Procedure operative di sicurezza
di un sistema informatizzato
in un dipartimento servizi
Corso aggiornamento ASUR10
Sicurezza informatica
La "sicurezza" dei dati e delle informazioni è un
insieme più ampio della sola "sicurezza"
informatica, comprendendo anche la "sicurezza
fisica" dei luoghi, delle persone e della "logistica".
Attuare la "sicurezza dei dati" non è possibile se non
ricorrendo a strumenti di tipo legale, oltre che ad
ovvi accorgimenti tecnici , e ancora più importante
attraverso accorgimenti organizzativi, intendendo
tale termine come l’insieme delle risorse disponibili
atte e necessarie alla protezione dei dati e delle
informazioni.
2
00 AN
corso_sicurezza_asur10 @ www.divini.net
Sicurezza informatica
3
00 AN
corso_sicurezza_asur10 @ www.divini.net
La Sicurezza nei sistemi informativi
La Sicurezza rappresenta uno dei punti più critici dei
sistemi informativi contemporanei. Questo a causa
delle nuove tecnologie aperte impiegate per
garantire l’erogazione di servizi, e facilitare
attraverso i processi di e-government il
funzionamento delle strutture organizzative e
tecniche.
Queste tecnologie aperte, se da una parte hanno
reso più flessibile la comunicazione e l’accesso,
dall’altra hanno aperto numerosi varchi verso il
mondo esterno che possono essere utilizzati in
modo fraudolento e criminoso
4
00 AN
corso_sicurezza_asur10 @ www.divini.net
La cultura della sicurezza
Potremmo dire che il “crimine” scatenante sia
la mancanza di cultura della sicurezza
informatica cui corrisponde un mancato
adeguamento degli strumenti di garanzia e
tutela.
Questa situazione è stata riscontrata nella
maggior parte delle aziende, private e
pubbliche oggetto di numerose indagini
condotte negli ultimi anni
5
00 AN
corso_sicurezza_asur10 @ www.divini.net
Consapevolezza e formazione
La consapevolezza, la formazione, il continuo
aggiornamento professionale e lo scambio di
informazioni tra enti pubblici e privati, tra le
comunità di settore e tra i cittadini-utenti,
sono gli strumenti più efficaci per far fronte
ai problemi della sicurezza informatica.
6
00 AN
corso_sicurezza_asur10 @ www.divini.net
Cosa stiamo proteggendo
I “beni informatici”
Prima di passare ad analizzare le
problematiche di sicurezza strettamente
legate all'utilizzo di un particolare sistema
operativo, od in una particolare situazione di
rischio è bene riflettere per capire cosa
stiamo proteggendo e quali siano in linea di
massima i mezzi a nostra disposizione per
raggiungere gli scopi di protezione
7
00 AN
corso_sicurezza_asur10 @ www.divini.net
Beni dei sistemi informatici
Parlando di Sistemi Informatici o Informativi si è
portati a limitare quello che è il reale campo
d'applicazione della parola bene, associandola
esclusivamente a tre categorie:
1. Hardware: le apparecchiature, tutte le
componenti fisiche di un sistema informativo
2. Software: i programmi necessari al
funzionamento dell'apparecchiatura e utilizzati
per l'elaborazione delle informazioni
3. Dati: le informazioni gestite dai programmi
8
00 AN
corso_sicurezza_asur10 @ www.divini.net
Beni dei sistemi informatici, aggiu...
Ai beni principali, hardware, software e dati, si devono
aggiungere:
1. Supporti memorizzazione possono contenere
il software ed i dati;
2. Reti permettono l'interconnessione dei vari
sistemi consentendo quindi lo scambio di
informazioni;
3. Accessi la possibilità che viene data ai soggetti
di utilizzare il bene ed i meccanismi di fruizione.
4. Individui chiave come ad esempio un
amministratore di sistema oppure un operatore
specializzato nell'uso di un determinato
programma.
9
00 AN
corso_sicurezza_asur10 @ www.divini.net
Cosa stiamo proteggendo in sintesi
Supporti di
memorizzazione
Hardware
Software
Reti
+
Accessi
Dati
Individui chiave
(operatori e sistemisti)
10
00 AN
corso_sicurezza_asur10 @ www.divini.net
Obiettivi della sicurezza informatica
I beni possono essere
modificati solo dagli
utenti autorizzati o solo
nel modo consentito
I beni sono sempre
accessibili agli utenti
autorizzati
Disponibilità
Integrità
Sicurezza
I beni sono accessibili
solo agli utenti
autorizzati
11
00 AN
corso_sicurezza_asur10 @ www.divini.net
Rischio e sicurezza
Tutte le “circostanze potenziali” che possono causare
un danno rappresentano un rischio
E' da notare che, un progetto o un programma di
sicurezza, per quanto integrati non azzerano mai
il relativo rischio.
La sicurezza totale infatti è un’astrazione e come
tale non esiste nella realtà
Si deve allora seguire la logica secondo cui un
progetto di sicurezza ha l'obiettivo
di ridurre il rischio
12
00 AN
corso_sicurezza_asur10 @ www.divini.net
Rischi per un sistema informatico
Vediamo quali sono i rischi - i colori indicano i settori interessati dal rischio e
i rischi sono ordinati per gravità degli effetti sull’utenza dei servizi e sulla
privacy
INTERRUZIONE
Un bene viene tolto dal sistema, non è più
disponibile oppure è inutilizzabile
INTERCETTAMENTO
Un’entità (un programma, un sistema
informatico) non autorizzata ottiene l’accesso ad
un bene.
Hardware
Software
MODIFICA
Un’entità (un programma, un sistema informatico) non
autorizzata ottiene l’accesso ad un bene e lo manomette
Dati
CONTRAFFAZIONE
Un’entità (un programma, un sistema informatico) non
autorizzata potrebbe costruire degli oggetti contraffatti
all’interno del sistema informativo.
13
00 AN
corso_sicurezza_asur10 @ www.divini.net
Vulnerabilità
In pratica, per causare un danno basterà
sfruttare una vulnerabilità del
sistema informativo
Ma che cosa si intende per vulnerabilità?
Semplicemente una debolezza di cui servirsi
per raggiungere gli scopi prefissati, presente
nel sistema operativo, nelle procedure di
sicurezza, nei software e soprattutto nei
controlli interni o nell'implementazione
14
00 AN
corso_sicurezza_asur10 @ www.divini.net
Sistema informativo
Un sistema informativo di un’organizzazione è una
combinazione di risorse, umane e materiali, e di procedure
organizzate per:
 la raccolta,
 l’archiviazione,
 l’elaborazione e
 lo scambio
delle informazioni necessarie alle attività:
 operative (informazioni di servizio),
 di programmazione e controllo (informazioni di gestione),
 e di pianificazione strategica (informazioni di governo).
15
00 AN
corso_sicurezza_asur10 @ www.divini.net
Vulnerabilità ed affidabilità dei software
Vulnerabilità, la prima cosa che viene in mente è, un
difetto del software. Non necessariamente però una
vulnerabilità è solo un difetto del software.
Con un software perfettamente realizzato, progettato,
implementato e configurato, un sistema informatico
può comunque essere vulnerabile.
Per esempio, potremmo avere un dipendente di
un'azienda che ha accesso a sistemi critici che un
bel giorno….. passa ad un concorrente ma allo
stesso tempo le sue credenziali per l'accesso non
vengono cancellate
16
00 AN
corso_sicurezza_asur10 @ www.divini.net
Vulnerabilità, ciclo di vita
I problemi cominciano a nascere quando la vulnerabilità viene
scoperta ed inizia quella che viene chiamata, finestra di
esposizione, cioè il periodo in cui la vulnerabilità in
qualche modo può essere sfruttata per causare un danno.
I casi sono due:
1. La vulnerabilità è stata scoperta da qualcuno
interessato ad eliminarla e quindi ci si può
aspettare che si vada su una strada che porterà
alla fine a una correzione
2. la vulnerabilità viene scoperta da qualcuno, non
interessato a correggerla, ma interessato a
sfruttarla
17
00 AN
corso_sicurezza_asur10 @ www.divini.net
1 - Vulnerabilità: correzione
In pratica, verranno realizzate le apposite correzioni e
queste poi saranno apportate ai singoli sistemi
La vulnerabilità in un determinato software si potrà
considerare corretta non quando sarà rilasciata la
correzione (patch/pezza), ma quando
quest'ultima sarà installata su un sistema
Molti degli attacchi diffusi in modo massiccio, spesso
sfruttavano delle vulnerabilità note da tempo per le
quali le correzioni erano già disponibili ma che
semplicemente non erano state applicate
18
00 AN
corso_sicurezza_asur10 @ www.divini.net
2 - Vulnerabilità: sfruttamento
Situazione spiacevole la vulnerabilità continua
ad essere utilizzata e sfruttata anche
diffusamente senza che ne venga a
conoscenza chi deve correggerla
Fino a quando qualcuno vedendo come è stato
attaccato il suo sistema, non si rende conto
di quale è stata la strada utilizzata
19
00 AN
corso_sicurezza_asur10 @ www.divini.net
Principali controlli a disposizione
Crittografia
Controlli interni al
programma
Controlli del sistema
operativo
Controlli in fase di sviluppo
Controlli
software
Controlli
hardware
Creazione di regole
Formazione
Amministrazione
00 AN
Dispositivi crittografici:
Hardware
Smartcard
Politiche di
sicurezza
Controlli
fisici
20
Dati inintellegibili
contro: Intercettamento
Modifica
Contraffazione
Sono i controlli più
semplici, meno onerosi
ed a volte più efficaci da
implementare.
corso_sicurezza_asur10 @ www.divini.net
Efficacia dei controlli
21
00 AN
corso_sicurezza_asur10 @ www.divini.net
la sicurezza è un processo
La sicurezza è un processo, non un prodotto, e come tale ha
molti componenti, che devono essere affidabili e ben studiati
e, soprattutto, collaborare fra loro
L'efficacia del sistema di sicurezza dipende in modo essenziale
da come i vari componenti collaborano fra di loro
I punti deboli sono costituiti proprio dalle interfacce fra i
componenti
Un sistema di sicurezza può essere paragonato a una catena,
composta da vari anelli, ciascuno dei quali influisce in modo
determinante sulla sua resistenza
Come in qualsiasi catena, la forza del sistema di sicurezza
corrisponde a quella del suo componente più debole
22
00 AN
corso_sicurezza_asur10 @ www.divini.net