IT SECURITY

LA SICUREZZA INFORMATICA

CONCETTI DI SICUREZZA CAPITOLO 1

DISTINGUERE TRA DATI E INFORMAZIONI.

DATO: ELEMENTO INFORMATIVO (SIMBOLO, NUMERO, TESTO) CHE DEVE ESSERE ELABORATO. ES.: MARIO

INFORMAZIONE: INSIEME DI DATI COMPRENSIBILI. ES.: MARIO ROSSI, VIA ITALIA, 33

I CRIMINI INFORMATICI

SI TRATTA DI ATTIVITÀ CRIMINALE EFFETTUATA CON L’UTILIZZO DEGLI STRUMENTI INFORMATICI.

RIENTRANO IN QUESTA TIPOLOGIA:

LA FRODE

IL FURTO DI DATI/IDENTITÀ

L’ACCESSO NON AUTORIZZATO AI SISTEMI INFORMATICI

INTERCETTAZIONE ILLECITA DI DATI/COMUNICAZIONI

RIPRODUZIONE NON AUTORIZZATA

DIFFUSIONE DI VIRUS/MALWARE

DANNEGGIAMENTO, CANCELLAZIONE, ALTERAZIONE DEI DATI

I CRIMINALI INFORMATICI

• HACKER/HACKING = INSIEME DI METODI UTILIZZATI PER ACCEDERE A UN SISTEMA HARDWARE

O SOFTWARE PER ESPLORARLO, MODIFICARLO, ADATTARLO ALLE PROPRIE ESIGENZE.

• L’HACKING ETICO = SFRUTTA LE COMPETENZE DEGLI HACKER PER SCOPI LECITI: MIGLIORARE

LA SICUREZZA DI UN SISTEMA EVIDENZIANDONE I PUNTI DEBOLI.

• CRACKER = CHI ACCEDE IN MODO ILLEGALE NEI SISTEMI INFORMATICI PER CARPIRE DATI,

DANNEGGIARE I SISTEMI; PER AVERE UN VANTAGGIO. QUESTA ATTIVITÀ CRIMINALE SI CHIAMA

CRACKING.

LE MINACCE AI DATI

NATURALI

• CALAMITÀ NATURALI

• ERRORE UMANO INVOLONTARIO

DELIBERATE

• ATTACCHI INFORMATICI

• PERSONALE/FORNITORI/CLIENTI CHE

HANNO ACCESSO AI SISTEMI INFORMATICI

• COPIA NON AUTORIZZATA DI DATI

IL CLOUD COMPUTING

TECNOLOGIE CHE PERMETTONO DI ELABORARE, ARCHIVIARE E MEMORIZZARE DATI GRAZIE

ALL’UTILIZZO DI RISORSE HARDWARE E SOFTWARE DISTRIBUITE NELLA RETE (SERVER REMOTO)

VANTAGGI

Riduzione dei costi

(meno infrastrutture,

meno costi per il

personale…)

SVANTAGGI

Perdita del controllo dei

dati

Possibili problemi per la

violazione della privacy

LA SICUREZZA DELLE INFORMAZIONI

PER ESSERE CONSIDERATE SICURE LE INFORMAZIONI DEVONO AVERE QUESTE CARATTERISTICHE:

• DISPONIBILITÀ = LE RISORSE DEVONO ESSERE DISPONIBILI ALLE PERSONE AUTORIZZATE NEL

MOMENTO IN CUI SERVONO

• INTEGRITÀ = LE INFORMAZIONI DEVONO ESSERE CORRETTE, COMPLETE, COERENTI E

AFFIDABILI – NON DEVONO ESSERCI MANOMISSIONI NÉ MODIFICHE NON AUTORIZZATE

• CONFIDENZIALITÀ O RISERVATEZZA = SOLO LE PERSONE AUTORIZZATE POSSONO

ACCEDERVI; LE INFORMAZIONI VANNO PROTETTE SIA DURANTE LA COMUNICAZIONE, SIA

DURANTE LA TRASMISSIONE

LA TUTELA DELLA PRIVACY IL D.L.196/2003 AFFERMA CHE CHIUNQUE HA DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI

CHE LO RIGUARDANO.

I PRINCIPI DEL D.L. 196/2003 HANNO PER OGGETTO:

• LA TRASPARENZA (COMUNICARE LE FINALITÀ, LE PROCEDURE ADOTTATE, LE MODALITÀ DI

CONTESTAZIONE)

• LA LEGITTIMITÀ (SOLO PER SCOPI LEGITTIMI E CHE NON VIOLINO I DIRITTI DELLA PERSONA

INTERESSATA)

• LA PROPORZIONALITÀ (RICHIESTA DATI)

L’ART. 4 DEL DL DEFINISCE I TERMINI DI

INTERESSATO = PERSONA A CUI SI RIFERISCONO I DATI PERSONALI

RESPONSABILE = CHI È PREPOSTO AL TRATTAMENTO DEI DATI PERSONALI (PERSONA FISICA O

GIURIDICA)

L’INGEGNERIA SOCIALE (SOCIAL ENGINEERING)

Insieme di pratiche messe in atto da malintenzionati che

manipolano psicologicamente le persone per procurarsi

password e codici. Il social engineer studia i sistemi di

comunicazione aziendali, manda e-mail, telefona, si finge

un utente inesperto…

LE TECNICHE MESSE IN ATTO

• TELEFONATE

• PHISHING (E-MAIL INGANNEVOLE)

• SHOULDER SURFING (SPIARE DIRETTAMENTE)

• SKIMMING (CLONARE LE CARTE DI CREDITO/BANCOMAT)

• DUMPSTER DIVING (FRUGARE NELLA SPAZZATURA)

• EAVESDROP (ORIGLIARE)

• WIRETAP (INTERCETTAZIONI)

LA SICUREZZA DEI FILE

• ATTIVARE LE MACRO (WORD, EXCEL) SOLO SE SICURI DELLA PROVENIENZA.

• INSERIRE PASSWORD PER I DOCUMENTI DIGITALI, PER I FILE COMPRESSI

LA CRITTOGRAFIA

Codice segreto utilizzato per cifrare i messaggi e per

impedire il tentativo di accesso non autorizzato.

Crittografia

simmetrica

password

Crittografia

asimmetrica

Chiave pubblica

(del destinatario) Chiave privata

Utilizzata dal

mittente per

codificare

Utilizzata dal

destinatario per

decodificare

Disponibili attraverso un ID digitale