LA SICUREZZA INFORMATICA Introduzione Fino a circa 10 anni fa, l’uso del PC non comportava particolari preoccupazioni nella protezione dei dati contenuti in esso. Per evitare la perdita dei dati, ad intervalli regolari, effettuavamo il Backup per prevenire perdite nel caso in cui si fosse verificato un mal funzionamento del computer. L’utilizzo di Password all’avvio del computer ci garantisce una garanzia contro l’accesso da parte di terze persone. Con il nascere e il diffondersi delle reti informatiche, “Internet” iniziarono a crearsi problemi dovuti a: • Minacce di intrusione • Possibilità di divulgazione non autorizzata di informazioni • Interruzione e distruzione di servizi offerti dall’utenza Con il nascere di questi problemi, i legislatori dei paesi più industrializzati, sentirono la necessità di istituire un settore specifico che si occupasse della sicurezza, del trattamento e della salvaguardia degli strumenti informatici e delle informazioni in esse contenute. Argomenti Elenco degli Argomenti • Sicurezza Informatica • Gestione del Rischio • Organizzazione della Sicurezza • Standard ed Enti di Standardizzazione • Crittografia • Autenticazione • Protezione dei Dati • Le Minacce La Sicurezza Informatica La sicurezza delle informazioni è una componente della sicurezza dei beni in generali. Qualunque programma che si occupi della sicurezza delle informazioni, deve perseguire 3 obiettivi fondamentali: • La Disponibilità • L’ Integrità • La Riservatezza link La Disponibilità La disponibilità è il grado in cui le informazioni e le risorse informatiche sono accessibili agli utenti che ne hanno diritto, nel momento in cui servono. Per impedire che i dati siano accessibili, si deve tener conto: -Delle Condizioni Ambientali (energie, temperature, umidità, atmosfera) -Delle Risorse hardware e software (guasti, errori, blackout, disastri) -Di Attacchi esterni (provenienti ad esempio da internet ) link L’integrità L’ integrità per ciò che riguarda le informazioni, è il grado in cui le informazioni devono essere : • Corrette • Coerenti • Affidabili L’ integrità per ciò che riguarda le risorse informatiche, è il grado in cui le risorse devono avere : • Completezza • Coerenza • Buone condizioni di funzionamento link La sicurezza L’ integrità, per ciò che riguarda l’ hardware e i sistemi di comunicazione, consiste : - Nella corretta elaborazione dei dati - In un livello adeguato di prestazioni - In un corretto instradamento dei dati. L’ integrità per ciò che riguarda il software riguarda: - La completezza e la coerenza dei moduli del sistema operativo e delle applicazioni - La correttezza dei file critici di sistema e di configurazione link La Riservatezza La riservatezza consiste nel limitare l’accesso alle informazioni e alle risorse informatiche alle sole persone autorizzate. Si applica sia all’archiviazione, sia alla comunicazioni delle informazioni. link La sicurezza Gestione del Rischio Adesso esamineremo i rischi connessi ai vari aspetti di sicurezza delle informazioni analizzando: 1. 2. 3. 4. 5. 6. I Beni da Difendere Gli Obiettivi di Sicurezza Le Minacce alla Sicurezza La Vulnerabilità dei Sistemi Informatici L’Impatto Causato dall’Attuazione delle Minacce Il Rischio link 1. Beni da Difendere Il bene in genere è qualsiasi cosa materiale e immateriale che ha un valore e che deve essere difeso. I beni di un azienda sono: • Le risorse informatiche • Il personale (utenti, amministratori, addetti alla manutenzione) • Le informazioni • La documentazione • L’immagine dell’azienda I beni di un individuo sono: • Informazioni personali • La privacy Gestione del rischio 2 .Obiettivi di Sicurezza Gli obiettivi di sicurezza sono il grado di protezione che si intende attuare per i beni in termini: o Disponibilità o Integrità o Riservatezza I beni si classificano in categorie e ad ognuno si assegna il tipo di sicurezza: o Per le password e i numeri di identificazione il requisito per raggiungere l’obiettivo è la Riservatezza o Per le informazioni contabili di una banca i requisiti richiesti sono: Disponibilità, Integrità e Riservatezza o Per le informazioni pubblicate sul sito web i requisiti sono: Disponibilità e Integrità Gestione del rischio 3. Minacce alla Sicurezza Una minaccia è un azione: potenziale, accidentale e deliberata che può portare alla violazione degli obiettivi di sicurezza. Le minacce possono classificarsi in: Naturale, Ambientale e Umana Minaccia Deliberata Accidentale Terremoto Ambientale x Inondazione x Bombardamento x Furto x Temperatura alta o bassa x Guasto Hardware x x x x x Errori software x x Errori utenti x x Accesso illegale alla rete x Gestione del rischio 4. Vulnerabilità dei sistemi informatici La vulnerabilità è un punto debole del sistema informatico che se colpito da una minaccia, porta a qualche violazione degli obiettivi di sicurezza. Una vulnerabilità non causa una perdita di sicurezza ma è la combinazione tra vulnerabilità e minaccia ha determinare la possibilità di violazione degli obiettivi di sicurezza. Ad esempio: se un computer utilizzato per la contabilità di un azienda non è protetto da firewall e antivirus ed è anche privo delle patch sarà vulnerabile, mentre se viene tenuto al sicuro e viene usato solo dal titolare che evita il collegamento ad internet allora il computer potrà funzionare senza nessun pericolo di essere colpito. Gestione del rischio 5. L’impatto causato dall’attuazione delle minacce L’impatto si ha quando la minaccia colpisce il sistema e dipende dal valore del bene e dalla violazione degli obiettivi di sicurezza. Esempio: se un titolare di un ‘azienda senza protezione collega il suo portatile ad internet aprendo un email,rischia d’infettare tutto il sistema di rete aziendale. In questo caso il titolare dell’azienda è l’agente (cioè colui che ha attuato la minaccia),la vulnerabilità è la conseguenza della cattiva configurazione del portatile per la mancata istallazione di antivirus e firewall,la minaccia è data dalle cattive abitudini e incompetenze del titolare. Questo causerebbe il blocco temporaneo della rete e dei computer ad esse collegate, causando anche la perdita di dati e la reinstallazione del software. Gestione del rischio 6. Il Rischio Il rischio è tanto maggiore quanto è l’impatto che l’ha causato e l’alta probabilità che esso si verifichi. Il rischio puo’ essere definito l’insieme della gravità dell’impatto cioè la conseguenza di un evento dannoso che porta al riverificarsi del danno. I rischi possono classificarsi in: Analisi del rischio (in questa fase si classificano le informazioni e le risorse soggette a minacce e vulnerabilità e si identifica il livello di rischio associato ad ogni minaccia) Controllo del rischio (in questa fase vengono individuate le modalità che l’azienda intende adottare per ridurre i rischi associati alla perdita della disponibilità delle informazioni e risorse informatiche e della integrità e della riservatezza dei dati e delle informazioni. Gestione del rischio Organizzazione della Sicurezza La sicurezza delle informazioni è il risultato di un insieme di processi a vari livelli dell’organigramma aziendale. Per ottenerla non sono solo sufficienti nuove tecnologie e strumenti ma occorre creare un organizzazione per la sicurezza che assuma la responsabilità di quanto attiene alla sicurezza e coinvolga l’intera struttura aziendale in modo che tutto il personale contribuisca al disegno generale. L’organizzazione della sicurezza parte dall’alto dove gli obiettivi e le politiche di sicurezza vengono definiti dal Top Management, il primo compito incaricato al gruppo di sicurezza è quello di inquadrare l’azienda in base al modello di attività, all’esposizione ai rischi a alla dipendenza della infrastruttura informatica e di comunicazione. link Standard ed enti di standardizzazione Gli enti di standardizzazione sono organizzazioni di natura molto differente che coprono aspetti diversi a secondo dei casi. Emettono norme e linee guida per la realizzazione di prodotti, processi e servizi, svolgono attività come la pubblicazione di documenti. Tipi di enti: - ITU “organizzazione ONU dove governi e settore privato coordinano le reti e i servizi globali di telecomunicazioni” - ISO “è la maggiore organizzazione internazionale, comprende anche enti di standardizzazione nazionale” - IEFT “Internet Engineering Task Force” link La Crittografia Questa parola deriva dal greco Krypts “nascosto” e Graphein “scrivere”. È la scienza che fa uso della matematica per decifrare e cifrare dati, non nasconde un messaggio ma studia come nascondere il significato o il contenuto in modo che risulti comprensibile solo al destinatario stabilito dal mittente. Le tecniche crittografiche permettono: - di trasformare dati e informazioni a chiunque non sia autorizzato. - Impedisce ad estranei di alterare i dati - Garantisce l’autenticità dei dati Esistono due tipi di crittografia: CRITTOGRAFIA SIMMETRICA