LA SICUREZZA INFORMATICA
Realizzato da: Alessandra Marino
Elenco degli argomenti
•
•
•
•
•
•
•
•
Sicurezza informatica
Gestione del rischio
Organizzazione della sicurezza
Standard ed enti di standardizzazione
Crittografia
Autenticazione
Protezione dei dati
Le minacce
Realizzato da: Alessandra Marino
La sicurezza delle informazioni è una componente della
sicurezza dei beni in generali.
Qualunque programma che si occupi della sicurezza delle
informazioni, deve perseguire 3 obiettivi fondamentali:
• La disponibilità
• L’integrità
• La riservatezza
Realizzato da: Alessandra Marino
La Disponibilità
La disponibilità è il grado in cui le informazioni e le risorse
informatiche sono accessibili agli utenti che hanno diritto, al
momento in cui gli servono.
Per impedire che i dati siano accessibili, si deve tener conto:
• delle condizioni ambientali (energia temperatura, umidità,
atmosfera, ecc…)
• delle risorse hardware e software (guasti, errori, blackout,
disastri, ecc…)
• di attacchi esterni (attacchi provenienti ad esempio da internet
che causano l’accessibilità ai dati e alle informazioni).
Realizzato da: Alessandra Marino
L’Integrità
L’ integrità per ciò che riguarda le informazioni, è il grado in cui le informazioni devono essere:
corrette, coerenti e affidabili;
L’ integrità per ciò che riguarda le risorse informatiche, è il grado in cui le risorse devono avere:
completezza, coerenza e buone condizioni di funzionamento;
L’ integrità per ciò che riguarda l’hardware e i sistemi di comunicazione, consiste:
• nella corretta elaborazione dei dati
• in un livello adeguato di prestazioni
• in un corretto instradamento dei dati.
Realizzato da: Alessandra Marino
L’ integrità per ciò che riguarda il software riguarda:
- la completezza e la coerenza dei moduli del sistema operativo e delle applicazioni.
- la correttezza dei file critici di sistema e di configurazione
La Riservatezza
La riservatezza consiste nel limitare l’accesso alle informazioni e alle
risorse informatiche alle sole persone autorizzate. Si applica sia
all’archiviazione, sia alla comunicazione delle informazioni.
Realizzato da: Alessandra Marino
GESTIONE DEL RISCHIO
Adesso esamineremo i rischi connessi ai vari aspetti di
sicurezza delle informazioni analizzando:
1. I beni da difendere
2. Gli obiettivi di sicurezza
3. Le minacce alla sicurezza
4. La vulnerabilità dei sistemi informatici
5. L’impatto causato dall’attuazione delle minacce
6. Il rischio
Realizzato da: Alessandra Marino
1) Beni da difendere
In generale un bene è qualsiasi cosa, materiale o immateriale che ha un
valore e deve essere protetto.
Nel campo della sicurezza delle informazioni i beni di un azienda sono:
• le risorse informatiche
• Il personale (utenti, amministratori, addetti alla manutenzione)
• Le informazioni
• La documentazione
• L’immagine dell’azienda
Nel campo della sicurezza delle informazioni, i beni di un individuo sono:
• Le informazioni personali
• La privacy
Realizzato da: Alessandra Marino
2) Obiettivi di sicurezza
Gli obiettivi di sicurezza , sono il grado di protezione che si intende attuare per
i beni in termini di:
• Disponibilità
• Integrità
• Riservatezza
Per sapere quale obiettivo adottare, i beni si classificano in categorie e ad
ognuno di essi si assegna il tipo di sicurezza:
• Per le password e i numeri di identificazione il requisito più importante per
raggiungere l’obiettivo della sicurezza, è la riservatezza.
• Per le informazioni contabili di una banca che segue transazioni on-line i
requisiti richiesti sono: disponibilità, integrità e riservatezza.
• Per le informazioni pubblicate sul sito web i requisiti richiesti sono:
disponibilità, integrità.
Realizzato da: Alessandra Marino
3) Minacce alla sicurezza
• Una minaccia è un’azione: potenziale, accidentale,
deliberata, essa può portare alla violazione ad uno
o più obiettivi di sicurezza.
Le minacce possono essere classificate: naturale,
ambientale e umana.
Realizzato da: Alessandra Marino
Esempi di minacce
•
•
•
•
•
•
•
•
•
Terremoto = Ambientale
Inondazione = Accidentale, Ambientale
Bombardamento = Deliberata, Accidentale
Furto = Deliberata
Temperatura alta o bassa = Deliberata, Accidentale,
Ambientale
Guasto Hardware = Accidentale
Errori software = Deliberata, Accidentale
Errori dell’utente = Deliberata, Accidentale
Software dannoso = Deliberata, accidentale
Realizzato da: Alessandra Marino
Per esempio: un allargamento dovuto a forti piogge è una minaccia
accidentale di origine naturale che influisce notevolmente alla
sicurezza in quanto interrompe l’utilizzo dei servizi informatici.
Altro esempio è un cavallo di Troia installato all’apertura di un
allegato di posta elettronica infetto,questa è una minaccia deliberata
di origine umana e coinvolge tutti gli obiettivi di sicurezza, ciò viola
la sicurezza nei 3 obiettivi.
- Disponibilità in quanto il computer cade sotto il controllo esterno e
non può essere più disponibile al suo proprietario
- Integrità in quanto le sue informazioni possono essere cancellate o
alterate
- riservatezza in quanto i dati possono essere divulgati e letti dagli
estranei
L’entità che mette in atto la minaccia è chiamato agente.
Realizzato da: Alessandra Marino
4) Vulnerabilità dei sistemi informatici
La vulnerabilità è un punto debole del sistema informatico
(hardware, software e procedure) che, se colpito da una
minaccia, porta a qualche violazione
degli obiettivi di
sicurezza.
Una vulnerabilità, di per se, non causa una perdita di sicurezza
ma è la combinazione tra vulnerabilità e minaccia che determina
la possibilità che vengono violati gli obiettivi di sicurezza.
Esempio: se un computer utilizzato per la contabilità di un
azienda, non protetto da firewall e antivirus privo delle patch di
sicurezza del sistema operativo, è vulnerabile, ma se è tenuto al
sicuro, viene usato solo dal titolare e non è collegato da internet,
può funzionare senza il pericolo di essere colpito da minacce.
Realizzato da: Alessandra Marino
5) L’impatto causato dall’attuazione
delle minacce
L’impatto si ha quando la minaccia colpisce il sistema e dipende
dal valore del bene e dalla violazione degli obiettivi di
sicurezza.
esempio: Se il titolare di un azienda, connette il suo portatile ad
internet senza protezione, apre una e-mail infetta propagando
l’infezione alla rete aziendale, l’impatto è grave e coinvolge tutti
gli obiettivi di sicurezza (disponibilità, integrità e riservatezza).
In questo caso il titolare dell’azienda è l’agente (ovvero colui
che ha attuato la minaccia), la vulnerabilità è la conseguenza
della cattiva configurazione del portatile per la mancata
installazione di antivirus e firewall.
Realizzato da: Alessandra Marino
6) Il rischio
Il rischio è l’insieme della gravità dell’impatto (conseguenza di un evento
dannoso) e la probabilità che si verifichi l’evento dannoso.
Possiamo classificare il rischio in due fasi:
• Analisi del rischio
• Controllo del rischio
Analisi del rischio
In questa fase si classificano le informazioni e le risorse soggette alle
minacce e vulnerabilità e si identifica al livello di rischio associato ad
ogni minaccia.
Controllo del rischio
In questa fase vengono individuate le modalità che l’azienda intende
adottare per ridurre i rischi associata alla perdita della disponibilità
delle informazioni e della integrità e della riservatezza di dati ed
informazioni.
Realizzato da: Alessandra Marino
ORGANIZZAZIONE DELLA
SICUREZZA
La sicurezza delle informazioni è il risultato di un insieme di processi ai
vari livelli dell’organigramma aziendale.
Non sono sufficienti solo strumenti e tecnologie per ottenere la
sicurezza. Occorre, innanzitutto sicurezza e coinvolga l’intera struttura
aziendale, in modo che il personale contribuisca nel proprio ambito al
disegno generale della sicurezza secondo un organigramma a livelli.
L’organizzazione della sicurezza parte dall’alto dove gli obiettivi e le
politiche di sicurezza sono definiti dal top management.
Uno dei primi compiti del gruppo incaricato nella sicurezza, è quello di
inquadrare l’azienda in base al modello di attività, all’esposizione dei
rischi e alla dipendenza della infrastruttura informatica e di
comunicazione.
Questo esame preliminare dovrà tenere in considerazione il quadro
legislativo tracciato dalle leggi sulla criminalità informatica e sulla
privacy.
Realizzato da: Alessandra Marino
Standard ed enti di
standardizzazione
Gli enti di standardizzazione sono organizzazioni di natura molto differente
che coprono aspetti normativi diversi a secondo i casi.
Operano in ambito nazionale e internazionale ed emetto norme e linee
guida per la realizzazione di prodotti, processi e servizi secondo le
tecnologie del momento. Svolgono altre attività come la pubblicazione di
documenti che possono essere facilmente interpretati secondo gli standard
internazionali.
Elenchiamo alcuni enti di standardizzazione:
• ITU: è un’organizzazione ONU dove governi e settore privato coordinano
le reti e servizi globali di telecomunicazioni.
• ISO: è maggiore organizzazione internazionale di standardizzazione e
comprende gli enti di standardizzazione nazionale di 146 paesi.
• IETF
Realizzato da: Alessandra Marino
La Crittografia
La crittografia consiste nel cifrare, cioè rendere incomprensibili, un testo in chiaro
attraverso un algoritmo di cifratura che fa uso di input di una chiave. Il risultato
della cifratura, sarà un testo inintelligibile che potrà essere cifrato solo disponendo
della chiave di decifratura.
Le tecniche crittografiche permettono:
• di trasformare dati, informazioni e messaggi in modo da nascondere il
contenuto a chiunque non sia autorizzato e attrezzato per prenderne visione
• di impedire ad estranei di alterare i dati, segnalando qualunque tentativo in tal
senso
• di garantire l’autenticità dei dati, associandoli in modo certo al loro proprietario,
impedendo allo stesso tempo che il mittente di un messaggio possa ripudiarne la
paternità.
Vi sono due tipi di crittografia:
Realizzato da: Alessandra Marino
Crittografia simmetrica
L’uso della crittografia simmetrica conferisce riservatezza al messaggio, ma non
assicura l’autenticazione o il non ripudio, poiché non c’è un associazione
univoca e sicura tra la chiave e un individuo. Questo tipo di crittografia viene
utilizzata per cifrare grandi quantità di dati cosa che non è possibile con la
cifratura asimmetrica.
Crittografia asimmetrica
La crittografia asimmetrica fa uso di due chiavi diverse per cifrare o decifrare i
messaggi o documenti. Un algoritmo asimmetrico prevede che ogni utente
abbia una coppia di chiavi: la chiave pubblica e la chiave privata.
La chiave privata deve essere custodita al sicuro dal proprietario, mentre la chiave
pubblica può essere distribuita senza restrizioni, a patto che sia autenticata.
Realizzato da: Alessandra Marino
Autenticazione
All’atto dell’autenticazione, l’entità che chiede di essere autenticata, deve essere in
possesso di una password o un certificato digitale, come prova della propria
identità. Una volta che l’utente è stato autenticato, il passo successivo è
assicurare che possa accedere solo alle risorse per cui è autorizzato.
Vi sono diversi tipi di autenticazione:
• Autenticazione locale: utilizzata da un computer o un portatile
• Autenticazione indiretta: è usata nei moderni sistemi distribuiti per consentire a
diversi utenti ad accedere ai servizi di rete
• Autenticazione off-line: utilizzata dai sistemi che utilizzano la chiave pubblica
(PKI).
Indipendentemente dai metodi usati, i sistemi di autenticazione hanno
generalmente alcuni elementi in comune:
• Una persona da autenticare
• Una caratteristica su cui basare l’autenticazione
I fattori di autenticazione sono divisi in 3 categorie:
Realizzato da: Alessandra Marino
•
•
•
Qualcosa che sai
Qualcosa che hai
Quello che sei
Password
L’uso della password è uno dei più antichi sistemi di autenticazione.
Con l’uso delle reti, le password in chiaro, hanno avuto poca vita perché era più facile
impossessarsene.
A partire dal 1967 cominciò ad essere introdotto l’hashing delle password, che viene tuttora
utilizzato.
Un hash è un numero binario di lunghezza fissa, ricavo da input di lunghezza variabile che
funge da impronta del dato di partenza.
Il sistema conserva un file con il nome degli utenti e l’hash delle relative password.
All’atto dell’autenticazione, l’hash calcolato in base alla password digitata viene confrontato con
quello registrato nei file; se coincidono l’utente è autenticato.
Token
Un token è un fattore di autenticazione della categoria “quello che hai”, l’utente deve essere in
possesso del token al fine di essere autenticato dal computer. Se viene smarrito, rubato o
prestato, l’utente non ha modo di farsi autenticare.
Token passivi: sono carte di credito, bancomat di vecchia generazione, si chiamano così perché i
dati sono registrati su una striscia magnetica.
Token attivi: trasmettono il loro dato segreto per qualche calcolo, come una password usata una
volta sola. I token attivi usano solitamente tecniche crittografate che li rendono immuni da
intercettazioni.
Realizzato da: Alessandra Marino
Firma digitale
Per verificare che un documento sia stato realmente prodotto o inviato, nel caso di
comunicazioni in rete, da chi afferma di averlo fatto, viene utilizzata la firma digitale che
garantisce l’autenticità colui che dice di aver firmato quel dato documento. La firma digitale
deve essere: verificabile, non falsificabile e non ripudiabile.
L’ Europa ha cominciato a conferire valore giuridico alla firma digitale, con una serie di
provvedimenti legislativi già a partire dal 1997, anche se solo nel gennaio 2000 con la
pubblicazione della Direttiva Europea 1999/93/CE ha dato ulteriori impulsi al processo
legislativo, imponendo un quadro comune agli Stati dell’Unione Europea. Questa direttiva
ha fatto si che la firma digitale generata dagli stati facente parte l’Unione Europea, fosse
riconosciuta dagli stessi.
Il valore legale della firma digitale in Italia risale al 15 aprile 1999 data di pubblicazione del
DPCM 8 febbraio 1999, oggi sostituito dal DPCM 13 gennaio 2004.
Realizzato da: Alessandra Marino