Sicurezza: opportunità di Sicurezza: opportunità di crescita e salvaguardia del crescita e salvaguardia del

valorevalore

Nozioni sNozioni sulla Sicurezza nelulla Sicurezza nel

Mondo dell’Informazione Mondo dell’Informazione condivisacondivisa

L’era di InternetL’era di Internet

• Anche per la Pubblica Amministrazione Anche per la Pubblica Amministrazione l’informazione è la risorsa più importantel’informazione è la risorsa più importante

Industry Society

Il prodotto è un oggetto

Internet Society

Il prodotto è un’informazio

ne

Dato Informazione

ConoscenzaElaborazione Elaborazione

La società dell’InformazioneLa società dell’Informazione

Un’informazione Un’informazione staticastatica non è competitiva a livello di non è competitiva a livello di business (informazione business (informazione monoliticamonolitica))

L’informazione L’informazione condivisacondivisa produce nuovi livelli di produce nuovi livelli di informazione informazione nuovo business nuovo business

Se un’informazione statica viene corrotta, il danno Se un’informazione statica viene corrotta, il danno non si propaganon si propaga

Se un’informazione condivisa viene corrotta, Se un’informazione condivisa viene corrotta, anche il anche il danno è condivisodanno è condiviso business business attuali e futuriattuali e futuri corrotti corrotti

La condivisione dell’informazione implica la necessità della sicurezza

ma su Internet ….ma su Internet ….

• aumenta il numero degli attacchi aumenta il numero degli attacchi

• aumenta la loro complessità e aumenta la loro complessità e diminuisce l’esperienza necessaria diminuisce l’esperienza necessaria per realizzarli.per realizzarli.

• timori per la privacy timori per la privacy

• l’utente non si sente protetto e l’utente non si sente protetto e garantitogarantito

Solo la sicurezza può Solo la sicurezza può generare fiducia…generare fiducia…

… … la sicurezza è ormai una la sicurezza è ormai una delle sfide più importanti delle sfide più importanti

con cui deve misurarsi con cui deve misurarsi anche la PAanche la PA

I dati italiani di OCI 2001I dati italiani di OCI 2001

Fonte: Sicurforum Italia Fonte: Sicurforum Italia 20012001

Quale tipo di attacco?Quale tipo di attacco?

Fonte: Sicurforum Italia Fonte: Sicurforum Italia 20012001

Perché mi attaccano?Perché mi attaccano?

Fonte: Sicurforum Italia Fonte: Sicurforum Italia 20012001

L’immagine è un bene prezioso!L’immagine è un bene prezioso!

Sono frequenti le notizie di violazioni ai server di grandi aziende sia private sia pubbliche: tutti i portali sono soggetti a questi rischi.

I problemi vanno dai danni provocati dalla illecita divulgazione di dati personali all’interruzione di servizi importanti per gli utenti.

I danni per la PA potrebbero avere conseguenze importanti anche a livello di immagine e potrebbero minare la fiducia dei cittadini/utenti.

E i danni?E i danni?

Fonte: Sicurforum Italia Fonte: Sicurforum Italia 20012001

Quanto tempo per recuperare tutto?Quanto tempo per recuperare tutto?

Fonte: Sicurforum Italia Fonte: Sicurforum Italia 20012001

La percezione dei rischiLa percezione dei rischi

Il pericolo è che alcuni utenti, allarmati dai numerosi rapporti sulle minacce alla sicurezza, rinuncino a sfruttare le potenzialità di

comunicazione offerte dalla rete.

Altri invece, potrebbero sottovalutare i rischi e potrebbero agire in modo imprudente: ad esempio utilizzando la posta elettronica senza pensare

che:

• i messaggi viaggiano "in chiaro“, possono essere letti usando semplici tecniche di “sniffing”

• chiunque può spedire messaggi a nome di un altro

• i messaggi arrivano "in differita": normalmente impiegano pochi minuti per arrivare a destinazione, ma in circostanze particolari potrebbero impiegare anche alcuni giorni o non arrivare affatto

• esistono servizi di mail forwarding che permettono la creazione di caselle postali fittizie

oppure utilizzando le password: chi ne utilizza più di una, per l’accesso al proprio PC, per il proprio account Internet, per la posta elettronica, per i vari servizi a cui si accede attraverso in rete e così via ... spesso incorre in errori molto comuni come:

• usare la stessa password per tutti i servizi

• usare una password semplice come il nome o la data di nascita di un familiare

• se le password sono diverse è difficile ricordarle tutte e si può cadere nella tentazione di scriverle in posti accessibili da altri.

L’innovazione nella PA: gli obiettivi StancaL’innovazione nella PA: gli obiettivi Stanca

Obiettivo primario per la PA è:

garantire a tutti l’accesso telematico alle informazioni e ai servizi erogati

rilevazioni, modifiche o

cancellazioni non autorizzate

delle informazioni

conseguenze sull’affidabilità conseguenze sull’affidabilità

delle informazioni e dei servizidelle informazioni e dei servizi

Ma l’apertura del patrimonio informativo verso reti Ma l’apertura del patrimonio informativo verso reti aperte comporta una serie di nuovi aperte comporta una serie di nuovi rischirischi!!

La direttiva 16 gen 2002 La direttiva 16 gen 2002

“Sicurezza informatica e delle telecomunicazioni

nelle pubbliche amministrazioni”

Ministero per l’Innovazione e le Tecnologie

““Base minima di Base minima di sicurezza”sicurezza”

L’aspetto normativoL’aspetto normativo

L’adozione delle contromisure non è più lasciata alla

discrezione delle singole Amministrazioni ma in alcuni

casi è un obbligo di legge.

Negli ultimi anni sono state emanate una serie di leggi che obbligano le Amministrazioni al rispetto di alcune regole e alla messa in opera di una serie di contromisure atte a prevenire o minimizzare i rischi di incidenti informatici.

L’aspetto normativo è fondamentale e non può essere trascurato!L’aspetto normativo è fondamentale e non può essere trascurato!

In generale il legislatore è intervenuto in tre grandi tre aree:

• La tutela della privacy del cittadino

• L’individuazione giuridica e la persecuzione della criminalità informatica

• L’emissione di norme atte a conferire dignità legale ai documenti ed in generale alle procedure informatiche

I piani di e-government, si pongono 2 obiettivi:

• semplificare i procedimenti amministrativi e burocratici

• fornire servizi ai cittadini. Tali obiettivi sono difficilmente raggiungibili se non si può confidare su adeguati livelli di sicurezza dei sistemi informativi per:

La sicurezza al servizio della PALa sicurezza al servizio della PA

Sicurezza Sicurezza FiduciaFiducia

• generare fiducia nell'utilizzo degli strumenti informatici da parte dell'utente finale.

• salvaguardare la disponibilità e l'integrità dei dati detenuti dalle amministrazioni pubbliche

Bisogna cambiare la visione della sicurezzaBisogna cambiare la visione della sicurezza

Da Da costocosto discrezionale che si deve in qualche modo sostenere, discrezionale che si deve in qualche modo sostenere, a a fattore criticofattore critico che: che:

Diversa Diversa percezionepercezione

Diverso Diverso approcciapprocci

oo

Da acquisto di Da acquisto di prodottiprodotti per risolvere problemi specifici, a per risolvere problemi specifici, a soluzioni integratesoluzioni integrate (HW, SW e servizi) basate su un’architettura (HW, SW e servizi) basate su un’architettura globale e gestite attraverso un processo continuoglobale e gestite attraverso un processo continuo

abilitaabilita proteggeprotegge garantiscgarantiscee

confidenza nell’uso dell’IT

salvaguardia della privacy e

delle informazioni

business continuity

““La sicurezza è un processo e non un La sicurezza è un processo e non un prodotto” prodotto” (Bruce Schneider)(Bruce Schneider)

L’approccio deve essere globaleL’approccio deve essere globale

SICUREZZA

PRESTAZIONIUSABILITA’

• Budget di spesa per la Budget di spesa per la sicurezzasicurezza

• Scopo dell’istituzioneScopo dell’istituzione

• Cultura dell’istituzione Cultura dell’istituzione

è necessario tener conto di:è necessario tener conto di:

Sono necessari 3 Sono necessari 3 elementi elementi opportunamente opportunamente combinati:combinati:

Bisogna trovare il giusto Bisogna trovare il giusto “compromesso” “compromesso”

٭ Tecnologie “best of Tecnologie “best of breed”breed”

٭ Security PolicySecurity Policy

٭ Educazione degli utentiEducazione degli utenti

e-bankinge-banking

Portali Portali PAPA

attenzione all’anello debole!attenzione all’anello debole!

La sicurezza di un sistema è legata alla sicurezza delle singole

componenti.

Politiche Politiche

di sicurezzadi sicurezza

InfrastruttuInfrastrutturere

di retedi rete

ApplicazioniApplicazioni

Procedure Procedure

di disaster di disaster

recoveryrecovery

Il livello di sicurezza di un sistema è determinato dal

livello di sicurezza della componente meno protetta!

OrganizzazioneOrganizzazione

è un processo ciclico!è un processo ciclico!

Aspetti tecnici

Aspetti Aspetti economicieconomici

Aspetti Aspetti organizzativorganizzativ

iiAspetti legali

Aspetti strategici

Audit e Monitoragg

io

ma io non sapevo che ….ma io non sapevo che ….

Oltre alla formazione tecnica Oltre alla formazione tecnica tradizionale...tradizionale...• Tutte le persone devono essere Tutte le persone devono essere

consapevoli delle politiche di sicurezza consapevoli delle politiche di sicurezza adottate.adottate.

• Ognuno deve essere consapevole delle Ognuno deve essere consapevole delle sue responsabilità e del potenziale sue responsabilità e del potenziale danno causato da comportamenti “a danno causato da comportamenti “a rischio”.rischio”.

Formazione e Formazione e InformazioneInformazione

Chi fa che cosa?Chi fa che cosa?

• acquisire tecnologie dell'informazione e della acquisire tecnologie dell'informazione e della comunicazione che soddisfino i requisiti di sicurezzacomunicazione che soddisfino i requisiti di sicurezza

• integrare la struttura Organizzativa esistente con integrare la struttura Organizzativa esistente con figure dedicate (Security Manager) in modo figure dedicate (Security Manager) in modo specifico alla sicurezza, definendone specifico alla sicurezza, definendone ruoliruoli e e responsabilitàresponsabilità

• sviluppare al loro interno una sviluppare al loro interno una cultura della cultura della sicurezzasicurezza

le pubbliche amministrazioni le pubbliche amministrazioni dovranno:dovranno:

ma non basta !ma non basta !

è necessario inoltre:è necessario inoltre:

La sicurezza è il fattore abilitanteLa sicurezza è il fattore abilitante

La sicurezza è il fattore

abilitante sia per tutte le

attività volte a migliorare

l’efficienza operativa interna

delle PA (piani di e-

government)

Uso della posta elettronica per le comunicazioni

interne

Digitalizzazione dei flussi di documentazione interna

Mandati di pagamento elettronici

Firma digitale

Protocollo Informaticosia per le applicazioni

dirette ad offrire ai

cittadini ed alle imprese

servizi fruibili per via

telematica.

Carta d’Identità Elettronica

Carta Nazionale dei Servizi

Uffici digitali per il cittadino

Servono delle soluzioni applicative ...Servono delle soluzioni applicative ...

Firma digitale forte e Firma digitale forte e deboledebole

Autenticazione e Autenticazione e riservatezza dei riservatezza dei documenti informaticidocumenti informatici

EasySignEasySign

… … a supporto dei servizia supporto dei servizi

TrustWebTrustWeb Protezione dei servizi Protezione dei servizi

erogati su Interneterogati su Internet

Transazioni elettroniche Transazioni elettroniche sicuresicure

Invio ordineInvio ordine

Sicurezza non è chiusura …Sicurezza non è chiusura …

Non si può pensare di Non si può pensare di chiuderechiudere tutte le comunicazioni con l’esternotutte le comunicazioni con l’esterno

Il fattore umano è centrale!Il fattore umano è centrale!

Il sistema di contromisure ideale Il sistema di contromisure ideale combina protezione, capacità di combina protezione, capacità di

rilevazione e reazionerilevazione e reazione

L’approccio alla sicurezza di Gfi OiSL’approccio alla sicurezza di Gfi OiS

             Consulenza e Consulenza e AnalisiAnalisi

FormazioneFormazione

Integrazione Integrazione e Soluzioni e Soluzioni

3A3AAudit e Audit e

MonitoraggioMonitoraggio

Managed Managed Security Security ServicesServices

Grazie per l’attenzione!Grazie per l’attenzione!

Daniela GiovanardiDaniela GiovanardiDirettore MarketingDirettore Marketing

(d.giovanardi@ois.it)(d.giovanardi@ois.it)