La protezione delle informazioni
nelle attività quotidiane
<Società>
Cos'è la protezione delle informazioni
Cos'è la protezione delle informazioni
La necessità di proteggere le informazioni
Il ruolo del dipendente per la protezione in <società>
Le risorse di <società>
Minacce alla protezione e contromisure
Uso del computer a casa
Utili fonti di informazione sulla protezione
Commenti conclusivi
Cos'è la protezione delle informazioni
La protezione delle informazioni implica il mantenimento di:
Riservatezza: garantire che le informazioni siano rivelate
unicamente dai destinatari specificati / a persone
autorizzate e modificate solo da questi ultimi
Integrità: garantire l'accuratezza e la completezza delle
informazioni e dei metodi di elaborazione
Disponibilità: garantire che le informazioni e le relative
risorse siano accessibili alle persone autorizzate ogni
volta che se ne presenti la necessità
La necessità di proteggere le informazioni
Cos'è la protezione delle informazioni
La necessità di proteggere le informazioni
Il ruolo del dipendente per la protezione in <società>
Le risorse di <società>
Minacce alla protezione e contromisure
Uso del computer a casa
Utili fonti di informazione sulla protezione
Commenti conclusivi
La necessità di proteggere le informazioni
Dal Legislatore in materia di normativa privacy...
A seguito dell'entrata in vigore del Decreto Legislativo
n. 196/2003 le società sono obbligate ad adottare
nel trattamento dei dati personali tutte le misure
di sicurezza minime affinché non si producano danni
agli interessati che possano derivare:



dalla distruzione o dalla perdita dei dati
dall’accesso non autorizzato alla banca dati da parte di terzi
che ne vengono così a conoscenza;
dall’effettuazione di un trattamento dati di fuori dei casi
stabiliti dalla legge o con modalità che questa non consente.
La necessità di proteggere le informazioni (2)
Trattamenti dati con strumenti elettronici:
gli obblighi specifici imposti dalla normativa
•
•
•
•
•
•
•
•
Utilizzazione sistema di autenticazione informati
Adozione procedure gestione delle credenziali di autenticazione
Utilizzazione di un sistema di autorizzazione
Aggiornamento periodico individuazione ambito trattamento consentito
ai singoli incaricati o addetti alla gestione o alla manutenzione degli
strumenti elettronici
Protezione strumenti elettronici e dati rispetto a trattamenti illeciti o ad
accessi non consentiti
Adozione procedure custodia copie di sicurezza per ripristino
disponibilità dati e sistemi
Tenuta di aggiornato documento programmatico sulla sicurezza
Adozione tecniche cifratura o codici identificativi nei casi di trattamento
dati stati salute o vita sessuale effettuati da organismi sanitari
La necessità di proteggere le informazioni (3)
Precedenti violazioni della protezione in <società>
 Violazioni dall'interno della rete
 Violazioni dall'esterno della rete
 Violazioni dolose
 Violazioni involontarie
La necessità di proteggere le informazioni (4)
Le conseguenze di una protezione insufficiente
 Perdita del vantaggio competitivo
 Furto d'identità*
 Furto di apparecchiature*
 Interruzione del servizio (ad esempio e-mail e
<applicazione>)
 Copertura mediatica denigratoria
 Fiducia del cliente compromessa; perdita della
clientela
 Multe *
* Agevolazione dell’adempimento normativo
Il ruolo del dipendente per la
protezione in <società>
Cos'è la protezione delle informazioni
La necessità di proteggere le informazioni
Il ruolo del dipendente per la protezione in <società>
Le risorse di <società>
Minacce alla protezione e contromisure
Uso del computer a casa
Utili fonti di informazione sulla protezione
Commenti conclusivi
Il ruolo del dipendente per la
protezione in <società>
Il personale può prevenire molte delle minacce alla
protezione di <società>
 Rispetto dei criteri di protezione aziendali
• Rispetto regolamento informatico interno che trovate
<inserire qui i percorsi>
• Apprendimento procedure informatiche internet
Il ruolo del dipendente per la
protezione in <società> (2)
Il dipendente può prevenire molte delle minacce alla
protezione di <società>
 All'interno di <società> occorrerà comportarsi come in una
qualsiasi situazione di vitale importanza
• Esempi di domande da porsi prima di svolgere un'attività:
– Le azioni che sto per compiere possono in qualche modo
arrecare danno a me o a <società>?
– Le informazioni che sono in mio possesso sono di vitale
importanza per me o per <società>?
– Le informazioni che sto per esaminare
sono valide o autentiche?
– Ho contattato chi di dovere in <società> per fare presenti
le mie incertezze su
come gestire questa situazione
delicata?
Il ruolo del dipendente per la
protezione in <società> (3)
A chi rivolgersi
 Nel momento in cui si sospetta che qualcosa non
vada, rivolgersi al personale <società> adatto
• <Nome "1", ruolo, motivo per contattarlo/a>
• <…>
• <Nome "n", ruolo, motivo per contattarlo/a>
Le risorse di <società>
Cos'è la protezione delle informazioni
La necessità di proteggere le informazioni
Il ruolo del dipendente per la protezione in <società>
Le risorse di <società>
Minacce alla protezione e contromisure
Uso del computer a casa
Utili fonti di informazione sulla protezione
Commenti conclusivi
Le risorse di <società>
Per proteggere efficacemente le risorse di <società>, è
necessario comprendere cosa è di vitale importanza per
<società>
 <Risorsa "1">
 <…>
 <Risorsa "n">
Minacce alla protezione e contromisure
Cos'è la protezione delle informazioni
La necessità di proteggere le informazioni
Il ruolo del dipendente per la protezione in <società>
Le risorse di <società>
Minacce alla protezione e contromisure
Uso del computer a casa
Utili fonti di informazione sulla protezione
Commenti conclusivi
Minacce alla protezione e contromisure
Software dannoso: i virus
 Malware inserito in messaggi e-mail e che può causare molti
danni e frustrazione
• Furto di file contenenti dati personali
*
• Invio di messaggi e-mail dal proprio account
• Impossibilità di utilizzare il computer
• Rimozione di file dal computer
*
Contromisure
 Non aprire gli allegati e-mail:
• ricevuti da persone sconosciute
• che sembrano in qualche modo sospetti
 In caso di dubbio, contattare <contatto>
 Segnalare tutti i messaggi e-mail sospetti a <contatto>
* Agevolazione dell’adempimento normativo
Minacce alla protezione e contromisure
Software dannoso: spyware
 Qualsiasi tecnologia che consenta di raccogliere
informazioni su di te o su <società> senza
saperlo e senza aver dato il consenso. *
•
Programma inserito in un computer per raccogliere segretamente informazioni
relative all'utente e inoltrarle ad agenzie pubblicitarie o ad altre parti interessate.
*
•
Vengono utilizzati dei cookie per archiviare informazioni su di te sul tuo
computer. *
– Se un sito Web conserva informazioni su di te in un cookie di cui non conosci
l'esistenza, questo cookie è considerato uno spyware.
L'esposizione agli spyware può essere causata da un virus o dall'installazione di
un nuovo programma.
•
Contromisure
 Non fare clic su opzioni presenti in finestre popup sospette.
 Non installare software senza aver ricevuto prima l'approvazione di <contatto>. *
 Se il computer è lento, funziona male o se appaiono molte finestre popup, contattare
<contatto>.
* Agevolazione dell’adempimento normativo
Minacce alla protezione e contromisure
Accesso non autorizzato ai sistemi
 Alcune persone ottengono a scopo fraudolento l'accesso non autorizzato a
computer, programmi, informazioni riservate e ad altre preziose risorse *
• Non tutti i colpevoli sono sconosciuti; alcuni possono essere i colleghi
• L'accesso non autorizzato ai sistemi può sfociare in furto e danni a
informazioni vitali per l'azienda
Contromisure
 Usare password complesse per tutti gli account *
 Ricordare le password a memoria *
• Se non è possibile, conservare tutte le password in un luogo sicuro
(ad esempio non su un adesivo attaccato al monitor né sotto la tastiera)
 Non dire mai a nessuno la password *
 Non usare mail le password predefinite *
 Proteggi il computer con uno screen saver protetto da
password *
 Segnala persone/attività sospette a <contatto>
 Segnala i computer vulnerabili a <ufficio>
* Agevolazione dell’adempimento normativo
Minacce alla protezione e contromisure
Shoulder surfing (guardare da dietro le spalle)
 L'atto di spiare le azioni dei dipendenti con
l'obiettivo di carpire informazioni riservate
Contromisure
 Osservare tutti quelli che ti stanno intorno e cosa fanno
•
•
•
•
Viaggi in aereo e in treno
Aeroporti, alberghi, bar e ristoranti; tutti i punti di aggregazione
Caffè Internet
Laboratori informatici
 Non eseguire attività che implichino l'uso di informazioni
riservate di <società> se è possibile proteggersi da persone che
potrebbero spiare
 Richiedere a <contatto> un privacy screen per il portatile
aziendale
Minacce alla protezione e contromisure
Accesso non autorizzato alla struttura
 Alcune persone si introducono dolosamente negli uffici senza
autorizzazione, con l'intento di rubare apparecchiature,
informazioni riservate e altre risorse preziose per <società>
Contromisure
 Non tenere la porta aperta a persone non identificate, ossia
impedire che qualcuno si "intrufoli" in azienda *
 <Inserire le procedure aziendali per fermare e segnalare persone
che non mostrino alcun badge aziendale né di visitatore> *
 Distruggi tutti i documenti riservati di <società>
 Non lasciare niente di valore in vista nel tuo ufficio / spazio di
lavoro (ad esempio chiudi a chiave tutti i documenti riservati
di <società> nei cassetti della
scrivania / nell'armadietto) *
 Se hai visite, accompagna la persona durante *
tutta la sua permanenza
* Agevolazione dell’adempimento normativo
Minacce alla protezione e contromisure
Personale curioso
 Dipendente, non necessariamente male intenzionato,
che agisce ai limiti del consentito in relazione alla rete e
all'accesso alla struttura
Contromisure
 Ritira subito i documenti inviati in stampa e i fax riservati di
<società> *
 Distruggi tutti i documenti riservati di <società> *
 Chiudi a chiave tutti i documenti riservati di <società> nei
cassetti della scrivania / negli armadi *
 Segui le indicazioni fornite in precedenza per evitare l'accesso
non autorizzato ai sistemi
 Segnala attività / comportamenti sospetti al tuo supervisore
* Agevolazione dell’adempimento normativo
Minacce alla protezione e contromisure
Dipendenti insoddisfatti
 Dipendenti scontenti o preoccupati con l'intenzione
di danneggiare altri dipendenti o <società>
Contromisure
 Contatta <contatto> se sospetti che un dipendente
sia insoddisfatto e potenzialmente pericoloso
 Osserva gli altri e segnala un eventuale
comportamento sospettoso / inappropriato a
<contatto>
 Sii molto prudente se ti rendi conto
che la situazione potrebbe
concludersi con un licenziamento
in tronco
Minacce alla protezione e contromisure
Social engineering
 Approfittare della natura altruista o della coscienza
delle persone a scopi dolosi
Contromisure
 Non dimenticare mai che gli attacchi di social
engineering sono mirati proprio ai dipendenti di <società>
 Se ricevi una telefonata sospetta, chiedi di richiamare tu
• Dai informazioni personali / riservate di <società> a una persona
al telefono solo se hai già verificato la sua identità e la sua
relazione con l'azienda per cui dice di lavorare
 Mai dare per telefono una password, nemmeno quelle personali *
 Segnala sempre a <contatto> la presenza di sconosciuti nella struttura
di <società> *
* Agevolazione dell’adempimento normativo
Minacce alla protezione e contromisure
Phishing
 Tipo di truffa online in cui i truffatori inviano messaggi e-mail per tentare
un furto d'identità, un furto bancario o per assumere il controllo del
computer *
Contromisure
 Usa la tecnica "fermati-leggi-chiama":
• Fermati: non lasciarti attirare da trucchi tipici del phishing, come
informazioni "sconvolgenti" o "interessantissime"
• Leggi: leggi attentamente tutte le frasi del messaggio e-mail ed
esamina attentamente tutti i collegamenti e gli indirizzi Web contenuti
• Chiama: non rispondere ai messaggi e-mail che ti chiedono di
confermare i tuoi dati; chiama o manda un messaggio all'azienda in
questione per verificare che tale messaggio sia autentico
 Non inviare mai dati personali tramite e-mail *
• Quando inserisci dati personali o riservati in un sito Web, verifica
che nel browser sia presente il lucchetto di sicurezza
 Controlla gli estratti conto bancari e della
carta di credito per verificare che non siano stati
effettuati movimenti sospetti
 Segnala eventuali attività sospette a <contatto>
* Agevolazione dell’adempimento normativo
Minacce alla protezione e contromisure
Furto di informazioni tramite i servizi di messaggistica immediata (IM) gratuiti
 Tra le minacce derivanti dall'uso di servizi di messaggistica
immediata gratuiti sul luogo di lavoro ci sono la fuga di informazioni
personali, la perdita di informazioni riservate e le intercettazioni
•
<Inserire qui i criteri di protezione aziendali in materia di
messaggistica immediata>
Contromisure
 A seconda della persona con cui comunichi e di come è stato
implementato il servizio di messaggistica immediata, ogni
messaggio che mandi (anche al collega dell'ufficio a fianco) può
uscire dalla rete aziendale di <società>
•
Tutti i messaggi che mandi possono essere rilevati e letti da
malintenzionati
 Non inviare mai messaggi confidenziali né file tramite la
messaggistica immediata
 Renditi conto che non c'è modo di sapere se la persona con cui stai
comunicando sia veramente chi dice di essere
Uso del computer a casa
Cos'è la protezione delle informazioni
La necessità di proteggere le informazioni
Il ruolo del dipendente per la protezione in <società>
Le risorse di <società>
Minacce alla protezione e contromisure
Uso del computer a casa
Utili fonti di informazione sulla protezione
Commenti conclusivi
Uso del computer a casa
Quando si usa il proprio computer per scopi aziendali, è
necessario attenersi a condizioni e procedure specifiche
 Il pc deve essere conforme alle politiche di sicurezza
dell'azienda nel rispetto della normativa privacy
 <…>
 <Condizione "n">
 <Procedura in breve "1">
 <…>
 <Procedura in breve "n">
Utili fonti di informazione sulla protezione
Cos'è la protezione delle informazioni
La necessità di proteggere le informazioni
Il ruolo del dipendente per la protezione in <società>
Le risorse di <società>
Minacce alla protezione e contromisure
Uso del computer a casa
Utili fonti di informazione sulla protezione
Commenti conclusivi
Utili fonti di informazione sulla protezione
Qui sono indicate diverse e utili risorse per la protezione
• http://www.microsoft.com/italy/pmi/sicurezza/default.mspx
• http://www.microsoft.com/italy/security/default.mspx
• http://www.microsoft.com/italy/athome/security/default.mspx
• Guida alla protezione per l'uso dei computer a casa, che in
molti casi è applicabile anche all'uso di computer di <società>
Commenti conclusivi
Cos'è la protezione delle informazioni
La necessità di proteggere le informazioni
Il ruolo del dipendente per la protezione in <società>
Le risorse di <società>
Minacce alla protezione e contromisure
Uso del computer a casa
Utili fonti di informazione sulla protezione
Commenti conclusivi
Commenti conclusivi
Ogni volta che si tratta di qualcosa di vitale importanza per <società> e per te,
pensa alla protezione
 Quando sono in gioco la tua sicurezza personale o quella di <società>
o si tratta di informazioni riservate, chiediti sempre: "Quali misure devo
adottare per proteggere me stesso, la mia azienda e le informazioni
aziendali riservate da danni, furto e divulgazione inappropriata?“
A casa, applica considerazioni simili a quelle discusse oggi in questa lezione sulla
consapevolezza in materia di protezione
 I pericoli non restano in azienda, ma colpiscono anche la tua casa e
altri ambienti
Non far sfociare in paranoia le indicazioni di questa presentazione sulla
protezione
 Usa ciò che hai imparato oggi per prendere decisioni più consapevoli
per proteggere te, <società> e gli altri