Fabrizio Grossi. 2) Conservazione dei Log di connessione 3) Individuazione procedure e soggetti preposti per verifica navigazione singola postazione.

Slides:



Advertisements
Presentazioni simili
PER UNA RILEVAZIONE PRESENZE VELOCE ED EFFICACE
Advertisements

VIA GIULIO RATTI, CREMONA – Tel. 0372/27524
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità B1 Introduzione alle basi di dati.
La riduzione dei privilegi in Windows
Le nuove funzioni della piattaforma Puntoedu lingue.
INTERNET: RISCHI E PERICOLI
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.
Attività coordinata per le biblioteche Gabriele Iotti 27 ottobre Biblioteca di Bagnolo in Piano Conferenze di Servizio.
Ordine dei Dottori Commercialisti e degli Esperti Contabili di Ivrea, Pinerolo, Torino1 effettuate le operazioni di generazione dell'Ambiente di sicurezza.
Impresa e Privacy. Il trattamento dei dati deve essere eseguito nel rispetto dei diritti e delle libertà fondamentali, della dignità della persona, con.
Autore TECNOCHORA SPA - AREA INFORMATION TECHNOLOGY La Privacy Formazione del personale interno Materiale riservato. Proprietà di Tecnochora spa. Vietata.
Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002 Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002 Ing. Andrea.
Il modello delle ISO 9000 per il miglioramento dei servizi Il caso Comune di Ravenna : Lapplicazione del modello delle ISO 9000 ai Lavori Pubblici Ravenna,
1 Titolo Presentazione / Data / Confidenziale / Elaborazione di... ASP. Net Web Part e controlli di login Elaborazione di Franco Grivet Chin.
Decreto Interministeriale 16 agosto 2005 Misure di preventiva acquisizione di dati anagrafici dei soggetti che utilizzano postazioni pubbliche non vigilate.
Il sistema integrato per la sicurezza dei tuoi dati da attacchi interni alla rete Quanti software proteggono i tuoi dati dagli attacchi esterni alla rete?
Norman SecureTide Soluzione sul cloud potente per bloccare le spam e le minacce prima che entrino all'interno della rete.
Modulo 7 – reti informatiche u.d. 2 (syllabus – )
I servizi telematici dell’Agenzia
Pro Recruiting La piattaforma per la selezione
Norman Security Suite Sicurezza premium facile da usare.
Modulo 1 – la sicurezza dei dati e la privacy u.d. 7 (syllabus – 1.7.2)
Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni Limportanza di una corretta impostazione delle.
IMPRESA E DIRITTO: Licenze e Autorizzazioni per aprire IMPRESA E DIRITTO: Licenze e Autorizzazioni per aprire Licenze e Autorizzazioni per aprire:INTERNET.
Progetto RETE SME ALESSANDRO PASSONI
Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
Server Web in una rete Windows Sommario Meccanismi di accesso remoto Meccanismi di accesso remoto Introduzione ai Server Web Introduzione ai Server.
22 MARZO ORE 15,00 Sei in regola con gli obblighi in materia di sicurezza e privacy? Consigli pratici per adeguarsi… Piermaria Saglietto.
TESSERAMENTO E BREVETTAZIONE ON LINE DA PARTE DELLE SOCIETA’
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
BLOG Massimo Sgambato. I Blog weB = WEB = Ragnatela. Il complesso della RETE dei computer in INTERNET. LOG = File su cui vengono registrate informazioni.
Fabrizio Grossi. 11) Adozione procedure di back-up centralizzato.
Lezione 8 Posta elettronica e internet in azienda. La legittimità degli strumenti di controllo.
K-PORTAL: la soluzione con CMS per il tuo sito web dinamico K-Portal permette di presentare in modo semplice ed efficace i differenti tipi di contenuti.
Configurazione di una rete Windows
Predisposizione, presentazione e trattamento della domanda di emersione dal lavoro irregolare per extracomunitari addetti al lavoro domestico 2009.
Active Directory e Gestione Utenti di Valerio Di Bacco.
- Direzione Interregionale per il Lazio e l’Abruzzo –
Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra.
Principio di necessità nel trattamento dei dati (art.3 codice privacy)
Education & Training Microsoft FrontPage 98 Intranet ? Le reti Intranet consentono ai gruppi di lavoro di condividere le informazioni in modo rapido, efficiente.
Progetto Finale Laboratorio di Progettazione Web AA 2009/2010 Chiara Renso ISTI- CNR -
Aspetti tecnici ed organizzativi per la corretta gestione dei sistemi informatici aziendali Dr. Riccardo Làrese Gortigo.
Come applicare le disposizione del Garante per la Privacy utilizzando i prodotti Microsoft Fabrizio Grossi.
Pag. 1/23 AOL – Albo pretorio on-line Sistema informativo per l’esposizione pubblica degli atti su Internet.
Storo 30 ottobre 2006 – Pierluigi Roberti Problemi legati al software e possibili soluzioni ReadyServices sas Pierluigi Roberti.
Guardie Giurate Art. 2 Statuto dei lavoratori.
UNITA’ 04 Uso Sicuro del Web.
Giornata della trasparenza – Area Tutela e valorizzazione ambientale Giornata della trasparenza Provincia di Milano 11 dicembre Palazzo Isimbardi.
UNITA’ 02 Malware.
Tutor Domenico Cocciaglia PARTE INTRODUTTIVA LEZIONE 1 CORSO BASE INFORMATICA /07/20151.
Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi.
Sicurezza e attacchi informatici
1 SOLUZIONE SOFTWARE ANTIRICICLAGGIO. 2 Problema: Rispetto della normativa antiriciclaggio  Velocità di raccolta e recupero delle informazioni Velocità.
Presentazione Servizi. Di Cosa Ci Occupiamo Hera02 cura per le Aziende i seguenti tre assetti: 1 – I servizi di Telecomunicazioni: Connessione Dati verso.
Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi Corso aggiornamento ASUR10.
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Studio Legale Giacopuzzi – Diritto d'Impresa – Studio Legale Giacopuzzi - – IT Law © WEB E PRIVACY: LE.
Le policy aziendali relative al trattamento di dati sensibili ed informazioni riservate novembre2015.
9 marzo Monitoraggio e controllo Il contesto normativo.
Direzione Attività Produttive, Formazione Professionale, Lavoro e Sistemi Contabili Prospetto Disabili Web (SISL) FORMAZIONE ALLE AZIENDE Alessandria,
Certificati on line: chi risparmia tempo? Elena Villani, Treviso.
Migrazione a Win2003 Server a cura del Prof. Arturo Folilela.
Presentazione a cura di: Matteo Bonifazzi, Massimo Albertini e Andrea Belletti.
21 giugno Illecito e rischio Un approccio diverso: aumentare il rischio per chi commette l’illecito.
La sicurezza informatica Davide Bacciardi 1B_A.S 2014/2015.
28/06/2016Francesco Serafini INDICO Parte 2. 28/06/2016Francesco Serafini CREAZIONE EVENTI Gli eventi possono essere creati in qualsiasi categoria, che.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
Transcript della presentazione:

Fabrizio Grossi

2) Conservazione dei Log di connessione 3) Individuazione procedure e soggetti preposti per verifica navigazione singola postazione

al fine di ridurre il rischio di navigazioni improprie (ovvero estranee all'attività lavorativa), il datore di lavoro deve adottare misure atte e prevenire tali fenomeni, operando i controlli sul lavoratore solo in casi di necessità defensionali (vedasi riscontro di accesso a siti illeciti da parte dell'IP aziendale). Tale obiettivo potrà essere raggiunto individuando: 1a) categorie di siti correlati o meno con la specifica attività lavorativa; 1b) adozione di black-list aventi ad oggetto siti o spazi web contenenti determinate parole; 1c) configurazione di sistemi che limitino, monitorino o escludano download di file o programmi aventi particolari caratteristiche. Il datore di lavoro non provvederà dunque ad un controllo diretto dei log di navigazione, ma ad un controllo generico delle navigazioni effettuate dalla rete aziendale, ricorrendo ad un controllo diretto nel caso in cui si verifichino episodi di particolare gravità (a titolo meramente esemplificativo e non esaustivo: download di materiale pedopornografico, violazione della legge sul diritto d'autore mediante download di opere musicali o cinematografiche protette).

Microsoft ISA 2006 permette di gestire la connessione aziendale verso Internet. Utilizzando ISA 2006 è possibile: Controllare la navigazione utilizzando delle Policy Monitorare la navigazione degli utenti registrando: Chi naviga verso siti consentiti Chi cerca di navigare verso siti non consentiti e viene bloccato I siti richiesti e le ore in cui avviene laccesso La quantità di materiale scaricato ISA server 2006 fornisce anche funzionalità di Firewall

Le Policy possono permettere o negare la navigazione a seconda: Del Sito destinazione (es: voglio impedire la navigazione verso un sito di gioco online: Dellutente che ha effettuato la ricerca (voglio impedire agli utenti di scaricare contenuti, ma voglio permettere agli amministratori di scaricare driver o aggiornamenti) Dellora di connessione (Posso permettere la navigazione verso i siti dei quotidiani nazionali, ma solo durante la pausa pranzo) Della tipologia di contenuto richiesto (voglio impedire il download di certe tipologie di contenuti, es filmati, audio, ecc.) E possibile configurare una regola utilizzando tutti gli elementi citati sopra.

Per la funzione specifica di gestire la navigazione degli utenti tramite le blacklist è possibile usare due approcci: Blocco della navigazione degli utenti salvo verso i siti esplicitamente permessi. Si crea una lista di siti permessi e gli utenti possono accedere solo a quei siti. Se un utente ha bisogno di accedere a un sito, per particolari esigenze lavorative, deve fare esplicita richiesta e la regola viene modificata. E lapproccio più sicuro È un approccio pratico e realizzabile facilmente (se gli utenti utilizzano Internet solo per specifici compiti e il numero di siti che devono usare è circoscritto). Se il numero di siti a cui gli utenti devono accedere varia spesso è un approccio poco flessibile. In certe tipologie di aziende non è praticabile. La navigazione è permessa, salvo i siti esplicitamente proibiti, contenuti in specifiche Blacklist: create manualmente scaricate gratuitamente da specifici siti è possibile acquistare prodotti specifici che estendono ISA e forniscono blacklist aggiornate automaticamente (vedi gli AntiVirus che si aggiornano automaticamente scaricando liste delle tracce virali)

Ovviamente i livelli di sicurezza e efficacia delle due tipologie sono diversi Le Blacklist create manualmente o scaricate gratuitamente sono meno affidabili e sicure: Sono generate dallamministratore o da utenti che le mettono a disposizione sul Web quindi non cè nessuna garanzia né della loro rispondenza al vero, né della loro efficacia (non è detto che contengano tutti i siti porno possibili, per esempio) Le blacklilst vanno aggiornate manualmente, operazione onerosa e poco efficace: è praticamente impossibile tenerle aggiornate con tutti i siti contrari alle policy aziendali Quindi utilizzando le Blacklist gratuite (o create manualmente dallutente) non si riesce a a impedire ma solo a limitare luso improprio Utilizzando dei prodotto specifici a pagamento (Websense, per esempio,ma ci sono parecchi partner che ne hanno a catalogo), si hanno maggiore garanzia di affidabilità e efficacia. Questi prodotti hanno il vantaggio di fornire blacklist aggiornate che il prodotto utilizza per tenersi aggiornato (il concetto è analogo allelenco delle tracce virali scaricate dagli antivirus)

La conservazione dei log di connessione costituisce un aspetto prettamente tecnico con risvolti peraltro giuridici. In ottemperanza ai principi di necessità e correttezza, basilari nella normativa privacy, la conservazione di tali dati dovrà essere strettamente limitata al perseguimento di quelle che sono finalità organizzative, produttive e di sicurezza, individuando limiti anche di tipo temporale per il mantenimento di tali dati presso la struttura aziendale.

Nel caso in cui il datore di lavoro verifichi che condotte illecite sono state assunte da un dipendente per il tramite della navigazione nonostante le misure adottate, il datore di lavoro potrà procedere all'individuazione della singola postazione di navigazione e della relativa identità del navigatore, costituendo la condotta di quest'ultimo una grave violazione della policy aziendale e primariamente una violazione di legge. Sussistendo a carico del datore di lavoro un obbligo di controllo dell'utilizzo delle risorse, tale evento straordinario potrà essere già previsto nella policy aziendale specificando la procedura adottabile in tale ipotesi nonché i soggetti preposti al controllo (a titolo meramente esemplificativo e non esaustivo: controllo generalizzato che si concluderà con un primo richiamo a lavoratori di una determinata area coinvolta nella navigazione non autorizzata, successiva individuazione e conservazione dei log di connessione indispensabili all'esercizio o alla difesa di un diritto in sede giudiziaria).