LA SICUREZZA INFORMATICA
Introduzione
Fino a circa 10 anni fa, l’uso del PC non comportava
particolari preoccupazioni nella protezione dei dati
contenuti in esso.
Per evitare la perdita dei dati, ad intervalli regolari,
effettuavamo il Backup per prevenire perdite nel caso in
cui si fosse verificato un mal funzionamento del
computer.
L’utilizzo di Password all’avvio del computer ci garantisce
una garanzia contro l’accesso da parte di terze persone.
Con il nascere e il diffondersi delle reti
informatiche, “Internet” iniziarono a crearsi
problemi dovuti a:
• Minacce di intrusione
• Possibilità di divulgazione non autorizzata di
informazioni
• Interruzione e distruzione di servizi offerti
dall’utenza
Con il nascere di questi problemi, i legislatori dei
paesi più industrializzati, sentirono la necessità di
istituire un settore specifico che si occupasse della
sicurezza, del trattamento e della salvaguardia
degli strumenti informatici e delle informazioni in
esse contenute.
Argomenti
Elenco degli Argomenti
• Sicurezza Informatica
• Gestione del Rischio
• Organizzazione della Sicurezza
• Standard ed Enti di Standardizzazione
• Crittografia
• Autenticazione
• Protezione dei Dati
• Le Minacce
La Sicurezza Informatica
La sicurezza delle informazioni è una componente
della sicurezza dei beni in generali.
Qualunque programma che si occupi della sicurezza
delle informazioni, deve perseguire 3 obiettivi
fondamentali:
• La Disponibilità
• L’ Integrità
• La Riservatezza
link
La Disponibilità
La disponibilità è il grado in cui le informazioni e le risorse
informatiche
sono accessibili agli utenti che ne hanno diritto, nel
momento in cui servono.
Per impedire che i dati siano accessibili, si deve tener
conto:
-Delle Condizioni Ambientali
(energie, temperature,
umidità, atmosfera)
-Delle Risorse hardware e software (guasti, errori,
blackout, disastri)
-Di Attacchi esterni (provenienti ad esempio da internet )
link
L’integrità
L’ integrità per ciò che riguarda le informazioni, è il
grado in cui le informazioni devono essere :
• Corrette
• Coerenti
• Affidabili
L’ integrità per ciò che riguarda le risorse informatiche, è
il grado in cui le risorse devono avere :
• Completezza
• Coerenza
• Buone condizioni di funzionamento
link
La sicurezza
L’ integrità, per ciò che riguarda l’ hardware e i sistemi di
comunicazione, consiste :
- Nella corretta elaborazione dei dati
- In un livello adeguato di prestazioni
- In un corretto instradamento dei dati.
L’ integrità per ciò che riguarda il software riguarda:
- La completezza e la coerenza dei moduli del sistema
operativo e
delle applicazioni
- La correttezza dei file critici di sistema e di
configurazione
link
La Riservatezza
La riservatezza consiste nel limitare l’accesso alle
informazioni e alle risorse informatiche alle sole
persone autorizzate.
Si applica sia all’archiviazione, sia alla comunicazioni
delle informazioni.
link
La sicurezza
Gestione del Rischio
Adesso esamineremo i rischi connessi ai vari aspetti di
sicurezza delle informazioni analizzando:
1.
2.
3.
4.
5.
6.
I Beni da Difendere
Gli Obiettivi di Sicurezza
Le Minacce alla Sicurezza
La Vulnerabilità dei Sistemi Informatici
L’Impatto Causato dall’Attuazione delle Minacce
Il Rischio
link
1. Beni da Difendere
Il bene in genere è qualsiasi cosa materiale e
immateriale che ha un valore e che deve essere difeso.
I beni di un azienda sono:
• Le risorse informatiche
• Il personale (utenti, amministratori, addetti alla
manutenzione)
• Le informazioni
• La documentazione
• L’immagine dell’azienda
I beni di un individuo sono:
• Informazioni personali
• La privacy
Gestione del rischio
2 .Obiettivi di Sicurezza
Gli obiettivi di sicurezza sono il grado di protezione che si
intende attuare per i beni in termini:
o Disponibilità
o Integrità
o Riservatezza
I beni si classificano in categorie e ad ognuno si assegna il
tipo di sicurezza:
o Per le password e i numeri di identificazione il requisito
per raggiungere l’obiettivo è la Riservatezza
o Per le informazioni contabili di una banca i requisiti
richiesti sono:
Disponibilità, Integrità e Riservatezza
o Per le informazioni pubblicate sul sito web i requisiti sono:
Disponibilità e Integrità
Gestione del rischio
3. Minacce alla Sicurezza
Una minaccia è un azione: potenziale, accidentale e
deliberata che può portare alla violazione degli obiettivi
di sicurezza.
Le minacce possono classificarsi in: Naturale,
Ambientale e Umana
Minaccia
Deliberata
Accidentale
Terremoto
Ambientale
x
Inondazione
x
Bombardamento
x
Furto
x
Temperatura alta o
bassa
x
Guasto Hardware
x
x
x
x
x
Errori software
x
x
Errori utenti
x
x
Accesso illegale
alla rete
x
Gestione del rischio
4. Vulnerabilità dei sistemi informatici
La vulnerabilità è un punto debole del sistema
informatico che se colpito da una minaccia, porta a
qualche violazione degli obiettivi di sicurezza.
Una vulnerabilità non causa una perdita di sicurezza
ma è la combinazione tra vulnerabilità e minaccia ha
determinare la possibilità di violazione degli obiettivi
di sicurezza.
Ad esempio: se un computer utilizzato per la
contabilità di un azienda non è protetto da firewall e
antivirus ed è anche privo delle patch sarà
vulnerabile, mentre se viene tenuto al sicuro e viene
usato solo dal titolare che evita il collegamento ad
internet allora il computer potrà funzionare senza
nessun pericolo di essere colpito.
Gestione del rischio
5. L’impatto causato dall’attuazione delle minacce
L’impatto si ha quando la minaccia colpisce il sistema e
dipende dal valore del bene e dalla violazione degli
obiettivi di sicurezza.
Esempio: se un titolare di un ‘azienda senza protezione
collega il suo portatile ad internet aprendo un email,rischia d’infettare tutto il sistema di rete aziendale.
In questo caso il titolare dell’azienda è l’agente (cioè
colui che ha attuato la minaccia),la vulnerabilità è la
conseguenza della cattiva configurazione del portatile
per la mancata istallazione di antivirus e firewall,la
minaccia è data dalle cattive abitudini e incompetenze
del titolare.
Questo causerebbe il blocco temporaneo della rete e dei
computer ad esse collegate, causando anche la perdita
di dati e la reinstallazione del software.
Gestione del rischio
6. Il Rischio
Il rischio è tanto maggiore quanto è l’impatto che l’ha
causato e l’alta probabilità che esso si verifichi.
Il rischio puo’ essere definito l’insieme della gravità
dell’impatto cioè la conseguenza di un evento dannoso
che porta al riverificarsi del danno.
I rischi possono classificarsi in:
 Analisi del rischio (in questa fase si classificano le
informazioni e le risorse soggette a minacce e
vulnerabilità e si identifica il livello di rischio associato
ad ogni minaccia)
 Controllo del rischio (in questa fase vengono
individuate le modalità che l’azienda intende adottare
per ridurre i rischi associati alla perdita della
disponibilità delle informazioni e risorse informatiche e
della integrità e della riservatezza dei dati e delle
informazioni.
Gestione del rischio
Organizzazione della Sicurezza
La sicurezza delle informazioni è il risultato di un insieme
di processi a vari livelli dell’organigramma aziendale.
Per ottenerla non sono solo sufficienti nuove tecnologie e
strumenti ma occorre creare un organizzazione per la
sicurezza che assuma la responsabilità di quanto attiene
alla sicurezza e coinvolga l’intera struttura aziendale in
modo che tutto il personale contribuisca al disegno
generale.
L’organizzazione della sicurezza parte dall’alto dove gli
obiettivi e le politiche di sicurezza vengono definiti dal Top
Management, il primo compito incaricato al gruppo di
sicurezza è quello di inquadrare l’azienda in base al
modello di attività, all’esposizione ai rischi a alla
dipendenza della infrastruttura informatica e di
comunicazione.
link
Standard ed enti di standardizzazione
Gli enti di standardizzazione sono organizzazioni di natura
molto differente che coprono aspetti diversi a secondo dei
casi.
Emettono norme e linee guida per la realizzazione di
prodotti, processi e servizi, svolgono attività come la
pubblicazione di documenti.
Tipi di enti:
- ITU “organizzazione ONU dove governi e settore privato
coordinano le reti e i servizi globali di telecomunicazioni”
- ISO “è la maggiore organizzazione internazionale,
comprende anche enti di standardizzazione
nazionale”
- IEFT “Internet Engineering Task Force”
link
La Crittografia
Questa parola deriva dal greco Krypts “nascosto” e
Graphein “scrivere”.
È la scienza che fa uso della matematica per decifrare
e cifrare dati, non nasconde un messaggio ma studia
come nascondere il significato o il contenuto in modo
che risulti comprensibile solo al destinatario stabilito
dal mittente.
Le tecniche crittografiche permettono:
- di trasformare dati e informazioni a chiunque non sia
autorizzato.
- Impedisce ad estranei di alterare i dati
- Garantisce l’autenticità dei dati
Esistono due tipi di crittografia:
CRITTOGRAFIA SIMMETRICA
Scarica

LA SICUREZZA INFORMATICA