Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002
Ing. Andrea Gelpi
La sicurezza informatica,
la cultura e i metodi di accertamento.
Convegno di Studi su Internet e Diritto - Milano, 7 e 8 Novembre 2002
ing. Andrea Gelpi
•Introduzione
•Politiche aziendali
•Altri aspetti
•Conclusioni
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Introduzione
• Che cosa comprende la sicurezza
informatica
• Leggi da tener presenti
• Un problema culturale, non solo tecnologico
• Importanza del documento delle policy
3
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Che cosa comprende la sicurezza informatica
• Non è solo trattamento dati personali e
diritto d'autore
• Tutto ciò che è possibile fare o subire con
strumenti informatici e di comunicazione
4
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Principali norme da tener presenti
•
•
•
•
•
•
•
L. 547/93
L. 675/96
L. 633/41
L. 248/2000
L. 62/2001
L. 109/91
Norme sulla firma
digitale
• Varie direttive
europee
5
• DPR 318/99
• DLgs 518/92
• DPCM 338/2001
• DM 314/92
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Un problema culturale non solo tecnologico
• Abitudini degli utenti
– backup, codici d'accesso, file salvati in locale,
falsa sicurezza
• Manca un senso di cultura della sicurezza
• Manca un senso di responsabilità
– Cosa vuoi che succeda
• Manca il concetto di chi a fatto che cosa
• I pirati informatici insegnano e aiutano?
6
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Importanza del documento delle policy
• La sicurezza informatica si realizza con ... un
pezzo di carta o una cena !
• E' necessario dare regole prima di applicarle
• E' opportuno condividere i contenuti con i
sindacati
7
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Policy aziendale
•
•
•
•
•
•
•
8
Accessi fisici ai sistemi
Accessi logici ai sistemi e ai dati
Licenze d'uso
La rete aziendale
Navigazione su Internet
Posta elettronica
Monitoraggio delle attività e responsabilità
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Policy aziendale – accessi fisici
• DPR 318/99 impone di proteggere i dati
• Necessità di locali chiusi per i server
– Tecnici esterni lasciati soli possono essere un
rischio
• Come controllare chi accede ai locali
• Che cosa si rischia
– danni e/o furto di dati
– mancata adozione di misure di sicurezza
9
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Policy aziendale – accessi logici
•
•
•
•
•
•
10
DPR 318/99 impone di proteggere i dati
DPR 318/99 impone di tenere traccia di chi fa
trattamento
Problema dei codici d'accesso (UserID e Password)
Dove salvare i dati
Falsa sicurezza del salvataggio in locale dei dati
Chiunque può accedere ai dati in locale se esiste un
dominio o se il sistema operativo non è dotato di
sufficienti misure di sicurezza (Win9x)
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Policy aziendale – accessi logici
•
•
•
DPR 318/99 impone che per il trattamento di dati
sensibili devono esistere codici d'accesso su due
livelli (al sistema e all'applicazione), ma non sempre è
così
Soluzione: tutti sono incaricati del trattamento
Vulnerabilità dei sistemi
– Il firewall è solo un aiuto
– I server vanno tenuti aggiornati e monitorati
– Che cosa fare in caso d'intrusione
• Segnalazione alle forze dell'ordine, no indagini per conto
proprio
• Ricreare il server violato
– Mancata installazione di correttivi potrebbe diventare
mancata adozione di misure di sicurezza
11
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Policy aziendale – accessi logici
• Il problema dei virus
– DPR 318/99 obbliga ad avere un sistema antivirus
aggiornato ogni 6 mesi !
– I virus non creano solo danni locali, possono
diffondere informazioni riservate
– Si rischia di essere coinvolti nel danneggiamento
di sistemi altrui, tentativo di accesso abusivo a
sistema informatico (Patriot Act)
– Antivirus non aggiornato, crea una falsa sicurezza
– E' fondamentale il comportamento degli utenti
12
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Policy aziendale – licenze d'uso
• A volte il problema non è sentito
– Installazioni senza controllare il numero di licenze
disponibili
– Installo per lavorare, quindi sono a posto
– Il programma è in azienda quindi lo posso
utilizzare
• Come verificare
– Posti di lavoro completamente chiusi
– Posti di lavoro completamente aperti
• E' importante responsabilizzare gli utenti
• Che cosa si rischia
– Violazione di norme fiscali e dei diritti d'autore
• Open Source e Free Software
13
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Policy aziendale – rete aziendale
• Attenzione ai punti d'accesso non controllati
– Le postazioni fisse
– Le postazioni mobili
• Attacchi dall'interno
– Il 50% e più degli attacchi provengono dall'interno
– sniffer
14
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Policy aziendale – navigazione Internet
• Uso non consono con le attività lavorative
– Visita a siti non attinenti l'attività lavorativa
– Scarico di contenuti (musica, ecc...)
– Consumo di banda pregiata
• Come fare i controlli
– Log di tutto il traffico verso Internet (Firewall log)
– Controlli anonimi per evitare il controllo a distanza
del dipendente
– Controlli puntuali solo per evidenti violazioni delle
regole aziendali
– Possibilità di creare liste nere o liste bianche di siti
– Utilizzo di software che aiutano, ma non risolvono
15
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Policy aziendale – navigazione Internet
•
•
•
•
Le vulnerabilità del browser
Pagine web con codice maligno
Domande trabocchetto
I servizi gratuiti, li paga l'utente ! (rivendita
informazioni)
• E' necessario educare gli utenti
16
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Policy aziendale – Posta elettronica
•
•
•
•
•
•
•
17
Principale sistema di propagazione di virus e troiani
Lo SPAM – una piaga
Liste di distribuzione e newsgroup
La casella di posta è mia e quindi inviolabile – falso
La casella di posta istituzionale è dell'azienda che, a
determinate regole, la può visionare
Soluzione: casella di posta personale diversa da
quella istituzionale
Lotta allo SPAM con liste nere e filtri
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Policy aziendale – Posta elettronica
• E' necessario educare gli utenti
– Non rispondere alla posta non sollecitata
– Non fare clic su pulsanti e non tentare di
cancellarsi da liste di ditribuzione
– Usare solo il formato di testo puro, per gli altri
formati utilizzare gli allegati
– Quando possibile inviare il link al contenuto
18
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Policy aziendale – Monitoraggio attività
•
•
•
•
•
•
19
Descrivere i monitoraggi che verranno fatti
Spiegare come vengono fatti (anonimi, ecc...)
Spiegare perchè vengono fatti
Ribadire le responsabilità di ciascuno
Concordare il tutto con i sindacati
I monitoraggi dovrebbero essere esguiti da un gruppo
apposito diverso da gestori dei sistemi
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Altri aspetti
• Rapporti con le forze dell'ordine
• La formazione sia degli utenti che degli
amministratori dei sistemi
• La programmazione e configurazione del
software
20
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Rapporti con le forze dell'ordine
• Passa troppo tempo dai fatti al momento
delle indagini (anche più di un anno)
• La formulazione della richiesta
– Il problema degli orologi
– Fornire tutte le informazioni atte ad identificare
l'utilizzatore dell' IP X.Y.Z.T il giorno gg alle ore
hh.mm
• Chi deve fare le indagini
• Le indagini possono risalire al PC e ai codici
usati, ma non direttamente ad una persona
• Il sequestro di materiale informatico
– Una copia dei supporti è il più delle volte prova
sufficiente
21
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Programmazione e configurazione del software
• Necessità di dotarsi di software sicuro
• Scrivere software sicuro è difficile, l'Open
Source può aiutare
• Configurazioni errate possono essere fonte
di problemi
22
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Formazione degli utenti
• Il documento delle policy deve essere
spiegato, non imposto e basta
• Il DPR 318/99 impone l'obbligo di formazione
• A medio termine la formazione costa meno
degli interventi per sanare situazioni
23
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
Conclusioni
• La sicurezza informatica è principalmente un
problema organizzativo e di cultura
• E' importante riuscire ad attribuire a
ciascuno le proprie responsabilità
• Una buona organizzazione aumenta la
sicurezza e fa risparmiare tempo e denaro
24
- Convegno di Studi su Internet e Diritto - Milano, 7 - 8 Novembre 2002 -
GRAZIE
:-)
25
Scarica
  1. No category

Legal Approach to the Web Era 2002