ovvero quell ‘aria che serve ad avviare il computer. Questi virus sono sempre residenti in memoria. Le Minacce Realizzato da: Ivana Gambino
Realizzato da: Ivana Gambino Virus MBR Sono simili ai precedenti, solo che il codice virale si localizzerà in parti diverse a secondo del tipo di partizione del disco. Le Minacce Realizzato da: Ivana Gambino
Realizzato da: Ivana Gambino Virus multipartito Questi virus infettano sia il boot che i file programma. Sono particolarmente difficili da rimuovere perché ripulendo il record di boot senza rimuovere i virus dai file infetti, comporterà una nuova infezione del boot record e viceversa. Le Minacce Realizzato da: Ivana Gambino
Realizzato da: Ivana Gambino Macro virus Questi tipi infettano i dati. I macro virus possono infettare i file prodotti dalle applicazioni quali: Word Excel PowerPoint Access Le Minacce Realizzato da: Ivana Gambino
Realizzato da: Ivana Gambino Virus Hoax Più che virus, sono messaggi di avviso contenente falsi allarmi. Vengono chiamati Bufale e sono quasi sempre spedite via e-mail. Le Minacce Realizzato da: Ivana Gambino