Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoTeodoro Ricciardi Modificato 11 anni fa
1
Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002 Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002 Ing. Andrea Gelpi La sicurezza informatica, la cultura e i metodi di accertamento.
2
Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002 Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002 ing. Andrea Gelpi Introduzione Introduzione Politiche aziendali Politiche aziendali Altri aspetti Altri aspetti Conclusioni Conclusioni
3
3 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Introduzione Che cosa comprende la sicurezza informatica Leggi da tener presenti Un problema culturale, non solo tecnologico Importanza del documento delle policy
4
4 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Che cosa comprende la sicurezza informatica Non è solo trattamento dati personali e diritto d'autore Tutto ciò che è possibile fare o subire con strumenti informatici e di comunicazione
5
5 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Principali norme da tener presenti L. 547/93 L. 675/96 L. 633/41 L. 248/2000 L. 62/2001 L. 109/91 Norme sulla firma digitale Varie direttive europee DPR 318/99 DLgs 518/92 DPCM 338/2001 DM 314/92
6
6 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Un problema culturale non solo tecnologico Abitudini degli utenti – backup, codici d'accesso, file salvati in locale, falsa sicurezza Manca un senso di cultura della sicurezza Manca un senso di responsabilità – Cosa vuoi che succeda Manca il concetto di chi a fatto che cosa I pirati informatici insegnano e aiutano?
7
7 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Importanza del documento delle policy La sicurezza informatica si realizza con... un pezzo di carta o una cena ! E' necessario dare regole prima di applicarle E' opportuno condividere i contenuti con i sindacati
8
8 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Policy aziendale Accessi fisici ai sistemi Accessi logici ai sistemi e ai dati Licenze d'uso La rete aziendale Navigazione su Internet Posta elettronica Monitoraggio delle attività e responsabilità
9
9 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Policy aziendale – accessi fisici DPR 318/99 impone di proteggere i dati Necessità di locali chiusi per i server – Tecnici esterni lasciati soli possono essere un rischio Come controllare chi accede ai locali Che cosa si rischia – danni e/o furto di dati – mancata adozione di misure di sicurezza
10
10 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Policy aziendale – accessi logici DPR 318/99 impone di proteggere i dati DPR 318/99 impone di tenere traccia di chi fa trattamento Problema dei codici d'accesso (UserID e Password) Dove salvare i dati Falsa sicurezza del salvataggio in locale dei dati Chiunque può accedere ai dati in locale se esiste un dominio o se il sistema operativo non è dotato di sufficienti misure di sicurezza (Win9x)
11
11 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Policy aziendale – accessi logici DPR 318/99 impone che per il trattamento di dati sensibili devono esistere codici d'accesso su due livelli (al sistema e all'applicazione), ma non sempre è così Soluzione: tutti sono incaricati del trattamento Vulnerabilità dei sistemi – Il firewall è solo un aiuto – I server vanno tenuti aggiornati e monitorati – Che cosa fare in caso d'intrusione Segnalazione alle forze dell'ordine, no indagini per conto proprio Ricreare il server violato – Mancata installazione di correttivi potrebbe diventare mancata adozione di misure di sicurezza
12
12 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Policy aziendale – accessi logici Il problema dei virus – DPR 318/99 obbliga ad avere un sistema antivirus aggiornato ogni 6 mesi ! – I virus non creano solo danni locali, possono diffondere informazioni riservate – Si rischia di essere coinvolti nel danneggiamento di sistemi altrui, tentativo di accesso abusivo a sistema informatico (Patriot Act) – Antivirus non aggiornato, crea una falsa sicurezza – E' fondamentale il comportamento degli utenti
13
13 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Policy aziendale – licenze d'uso A volte il problema non è sentito – Installazioni senza controllare il numero di licenze disponibili – Installo per lavorare, quindi sono a posto – Il programma è in azienda quindi lo posso utilizzare Come verificare – Posti di lavoro completamente chiusi – Posti di lavoro completamente aperti E' importante responsabilizzare gli utenti Che cosa si rischia – Violazione di norme fiscali e dei diritti d'autore Open Source e Free Software
14
14 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Policy aziendale – rete aziendale Attenzione ai punti d'accesso non controllati – Le postazioni fisse – Le postazioni mobili Attacchi dall'interno – Il 50% e più degli attacchi provengono dall'interno – sniffer
15
15 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Policy aziendale – navigazione Internet Uso non consono con le attività lavorative – Visita a siti non attinenti l'attività lavorativa – Scarico di contenuti (musica, ecc...) – Consumo di banda pregiata Come fare i controlli – Log di tutto il traffico verso Internet (Firewall log) – Controlli anonimi per evitare il controllo a distanza del dipendente – Controlli puntuali solo per evidenti violazioni delle regole aziendali – Possibilità di creare liste nere o liste bianche di siti – Utilizzo di software che aiutano, ma non risolvono
16
16 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Policy aziendale – navigazione Internet Le vulnerabilità del browser Pagine web con codice maligno Domande trabocchetto I servizi gratuiti, li paga l'utente ! (rivendita informazioni) E' necessario educare gli utenti
17
17 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Policy aziendale – Posta elettronica Principale sistema di propagazione di virus e troiani Lo SPAM – una piaga Liste di distribuzione e newsgroup La casella di posta è mia e quindi inviolabile – falso La casella di posta istituzionale è dell'azienda che, a determinate regole, la può visionare Soluzione: casella di posta personale diversa da quella istituzionale Lotta allo SPAM con liste nere e filtri
18
18 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Policy aziendale – Posta elettronica E' necessario educare gli utenti – Non rispondere alla posta non sollecitata – Non fare clic su pulsanti e non tentare di cancellarsi da liste di ditribuzione – Usare solo il formato di testo puro, per gli altri formati utilizzare gli allegati – Quando possibile inviare il link al contenuto
19
19 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Policy aziendale – Monitoraggio attività Descrivere i monitoraggi che verranno fatti Spiegare come vengono fatti (anonimi, ecc...) Spiegare perchè vengono fatti Ribadire le responsabilità di ciascuno Concordare il tutto con i sindacati I monitoraggi dovrebbero essere esguiti da un gruppo apposito diverso da gestori dei sistemi
20
20 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Altri aspetti Rapporti con le forze dell'ordine La formazione sia degli utenti che degli amministratori dei sistemi La programmazione e configurazione del software
21
21 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Rapporti con le forze dell'ordine Passa troppo tempo dai fatti al momento delle indagini (anche più di un anno) La formulazione della richiesta – Il problema degli orologi – Fornire tutte le informazioni atte ad identificare l'utilizzatore dell' IP X.Y.Z.T il giorno gg alle ore hh.mm Chi deve fare le indagini Le indagini possono risalire al PC e ai codici usati, ma non direttamente ad una persona Il sequestro di materiale informatico – Una copia dei supporti è il più delle volte prova sufficiente
22
22 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Programmazione e configurazione del software Necessità di dotarsi di software sicuro Scrivere software sicuro è difficile, l'Open Source può aiutare Configurazioni errate possono essere fonte di problemi
23
23 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Formazione degli utenti Il documento delle policy deve essere spiegato, non imposto e basta Il DPR 318/99 impone l'obbligo di formazione A medio termine la formazione costa meno degli interventi per sanare situazioni
24
24 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - Conclusioni La sicurezza informatica è principalmente un problema organizzativo e di cultura E' importante riuscire ad attribuire a ciascuno le proprie responsabilità Una buona organizzazione aumenta la sicurezza e fa risparmiare tempo e denaro
25
25 - Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 - GRAZIE :-)
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.