Accesso ad Internet
Specificità delle Università
• L’ accesso alla rete GARR regolato da
“Acceptable Use Policy”
http://www.garr.it/reteGARR/aup.php?idmenu=collegare
•Eterogeneità nell’utilizzo della rete
(uso Facebook e P2P, valutazione spam)
•Connessione ad Internet con elevata
banda a disposizione
Seminario Informativo su Internet e la
posta elettronica 18/03/2010
1
Acceptable User Policy del GARR
Sulla rete GARR non sono ammesse le seguenti attività:
• fornire a soggetti non autorizzati all'accesso il servizio di
connettività di rete
• utilizzare servizi, diffondere programmi … che perturbino le
attività di altri
• trasmettere immagini o altro materiale offensivo, osceno etc…
• trasmettere materiale pubblicitario non richiesto
("spamming"), nonché permettere che le proprie risorse siano
utilizzate da terzi per questa attività
• danneggiare o violare la riservatezza di altri utenti
• svolgere sulla Rete GARR ogni altra attività vietata dalla Legge
dello Stato nonché dai regolamenti e dalle consuetudini
("Netiquette") di utilizzo delle reti
Seminario Informativo su Internet e la
posta elettronica 18/03/2010
2
Acceptable User Policy del GARR (estratto)
Sulla rete GARR non sono ammesse le seguenti attività:
• fornire a soggetti non autorizzati all'accesso alla Rete GARR il servizio di connettività di rete o
altri servizi che la includono
• utilizzare servizi o risorse di Rete, collegare apparecchiature o servizi o software alla Rete,
diffondere virus, hoaxes o altri programmi in un modo che danneggi, molesti o perturbi le
attività di altre persone, utenti o i servizi disponibili sulla Rete GARR e su quelle ad essa
collegate
• creare o trasmettere (se non per scopi di ricerca o comunque propriamente in modo
controllato e legale) qualunque immagine, dato o altro materiale offensivo, diffamatorio,
osceno, indecente, o che attenti alla dignità umana, specialmente se riguardante il sesso, la
razza o il credo
• trasmettere materiale commerciale e/o pubblicitario non richiesto ("spamming"), nonché
permettere che le proprie risorse siano utilizzate da terzi per questa attività
• danneggiare, distruggere, cercare di accedere senza autorizzazione ai dati o violare la
riservatezza di altri utenti, compresa l'intercettazione o la diffusione di parole di accesso
(password), chiavi crittografiche riservate e ogni altro “dato personale” come definito dalle
leggi sulla protezione della privacy
• svolgere sulla Rete GARR ogni altra attività vietata dalla Legge dello Stato, dalla normativa
Internazionale, nonchè dai regolamenti e dalle consuetudini ("Netiquette") di utilizzo delle
reti e dei servizi di Rete cui si fa accesso
Seminario Informativo su Internet e la
posta elettronica 18/03/2010
3
Responsabilità personale dell’utente
• La responsabilità dei contenuti diffusi in rete è delle
persone che li diffondono
– anche inconsapevolmente come nel caso di virus o di intrusioni nei
propri sistemi
• E’ rimesso alla correttezza dell’utente il buon utilizzo
dell’accesso alla rete
• L’utente e’ personalmente responsabile del
comportamento scorretto.
• Il download di files e/o e la loro conservazione su
server dell'Ateneo è legittimo solo se effettuato in
relazione con l'attività istituzionale
Seminario Informativo su Internet e la
posta elettronica 18/03/2010
4
Trattamento dati di accesso alla rete
• Le attività sull’uso del servizio di accesso ad
Internet sono:
– automaticamente registrate in forma elettronica
nel rispetto delle disposizioni di legge e cancellate
in base alla normativa vigente
– conservate presso la Divisione ISI o presso le
strutture che gestiscono gli elaboratori su cui
risiedono i servizi
Seminario Informativo su Internet e la
posta elettronica 18/03/2010
5
Trattamento dati di accesso alla rete
• L’Università può avvalersi di sistemi di
controllo che:
– abbiano la finalità di garantire la sicurezza nel
trattamento dei dati e nell’uso della dotazione
informatica
• software antispam - antivirus
• firewall
• sistemi di Intrusion Detection etc…
– non mirino ad un controllo a distanza nei confronti
dei lavoratori
Seminario Informativo su Internet e la
posta elettronica 18/03/2010
6
Trattamento dati di accesso alla rete
I dati personali contenuti nei log sono oggetto
di trattamento esclusivamente nelle seguenti
ipotesi:
• per rispondere a richieste dell’autorità giudiziaria;
• per l’erogazione del servizio
– per l’analisi di malfunzionamenti
– per l’effettuazione di statistiche sull’utilizzo delle
risorse previa anonimizzazione
Seminario Informativo su Internet e la
posta elettronica 18/03/2010
7
Credenziali (utilizzo)
• L’utente accede alla rete di Ateneo utilizzando credenziali
– strettamente personali e custodite:
• in modalità che assicurino la segretezza delle stesse
• avendo cura che non siano utilizzate da terzi
– non cedibili ad alcuno nella conoscenza o nell’uso
• il personale che gestisce i servizi non chiede mai le credenziali e
non comunica la password via telefono
• attenzione al phishing
• L’utente è responsabile dell’attività espletata tramite il suo
account
– la cessione abusiva o l’incauta custodia possono comportare
l’imputazione di concorso negli illeciti perpetrati con le stesse
Seminario Informativo su Internet e la
posta elettronica 18/03/2010
8
Credenziali (rilascio)
• Vengono assegnate d’ufficio a tutto il personale di Ateneo
• Vengono mantenute attive fino al mese di Agosto dell’anno
successivo a quello di conclusione del rapporto di lavoro (per
CUD etc…)
• Assegnate su richiesta a firma del capostruttura per chi ne
avesse diritto in presenza di un rapporto di collaborazione
con l’Ateneo
• Personale esterno afferente ad Enti partecipanti al progetto
Eduroam può accedere alla rete di Ateneo con le proprie
credenziali
• Le credenziali con password immutata per un periodo
superiore a 2 anni possono venire bloccate d’ufficio
• Per il personale non strutturato devono scadere al massimo
dopo 5 anni (D.lgs antiterrorismo Pisanu)
Seminario Informativo su Internet e la
posta elettronica 18/03/2010
9
Password
• La password:
– deve possedere una lunghezza minima di 8
caratteri alfanumerici,
– non deve avere senso compiuto
– deve essere modificata almeno ogni 6 mesi (3
nell’ipotesi di trattamento di dati sensibili)
• non devono essere riutilizzate le ultime
password usate
Seminario Informativo su Internet e la
posta elettronica 18/03/2010
10
Posta elettronica
• Il servizio di posta elettronica è consentito
esclusivamente per ragioni di comunicazione di
servizio ed istituzionali
• Ad ogni dipendente dell’Ateneo viene assegnato una
casella di posta elettronica per tali comunicazioni
– e’ in via di completamento l’assegnazione a chi ne
fosse ancora sprovvisto
– di norma viene disattivata al termine del rapporto con
l’Ateneo
• eventuali proroghe motivate e controfirmate dal
capostruttura
Seminario Informativo su Internet e la
posta elettronica 18/03/2010
11
Posta elettronica (uso)
E’ fatto assoluto divieto di utilizzare la posta elettronica per
diffondere, messaggi che contengano o rimandino a:
• pubblicità non istituzionale, manifesta od occulta
• comunicazioni commerciali private
• materiale pornografico o simile, in particolare in violazione
della Legge sulla pedopornografia
• materiale discriminante o lesivo in relazione a razza, sesso,
religione, ecc.
• materiale che violi la normativa in materia di protezione dei
dati personali
• contenuti illegali o che violino i diritti di proprietà di terzi
• codici dannosi per i computer quali virus e simili
Seminario Informativo su Internet e la
posta elettronica 18/03/2010
12
Caselle di posta elettronica
• Hanno una dimensione limitata
– per spedire file di grosse dimensioni usare i servizi
alternativi
– cancellare periodicamente le mail nelle cartelle
• “Cestino”
• “Posta indesiderata” (previa verifica di eventuali falsi
positivi)
Seminario Informativo su Internet e la
posta elettronica 18/03/2010
13
Caselle di posta
(assenza dell’intestatario)
• L’intestatario in caso di assenza deve attivare sistemi di notifica
• In caso di assenze non programmate o prolungate
– il Capo Struttura può disporre l’attivazione di un analogo
accorgimento, avvertendo il titolare della casella
– qualora per improrogabili necessità legate all’attività lavorativa si
debba conoscere il contenuto di messaggi, l’intestatario dovrà
delegare un altro lavoratore (fiduciario) a verificare il contenuto dei
messaggi e a inoltrare al responsabile del trattamento quelli ritenuti
rilevanti per lo svolgimento dell’attività lavorativa
• L’intestatario ha l’onere, prima della cessazione del rapporto con
l'Ateneo, di trasmettere al Capo Struttura le e-mail rilevanti per
l’attività istituzionale
• E' demandata al Titolare del trattamento dei dati (M.R.), la
responsabilità di autorizzare, a fronte di gravi e giustificati motivi,
l'accesso alle caselle di posta di personale deceduto o
irrintracciabile
Seminario Informativo su Internet e la
posta elettronica 18/03/2010
14
Caselle funzionali
• Utili per evitare disservizi conseguenti all’assenza
di uno degli incaricati ai servizi erogati
• Attivabili a richiesta del capostruttura
• L’indirizzo della casella deve possibilmente
– fare riferimento all’unità organizzative
– essere mnemonico
• Non devono essere usate in sostituzione delle
caselle nominative
• L’autore dei messaggi in uscita deve essere
riconoscibile
Seminario Informativo su Internet e la
posta elettronica 18/03/2010
15