Post on 08-Jun-2015
2. La sicurezza informatica a Scuola sezione Uffici Amministrativia cura di Mario Varini (EUCIP-IT Administrator)
3. L'esistenza, presso la scuola, di connessioni "always on", pone l'accento sulle problematiche di sicurezza dei collegamenti e sulla protezione delle informazioni custodite all'interno dei sistemi. 4. La sicurezza informatica a Scuola sezione Uffici Amministrativia cura di Mario Varini (EUCIP-IT Administrator)
5. E' importante sottolineare un principio che deve stare alla base della sicurezza di ogni organizzazione: la correttaseparazione dei ruolifra iresponsabilidella gestione della sicurezza e gliutentioperativi. 6.
7. La sicurezza informatica protegge l'informazionenei confronti di un'ampia gamma di attacchi potenziali al fine di garantire la continuit dell'attivit e minimizzare i danni e le interruzioni di servizio. La sicurezza informatica a Scuola sezione Uffici Amministrativia cura di Mario Varini (EUCIP-IT Administrator) 8. Laprotezioneviene ottenutaagendo su pi livelli :
9. Logicoche prevede l'autenticazione e l'autorizzazione di un'entit che rappresenta l'utente nel sistema. 10. Tracciabilitdell'attivit dell'utente.La sicurezza informatica a Scuola sezione Uffici Amministrativia cura di Mario Varini (EUCIP-IT Administrator) 11.
12. Integrit : garantisce l'accuratezza e la completezza dell'informazione e dei metodi di elaborazione; 13. Disponibilit : garantisce che gli utenti autorizzati possano accedere all'informazione quando vi necessit. La sicurezza informatica a Scuola sezione Uffici Amministrativia cura di Mario Varini (EUCIP-IT Administrator) 14. Politiche di sicurezza -1
15. Le politiche di sicurezza costituiscono il blocco di partenza da cui raggiungere qualsiasi obiettivo diinformation security .La sicurezza informatica a Scuola sezione Uffici Amministrativia cura di Mario Varini (EUCIP-IT Administrator) 16. Politiche di sicurezza -2
17. definizione delle regole per il controllo degli accessi 18. esecuzione dell'analisi del rischio 19. formazione degli utenti per un corretto utilizzo degli strumenti 20. ed altro. La sicurezza informatica a Scuola sezione Uffici Amministrativia cura di Mario Varini (EUCIP-IT Administrator) 21. Politiche di sicurezza Obiettivi
22. aidati La sicurezza informatica a Scuola sezione Uffici Amministrativia cura di Mario Varini (EUCIP-IT Administrator) 23. Politiche di sicurezza Obiettivi
24. continuit del servizio a copertura delleesigenze operativedella scuola. La sicurezza informatica a Scuola sezione Uffici Amministrativia cura di Mario Varini (EUCIP-IT Administrator) 25. Politiche di sicurezza Obiettivi
26. L' integritdelle informazioni; 27. lacorrettezzadelle informazioni ritenute critiche per le eventuali conseguenze derivanti da una loro alterazione; 28. ladisponibilitdelle informazioni e delle relative applicazioni. La sicurezza informatica a Scuola sezione Uffici Amministrativia cura di Mario Varini (EUCIP-IT Administrator) 29. Politiche di sicurezza Regole- 1 -
30. le autorizzazioni devono garantire che sulle informazioni possano intervenire solo le persone abilitate e ciascuna nei limiti delle proprie competenze; 31. le autorizzazioni vengono definite in accordo con le leggi, le norme interne e il livello di riservatezza e importanza delle informazioni; 32. chiunque autorizzi un dipendente o una persona esterna all'impiego di risorse informatiche della scuola deve essere chiaramente individuabile; 33. le informazioni sono protette in accordo con la loro criticit, sia nei sistemi ove risiedono, sia nei trasferimenti da un sistema ad un altro; (segue...) La sicurezza informatica a Scuola sezione Uffici Amministrativia cura di Mario Varini (EUCIP-IT Administrator) 34. Politiche di sicurezza Regole- 2 -
36. le modalit di gestione delle autorizzazioni sono concordate dallo stesso con il proprietario dell'informazione; 37. consentita la delega delle operazioni di gestione delle autorizzazioni a condizione che siano definite ed implementate procedure organizzative e modalit tecniche che impediscano che il raggiungimento degli obiettivi di sicurezza venga compromesso; 38. sono predisposte opportune procedure tecniche ed organizzative per il sollecito ripristino del servizio a fronte di guasti o malfunzionamenti. La sicurezza informatica a Scuola sezione Uffici Amministrativia cura di Mario Varini (EUCIP-IT Administrator) 39. Politiche diSicurezza Fisica :
40. evitare che un'operazione non ammessa provochi un dannosignificativo per la scuola o per i soggetti che interagiscono con essa. La sicurezza informatica a Scuola sezione Uffici Amministrativia cura di Mario Varini (EUCIP-IT Administrator) 41. Responsabilit generali:
42. risorse informatiche che fanno capo alle singole unit operative(es. personal computer), il capo di ogni unit operativa individuato come responsabile delle proprie risorse. In entrambi i casil'attuazione della protezione deve seguire le linee guida descritte negli specifici documenti di policy di sicurezzaall'interno dell'organizzazione. Ogni dipendente responsabile dell'utilizzo delle risorse informatiche a lui assegnate ed utilizzate per l'espletamento della propriaattivit. La sicurezza informatica a Scuola sezione Uffici Amministrativia cura di Mario Varini (EUCIP-IT Administrator) 43. Classificazione delle informazioni:
44. Non deve essere riferita ai soli dati informatici, ma deve essereestesa a tutte le tipologie di informazioni e di documenti che li contengono oltre che ai programmi che li trattanoindipendentemente dalla tipologia dei supporti su cui vengono memorizzati e registrati:
Perci necessario prevedere un'opportuna classificazione delle informazioni sulla base del livello di riservatezza delle stesse La sicurezza informatica a Scuola sezione Uffici Amministrativia cura di Mario Varini (EUCIP-IT Administrator) 45. Incidenti e violazioni:
46. Un incidente, nell'ambito della sicurezza dei sistemi informativi, un evento, un evento sospetto od una vulnerabilit tale daviolare l'integrit, la confidenzialit o la disponibilit delle applicazioni o dei dati del sistema ; La sicurezza informatica a Scuola sezione Uffici Amministrativia cura di Mario Varini (EUCIP-IT Administrator) 47. Programmi e software pericolosi(virus informatici) :
48. eliminarnegli effetti 49. bloccarnela diffusione Data la natura del fenomeno fondamentale, dare immediata informativa alla struttura preposta alla gestione della sicurezza nel caso d'individuazione o sospetto di casi relativi ad infezione da virus informatici. La sicurezza informatica a Scuola sezione Uffici Amministrativia cura di Mario Varini (EUCIP-IT Administrator) 50. I rischi connessi all'accesso alla reteInternet
51. In generale infattila spesa per assicurare il necessario livello di protezione dovrebbe essere inferiore al costo da sostenere per il recovery dei dannia seguito di un attacco subito. In altre parole, tenendo anche conto delle scarse risorse a disposizione della scuola per gli investimenti in tecnologie, la spesa per la sicurezza ed i meccanismi adottati dovranno sempre essere attentamente dimensionati,evitando il ricorso a tecnologie troppo sofisticate, costose e difficili da amministrare . La sicurezza informatica a Scuola sezione Uffici Amministrativia cura di Mario Varini (EUCIP-IT Administrator) 52. I rischi connessi all'accesso alla reteInternet
53. Virus : la navigazione Internet e ed il servizio di posta elettronica sono i principali veicoli di diffusione dei virus. I rischi connessi al contagio da virus informatico sono la perdita dei dati, l'accesso agli stessi da parte di soggetti estranei e non autorizzati, il blocco dei PC o di altri dispositivi connessi alla rete, il sovraccarico dellastessa; La sicurezza informatica a Scuola sezione Uffici Amministrativia cura di Mario Varini (EUCIP-IT Administrator) 54. I rischi connessi all'accesso alla reteInternet
La sicurezza informatica a Scuola sezione Uffici Amministrativia cura di Mario Varini (EUCIP-IT Administrator) 56. I rischi connessi all'accesso alla reteInternet
La sicurezza informatica a Scuola sezione Uffici Amministrativia cura di Mario Varini (EUCIP-IT Administrator) 57. I rischi connessi all'accesso alla reteInternet
58. Navigazione su siti Internet con contenuti offensivi e/o comunque non pertinenti con l'attivit lavorativa : la navigazione libera su Internet dovrebbe essere sottoposta a filtraggio evitando che dalla rete interna si possano raggiungere siti con contenuti ritenuti non pertinenti; La sicurezza informatica a Scuola sezione Uffici Amministrativia cura di Mario Varini (EUCIP-IT Administrator) 59. I rischi connessi all'accesso alla reteInternet
La sicurezza informatica a Scuola sezione Uffici Amministrativia cura di Mario Varini (EUCIP-IT Administrator) 60. I rischi connessi all'accesso alla reteInternet
La sicurezza informatica a Scuola sezione Uffici Amministrativia cura di Mario Varini (EUCIP-IT Administrator) 61. L' organizzazioneper la sicurezza
62. La consapevolezza dei rischi in gioco, ottenuta attraverso la sensibilizzazione ed il coinvolgimento di tutti gli utenti dei sistemi informativi, insieme con una corretta organizzazione che guardi prima ai processi e poi ai prodotti, costituiscono infatti le premesse indispensabili per ottenere buoni risultati. 63. La tecnologia da sola non sufficiente. La sicurezza informatica a Scuola sezione Uffici Amministrativia cura di Mario Varini (EUCIP-IT Administrator) 64. Lagestionedella sicurezza
65. formalizzazionedelle procedure e delle regole; 66. controllodel rispetto delle norme(auditing); 67. gestionedei problemi di sicurezza(incident management); La sicurezza informatica a Scuola sezione Uffici Amministrativia cura di Mario Varini (EUCIP-IT Administrator) 68. Lecontromisuredi tipo tecnico
69. Antivirus Gateway 70. Sistema Antivirus 71. URL Filtering 72. VPN - (Virtual Private network) La sicurezza informatica a Scuola sezione Uffici Amministrativia cura di Mario Varini (EUCIP-IT Administrator) 73. Lecontromisuredi tipo tecnico
74. Negli esempi sviluppati si manterr un livello di descrizione logica, senza entrare in dettagli tecnici approfonditi che richiederebbero una trattazione molto pi complessa. 75. Naturalmente vista la variet delle situazioni e delle dotazioni tecnologiche presenti nelle scuole non si ha la pretesa di essere esaustivi, ma si intende fornire uno spunto di riflessione che faccia da base di partenza per determinare ed affinare la soluzione personalizzata sulla basedelle esigenze della scuola. La sicurezza informatica a Scuola sezione Uffici Amministrativia cura di Mario Varini (EUCIP-IT Administrator) 76. Scenario Scuola collegata ad internet esclusivamente tramite la linea ADSL
77. La dispositiva che segue riporta lo schema logico della rete 78. (segue...) La sicurezza informatica a Scuola sezione Uffici Amministrativia cura di Mario Varini (EUCIP-IT Administrator) 79. Scuola collegata ad internet esclusivamente tramite la linea ADSL La sicurezza informatica a Scuola sezione Uffici Amministrativia cura di Mario Varini (EUCIP-IT Administrator) 80. Scenario- Osservazioni - Scuola collegata ad internet esclusivamente tramite la linea ADSL
81. L' utilizzo di un firewalla protezione della rete interna contribuisce anche alla creazione di una cos dettademilitarized zoneche pu essere utilizzata dalla scuola per esporre su internet propri servizi come ad esempio un server web 82. (segue...) La sicurezza informatica a Scuola sezione Uffici Amministrativia cura di Mario Varini (EUCIP-IT Administrator) 83. La sicurezza informatica a Scuola (sezione Uffici Amministrativi) Scenario- Osservazioni - Scuola collegata ad internet esclusivamente tramite la linea ADSL
84. Da notare che i parametri relativi ai servizi di risoluzione degli indirizzi (DNS) e posta elettronica saranno forniti sullabase delle indicazioni del provider di connettivit internet 85. La sicurezza informatica a Scuola (sezione Uffici Amministrativi) Conclusioni Emerge in modo molto chiaro la necessit per la scuola di dotarsi di una o pi figure di riferimento che, dotate di opportuna e costante formazione, siano in grado di padroneggiare le problematiche qui esposte, e nel contempo sappiano anche interfacciarsi in modo appropriato con i fornitori di soluzioni informatiche ai quali in genere ci si rivolge per l'implementazione delle soluzioni pi complesse. L'amministrazione ha gi intrapreso un primo significativo passo in questa direzione con il progetto FORTIC ed in particolare con la formazione di figure di profilo C che pi si avvicinano alle esigenze di conoscenza ipotizzate. L'augurio che anche la scuola possa autonomamente complementare queste iniziative valorizzando il personale a propria disposizione per un sempre pi consapevole utilizzo delle enormi opportunit offerte dalleT.I.C. (tecnologie dell'informazione e della comunicazione). 86. La sicurezza informatica a Scuola (sezione Uffici Amministrativi) Siti web di riferimento(sitografia essenziale)
87. Ministro per l.Innovazione e le Tecnologiewww.innovazione.gov.it 88. Clusit . Associazione Italiana per la Sicurezza Informaticawww.clusit.it 89. Osservatorio Tecnologico MIUR www.osservatoriotecnologico.net 90. Polizia di Statowww.poliziadistato.it 91. Garante della Privacywww.garanteprivacy.it 92. Cert Coordination Centre (CERT/CC) www.cert.org 93. Internet Security Glossary (RFC 2828)www.ietf.org 94. La sicurezza informatica a Scuola (sezione Uffici Amministrativi) FINE Grazie per l'attenzione