2010-03-16SicurezzaToPrint - Gazzetta...
Transcript of 2010-03-16SicurezzaToPrint - Gazzetta...
23/03/2010
1
� Aspetti tecnico procedurali per l’adeguamento alla misure minime di sicurezza
informatica prescritte dall’Allegato “B” del D.lgs. 196/2003 e Disciplinare Tecnico
Rete Privacy della Provincia di Treviso Chemello Dott. Ing. Nicola
Nicola Chemello
Iscr. Albo ing. TV pos. A3362
Collaborazione con Polizia postale
Sicurezza informatica
23/03/2010
Chemello Dott. Ing. Nicola - www.securcube.net-
2
A.A.A.A. CORSO DI AGGIORNAMENTO: CORSO DI AGGIORNAMENTO: CORSO DI AGGIORNAMENTO: CORSO DI AGGIORNAMENTO: Sicurezza e privacy
B.B.B.B. CORSO DI AGGIORNAMENTO PER IL RESTANTE CORSO DI AGGIORNAMENTO PER IL RESTANTE CORSO DI AGGIORNAMENTO PER IL RESTANTE CORSO DI AGGIORNAMENTO PER IL RESTANTE PERSONALEPERSONALEPERSONALEPERSONALE
Sicurezza e privacy Limitare i rischi nell’utilizzo del PC
C.C.C.C. VERIFICA MIRUSE MINIME PREVISTE + PROCEDURE PER VERIFICA MIRUSE MINIME PREVISTE + PROCEDURE PER VERIFICA MIRUSE MINIME PREVISTE + PROCEDURE PER VERIFICA MIRUSE MINIME PREVISTE + PROCEDURE PER L’ADEGUAMENTOL’ADEGUAMENTOL’ADEGUAMENTOL’ADEGUAMENTO
Consulenza per la verifica dei requisiti minimi con il rilascio di attestazione di conformità secondo quanto previsto dalla normativa rilasciato dall’esperto informatico iscritto all’ Albo degli Ingegneri della provincia di Treviso
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 3
23/03/2010
2
Sicurezza informatica
� Primo incontro o Pericoli
o Adempimenti per la privacy
� Secondo incontro o Top 10 sicurezza
o Navigazione sicura - Social network – P2P
o DPS: suggerimenti operativi
Slide consegnati alla fine del secondo corso
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 4
�
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net-
5
� Prevenire è meglio che curare
� Un computer deve proteggere i dati personali, le informazioni, le attività le attività le attività le attività svoltesvoltesvoltesvolte.
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 6
23/03/2010
3
� Mantenere i dati e garantendo continuità al lavoro garantendo continuità al lavoro garantendo continuità al lavoro garantendo continuità al lavoro dei dipendenti degli istituti scolastici, dei docenti e degli studenti. Al riparo dalla più disparate insidie.
� L'errato trattamento dei dati personali come previsto dalla Legge sulla Privacy comporta sanzioni che vanno dalla multa fino alla reclusione. Non si tratta cioè di semplici e costosi malfunzionamenti, ma di reatireatireatireati.
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 7
�
Cosa può succedere?
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net-
8
� Blocco dei sistemi, resi inutilizzabili da virus,danni fisici o attacchi di pirati informatici.
� Rallentamento dei sistemi
� Danno di immagine (perdita credibilità e fiducia)
� Modifica,il furto o addirittura la perdita totale di informazioni importanti
� Corresponsabilità nei reati informatici
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 9
23/03/2010
4
�
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net-
10
� Botnet � Spam. ovvero la posta elettronica "spazzatura" � Attacchi informatici � L'uso non autorizzato di identità digitale � Accesso abusivo ad Internet � Furto vero e proprio (risorse) � Worm. � Spamdexing. � Text message truffa; � Insider.
Fonti:Microsoft + Cisco 2009 Midyear Security Report
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 11
� bot (da roBOT) o zombie.
� Modalità di controllo dei client: IRC o P2P
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 12
23/03/2010
5
� Lo spamming è l'invio di grandi quantità di messaggi indesiderati (generalmente commerciali).
� Il principale scopo dello spamming è la pubblicità,
� 180 miliardi di messaggi spam vengono inviati ogni giorno rappresentando oltre il 90% del traffico e-mail.
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 13
� rischi e/o violazioni dei dati
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 14
� rubare dati con cui falsificare un documento di identità cartaceo e fare truffe e debiti
� creare falsi profili con cui fare acquisti su internet
� diffamare altre persone
http://www.anti-phishing.it/wp-content/uploads/2009/10/identity-fraud.jpg
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 15
23/03/2010
6
http://gis.washington.edu/phurvitz/professional/ssh_ESRI_2000/p1972.gif
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 16
http://www.techiesouls.com/wp-content/uploads/2008/07/stolen-laptop.jpg
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 17
� malware in grado di autoreplicarsi.
� Il worm è simile ad un virus, ma non necessita di legarsi ad altri eseguibili per diffondersi.
� modifica il computer che infetta, in modo da venire eseguito ogni volta che si avvia la macchina
� tenta di replicarsi sfruttando Internet
http://2.bp.blogspot.com/_RQy6cQPHSjc/RyrMT7Ym1hI/AAAAAAAAAVg/BzDxhACLKJU/s400/virusalert.jpg
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 18
23/03/2010
7
� ha infettato 9 milioni di computer al 22 gennaio 2009
� Secondo gli esperti è la peggior infezione da quella del 2003 chiamata SQL Slammer.
http://blogs.technet.com/photos/mmpcblog/images/3181836/original.aspx
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 19
Azioni il cui fine è l'acquisizione di visibilità nei motori di ricerca utilizzando metodologie e/o tecniche ritenute illecite o comunque apertamente in contrasto con i termini d'uso dei motori di ricerca.
o l'uso di testo nascosto,
o pagine web il cui unico obiettivo è l'acquisizione di visibilità (dette doorway pages
o sviluppo di contenuti non destinati agli utenti
http://www.dollarshower.com/wp/wp-content/upl/2008/12/blackhat-seo.jpg
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 20
4,1 miliardi di abbonamenti ai telefoni cellulari in tutto il mondo
Furto identità, phishing, virus, ...
http://img186.imageshack.us/img186/8373/smsaz7.jpg
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 21
23/03/2010
8
� Quando l’attacco nasce dall’interno
http://www.filebuzz.com/software_screenshot/full/36461-insider.jpg
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 22
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 23
�
Codice in materia di protezione dei dati personali
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net-
24
23/03/2010
9
Il "Garante per la protezione dei dati personali"
è un’autorità amministrativa indipendente istituita dalla c.d. legge sulla privacy, la n. 675 del 31 dicembre 1996, per
assicurare la tutela dei diritti e delle libertà fondamentali ed il assicurare la tutela dei diritti e delle libertà fondamentali ed il assicurare la tutela dei diritti e delle libertà fondamentali ed il assicurare la tutela dei diritti e delle libertà fondamentali ed il rispetto della dignità nel trattamento dei dati personalirispetto della dignità nel trattamento dei dati personalirispetto della dignità nel trattamento dei dati personalirispetto della dignità nel trattamento dei dati personali. Con la
redazione del Codice in materia di protezione dei dati personali (meglio noto comeCodice della privacy), approvato
con D. Lgs. 30 giugno 2003, n. 196.
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 25
� La sicurezza informatica è al centro del Codice in materia di protezione dei dati personali.
� Ogni istituto scolastico deve dotarsi di adeguati sistemi di accesso ai dati, di credenziali per il trattamento degli stessi e aggiornare costantemente i sistemi di protezione
� Il dirigente scolastico rischia di incorrere in sanzioni penali
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 26
La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od
organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento
di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 27
23/03/2010
10
� È la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;
� In generale il titolare del trattamento, ovvero il dirigente scolastico, ha l'opzione di nominare uno o più responsabili, ad esempio: o uno o più responsabili del sistema informativo che si occupano della
funzionalità della rete, compresi i dispositivi di sicurezza (firewall e filtri). Ove disponibile nominare il docente che ha seguito la formazione C2 del progetto FORTIC;
o uno o più responsabili del trattamento dei dati riservati con compiti di monitoraggio del rispetto delle vigenti disposizioni in materia di trattamento dei dati (procedure, password, copie di salvataggio, ecc.). Di consueto viene nominato il DSGA.
� Il responsabile del sistema informativo e della sicurezza informatica non può essere considerato responsabile del trattamento dei dati personali in assenza di un atto formale di nominaatto formale di nominaatto formale di nominaatto formale di nomina in cui siano per iscritto elencati i suoi nuovi compiti.
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 28
� INCARICATO: le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile;
� INTERESSATO: la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali;
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 29
� Stendere il Documento Programmatico sulla Sicurezza (DPS), � Descrivere la situazione attuale (censimento e aggiornamento
dei trattamenti) � Trattare analisi dei rischi � Stabilire la distribuzione dei compiti � Stabilire gli incaricati e tenere la lista aggiornata � Descrivere le misure approntate � Descrivere la distribuzione delle responsabilità � Descrivere le procedure per il ripristino dei dati � Descrivere i piani di formazione interna � Descrivere gli interventi che si intendono attuare per adeguarsi
alla normativa 23/03/2010
Chemello Dott. Ing. Nicola - www.securcube.net-
30
23/03/2010
11
� Gestione delle credenziali di autenticazione (Password, token o dispositivi biometrici);
� Protezione della sessione di lavoro; � Profilazione dei privilegi per l'accesso; � Aggiornamento dei programmi per prevenire vulnerabilità e correggere
difetti del software; � Protezione dei supporti rimuovibili; � Adozione di misure idonee per assicurare l'integrità e disponibilità dei
dati; � Salvataggio e ripristino dei dati; � Ripristino dei dati e sistemi salvati; � Difesa dagli accessi abusivi; � Analisi dei rischi informatici; � Relazione di conformità dell'installatore per adozione di misure minime; � Formazione specifica degli incaricati.
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 31
� Nominare uno o più responsabili della sicurezza e del trattamento dei dati (ove disponibile il docente che ha seguito la formazione C2 del progetto FORTIC);
� Nominare gli incaricati;
� Fare il censimento dei trattamenti nell'organizzazione per potere effettuare le notifiche;
� Emanare un regolamento sul trattamento, la comunicazione e la diffusione dei dati (DPS);
� Predisporre l'informativa;
� Adottare un piano per aumentare le misure di sicurezza e predisporre il Documento Programmatico per la Sicurezza.
23/03/2010
Chemello Dott. Ing. Nicola - www.securcube.net-
32
L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa: a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere
comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 7; f) gli estremi identificativi del titolare e, se designati, del rappresentante nel
territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile.
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 33
23/03/2010
12
Consentono al direttore scolastico di evitare la responsabilità penale � ALLEGATO B ALLEGATO B ALLEGATO B ALLEGATO B
(http://www.garanteprivacy.it/garante/doc.jsp?ID=1557184) � Sistema di autenticazione informatica � Sistema di autorizzazione � Altre misure di sicurezza
o I dati personali sono protetti contro il rischio di intrusione e dell'azione protetti contro il rischio di intrusione e dell'azione protetti contro il rischio di intrusione e dell'azione protetti contro il rischio di intrusione e dell'azione di programmidi programmidi programmidi programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.
o Gli aggiornamenti periodici dei programmi aggiornamenti periodici dei programmi aggiornamenti periodici dei programmi aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale.
o Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati salvataggio dei dati salvataggio dei dati salvataggio dei dati con frequenza almeno settimanale.
23/03/2010
Chemello Dott. Ing. Nicola - www.securcube.net-
34
� Al fine di acquisire consapevolezza e visibilità sul livello di esposizione al rischio del proprio patrimonio informativo ed avere una mappa preliminare dell'insieme delle possibili contromisure di sicurezza da realizzare.
L'analisi dei rischi consiste in: o individuazione di tutte le risorse del patrimonio informativo;
o identificazione delle minacce a cui tali risorse sono sottoposte;
o identificazione delle vulnerabilità
o definizione delle relative contromisure.
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 35
� Predisporre un documento che illustri il patrimonio informativo dell'istituto con particolare riferimento ai trattamenti dei dati sensibili: o Descrizione: indicare brevemente il contenuto del bene o Locazione: indicare l'ufficio, il contenitore, il personal computer in cui si trova il bene trattato
o Tipologia: indicare se Personale/Sensibile/Anonimo o Supporto: indicare se Cartaceo o Informatico o Operatori: indicare i nomi delle persone che vi hanno accesso
e alle ulteriori risorse: o Hardware o Software o Apparecchiature di comunicazione o Servizi o Apparecchiature per l'ambiente
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 36
Descrizione Locazione Tipologia Supporto Operatori Responsabile
23/03/2010
13
� LE RISORSE HARDWARE
� LE RISORSE CONNESSE IN RETE
� I DATI TRATTATI
� I SUPPORTI DI MEMORIZZAZIONE
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 37
� Le vulnerabilità del sistema informativo possono essere potenzialmente sfruttate qualora si realizzasse una delle minacce indicate nel punto precedente. In particolare le vulnerabilità devono essere ricercate nei seguenti fattori: o infrastrutture;
o hardware;
o software;
o comunicazioni;
o personale;
o documenti cartacei.
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 38
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 39
Infrastruttura Hardware Comunicazioni
Mancanza di protezione fisica dell'edificio (porte finestre ecc.)
Mancanza di sistemi di rimpiazzo
Linee di comunicazione non protette
Mancanza di controllo di accesso
Suscettibilità a variazioni di tensione
Giunzioni non protette
Linea elettrica instabile Suscettibilità a variazioni di temperatura
Mancanza di autenticazione
Locazione suscettibile ad allagamenti
Suscettibilità a umidità, polvere, sporcizia
Trasmissione password in chiaro
Suscettibilità a radiazioni elettromagnetiche
Mancanza di prova di ricezione/invio
Manutenzione insufficiente
Presenza di linee dial-up (con modem)
Carenze di controllo di configurazione (upate/upgrade dei sistemi)
Traffico sensibile non protetto
Gestione inadeguata della rete
Connessioni a linea pubblica non protette
23/03/2010
14
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 40
Documenti cartacei Software Personale
Locali documenti non protetti Interfaccia uomo-macchina complicata Mancanza di personale
Carenza di precauzioni nell'eliminazione Mancanza di identificazione / autenticazione Mancanza di supervisione degli esterni
Non controllo delle copie Mancanza del registro delle attività (log) Formazione insufficiente sulla sicurezza
Errori noti del software Mancanza di consapevolezza
Tabelle di password non protette Uso scorretto di hardware/software
Carenza/Assenza di password management Carenza di monitoraggio
Scorretta allocazione dei diritti di accesso Mancanza di politiche per i mezzi di comunicazione
Carenza di controllo nel caricamento e uso di software
Procedure di reclutamento inadeguate
Permanenza di sessioni aperte senza utente
Carenza di controllo di configurazione
Carenza di documentazione
Mancanza di copie di backup
Incuria nella dismissione di supporti riscrivibili
� Azioni che si propongono al fine di annullare o di limitare le vulnerabilità e di contrastare le minacce,
� contromisure di carattere fisico contromisure di carattere fisico contromisure di carattere fisico contromisure di carattere fisico
� contromisure contromisure contromisure contromisure di carattere proceduraledi carattere proceduraledi carattere proceduraledi carattere procedurale
� contromisure contromisure contromisure contromisure di carattere di carattere di carattere di carattere elettronico/informaticoelettronico/informaticoelettronico/informaticoelettronico/informatico
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 41
�
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net-
42
23/03/2010
15
� L’uso scorretto del pc evidenzia le sue criticità in rete
� Policy di utilizzo o sottoscrizione del Codice di autoregolamentazione Internet e Minori del ministero dell'Innovazione e delle Tecnologie (www.mininnovazione.gov.it)
� Adozione di una "netiquette". regole scritte, rese note e apposte in ogni aula.
� Utilizzo di browser che filtrano la navigazione per bloccare contenuti non adatti all'età dei giovani navigatori
� Sito dell'Osservatorio Tecnologico per la scuola del Miur (www.osservatoriotecnologico.it/internet/bambini_rete.htm).
23/03/2010
Chemello Dott. Ing. Nicola - www.securcube.net-
43
http://wiki.osservatoriotecnologico.it/index.php/Proxy_Squid
non bisogna però dimenticarsi di operare in conformità alle norme in vigore riguardanti la privacy
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 44
� RIDURRE I RISCHI DOVUTI ALLE MINACCE ESTERNE O AI BLOCCHI DI SISTEMA
MIGLIORA LE ATTIVITÀ DIDATTICHE E LA SICUREZZA DEGLI ISTITUTI
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net-
45
23/03/2010
16
� 1. Assicurare i PC dal punto di vista fisico; � 2. Utilizzare un antivirus aggiornato; � 3. Eseguire regolari backup del PC; � 4. Utilizzare password forti e cambiarle regolarmente; � 5. Adottare il sistema di cifratura per le informazioni più importanti;
� 6. Navigare in Rete in modo prudente; � 7. Installare un firewall; � 8. Usare la posta elettronica in maniera sicura; � 9. Aggiornare il sistema periodicamente; � 10. Proteggere le connessioni.
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 46
� Furto (anche dei componenti) � Manomissione � server posti in apposite stanze,
o Eventualmente soluzioni organizzative alternative (es. armadi chiusi e appositamente allestiti) che offrano le medesime garanzie di sicurezza;
� accesso ai locali server protetto tramite la chiusura a chiave � la chiave custodita da personale incaricato della custodia dal responsabile/ dirigente (normalmente presso le segreterie);
� il personale incaricato della custodia delle chiavi è tenuto a riporle in un luogo non agevolmente accessibile da altri.
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 47
Accesso di personale interno della strutturaAccesso di personale interno della strutturaAccesso di personale interno della strutturaAccesso di personale interno della struttura
Possono accedere ai locali in cui sono presenti uno o più sistemi server solo:
� il dirigente/responsabile del trattamento;
� l’amministratore del sistema;
� il personale della struttura che deve accedervi per l’espletamento dei compiti propri, per le necessità di gestione e manutenzione dei sistemi (ad es. il personale preposto al cambio giornaliero delle cassette di backup), dei locali e degli impianti nonché per attività di pulizia ed affini ed altre attività comunque indispensabili.
23/03/2010
Chemello Dott. Ing. Nicola - www.securcube.net-
48
23/03/2010
17
Accesso di personale esterno alla Accesso di personale esterno alla Accesso di personale esterno alla Accesso di personale esterno alla strutturastrutturastrutturastruttura � il locale viene aperto dal personale custode delle chiavi; � ciascun intervento è annotato su un apposito registro conservato nella
stanza del server recante data e orario dell’intervento (inizio-fine), tipo di intervento, nome, cognome del tecnico intervenuto/Ditta o struttura, firma;
� al termine dell’intervento, l'incaricato della custodia della chiave provvede alla chiusura dei locali; o nessun soggetto estraneo può accedere ai sistemi server se non accompagnato dal
personale. o non c'èl a necessità di effettuare quotidianamente le operazioni di pulizia nella
stanza contenente il server: le giornate in cui il personale addetto alle pulizie accede alla medesima sono programmate, anche al fine dell’apertura del locale;
o è preferibile che le operazioni di pulizia si svolgano quando è presente il personale addetto alla custodia della chiave, che provvede personalmente all’apertura;
o ove non sia possibile la presenza del personale addetto alla custodia della chiave, in quanto l’intervento di pulizia si svolge al di fuori dell’orario di servizio per altre cause ostative, in via eccezionale, il locale rimane aperto al fine di consentire l’ingresso del personale addetto, limitatamente ai periodi in cui è stato programmato l'intervento di pulizia.
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 49
Protezione dei dati dal rischio di perdita dovuta ad eventi fisici
� Contromisure per il rischio di incendio
� Contromisure per le anomalie nell'alimentazione elettrica
� Contromisure per altri eventi (allagamenti, crolli ecc.)
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 50
� Un antivirus è un software atto a rilevare ed eliminare virus informatici o altri programmi dannosi come worm, trojan e dialer.
http://www.av-comparatives.org/
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 51
23/03/2010
18
� FATE IL BACKUP!!
� Il valore aggiunto delle informazioni memorizzate nel vostro sistema informativo è superiore al valore dell'investimento iniziale per l'infrastruttura (hardware + software), diventa diventa diventa diventa quindi strategico conservare questo patrimonio.quindi strategico conservare questo patrimonio.quindi strategico conservare questo patrimonio.quindi strategico conservare questo patrimonio.
I guasti hardware, l'imperizia dell'operatore, i virus sono le cause più frequenti di perdita delle informazioni.
� gestione delle copie di sicurezza dei dati, l'efficacia dipende da una corretta pianificazione del sistema informatico e delle procedure.
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 52
� Caso Caso Caso Caso A PC stand A PC stand A PC stand A PC stand alonealonealonealone
� Caso Caso Caso Caso B rete peer to B rete peer to B rete peer to B rete peer to peerpeerpeerpeer
� Caso Caso Caso Caso C rete con C rete con C rete con C rete con serverserverserverserver
� Caso Caso Caso Caso D rete mistaD rete mistaD rete mistaD rete mista
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 53
Quando vi accorgete che qualcosa non funziona con i vostri dati probabilmente è già tardi, il problema potrebbe già essere stato trasferito nelle copie rendendole inutili; si rende quindi necessario prevedere una procedura di backup più “robusta”.
Considerazioni di carattere generaleConsiderazioni di carattere generaleConsiderazioni di carattere generaleConsiderazioni di carattere generale o Conservate i dischi (cd, floppy) che fanno parte della dotazione di ogni vostro personal computer, incluso l'eventuale disco di ripristino generato durante l' installazione del sistema operativo.
o Conservate le copie originali di tutti i programmi applicativi utilizzati.
o L'esistenza di tali supporti è indispensabile nel caso in cui si debba ripristinare l'intero sistema operativo e il software applicativo.
23/03/2010
Chemello Dott. Ing. Nicola - www.securcube.net-
54
23/03/2010
19
� http://www.microsoft.com/italy/athome/security/privacy/password.mspx
� Lunghezza adeguata
� Combinazione di lettere, numeri e simboli.(meno sono i tipi di caratteri utilizzati nella password, più è importante aumentarne la lunghezza)
� Utilizzo dell'intera tastiera
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 55
Strategie da evitare
� Evitare sequenze o caratteri ripetuti.
� Evitare sostituzioni di caratteri con numeri o simboli simili.
� Non utilizzare il nome di accesso.
� Non utilizzare parole presenti sul vocabolario di una qualsiasi lingua.
� Non utilizzare la stessa password per più account
� Non utilizzare gli archivi online.
� Non utilizzare le date di nascita
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 56
� http://www.microsoft.com/italy/athome/security/privacy/password_checker.mspx
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 57
23/03/2010
20
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 58
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 59
� La "Sicurezza" è un processo che deve garantire la riservatezza delle comunicazioni, l'integrità di dati e applicazioni (modificabili solo da coloro che ne hanno la titolarità), la disponibilità continua del sistema. (Tratto da Repubblica Affari & Finanza)
� Cosa vogliamo proteggere e da chi?
� Per mezzo delle reti locali si "trattano" dati che non vengono considerati pubblici e che di conseguenza debbono essere protetti, ovvero garantire le seguenti proprietàproprietàproprietàproprietà: o Confidenzialità
• I dati devono poter essere esaminati solamente dagli addetti al loro trattamento.
o Integrità • I dati non devono essere alterati, sia che risiedano stabilmente su un solo sistema (stand alone), sia che vengano trasmessi.
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 60
23/03/2010
21
� Protezione da malintenzionati
� Ogni computer collegato in rete può essere soggetto di tentativi di connessione effettuati da soggetti che utilizzano altri computer collegati alla rete.
� La La La La difesa dagli attacchi di questo tipo è comunque difesa dagli attacchi di questo tipo è comunque difesa dagli attacchi di questo tipo è comunque difesa dagli attacchi di questo tipo è comunque assicurata solo se viene data puntuale applicazione a tutto assicurata solo se viene data puntuale applicazione a tutto assicurata solo se viene data puntuale applicazione a tutto assicurata solo se viene data puntuale applicazione a tutto il complesso delle regole di sicurezza qui il complesso delle regole di sicurezza qui il complesso delle regole di sicurezza qui il complesso delle regole di sicurezza qui elencate. IL elencate. IL elencate. IL elencate. IL FIREWALL DA SOLO NON è SICUREZZAFIREWALL DA SOLO NON è SICUREZZAFIREWALL DA SOLO NON è SICUREZZAFIREWALL DA SOLO NON è SICUREZZA
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 61
� http://antiphishing.poste.it/
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 62
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 63
23/03/2010
22
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 64
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 65
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 66
23/03/2010
23
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 67
� LAN o Accesso fisico
o DHCP
� VPN
� WIFI o Sicurezza wireless
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 68
�
Rischi di sicurezza per i dispositivi rimovibili
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net-
69
23/03/2010
24
Il costo di una chiavetta USB può essere insignificante ma il valore dei dati in essa contenuti potrebbe non essere quantificabile
� Perdita della sicurezza dei dati
USB come trojan
� Introduzione di malware nella rete aziendale (dolo/colpa)
http://www.enisa.europa.eu/doc/pdf/publications/Secure%20USB%20drives_180608.pdf
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 70
�
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net-
71
� possibili contatti con adulti che vogliono conoscere e avvicinare bambini o ragazzi (adescamento)
� videogiochi violenti e diseducativi
� pubblicità ingannevoli
� scorrette informazioni su ricerche scolastiche, diete, ecc.
� scarico di musica o film coperti da diritti d’autore
� virus informatici in grado di infettare computer e cellulari
� rischio di molestie o maltrattamenti da coetanei (bullismo)
� uso eccessivo di Internet/cellulare (dipendenza tecnologica)
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 72
23/03/2010
25
� il il il il 91% dei minori naviga in Rete e il 27% utilizza le chat, 91% dei minori naviga in Rete e il 27% utilizza le chat, 91% dei minori naviga in Rete e il 27% utilizza le chat, 91% dei minori naviga in Rete e il 27% utilizza le chat, mentre quasi l’80% di essi affronta il mondo di Internet mentre quasi l’80% di essi affronta il mondo di Internet mentre quasi l’80% di essi affronta il mondo di Internet mentre quasi l’80% di essi affronta il mondo di Internet senza la supervisione di un genitoresenza la supervisione di un genitoresenza la supervisione di un genitoresenza la supervisione di un genitore.
� più più più più di un ragazzo su 10 dichiara di avere avuto contatti di un ragazzo su 10 dichiara di avere avuto contatti di un ragazzo su 10 dichiara di avere avuto contatti di un ragazzo su 10 dichiara di avere avuto contatti “pericolosi” sul Web“pericolosi” sul Web“pericolosi” sul Web“pericolosi” sul Web: di questi minori, il 75% non parla poi in casa con i propri genitori di tali incontri sgraditi , per vergogna o perchè “i genitori non capirebbero”. Fonte: Polizia Postale e delle Comunicazioni nelle scuole secondarie italiane,
� Un altro dato: più della metà dei minori italiani tramite la più della metà dei minori italiani tramite la più della metà dei minori italiani tramite la più della metà dei minori italiani tramite la Rete ha accesso al mondo della pornografiaRete ha accesso al mondo della pornografiaRete ha accesso al mondo della pornografiaRete ha accesso al mondo della pornografia....
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 73
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 74
� Dite ai vostri figli di non fornire dati personali � Controllate quello che fanno i vostri figli quando sono collegati e quali sono i loro interessi. � Collocate il computer in una stanza di accesso comune e cercate di usarlo qualche volta
insieme ai vostri figli. � Non permettetegli di usare la vostra carta di credito senza il vostro permesso. � Controllate periodicamente la "cronologia" dei siti web visitati. � Cercate di stare vicino ai vostri figli quando creano profili legati ad un nickname per usare
programmi di chat. � Insegnategli a non accettare mai di incontrarsi personalmente con chi hanno conosciuto in rete, � Leggete le e-mail con i vostri figli, controllando ogni allegato al messaggio. � Dite loro di non rispondere quando ricevono messaggi di posta elettronica di tipo volgare, � Spiegate ai vostri figli che può essere pericoloso compilare moduli on line e dite loro di farlo
solo dopo avervi consultato. � Stabilite quanto tempo i vostri figli possono passare navigando su Internet. � Esistono particolari software, facilmente reperibili su internet, che impediscono l'accesso a siti
non desiderati
http://www.poliziadistato.it/articolo/1107-Qualche_consiglio_per_i_genitori
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 75
23/03/2010
26
http://www.microsoft.com/italy/athome/security/children/kidtips13-17.mspx
http://aiuto.alice.it/informazioni/sicurezza_in_rete/index.html
http://www.ilfiltro.it/test
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 76
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 77
� http://www.youtube.com/t/safety?hl=it
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 78
23/03/2010
27
� Atti di bullismo e di molestia effettuati tramite mezzi elettronici come l'e-mail, la messaggeria istantanea, i blog, i telefoni cellulari, i cercapersone e/o i siti web
Confronto Confronto Confronto Confronto tra cyberbullismo e tra cyberbullismo e tra cyberbullismo e tra cyberbullismo e bullismobullismobullismobullismo
l'uso dei mezzi elettronici conferisce al cyberbullismo alcune caratteristiche proprie:
o Anonimato del molestatore
o Difficile reperibilità
o Indebolimento delle remore etiche
o Assenza di limiti spaziotemporali
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 79
Incontro di sensibilizzazione sul tema, proposto dalla Rete Privacy della provincia di Treviso
� Le Le Le Le cause del cyberbullismo (psicologo)cause del cyberbullismo (psicologo)cause del cyberbullismo (psicologo)cause del cyberbullismo (psicologo)
� Cosa si rischia (dottore in giurisprudenza)Cosa si rischia (dottore in giurisprudenza)Cosa si rischia (dottore in giurisprudenza)Cosa si rischia (dottore in giurisprudenza)
� Aspetti tecnici per la prevenzione (ingegnere Aspetti tecnici per la prevenzione (ingegnere Aspetti tecnici per la prevenzione (ingegnere Aspetti tecnici per la prevenzione (ingegnere dell’informazione)dell’informazione)dell’informazione)dell’informazione)
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 80
�
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net-
81
23/03/2010
28
� Social network = piazza virtuale in cui ci si ritrova condividendo con altri fotografie, filmati, pensieri, indirizzi, numeri di telefono, …
� I Social network sono strumenti che danno l'impressione di uno spazio personale o di piccola comunità.
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 82
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 83
� Facebook, myspace, Hi5, Flickr, Skyrock, Friendster, Tagged, LiveJournal, Orkut, Fotolog, Bebo.com, LinkedIn, Badoo.com, Multiply, Imeem, Ning, Last.fm, Twitter, MyYearbook, Vkontakte, aSmallWOrld, Windows Live, Xiaonei, Netlog, ...
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 84
23/03/2010
29
� Il Garante per la privacy ha creato una breve guida
� L'obiettivi: o spunti di riflessione
o consigli per tutelare la nostra identità, i nostri dati personali
� La forma di tutela più efficace è comunque sempre l'autotutela, cioè la gestione attenta dei propri dati personali
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 85
� A volte, accettando di entrare in un social network, viene concesso all'impresa che gestisce il servizio la licenza di usare senza limiti di tempo il materiale che viene inserito online (foto, video, chat, pensieri, …)
� Ti taggo, posso farlo??
� Il mio hobby: andare a pesca. Pubblicità ad hoc?
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 86
L’8% dei teenager tra i 15 e i 17 anni posta in Rete foto che lo foto che lo foto che lo foto che lo ritraggono nudoritraggono nudoritraggono nudoritraggono nudo o in pose sexy, pratica seguita anche dal 4% dei minori tra i 12 e i 14 anni
Fonte: Save The Children e Adiconsum
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 87
23/03/2010
30
� Marketing illegale su Facebook: (Maxi risarcimento in America per Facebook: 711 milioni di dollari in danni riconosciuti al social network da un tribunale della California, per le attività di spamming illegale effettuate da un utente)
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 88
� Stesso nome, stessa persona?
� Il mio codice fiscale?
� La mia password?
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 89
�
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net-
90
23/03/2010
31
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 91
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 92
� Legge sul diritto d'autore così come modificata da L. 248/2000, dal recepimento, nel 2003, della Direttiva Europea sul Copyright, e dalla legge Urbani del 2004, poi modificata nel 2005.
� Attualmente: o chi scarica semplicemente senza condividere in rete opere protette da diritto d'autore (ipotesi marginale e non legata nella pratica all'uso di programmi P2P), commette un illecito ma non un reato ed è punito con una sanzione amministrativa (art. 174 L. 633/41)
o chi condivide in rete opere protette da diritto d'autore al fine di trarne profitto (ovvero ipoteticamente tutti coloro che fanno uso di programmi di P2P in modo illecito) commette un reato, punito con la reclusione da sei mesi a tre anni e con una multa (art. 171 -bis comma 2 L. 633/41)
o chi condivide in rete per uso non personale e per fini di lucro opere protette da diritto d'autore, commette un reato oggetto di pesanti sanzioni penali e pecuniarie (reclusione da sei mesi a tre anni e multa per arrivare fino alla reclusione da uno a 4 anni e multa) (art.171-ter e art.171-ter, comma 2, lett. a-bis L. 633/41)
23/03/2010
Chemello Dott. Ing. Nicola - www.securcube.net-
93
23/03/2010
32
� Distribuiva musica pirata tramite File Sharing (P2P), Italiano condannato» un giovane è stato condannato a 3660 euro di multa (2660 dei quali in conversione della parte penale del processo quantificabile in 2 mesi e 10 giorni di reclusione) per aver scambiato file tramite P2P
� l'articolo 174-bis legge n. 633/1941 prevede, oltre la sanzione penale, anche una sanzione amministrativa pecuniaria pari al doppio del prezzo di mercato dell'opera o del supporto oggetto della violazione, in misura comunque non inferiore a euro 103,00.
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 94
� Materiale «fake» + software indesiderato
� malware
� Condivisione dell’intero disco
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 95
�
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net-
96
23/03/2010
33
� Guida Sicurezza EDU – Microsoft � http://www.emuleitalia.net/fora/index.php?topic=23117.0;wap2 � http://www.bitcity.it/news/9597/report-cisco-2009-sulla-sicurezza-cresce-la-pericolosita-degli-attacchi-
informatici.html � Social network: attenzione agli effetti collaterali [Garante per la protezione dei dati personali] � www.garanteprivacy.it � www.mininnovazione.gov.it � www.osservatoriotecnologico.it/internet/bambini_rete.htm � http://wiki.osservatoriotecnologico.it/index.php/Proxy_Squid � http://www.bitcity.it/news/9597/report-cisco-2009-sulla-sicurezza-cresce-la-pericolosita-degli-attacchi-
informatici.html � Cisco 2009 Midyear Security Report � http://www.garanteprivacy.it/garante/doc.jsp?ID=1557184 � http://www.garanteprivacy.it/garante/doc.jsp?ID=1387522 � http://www.sicurezza.provincia.tn.it/index.php/Misure2 � http://www.av-comparatives.org/ � http://www.microsoft.com/italy/athome/security/privacy/password.mspx � http://it.wikipedia.org/wiki/P2p � http://www.savethechildren.it � http://www.enisa.europa.eu/doc/pdf/publications/Secure%20USB%20drives_180608.pdf
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net- 97
�
23/03/2010 Chemello Dott. Ing. Nicola -
www.securcube.net-
98
� www.securcube.net www.nicolachemello.com