Sicurezza: opportunità di
crescita e salvaguardia del
valore
Nozioni sulla Sicurezza nel
Mondo dell’Informazione condivisa
L’era di Internet
Industry
Society
Internet
Society
Il prodotto è
un oggetto
Dato
Il prodotto è
un’informazione
Informazione
Elaborazione
Elaborazione
Conoscenza
• Anche per la Pubblica Amministrazione
l’informazione è la risorsa più importante
La società dell’Informazione
Un’informazione statica non è competitiva a livello di
business (informazione monolitica)
L’informazione condivisa produce nuovi livelli di
informazione  nuovo business
Se un’informazione statica viene corrotta, il danno
non si propaga
Se un’informazione condivisa viene corrotta, anche il
danno è condiviso  business attuali e futuri corrotti
La condivisione dell’informazione
implica la necessità della sicurezza
ma su Internet ….
•
aumenta il numero degli attacchi
•
aumenta la loro complessità e diminuisce
l’esperienza necessaria per realizzarli.
•
timori per la privacy
•
l’utente non si sente protetto e garantito
… la sicurezza è ormai una
Solo
sicurezza
può
delle la
sfide
più importanti
con cui devefiducia…
misurarsi
generare
anche la PA
I dati italiani di OCI 2001
Fonte: Sicurforum Italia 2001
Quale tipo di attacco?
Fonte: Sicurforum Italia 2001
Perché mi attaccano?
Fonte: Sicurforum Italia 2001
L’immagine è un bene prezioso!
Sono frequenti le notizie di violazioni ai server di
grandi aziende sia private sia pubbliche: tutti i portali
sono soggetti a questi rischi.
I problemi vanno dai danni provocati dalla illecita
divulgazione di dati personali all’interruzione di servizi
importanti per gli utenti.
I danni per la PA potrebbero avere conseguenze
importanti anche a livello di immagine e potrebbero
minare la fiducia dei cittadini/utenti.
E i danni?
Fonte: Sicurforum Italia 2001
Quanto tempo per recuperare tutto?
Fonte: Sicurforum Italia 2001
La percezione dei rischi
Il pericolo è che alcuni utenti, allarmati dai numerosi rapporti sulle minacce alla
sicurezza, rinuncino a sfruttare le potenzialità di comunicazione offerte dalla rete.
Altri invece, potrebbero sottovalutare i rischi e potrebbero agire in modo
imprudente:
oppure
utilizzando
le password:
chi ne utilizza
piùpensare
di una, che:
per
ad
esempio
utilizzando
la posta elettronica
senza
l’accesso al proprio PC, per il proprio account Internet, per la posta
• i messaggi viaggiano "in chiaro“, possono essere letti usando
elettronica, per i vari servizi a cui si accede attraverso in rete e così
semplici tecniche di “sniffing”
via ... spesso incorre in errori molto comuni come:
• chiunque può spedire messaggi a nome di un altro
•
•
•
•
•
i messaggi arrivano "in differita": normalmente impiegano pochi
minuti
per
arrivare
a destinazione,
in circostanze particolari
usare la
stessa
password
per tutti ma
i servizi
potrebbero impiegare anche alcuni giorni o non arrivare affatto
usare una password semplice come il nome o la data di nascita
esistono
servizi di mail forwarding che permettono la creazione
di un familiare
di caselle postali fittizie
se le password sono diverse è difficile ricordarle tutte e si può
cadere nella tentazione di scriverle in posti accessibili da altri.
L’innovazione nella PA: gli obiettivi Stanca
Obiettivo primario per la PA è:
garantire a tutti l’accesso telematico alle informazioni e ai
servizi erogati
Ma l’apertura del patrimonio informativo verso reti
aperte comporta una serie di nuovi rischi!
rilevazioni, modifiche o
cancellazioni non autorizzate
delle informazioni
conseguenze sull’affidabilità
delle informazioni e dei servizi
La direttiva 16 gen 2002
“Sicurezza informatica
e delle
telecomunicazioni
nelle pubbliche
amministrazioni”
Ministero per l’Innovazione
e le Tecnologie
“Base minima di
sicurezza”
L’aspetto normativo
L’aspetto normativo è fondamentale e non può essere trascurato!
Negli ultimi anni sono state emanate una serie di leggi che obbligano le
Amministrazioni al rispetto di alcune regole e alla messa in opera di una serie
di contromisure atte a prevenire o minimizzare i rischi di incidenti informatici.
L’adozione delle contromisure
non è più lasciata alla
discrezione delle singole
Amministrazioni ma in alcuni
casi è un obbligo di legge.
In generale il legislatore è intervenuto in tre grandi tre aree:
• La tutela della privacy del cittadino
• L’individuazione
informatica
giuridica
e
la
persecuzione
della
criminalità
• L’emissione di norme atte a conferire dignità legale ai documenti ed
in generale alle procedure informatiche
La sicurezza al servizio della PA
I piani di e-government, si pongono 2 obiettivi:
•
semplificare i procedimenti amministrativi e burocratici
•
fornire servizi ai cittadini.
Tali obiettivi sono difficilmente raggiungibili se non si può confidare
su adeguati livelli di sicurezza dei sistemi informativi per:
•
generare fiducia nell'utilizzo degli strumenti
informatici da parte dell'utente finale.
•
salvaguardare la disponibilità e l'integrità dei dati
detenuti dalle amministrazioni pubbliche
Sicurezza

Fiducia
Bisogna cambiare la visione della sicurezza
Da costo discrezionale che si deve in qualche modo sostenere,
a fattore critico che:
Diversa
percezione
Diverso
approccio
abilita
protegge
garantisce
confidenza
nell’uso dell’IT
salvaguardia della
privacy e delle
informazioni
business
continuity
Da acquisto di prodotti per risolvere problemi specifici, a
soluzioni integrate (HW, SW e servizi) basate su un’architettura
globale e gestite attraverso un processo continuo
“La sicurezza è un processo e non un prodotto”
(Bruce Schneider)
L’approccio deve essere globale
Sono necessari 3 elementi
opportunamente combinati:
‫٭‬
Tecnologie “best of breed”
‫٭‬
Security Policy
‫٭‬
Educazione degli utenti
•
Budget di spesa per la
sicurezza
•
Scopo dell’istituzione
•
Cultura dell’istituzione
è necessario tener conto di:
SICUREZZA
e-banking
Bisogna trovare il giusto
“compromesso”
Portali PA
USABILITA’
PRESTAZIONI
attenzione all’anello debole!
La sicurezza di un sistema è legata alla sicurezza delle singole componenti.
Procedure
di disaster
Applicazioni
recovery
Infrastruttur
e
di rete
Organizzazione
Politiche
di sicurezza
Il livello di sicurezza di un sistema è determinato dal livello
di sicurezza della componente meno protetta!
è un processo ciclico!
Aspetti tecnici
Aspetti
strategici
Audit e
Monitoraggio
Aspetti
organizzativi
Aspetti legali
Aspetti economici
ma io non sapevo che ….
Oltre alla formazione tecnica tradizionale...
• Tutte le persone devono essere consapevoli
delle politiche di sicurezza adottate.
• Ognuno deve essere consapevole delle sue
responsabilità e del potenziale danno causato
da comportamenti “a rischio”.
Formazione e
Informazione
Chi fa che cosa?
le pubbliche amministrazioni dovranno:
•
acquisire tecnologie dell'informazione e della
comunicazione che soddisfino i requisiti di sicurezza
ma non basta !
è necessario inoltre:
•
integrare la struttura Organizzativa esistente con figure
dedicate (Security Manager) in modo specifico alla
sicurezza, definendone ruoli e responsabilità
•
sviluppare al loro interno una cultura della sicurezza
La sicurezza è il fattore abilitante
La sicurezza è il fattore abilitante
sia per tutte le attività volte a
migliorare l’efficienza operativa
interna delle PA (piani di egovernment)
Uso della posta elettronica per
le comunicazioni interne
Digitalizzazione dei flussi di
documentazione interna
Mandati di pagamento
elettronici
Firma digitale
Protocollo Informatico
sia per le applicazioni dirette
ad offrire ai cittadini ed alle
Carta d’Identità Elettronica
imprese servizi fruibili per via
Carta Nazionale dei Servizi
telematica.
Uffici digitali per il cittadino
Servono delle soluzioni applicative ...
EasySign
 Firma digitale forte e debole
 Autenticazione e riservatezza
dei documenti informatici
… a supporto dei servizi
TrustWeb
Invio ordine
 Protezione dei servizi erogati su
Internet
 Transazioni elettroniche sicure
Sicurezza non è chiusura …
Non si può pensare di chiudere tutte le
comunicazioni con l’esterno
Il sistema di contromisure ideale combina
protezione, capacità di rilevazione e reazione
Il fattore umano è centrale!
L’approccio alla sicurezza di Gfi OiS
Consulenza e
Analisi
Formazione
Integrazione e
Soluzioni 3A
Audit e
Monitoraggio
Managed Security
Services
Grazie per l’attenzione!
Daniela Giovanardi
Direttore Marketing
([email protected])
Scarica

Presentazione Power Point sulla Sicurezza nel mondo dell