Sicurezza: opportunità di crescita e salvaguardia del valore Nozioni sulla Sicurezza nel Mondo dell’Informazione condivisa L’era di Internet Industry Society Internet Society Il prodotto è un oggetto Dato Il prodotto è un’informazione Informazione Elaborazione Elaborazione Conoscenza • Anche per la Pubblica Amministrazione l’informazione è la risorsa più importante La società dell’Informazione Un’informazione statica non è competitiva a livello di business (informazione monolitica) L’informazione condivisa produce nuovi livelli di informazione nuovo business Se un’informazione statica viene corrotta, il danno non si propaga Se un’informazione condivisa viene corrotta, anche il danno è condiviso business attuali e futuri corrotti La condivisione dell’informazione implica la necessità della sicurezza ma su Internet …. • aumenta il numero degli attacchi • aumenta la loro complessità e diminuisce l’esperienza necessaria per realizzarli. • timori per la privacy • l’utente non si sente protetto e garantito … la sicurezza è ormai una Solo sicurezza può delle la sfide più importanti con cui devefiducia… misurarsi generare anche la PA I dati italiani di OCI 2001 Fonte: Sicurforum Italia 2001 Quale tipo di attacco? Fonte: Sicurforum Italia 2001 Perché mi attaccano? Fonte: Sicurforum Italia 2001 L’immagine è un bene prezioso! Sono frequenti le notizie di violazioni ai server di grandi aziende sia private sia pubbliche: tutti i portali sono soggetti a questi rischi. I problemi vanno dai danni provocati dalla illecita divulgazione di dati personali all’interruzione di servizi importanti per gli utenti. I danni per la PA potrebbero avere conseguenze importanti anche a livello di immagine e potrebbero minare la fiducia dei cittadini/utenti. E i danni? Fonte: Sicurforum Italia 2001 Quanto tempo per recuperare tutto? Fonte: Sicurforum Italia 2001 La percezione dei rischi Il pericolo è che alcuni utenti, allarmati dai numerosi rapporti sulle minacce alla sicurezza, rinuncino a sfruttare le potenzialità di comunicazione offerte dalla rete. Altri invece, potrebbero sottovalutare i rischi e potrebbero agire in modo imprudente: oppure utilizzando le password: chi ne utilizza piùpensare di una, che: per ad esempio utilizzando la posta elettronica senza l’accesso al proprio PC, per il proprio account Internet, per la posta • i messaggi viaggiano "in chiaro“, possono essere letti usando elettronica, per i vari servizi a cui si accede attraverso in rete e così semplici tecniche di “sniffing” via ... spesso incorre in errori molto comuni come: • chiunque può spedire messaggi a nome di un altro • • • • • i messaggi arrivano "in differita": normalmente impiegano pochi minuti per arrivare a destinazione, in circostanze particolari usare la stessa password per tutti ma i servizi potrebbero impiegare anche alcuni giorni o non arrivare affatto usare una password semplice come il nome o la data di nascita esistono servizi di mail forwarding che permettono la creazione di un familiare di caselle postali fittizie se le password sono diverse è difficile ricordarle tutte e si può cadere nella tentazione di scriverle in posti accessibili da altri. L’innovazione nella PA: gli obiettivi Stanca Obiettivo primario per la PA è: garantire a tutti l’accesso telematico alle informazioni e ai servizi erogati Ma l’apertura del patrimonio informativo verso reti aperte comporta una serie di nuovi rischi! rilevazioni, modifiche o cancellazioni non autorizzate delle informazioni conseguenze sull’affidabilità delle informazioni e dei servizi La direttiva 16 gen 2002 “Sicurezza informatica e delle telecomunicazioni nelle pubbliche amministrazioni” Ministero per l’Innovazione e le Tecnologie “Base minima di sicurezza” L’aspetto normativo L’aspetto normativo è fondamentale e non può essere trascurato! Negli ultimi anni sono state emanate una serie di leggi che obbligano le Amministrazioni al rispetto di alcune regole e alla messa in opera di una serie di contromisure atte a prevenire o minimizzare i rischi di incidenti informatici. L’adozione delle contromisure non è più lasciata alla discrezione delle singole Amministrazioni ma in alcuni casi è un obbligo di legge. In generale il legislatore è intervenuto in tre grandi tre aree: • La tutela della privacy del cittadino • L’individuazione informatica giuridica e la persecuzione della criminalità • L’emissione di norme atte a conferire dignità legale ai documenti ed in generale alle procedure informatiche La sicurezza al servizio della PA I piani di e-government, si pongono 2 obiettivi: • semplificare i procedimenti amministrativi e burocratici • fornire servizi ai cittadini. Tali obiettivi sono difficilmente raggiungibili se non si può confidare su adeguati livelli di sicurezza dei sistemi informativi per: • generare fiducia nell'utilizzo degli strumenti informatici da parte dell'utente finale. • salvaguardare la disponibilità e l'integrità dei dati detenuti dalle amministrazioni pubbliche Sicurezza Fiducia Bisogna cambiare la visione della sicurezza Da costo discrezionale che si deve in qualche modo sostenere, a fattore critico che: Diversa percezione Diverso approccio abilita protegge garantisce confidenza nell’uso dell’IT salvaguardia della privacy e delle informazioni business continuity Da acquisto di prodotti per risolvere problemi specifici, a soluzioni integrate (HW, SW e servizi) basate su un’architettura globale e gestite attraverso un processo continuo “La sicurezza è un processo e non un prodotto” (Bruce Schneider) L’approccio deve essere globale Sono necessari 3 elementi opportunamente combinati: ٭ Tecnologie “best of breed” ٭ Security Policy ٭ Educazione degli utenti • Budget di spesa per la sicurezza • Scopo dell’istituzione • Cultura dell’istituzione è necessario tener conto di: SICUREZZA e-banking Bisogna trovare il giusto “compromesso” Portali PA USABILITA’ PRESTAZIONI attenzione all’anello debole! La sicurezza di un sistema è legata alla sicurezza delle singole componenti. Procedure di disaster Applicazioni recovery Infrastruttur e di rete Organizzazione Politiche di sicurezza Il livello di sicurezza di un sistema è determinato dal livello di sicurezza della componente meno protetta! è un processo ciclico! Aspetti tecnici Aspetti strategici Audit e Monitoraggio Aspetti organizzativi Aspetti legali Aspetti economici ma io non sapevo che …. Oltre alla formazione tecnica tradizionale... • Tutte le persone devono essere consapevoli delle politiche di sicurezza adottate. • Ognuno deve essere consapevole delle sue responsabilità e del potenziale danno causato da comportamenti “a rischio”. Formazione e Informazione Chi fa che cosa? le pubbliche amministrazioni dovranno: • acquisire tecnologie dell'informazione e della comunicazione che soddisfino i requisiti di sicurezza ma non basta ! è necessario inoltre: • integrare la struttura Organizzativa esistente con figure dedicate (Security Manager) in modo specifico alla sicurezza, definendone ruoli e responsabilità • sviluppare al loro interno una cultura della sicurezza La sicurezza è il fattore abilitante La sicurezza è il fattore abilitante sia per tutte le attività volte a migliorare l’efficienza operativa interna delle PA (piani di egovernment) Uso della posta elettronica per le comunicazioni interne Digitalizzazione dei flussi di documentazione interna Mandati di pagamento elettronici Firma digitale Protocollo Informatico sia per le applicazioni dirette ad offrire ai cittadini ed alle Carta d’Identità Elettronica imprese servizi fruibili per via Carta Nazionale dei Servizi telematica. Uffici digitali per il cittadino Servono delle soluzioni applicative ... EasySign Firma digitale forte e debole Autenticazione e riservatezza dei documenti informatici … a supporto dei servizi TrustWeb Invio ordine Protezione dei servizi erogati su Internet Transazioni elettroniche sicure Sicurezza non è chiusura … Non si può pensare di chiudere tutte le comunicazioni con l’esterno Il sistema di contromisure ideale combina protezione, capacità di rilevazione e reazione Il fattore umano è centrale! L’approccio alla sicurezza di Gfi OiS Consulenza e Analisi Formazione Integrazione e Soluzioni 3A Audit e Monitoraggio Managed Security Services Grazie per l’attenzione! Daniela Giovanardi Direttore Marketing ([email protected])