Realizzato da: Ivana Gambino Presentazione. Introduzione Fino a circa dieci anni fa, l’uso del PC...

Realizzato da: Ivana Gambino

Presentazione


Introduzione

Fino a circa dieci anni fa, l’uso del PC non comportava particolari preoccupazioni nella protezione dei dati contenuti in esso.

Per evitare perdita di dati, effettuavamo il Backup per prevenire perdite di dati nel caso in cui si fosse verificato un mal funzionamento del computer.

L’utilizzo di password all’avvio del computer, ci garantiva una garanzia contro l’accesso da parte di terze persone.


Con il nascere e il diffondersi delle reti informatiche, cominciarono a nascere problemi di rischio dovuti a:

•Minacce di intrusione

•Possibilità di divulgazione non autorizzata di informazioni

•Interruzione e distruzioni di servizi offerti dall’utenza.

Con il nascere di questi ed altri problemi di sicurezza, si è sentita la necessità di istituire u settore specifico dell’informatica denominato Sicurmatica che si occupasse delle norme inerenti: il trattamento e la salvaguardia degli informatici e delle informazioni in esse contenute.


Elenco degli argomenti

Sicurezza Informatica Gestione del rischio Organizzazione della Sicurezza Standard ed Enti di Standardizzazione Crittografia Autenticazione Protezione dei dati Le Minacce


La Sicurezza Informatica

La sicurezza delle informazioni è una componente della sicurezza dei beni in generale.

Qualunque programma che si occupi della sicurezza delle informazioni, deve perseguire 3 obiettivi fondamentali:

1. La disponibilità

2. L’integrità

3. La riservatezza


Alla sicurezza possiamo aggiungere altri due obiettivi che possiamo considerarli una estensione dell’integrità delle informazioni:

•L’autenticità: essa garantisce che l’invio di un messaggio o una transazione vengano attribuiti con certezza al destinatario

•Il non ripudio: garantisce che il messaggio o transazione, conosca il suo autore


La disponibilità

La disponibilità è il grado in cui le informazioni e le risorse informatiche sono accessibili agli utenti che ne hanno diritto, nel momento in cui servono.

Per impedire che i dati siano accessibili, si deve tener conto:

Delle condizioni ambientali

Delle risorse hardware e software

Di attacchi esterni


L’integritàL’integrità può riguardare le informazioni, le risorse informatiche,

l’hardware e i sistemi di comunicazione e il software

Per ciò che riguarda le informazioni, è il grado in cui le informazioni devono essere: corrette, coerenti e affidabili;

Per ciò che riguarda le risorse informatiche, è il grado in cui le risorse devono avere: completezza, coerenza e buone condizioni di funzionamento;

Per ciò che riguarda l’hardware e i sistemi di comunicazione, consiste:

- Nella corretta elaborazione dei dati- In un livello adeguato di prestazioni- In un corretto instradamento dei dati.

Per ciò che riguarda il software riguarda:- La completezza e la coerenza dei moduli del sistema operativo e

delle applicazioni- La correttezza dei file critici di sistema e di configurazione.

La sicurezza


La riservatezza

La riservatezza consiste nel limitare l’accesso alle informazioni e alle risorse informatiche alle sole persone autorizzate.

Si applica sia l’archiviazione, sia alla comunicazione delle informazioni.

La sicurezza


Gestione del rischioAdesso esamineremo i rischi connessi ai vari

aspetti di sicurezza delle informazioni analizzando :

1. I beni da difendere2. Gli obiettivi di sicurezza3. Le minacce alla sicurezza4. La vulnerabilità dei sistemi informatici5. L’impatto causato dall’attuazione delle mi

nacce6. Il rischio


I beni da difendere

Un bene è qualsiasi cosa che ha un valore e deve essere protetto.

Nel campo della sicurezza delle informazioni, i beni sono aziendali ed individuali.

I beni di un azienda sono:- Le risorse informatiche- Il personale- Le informazioni- La documentazione- L’immagine dell’azienda

I beni di un individuo sono:- Informazioni personali- La privacy

Gestione del rischio


Obiettivi di sicurezzaGli obiettivi di sicurezza, sono il grado di protezione che si intende

attuare per i beni di:

- Disponibilità- Integrità- Riservatezza

Per sapere quale obiettivo adottare, i beni si classificano in categorie e ad ognuno di essi si assegna il tipo di sicurezza:

- Per le password e i numeri di identificazione il requisito più importante per raggiungere l’obiettivo della sicurezza, è la riservatezza.

- Per le informazioni contabili di una banca che esegue transazioni on- line i requisiti richiesti sono: disponibilità, integrità e riservatezza.

- Per le informazioni pubblicate sul sito web i requisiti sono: disponibilità e integrità.



Minacce alla sicurezza

Una minaccia è un azione: potenziale, accidentale, deliberata. Essa può portare alla violazione ad uno o più obiettivi di sicurezza.

Le minacce possono essere classificate: naturale, ambientale e umana.

Tabella esempi di minacce

Per esempio: un cavallo di Troia installato all’apertura di un allegato di posta elettronica infetto, questa è una minaccia deliberata di origine umana e coinvolge tutti gli obiettivi di sicurezza, ciò coinvolge la sicurezza nei 3 obiettivi:

- disponibilità in quanto il computer cade sotto il controllo esterno e non può più essere disponibile al suo proprietario

- Integrità in quanto le sue informazioni possono essere cancellate o alterate

- Riservatezza in quanto i dati possono essere divulgati e letti dagli estranei.

L’entità che mette in atto la minaccia è chiamato agente.



TabellaMinaccia Deliberata Accidentale Ambiental

e

Terremoto x

Inondazione x x

Bombardamento x x

Furto x

Temperatura alta o bassa x x x

Guasto hardware x

Errori software x x

Deterioramento supporto di memoria

x

Infiltrazione di rete x


Vulnerabilità dei sistemi informatici

La vulnerabilità è un punto debole del sistema informatico che, se colpito da una minaccia, porta a qualche violazione degli obiettivi di sicurezza.

Una vulnerabilità, non causa una perdita di sicurezza, ma è la combinazione tra vulnerabilità e minaccia che determina la possibilità che vengano violati gli obiettivi di sicurezza.

Esempio: se un computer utilizzando per la contabilità di un azienda, non protetto da firewall, antivirus e patch di sicurezza del sistema operativo, è vulnerabile, ma se è tenuto al sicuro, viene usato solo dal titolare e non è collegato ad internet, può funzionare senza il pericolo di essere colpito da minacce



L’impatto causato dall’attuazione delle minacce

L’impatto si ha quando la minaccia colpisce il sistema e dipende dal valore del bene e dalla violazione degli obiettivi di sicurezza.

Esempio: se il titolare di un’azienda, connette il suo portatile ad internet senza protezione, apre una e-mail infetta propagando l’infezione alla rete aziendale, l’impatto è grave e coinvolge tutti gli obiettivi di sicurezza.

In questo caso il titolare dell’azienda è l’agente, la vulnerabilità è la conseguenza della cattiva configurazione del portatile per la mancata installazione di antivirus e firewall, la minaccia è data dalle cattive abitudini e incompetenze del titolare.

Ciò causerebbe: il blocco temporaneo della rete e dei computer ad essa collegata, la disinfestazione con il conseguente rischio della perdita dei dati e la reinstallazione del software.



Il rischio

Il rischio è tanto maggiore quanto maggiore è l’impatto che l’ ha causato e l’alta probabilità che esso si verifichi.

Possiamo definire il rischio: l’insieme della gravità dell’impatto e la probabilità che si verifichi l’evento dannoso.

Possiamo classificare il rischio in due fasi: Analisi del rischio Controllo del rischio



Analisi del rischio

In questa fase si classificano le informazioni e le risorse soggette a minacce e vulnerabilità e si identifica il livello di rischio associato ad ogni minaccia


Controllo del rischio

In questa fase vengono individuate le modalità che l’azienda intende adottare per ridurre i rischi associati alla perdita della disponibilità delle informazioni e risorse informatiche e della integrità e della riservatezza di dati ed informazioni.



Organizzazione della sicurezzaLa sicurezza delle informazioni è il risultato di un insieme di processi ai vari

livelli dell’organigramma aziendale.Non sono sufficienti solo strumenti e tecnologie per ottenere la sicurezza, ma

occorre creare un organizzazione per le sicurezza che assuma la responsabilità di quanto attiene alla sicurezza e coinvolga l’intera struttura aziendale, in modo che tutto il personale contribuisca nel proprio ambito al disegno generale della sicurezza secondo un organigramma a livelli.

L’organizzazione della sicurezza parte dall’alto dove gli obiettivi e le politiche di sicurezza sono definiti dal top management per poi essere specificati nei dettagli man mano che si scende attraverso gli strati del modello organizzativo della sicurezza.

In cima a questo modello ci sono gli obiettivi strategici in cui si deve fare carico l’organizzazione di sicurezza: classificazione dei beni e del loro valore,censimento e vulnerabilità e minacce, analisi del rischio, analisi costi/benefici delle contromisure, valutazione del grado di protezione, definizione delle politiche di sicurezza, ecc.

Il primo compito è quello di inquadrare l’azienda in base al modello di attività, all’esposizione ai rischi e alla dipendenza della infrastruttura informatica e di comunicazione.

Questo esame preliminare dovrà tenere in considerazione il quadro legislativo tracciato dalle leggi sulla criminalità informatica e sulla privacy.


Standard ed enti di standardizzazione

Gli enti di standardizzazione sono organigrammi di natura molto differente che coprono aspetti normativi diversi a secondo di casi.

Operano in ambito nazionale e internazionale ed emettono norme e linee guida per la realizzazione di prodotti, processi e servizi a secondo delle tecnologie del momento.

Svolgono altre attività come la pubblicazione di documenti che possano essere facilmente interpretati secondo gli standard internazionali.

Ecco alcuni enti di standardizzazione:- ITU: è un’organizzazione ONU dove governi e settore privato

coordinano le reti e i servizi globali di telecomunicazione.- ISO: è la maggiore organizzazione internazionale di

standardizzazione e comprende gli enti di standardizzazione nazionale di 146 paesi.

- IETF: internet Engineering task force.


La crittografiaLa crittografia consiste nel cifrare un testo in chiaro attraverso

un algoritmo di cifratura che fa uso in input di una chiave. Il risultato della cifratura sarà un testo inintelligibile che potrà essere cifrato disponendo della chiave di decifratura.

Le tecniche crittografiche permettono:- di trasformare dati e informazioni in modo da nascondere il

contenuto a chiunque non sia autorizzato e attrezzato per prenderne visione

- di impedire ad estranei di alterare i dati, segnalando qualunque tentativo in tal senso

- Di garantire l’autenticità dei dati, associandoli in modo certo al loro proprietario, impedendo allo stesso tempo che il mittente di un messaggio possa ripudiare la paternità.

Vi sono due tipi di crittografia: crittografia simmetrica e crittografia asimmetrica.


Crittografia simmetricaL’uso della crittografia simmetrica conferisce

riservatezza al messaggio, ma non assicura l’autenticazione o il non ripudio, poiché non c’è associazione univoca e sicura tra la chiave e un individuo. Di conseguenza, il mittente apparente di un messaggio cifrato con chiave simmetrica potrebbe sempre negare di avere spedito il messaggio, attribuendone la responsabilità diretta o indiretta al destinatario detentore della stessa chiave. Questo tipo di crittografia viene utilizzata per cifrare grandi quantità di dati cosa che non è possibile con la cifratura asimmetrica.


Crittografia asimmetricaLa crittografia asimmetrica, fa uso di due chiavi

diverse per cifrare e decifrare i messaggi o documenti. Con un sistema di crittografia a chiave pubblica, gli utenti possono comunicare in modo sicuro attraverso un canale insicuro senza dover concordare in anticipo una chiave. Un algoritmo asimmetrico prevede che ogni utente abbia una coppia di chiavi: la chiave privata e pubblica.

La chiave pubblica può essere distribuita senza restrizioni, a patto che sia autenticata.

La chiave privata deve essere custodita al sicuro dal proprietario.

La crittografia


AutenticazioneAll’atto dell’autenticazione, deve essere in possesso di una password o

un certificato digitale, come prova della propria identità.L’utente, una volta autenticato, può accedere solo alle risorse per cui è

autorizzato.Vi sono diversi tipi di autenticazione:- autenticazione locale: è quella utilizzata da un computer o un

portatile- Autenticazione indiretta: è usata nei moderni sistemi distribuiti

per consentire a diversi utenti ad accedere ai servizi di rete- Autenticazione off-line: è quella utilizzata dai sistemi che

utilizzano la chiave pubblica.I sistemi di autenticazione hanno generalmente alcuni elementi in

comune:- una persona da autenticare- Una caratteristica su cui basare l’autenticazioneI fattori di autenticazione sono divisi in 3 categorie:- Qualcosa che sai: password, PIN, passphrase- Qualcosa che hai: smart card, token- Quello che sei: impronte digitali, retina,iride, ecc.


Password

L’uso delle password è uno dei più antichi sistemi di autenticazione.

Quella che viene tuttora utilizzato è l’hashing delle password.

Un Hash è un numero binario di lunghezza fissa, ricavato da un input, di lunghezza variabile che funge da impronta del dato di partenza.

All’atto dell’autenticazione, l’hash viene confrontato con quello registrato nel file; se coincidono, l’utente è autenticato.

L’autenticazione


TokenUn token è un fattore di autenticazione della categoria

“quello che hai”, l’utente deve essere in possesso del token al fine di essere autenticato dal computer. Ci sono due tipi di token: token passivi e attivi.

Token passivi: sono le carte di credito, bancomat di vecchia generazione, si chiamano così perché i dati di identificazione sono registrati su una striscia magnetica.

Token attivi: a differenza dei token passivi, quelli attivi non trasmettono il proprio dato segreto per autenticare l’utente, ma lo utilizzano per qualche calcolo. I token attivi usano tecniche crittografate che li rendono immuni da intercettazioni.

L’autenticazione


Firma digitalePer verificare che un dato

documento sia stato realmente prodotto o inviato, viene utilizzata la firma digitale che garantisce l’autenticità di colui che dice di aver firmato quel dato documento. La firma digitale deve essere: verificabile, non falsificabile e non ripudiabile.

L’autenticazione


Protezione dei dati

Parlando di disponibilità dei dati viene spontaneo pensare alla possibilità che si guastino i dischi fissi o la rete cessi di funzionare o che si verifichi un blackout, ma è anche importante considerare che gli eventuali meccanismi di protezione e di controllo degli accessi funzionino regolarmente e che i relativi database siano a loro volta accessibili e contengano dati validi.

Per garantire l’accessibilità dei dati è naturalmente necessario che le connessioni di rete funzionino e siano affidabili.

L’insieme delle garanzie di disponibilità dei dati e ininterrotto e regolare funzionamento dei processi aziendali sono i pilastri della cosiddetta “Business Continuity”. Questa è la misura in cui un organizzazione riesce a garantire la stabilità ininterrotta dei sistema e delle procedure operative anche a fronte di eventi eccezionali.

Le dotazioni hardware sono importanti per il buon funzionamento.


BackupNel caso di attacchi da virus, il danno si

ripercuote anche in tutti i dischi con possibili cause di cancellazione di tutti i dati.

Una soluzione adeguata riguarda il cosiddetto Backup il quale consente di proteggere i dati in un supporto fisico diverso da quello in uso, effettuando una copia di riserva dei dati di interesse dell’Organizzazione, per poterne fare uso al momento di necessità.

Il backup può essere effettuato in diversi modi: Backup normale : copia tutti i file ma richiede

più tempo Backup incrementale : copia solo i file

selezionati ed è più veloce.


Le minacceUn virus è un frammento che inserisce se stesso

in un programma ospite, inclusi i sistemi operativi, al fine di diffondersi. Esso non va in esecuzione indipendentemente ma per potersi attivare, richiede che il suo programma ospite sia eseguito.

Esistono diverse tipologie di virus: Virus che infettano i file Virus del settore boot Virus MBR ( Master Boot Record) Virus multipartito Macro virus Virus Hoax


Virus che infettano i fileQuesti virus infettano i programmi,

normalmente file eseguibili con estensioni “.com” e “.exe” .

Possono infettare altri file quando un programma infetto viene eseguito da floppy, disco fisso, cd-rom ecc.

Molti di questi virus rimangono residenti in memoria e una volta infettata la RAM, qualunque programma che viene mandato in esecuzione sarà infettato.

Le Minacce


Virus del settore bootQuesti virus infettano il

boot record del disco fisso o di un floppy, ovvero quell ‘aria che serve ad avviare il computer.

Questi virus sono sempre residenti in memoria.

Le Minacce


Virus MBR

Sono simili ai precedenti, solo che il codice virale si localizzerà in parti diverse a secondo del tipo di partizione del disco.

Le Minacce


Virus multipartito

Questi virus infettano sia il boot che i file programma. Sono particolarmente difficili da rimuovere perché ripulendo il record di boot senza rimuovere i virus dai file infetti, comporterà una nuova infezione del boot record e viceversa.

Le Minacce


Macro virus

Questi tipi infettano i dati. I macro virus possono infettare i file prodotti dalle applicazioni quali:

Word Excel PowerPoint Access

Le Minacce


Virus HoaxPiù che virus, sono messaggi di

avviso contenente falsi allarmi. Vengono chiamati Bufale e sono quasi sempre spedite via e-mail.

Le Minacce

Realizzato da: Ivana Gambino Presentazione. Introduzione Fino a circa dieci anni fa, l’uso del PC...

Documents

Transcript of Realizzato da: Ivana Gambino Presentazione. Introduzione Fino a circa dieci anni fa, l’uso del PC...