Corso aggiornamento ASUR10

Slides:



Advertisements
Presentazioni simili
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Advertisements

1 Introduzione ai calcolatori Parte II Software di base.
Analisi e progettazione
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.
Competenze e capacità tecniche
Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.
Sistemi Operativi Menù: 1) Introduzione al sistema operativo
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Fondo Integrativo Speciale per la Ricerca 13 settembre 2004
Un esempio di comunicazione: Il “Marketing Territoriale”
Basi di Dati prof. A. Longheu
Dalla gerarchia alla rete
Strumenti e percorsi per la protezione civile locale Antonio Triglia - Formez Torino, 28 Giugno 2006 Progetto Sindaci.
L’infermiere come garante della qualità
Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.
Creazione di sale telematiche presso le maggiori biblioteche della provincia Il progetto di istituire presso le,maggiori biblioteche della Provincia di.
L’uso dei database in azienda
GESTIONE DEI SISTEMI INFORMATIVI IN AZIENDA
Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi
Roma Giancarlo Galardi
Cercare informazioni sul Web. 5-2 Organizzazione dellinformazione tramite gerarchie Classificazione gerarchica Linformazione è raggruppata in un piccolo.
Roma, 17 novembre 2003 Michele Morciano 1 Roma, 17 novembre 2003 Michele Morciano 1 Programmazione e controllo di gestione nelle amministrazioni pubbliche:
Il marketing: costruire una relazione profittevole con il cliente
9. Il termine Informatica ha invaso il nostro mondo quotidiano. La sua origine è nel termine francese Informatique, derivato dalla fusione fra Information.
COMUNICAZIONE PUBBLICA La comunicazione interna 5° lezione 10 ottobre 2008 Anno Accademico 2008/2009.
Considerazioni finali 30° lezione 27 novembre 2009 Anno Accademico 2009/2010.
10 punti fondamentali su Windows originale Note legali Le informazioni fornite in questo documento rappresentano l'opinione di Microsoft Corporation sui.
Il sistema integrato per la sicurezza dei tuoi dati da attacchi interni alla rete Quanti software proteggono i tuoi dati dagli attacchi esterni alla rete?
Aspetti strategico – organizzativi - gestionali delle imprese che aderiscono ad una rete Dott. Vincenzo Presutto Dottore Commercialista e Revisore Legale.
L'ambiente informatico: Hardware e Software
LA QUALITA’ NELLA PROGRAMMAZIONE DELL’ESERCIZIO
DAGLI ARCHIVI AI DATABASE
GESTIONE GRANULARE DEGLI ACCESSI FINESTRE DI DETTAGLIO INTERSCAMBIO DEI DATI CON LARCHIVIO DI ALTRE PROCEDURE GESTIONE VERSAMENTI MANCATI TABELLIZZAZIONE.
Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni Limportanza di una corretta impostazione delle.
Silvia Baldo Alessandro Ghigi 24 gennaio 2003 INFORMAZIONE ED ORIENTAMENTO SULLIMMIGRAZIONE LA CARTA DEI SERVIZI.
Modulo 1 – Diritto dautore e aspetti giuridici u.d. 8 (syllabus – 1.8.2)
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
Partite insieme a noi per un viaggio nel mare dei numeri del Vostro Business liberi da ogni limite…
1 Corso di formazione sul monitoraggio e la valutazione dei Piani di zona avviati in Provincia di Torino Secondo Modulo: La valutazione del livello di.
Lo sviluppo del progetto informatico
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
LE COMPONENTI DEL SISTEMA INFORMATIVO
Sintesi sugli aspetti di Sicurezza nel Sistema Informativo Gli elementi della professionalità della sicurezza Prof. Daniele Pulcini Università degli Studi.
Alla fine degli anni quaranta nasceva il mito del cervello elettronico, e tutte le attività connesse allutilizzo del computer venivano indicate tramite.
REGIONE TOSCANA - Settore “Sistema Regionale di Protezione Civile”
I NUOVI ISTITUTI TECNOLOGICI A partire dall’a. s
IL PROGETTO COMPETENZE 17 dicembre 2002 CINECA - Casalecchio di Reno.
AZIONE CHIAVE 2 Cooperazione per l’innovazione e le buone pratiche Partenariati strategici nell’aria dell’educazione, formazione e giovani.
Principio di necessità nel trattamento dei dati (art.3 codice privacy)
Dott. Giorgio Martiny Direttore Generale ASL4 Chiavarese Regione Liguria ForumPa 2004 Roma, 12/05/2004.
Sistemi operativi di rete Ing. A. Stile – Ing. L. Marchesano – 1/18.
LINEE GUIDA PER LE PROCEDURE OPERATIVE. DA SEGUIRE. NELL’ESPLETAMENTO
Progettazione di basi di dati: metodologie e modelli
Storo 30 ottobre 2006 – Pierluigi Roberti Problemi legati al software e possibili soluzioni ReadyServices sas Pierluigi Roberti.
UNITA’ 02 Malware.
Giornata formativa Monitoraggio e valutazione dei servizi offerti L’Aquila 12 marzo 2015.
Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi.
Sicurezza e attacchi informatici
Cloud SIA V anno.
Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi Corso aggiornamento ASUR10.
ECDL European Computer Driving Licence
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Le basi di dati.
Pierfranco Ravotto – IT’s possible! IT’s an opportunity!
1. 2 ARCER PARMA IL COMMERCIALISTA DELLE PICCOLE IMPRESE Parma, ottobre 2008 a cura di M. Limido I Sistemi Direzionali L’orientamento aziendalistico.
LNGS, Workshop CCR 2008, Giugno Sondaggio Utenti INFN Valeria Ardizzone INFN Catania Ombretta Pinazza CNAF.
Diritto e Internet Matteo Sacchi Classe 1°B Anno scolastico 2014/2015.
LA SICUREZZA INFORMATICA BERRETTA LORENZO 1B CAT A.S 2014/2015.
La sicurezza informatica Davide Bacciardi 1B_A.S 2014/2015.
Transcript della presentazione:

Corso aggiornamento ASUR10 Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi Corso aggiornamento ASUR10

Sicurezza informatica La "sicurezza" dei dati e delle informazioni è un insieme più ampio della sola "sicurezza" informatica, comprendendo anche la "sicurezza fisica" dei luoghi, delle persone e della "logistica". Attuare la "sicurezza dei dati" non è possibile se non ricorrendo a strumenti di tipo legale, oltre che ad ovvi accorgimenti tecnici , e ancora più importante attraverso accorgimenti organizzativi, intendendo tale termine come l’insieme delle risorse disponibili atte e necessarie alla protezione dei dati e delle informazioni.

Sicurezza informatica

La Sicurezza nei sistemi informativi La Sicurezza rappresenta uno dei punti più critici dei sistemi informativi contemporanei. Questo a causa delle nuove tecnologie aperte impiegate per garantire l’erogazione di servizi, e facilitare attraverso i processi di e-government il funzionamento delle strutture organizzative e tecniche. Queste tecnologie aperte, se da una parte hanno reso più flessibile la comunicazione e l’accesso, dall’altra hanno aperto numerosi varchi verso il mondo esterno che possono essere utilizzati in modo fraudolento e criminoso

La cultura della sicurezza Potremmo dire che il “crimine” scatenante sia la mancanza di cultura della sicurezza informatica cui corrisponde un mancato adeguamento degli strumenti di garanzia e tutela. Questa situazione è stata riscontrata nella maggior parte delle aziende, private e pubbliche oggetto di numerose indagini condotte negli ultimi anni

Consapevolezza e formazione La consapevolezza, la formazione, il continuo aggiornamento professionale e lo scambio di informazioni tra enti pubblici e privati, tra le comunità di settore e tra i cittadini-utenti, sono gli strumenti più efficaci per far fronte ai problemi della sicurezza informatica.

Cosa stiamo proteggendo I “beni informatici” Prima di passare ad analizzare le problematiche di sicurezza strettamente legate all'utilizzo di un particolare sistema operativo, od in una particolare situazione di rischio è bene riflettere per capire cosa stiamo proteggendo e quali siano in linea di massima i mezzi a nostra disposizione per raggiungere gli scopi di protezione

Beni dei sistemi informatici Parlando di Sistemi Informatici o Informativi si è portati a limitare quello che è il reale campo d'applicazione della parola bene, associandola esclusivamente a tre categorie: Hardware: le apparecchiature, tutte le componenti fisiche di un sistema informativo Software: i programmi necessari al funzionamento dell'apparecchiatura e utilizzati per l'elaborazione delle informazioni Dati: le informazioni gestite dai programmi

Beni dei sistemi informatici, aggiu... Ai beni principali, hardware, software e dati, si devono aggiungere: Supporti memorizzazione possono contenere il software ed i dati; Reti permettono l'interconnessione dei vari sistemi consentendo quindi lo scambio di informazioni; Accessi la possibilità che viene data ai soggetti di utilizzare il bene ed i meccanismi di fruizione. Individui chiave come ad esempio un amministratore di sistema oppure un operatore specializzato nell'uso di un determinato programma.

Cosa stiamo proteggendo in sintesi Hardware Software Dati Supporti di memorizzazione Reti Accessi Individui chiave (operatori e sistemisti) +

Obiettivi della sicurezza informatica I beni possono essere modificati solo dagli utenti autorizzati o solo nel modo consentito I beni sono sempre accessibili agli utenti autorizzati Disponibilità Integrità Sicurezza I beni sono accessibili solo agli utenti autorizzati

Rischio e sicurezza Tutte le “circostanze potenziali” che possono causare un danno rappresentano un rischio E' da notare che, un progetto o un programma di sicurezza, per quanto integrati non azzerano mai il relativo rischio. La sicurezza totale infatti è un’astrazione e come tale non esiste nella realtà Si deve allora seguire la logica secondo cui un progetto di sicurezza ha l'obiettivo di ridurre il rischio

Rischi per un sistema informatico Vediamo quali sono i rischi - i colori indicano i settori interessati dal rischio e i rischi sono ordinati per gravità degli effetti sull’utenza dei servizi e sulla privacy INTERRUZIONE INTERCETTAMENTO MODIFICA CONTRAFFAZIONE Hardware Software Dati Un bene viene tolto dal sistema, non è più disponibile oppure è inutilizzabile Un’entità (un programma, un sistema informatico) non autorizzata ottiene l’accesso ad un bene. Un’entità (un programma, un sistema informatico) non autorizzata ottiene l’accesso ad un bene e lo manomette Un’entità (un programma, un sistema informatico) non autorizzata potrebbe costruire degli oggetti contraffatti all’interno del sistema informativo.

Vulnerabilità In pratica, per causare un danno basterà sfruttare una vulnerabilità del sistema informativo Ma che cosa si intende per vulnerabilità? Semplicemente una debolezza di cui servirsi per raggiungere gli scopi prefissati, presente nel sistema operativo, nelle procedure di sicurezza, nei software e soprattutto nei controlli interni o nell'implementazione

Sistema informativo Un sistema informativo di un’organizzazione è una combinazione di risorse, umane e materiali, e di procedure organizzate per: la raccolta, l’archiviazione, l’elaborazione e lo scambio delle informazioni necessarie alle attività: operative (informazioni di servizio), di programmazione e controllo (informazioni di gestione), e di pianificazione strategica (informazioni di governo).

Vulnerabilità ed affidabilità dei software Vulnerabilità, la prima cosa che viene in mente è, un difetto del software. Non necessariamente però una vulnerabilità è solo un difetto del software. Con un software perfettamente realizzato, progettato, implementato e configurato, un sistema informatico può comunque essere vulnerabile. Per esempio, potremmo avere un dipendente di un'azienda che ha accesso a sistemi critici che un bel giorno….. passa ad un concorrente ma allo stesso tempo le sue credenziali per l'accesso non vengono cancellate

Vulnerabilità, ciclo di vita I problemi cominciano a nascere quando la vulnerabilità viene scoperta ed inizia quella che viene chiamata, finestra di esposizione, cioè il periodo in cui la vulnerabilità in qualche modo può essere sfruttata per causare un danno. I casi sono due: La vulnerabilità è stata scoperta da qualcuno interessato ad eliminarla e quindi ci si può aspettare che si vada su una strada che porterà alla fine a una correzione la vulnerabilità viene scoperta da qualcuno, non interessato a correggerla, ma interessato a sfruttarla

1 - Vulnerabilità: correzione In pratica, verranno realizzate le apposite correzioni e queste poi saranno apportate ai singoli sistemi La vulnerabilità in un determinato software si potrà considerare corretta non quando sarà rilasciata la correzione (patch/pezza), ma quando quest'ultima sarà installata su un sistema Molti degli attacchi diffusi in modo massiccio, spesso sfruttavano delle vulnerabilità note da tempo per le quali le correzioni erano già disponibili ma che semplicemente non erano state applicate

2 - Vulnerabilità: sfruttamento Situazione spiacevole la vulnerabilità continua ad essere utilizzata e sfruttata anche diffusamente senza che ne venga a conoscenza chi deve correggerla Fino a quando qualcuno vedendo come è stato attaccato il suo sistema, non si rende conto di quale è stata la strada utilizzata

Principali controlli a disposizione Crittografia Controlli software hardware Politiche di sicurezza fisici Dati inintellegibili contro: Intercettamento Modifica Contraffazione Dispositivi crittografici: Hardware Smartcard Sono i controlli più semplici, meno onerosi ed a volte più efficaci da implementare. Controlli interni al programma Controlli del sistema operativo Controlli in fase di sviluppo Creazione di regole Formazione Amministrazione

Efficacia dei controlli

la sicurezza è un processo La sicurezza è un processo, non un prodotto, e come tale ha molti componenti, che devono essere affidabili e ben studiati e, soprattutto, collaborare fra loro L'efficacia del sistema di sicurezza dipende in modo essenziale da come i vari componenti collaborano fra di loro I punti deboli sono costituiti proprio dalle interfacce fra i componenti Un sistema di sicurezza può essere paragonato a una catena, composta da vari anelli, ciascuno dei quali influisce in modo determinante sulla sua resistenza Come in qualsiasi catena, la forza del sistema di sicurezza corrisponde a quella del suo componente più debole