ITC RAMPONE BENEVENTO
DELIVERY UNIT CAMPANIA
azienda
Risorsa umana(personale)
Risorsa finanziaria(soldi)
La risorsa informatica(o il computer) costituisce un’infrastruttura capace di
condizionare l’efficacia di impiego delle risorse umane e finanziarie nel sistema di
gestione di un’azienda.
Missione o mission
target
Risorse
processi
Contesto economico e sociale
gestione (Acquisti,vendite,ecc.)
Intranet extranet
Sistemi aperti
Sistema
politiche
computer
informativo
della azienda
conoscenze
decisioni
informazioni
Realtà operativa dell’azienda
Chi è il ragioniere
programmatore?????
In base a questo rapporto che deve sussistere tra GESTIONE DI
UNA AZIENDA e COMPUTER dobbiamo imparare a
manipolare tante informazioni con il computer!!!!
Per fare questo nel corso dei tre anni dobbiamo:
1) Conoscere il computer (chi è,cosa può fare) e quindi vedremo
come è fatto;
2) Comunicare al di là del linguaggio (come lavora e come ci può
capire),impareremo ad utilizzare alcuni linguaggi rendendoci
conto della struttura alla base della comunicazione uomomacchina;
3) Far si che gestisca le tante informazioni riguardanti
un’azienda,utilizzando anche quelle lontane tramite
4) reti oppure viceversa distribuirle!(database in rete)
SI-Sistema informativo e organizzazione
1) Rapporto dato-informazione
2) Rapporto tra SI ,come sistema preposto alla produzione di informazioni nell’azienda,e sistema
organizzativo cui tali informazioni si indirizzano.
3) SI è inteso come strumento primario di organizzazione e cambiamento della struttura organizzativa
4) Organizzazione e scopo della struttura organizzativa
_ uno scopo(missione o mission) o più al cui conseguimento (obiettivi generali o target)sia
finalizzata la struttura organizzativa in tutte le sue componenti
_ Compito essenziale della organizzazione è razionalizzare il processo di assunzione delle
decisioni da parte dei responsabili della azienda
SISTEMA AZIENDA
FORNITORI, CLIENTI, SERVIZI
LAVORATORI
DIREZIONE
AMMINISTRAZIONE
PRODUZIONE
BANCHE, FINANZIATORI, SOCI
STATO
ENTI LOCALI
ENTI PREV.LI
Sistema informativo e Sistema informatico
Informazione: risorsa su cui operano tutte le aziende e che riguarda tutte le altre
Sistema informativo : insieme delle informazioni gestite ,
procedure
dati
generate,utilizzate ed elaborate dai processi
Struttura a livelli
E l’evoluzione dei SIA?
Sistema informatico: parte del SIA in cui le informazioni sono
SIA
persone
raccolte,elaborate,archiviate,scambiate mediante l’uso delle
tecnologie dell’informazione e della comunicazione
e la sicurezza?
interazione Sistema informativo - Sistema informatico
mezzi
Struttura a livelli
La struttura è articolata su tre livelli;
1) Vi si svolgono i processi di lavoro tipici dell’azienda
Es: processo di approvigionamento di materie prime , fasi intermedie per arrivare alla
produzione del prodotto finale ,immagazinamento e consegna)
2) Si localizzano problemi di decisioni che sovrintendono al corretto andamento
giornaliero dei processi di produzione e distribuzione
3) Processi di progettazione e riprogettazione del sistema organizzativo aziendale nel
suo complesso al fine di mantenerlo allineato agli obiettivi che via via si pongono e
di poterne controllare con sistematicità le prestazioni di esercizio
Fatture (clienti e fornitori)
Bollette (ENEL, TELECOM, Ecc.)
Parcelle (Notai, Commercialisti, ecc.)
Ordini
Buste paga
Liquidazioni
Accantonamenti
Ferie, malattie, ecc.
Magazzino M.P.
Magazzino P.F.
Settore tecnico
Reparti
Cartelle esattoriali, tasse, imposte
oneri sociali e assicurativi
adempimenti fiscali e amministr.
CED
Uffici
Amministrazione
Direzione
Estratti conto, contabili (Banche);Premi di assicurazioni, liquidazioni
(Ass.);Dividendi, cedole, ecc. (Titoli);Fidi, Mutui, garanzie, ecc.
Organizzazione
Missione o mission = lo scopo per cui è nata una impresa o istituzione pubblica o privata
(come produrre il prodotto)
Obiettivi generali o target =obiettivi da perseguire(come ottenere un certo fatturato o
l’ingresso in certi mercati)
Es. _per aziende industriali è quello di ottenere utili attraverso la progettazione ,produzione e
vendita di beni
_per aziende di servizio è quello di fornire alle migliori condizioni possibili di qualità e di costo
un insieme di servizi come trasporto o di comunicazione o ecc.
Risorse
Una risorsa è tutto ciò con cui una azienda opera,sia materiale che immateriale,per
perseguire i suoi obiettivi generali o specifici
Di scambio (prodotti o servizi offerti dall’azienda)
Risorse interne
Di struttura(persone,finanze,infrastrutture)
Di gestione(informazioni,norme,deleghe,piani)
Risorse esterne Vi opera solo in maniera indiretta(ambiente sociale,mercato e
altri operatori economici,i clienti)
Processi
È l’insieme delle attività che l’organizzazione nel suo complesso
deve svolgere per gestire il ciclo di vita di una risorsa o di un
gruppo omogeneo di risorse.
Processi per la risorsa umana:
1. Pianificazione
_(dell’organico,della formazione ,ecc.)
2. Acquisizione_(selezione,assunzione,ecc.)
3. Gestione_(assegnazione delle attività,valutazione,avanzamento ,ecc.)
E ancora ……
I POSSIBILI APPROCCI DI INTERFACCIAMENTO DI UN DATABASE
IN RETE
Un database distribuito è situato fisicamente su un nodo server ed interagisce con i
browser situati su un qualsiasi altro nodo client della rete
Per integrare un database in un ambiente client/server possiamo considerare i
seguenti differenti cinque approcci:
1.
2.
3.
4.
5.
primitivo (in base alle attuali conoscenze);
basato sui trigger
basato sul Web server;
basato sul client;
basato su ODCBC(trasversale).
Approccio primitivo
Quando arriva una richiesta di interrogazione al Web server, quest’ultimo la sottopone a un
operatore umano (collegato allo stesso server), che effettua “manualmente”
l’interrogazione al DBMS. Con il risultato costruisce (sempre manualmente) una pagina
HTML, da restituire in riposta al client.
In questo modo, a ogni variazione del database,l’operatore deve rifare l’interrogazione e
ricostruire la pagina HTML con il risultato.
le pagine che il Web server considera sono sempre pagine
statiche, ovvero pagine che vengono modificate (manualmente o automaticamente), ma
comunque “a sua insaputa”. Infatti, il Web server opera su pagine HTML,
disinteressandosi di chi le produce e quando vengono prodotte.In questo approccio, cio’
che arriva al client e’ una pagina HTML che si trova fisicamente sul disco
del server che viene creata dinamicamente da parte del trigger del DBMS.
APPROCCIO BASATO SUI TRIGGER
Un trigger e’ una procedura automatica che viene eseguita non appena si
verificano determinati eventi.
Potremmo creare del trigger da inserire nel nostro database, in modo che, a ogni
variazione di alcuni particolari dati (ad esempio, il prezzo di listino in una
tabella Articoli), un opportuno trigger entri in esecuzione,estragga questi dati
e crei una pagina HTML da trasferire al client.
Attenzione: le pagine che il Web server considera sono sempre pagine
statiche,ovvero pagine che vengono modificate (manualmente o
automaticamente), ma comunque “a sua insaputa”. Infatti, il Web server
opera su pagine HTML, disinteressandosi di chi le produce e quando
vengono prodotte. In questo ultimo approccio, cio’ che arriva al client e’ una
pagina HTML che si trova fisicamente sul disco del server che viene
creata dinamicamente da parte del trigger del DBMS.
APPROCCIO BASATO SUL WEB SERVER
Nell’approccio basato sul Web server occorre avere un programma applicativo sul server che invia un
comando SQL all’SQL server. A questo punto, si crea automaticamente una pagina HTML che
“formatti” tale risultato,ovvero lo renda leggibile da parte del browser.
In questo approccio, il programma applicativo deve:
-inviare comandi SQL al server SQL;
-ricevere una risposta dal server SQL;
-creare una pagina HTML;
-restituire tale pagina al Web server.
Il Web server inviera’ la pagina HTML al client. La differenza,rispetto ai casi precedenti, e’ che tale pagina
non si trova fisicamente sul disco del server, ma viene generata dinamicamente nel momento in cui
arriva la richiesta.
Rientrano in questo approccio:
1. le pagine ASP di Microsoft;
2. le pagine JSP DI Java e le Servlet Java;
3. le pagine PHP.
Mentre nell’approccio basato sui trigger il carico elaborativi era a carico del server SQL, in questo il carico
elaborativo della query e’ a cura del computer server, sul quale e’ installato il Web server
e il DBMS, che dovra’ supportare l’elaborazione di tutte le query verso il database,
provenienti anche da migliaia di client contemporaneamente.
APPROCCIO BASATO SUL CLIENT
Nell’approccio basato sul client, il Web server invia al client un applicativo
(ad esempio un Applet o un componente ActiveX, che interagisce
direttamente con il server SQL del database remoto senza quindi
nessuna “intermediazione” da parte del Web server.
L’interazione avviene solo con il server SQL e non piu’ con il Web server.Il
protocollo HTTP è quindi uscito di scena, dopo aver scaricato
l’applicativo sul client.
Rientrano in questo approccio le soluzioni come JDBC di Sun Microsystem.:
UN APPROCCIO TRASVERSALE, BASATO SU ODBC
L ‘ approccio ”trasversale” rispetto ali altri e’ basato su ODBC.
ODBC (Open Database Connectivity) e’ l’interfaccia software standard, sia in
ambiente Windows sia in altri ambienti, che consente ai programmatori di
interfacciarsi a qualsiasi database creato da altri programmatori, purche’
siano stati scritti i driver ODBC per quel database.
In sostanza, se si vuola accedere a un database qualsiasi,gestito cioe’ da un
qualsiasi DBMS,si possono sfruttare i driver ODBC per quel database e
utilizzarli all’interno delle applicazioni per connettersi e interrogare quel
database.
E ancora…..
Per associare e configurare i driver ODBC relativi a un particolare database cui
si vuole accedere,bisogna aggiungere cio’ che si chiama un DSN (data
Source Name), ovvero il nome della sorgente dati, che consiste nello
specificare il tipo di database che si intende utilizzare e i driver ODBC per
quel database.
Approccio trasversale (oppure “non pulito”) poiche’ bisogna effettuare alcune
operazioni di installazione direttamente sul computer client il quale viene a
perdere la sua “trasparenza” in relazione ad alcune operazioni di
configurazione che il server ha effettuato,poiche’ e’ direttamente coinvolto in
tali operazioni (per la parte che gli compete).
In particolare in quest’approccio il client deve:
• -conoscere il tipo di DBMS che e’ stato installato sul server;
• reperire i driver ODBC per il collegamento a quel particolare DBMS;
• installare sul proprio sistema operativo tali driver.
Non necessita di un browser, ma puo’ utilizzare un client qualsiasi per l’accesso
al database,purche’ sia un client SQL (ad esempio,potrebbe utilizzare il client
SQL di Microsoft Access);
Non e’ basato su HTML(il risultato non deve essere quindi necessariamente
formattato in HTML);
Non e’ necessario che il database si trovi su una rete TCP/IP.
PROGAMMAZIONE LATO CLIENT E LATO SERVER
Dato un ambiente client/server in un’architettura di protocolli TCP/IP e HTTP,per
programmazione lato server intenderemo lo sviluppo di programmi applicativi che
andranno in esecuzione prevalentemente sul server accettando richieste dal client e
fornendo a quest’ultimo i risultati dell’elaborazione in forma di pagine HTML.
La programmazione lato client e’ lo sviluppo di applicativi che andranno in esecuzione
prevalentemente sul client,inviando richieste al server e gestendo i risultati da quest’ultimo
ricevuti.(es. gli Applet, il codice Javascript e il codice Vbscript).
Esistono programma lato server e programma lato client , così come di linguaggi lato
server e linguaggi lato client. Il Web server, infatti, quando riceve una richiesta da
parte del client puo’ interpretarla come:
-semplice richiesta di invio pagine HTML statiche presenti sul server (o altre
risorse come,ad esempio,un’immagine,un file sonoro, un Applet ecc.)
-richiesta di esecuzione di un file contenente le istruzioni del programma lato
server:
La programmazione orientata al Web è l’insieme di tecniche e metodologie che si
possono utilizzare in un ambiente client/server con un’architettura TCP/IP-HTTPper
far interagire programmi lato server e programmi lato client,
con l’obiettivo di realizzare sistemi che possano essere
eseguiti in Intranet e Internet.
UNA CLASSIFICAZIONE DEI PROCESSI E DELLE DECISIONI AZIENDALI
La vita di un’azienda dipende da tre fattori:
1-dalla definizione degli obiettivi strategici dell’azienda:
.quali sono i prodotti o i servizi su cui l’azienda punta di piu’ per la propria crescita;
.qual e’ il mercato si cui l’azienda vuole operare e affermarsi;
2-dalla traduzione degli obiettivi strategici nell’ambito dell’organizzazione
e nella gestione dell’azienda.
.come sara’ organizzata la produzione dei beni o l’erogazione dei servizi;
.quali saranno le norme di promozione dei prodotti o dei servizi;
3-dall’attuazione degli obiettivi:
.la produzione dei beni;
.l’erogazione dei servizi;
E i processi di un’azienda che concorrono all’attuazione di tali fattori???:
“Piramide di Anthony”:
-processi direzionali (che concorrono alla definizione degli obiettivi strategici);
-processi gestionali (che concorrono alla traduzione degli obiettivi in criteri di gestione
ed effettuano il controllo del raggiungimento di tali obiettivi).
-processi operativi (che concorrono all’attuazione degli obiettivi).
Questa suddivisione puo’ essere ulteriormente caratterizzata dal tipo di decisioni prese
in un ‘azienda.
Processi
direzionali
Processi gestionali
Processi operativi
-decisione strutturale, in cui le regole decisionali sono completamente
determinate:e’ sufficiente conoscere le variabili di interesse e applicare a esse tali
regole per ottenere meccanicamente l’esito della decisione;
-decisioni semi-strutturale, in cui alcune regole decisionali sono determinate, ma
l’intervento umano e’ necessario per stabilire l’esito finale;
-decisioni, ma l’intero processo decisionale e’ affidato all’esperienza e alla
creativita’ dello staff.
Non esiste una corrispondenza rigida fra i tre tipi di decisione e i tre livelli di processi
aziendali poichè a ciascun livello si possono trovare decisioni caratterizzate da
diversi gradi di strutturazione;tuttavia:
•a livello operativo la stragrande maggioranza delle
decisioni e’ di tipo strutturato;
•a livello gestionale la maggior parte delle decisioni sono
semi-strtturale;
•a livello direzionale le decisioni sono in genere non
strutturate.
LE TIPOLOGIE DEI SISTEMI INFORMATIVI
I sistemi informativi in base al contesto organizzativo in cui si collocano e le scelte
tecnologiche possono essere:
-sistemi gestionali o transazionali: Sono i sistemi piu’ tradizionali, che hanno come
obiettivo l’informatizzazione delle attivita’ strutturate e ripetitive e riguardano quindi
prevalentemente i processi e i settori operativi e di controllo;
-sistemi per l’automazione d’ufficio. Sono sistemi che si sono diffusi soprattutto a
seguito dell’introduzione dei personal computer e dei software per lo svolgimento delle
attivita’ tipiche di office management (elaboratori di testi,tabelle,grafici e disegni). Lo
sviluppo delle reti (soprattutto di quelle locali) ha favorito una loro trasformazione da
sistemi per le attivita’ individuale (personal computer stand alone) a sistemi per le
attivita’ di gruppo,attraverso la condivisione di programmi e dati,oltre che di risorse
tecnologiche comuni (stampanti,scanner ecc.);
-sistemi di comunicazione.Sono sistemi che facilitano lo scambio di comunicazioni
informali tra operatori coinvolti nelle stesse attivita’.Le modalita’ oggi piu’ utilizzate per
comunicare sono la posta elettronica e alcune sue evoluzioni quali le mailing list
-sistemi statistici e direzionali. Sono sistemi il cui obiettivo principale e’ la rilevazione
di dati da una o piu fonti,la loro organizzazione,analisi e aggregazione statistica per fini
conoscitivi e di pianificazione;
sistemi di supporto alla decisioni
Sono sistemi realizzati per gli alti livelli aziendali anche se,in alcuni
casi,possono fornire supporto a decisioni di tipo gestionale o anche operativo.
Sono classificati come:
.DSS (Decision Support Systems), se concorrono alla valutazione di ipotesi e
alternative per decisioni poco strutturale;
.MIS (Management Information Systems), se forniscono supporto alla
valutazione di decisioni strutturate per il livello di controllo;
.EIS (Executive Information Systems),se caratterizzati da elevata interattivita’
e notevole flessibilita’ nella determinazione dei dati di sintesi;
-sistemi in tempo reale. I sistemi in tempo reale sono quelli tipicamente
utilizzati dalle aziende in cui la variabile tempo e i vincoli temporali sono critici.
Classici esempi sono i sistemi di controllo industriali,i sistemi di controllo e
monitoraggio della produzione
L’INTEGRAZIONE DELLE TECNOLOGIE E DEI SERVIZI
INTERNET CON IL SIA
Un’azienda che operi nel mondo del commercio
elettronico deve( per rimanere competitiva)
integrare il sistema informativo e i processi di
lavoro con le tecnologie e i servizi Internet.
Sistemi aperti
I computer interconnessi in un ambiente client-server
costituiscono un “sistema aperto”, in quanto offrono le
potenzialita’ necessarie per una effettiva condivisione delle
risorse anche fra computer con hardware e sistema operativi.
Cio’ e’ di grande importanza per lo sviluppo dei sistemi informativi
aziendali poichè un’impresa può :
_continuare a utilizzare hardware e software di vecchio tipo, accanto a
computer di nuova generazion,risolvendo facilmente i problemi di
interfacciamento tra le varie piattaforme;
_ad avere lo stesso numero di risorse e il software installato su una sola
macchina.
Il passaggio definitivo verso l’adozione di OPEN SYSTEM STANDARD
e’ stato reso possibile grazie a Internet e alla tecnologia WORLD
WIDE WEB.
INTRANET ED EXTRANET
Intranet e’ il neologismo utilizzato per indicare l’allargamento delle tecnologie Internet ai
sistemi informativi aziendali, in sostituzione delle vecchie e costose reti proprietarie
(non standard)preesistenti.
Una rete Intranet e’una rete aziendale con tecnologia Internet (in particolare basata sui
protocolli TCP/IP) e collegata ad Internet.
EXTRANET indica un’Intranet esterna all’azienda e accessibile solo ai dipendenti,ai
fornitori, nonche’ ai clienti autorizzati.
Una rete Extranet è,quindi,
una rete interaziendale con
tecnologia Internet
(in particolare basata
INTRANET
sui protocolli TCP/IP)
e collegata ad
Internet.
EXTRANET
IL COMMERCIO ELETTRONICO
il commercio elettronico consiste in ogni iniziativa a supporto dell’attivita’
commerciale di un’azienda che venga svolta sulla rete Internet.
Il problema di fondo è come organizzare nei dettagli l’attivita’ commerciale di un’azienda
on line. Per fare commercio elettronico non è strettamente necessario arrivare a
vendere un bene via Internet.
Per migliorare l’attivita’ commerciale attraverso Internet si possono utilizzare tre modi
fondamentali:
1.migliorare la comunicazione aziendale verso l’esterno, a fini di marketing o per
ottenere un maggiore reattivita’;
2.agire sulla qualità del servizio al cliente,migliorando la cura e l’assistenza pre e
post vendita;
3.ulitizzare Internet come vero e proprio canale di vendita,sul quale sia possibile
individuare i prodotti di interesse ed effettuare la transazione economica.
L’ambiente nel quale si svolge l’attivita’ commerciale e i soggetti coinvolti possono avere
natura diversa:l’offerta di una soluzione di commercio elettronico, ad esempio, si può
rivolgere al clientefinale, all’agente, alla filiale internazionale o al fornitore. Le esigenze
da soddisfare sono diverse e dipendono dalle dinamiche commerciali e dalla tipologia
dei soggetti che si vuole coinvolgere.
tra aziende
per i consumatori finali
tra consumatori finali intr _aziendale
Il commercio elettronico tra aziende
(Business to Business)
Le caratteristiche di questo tipo di commercio sono le seguenti:
-i rapporti commerciali toccano un limitato numero di soggetti;
-la selezione dei prodotti è operata sulla base di una comune
classificazione;
-gli importi delle transazioni sono di norma elevati e vengono
gestiti in modalita’ off line;
è necessaria una stretta integrazione tra la gestione della parte
produttiva e quella della parte amministrativa.
Il commercio elettronico per i consumatori finali
(Business to Consumer)
E’ la forma piu’ nota di commercio elettronico e riguarda la fornitura di
beni e servizi direttamente all’utente finale.
Le caratteristiche sono le seguenti:
–i prodotti sono offerti a tutti i clienti di Internet;
–la classificazione dei prodotti e’ operata dal sito e presentata al cliente;
-gli importi delle transazioni sono contenuti;
-è necessaria una stretta integrazione tra raccolta degli ordini e gestione
della logistica;
-i pagamenti sono effettuati preferibilmente on line;
-i vantaggi risiedono principalmente nella velocita’,nell’ampiezza della
scelta e nella personalizzazione del servizio.
Il commercio elettronico tra consumatori finali
(Consumer Consumer)
Gli utenti possono scambiarsi tra loro prodotti secondo la tecnica dell’asta.
Elementi caratteristici sono :
-il sito d’asta eroga e amministra l’ambiente in cui gli utenti
interagiscono;
-gli utenti devono registrarsi al fine di fornire tutte le informazioni
necessare per garantire l’identita’ dei soggetti coinvolti nella trattativa;
-la scelta e l’esecuzione della transazione commerciale è lasciata alle
parti che l’asta ha fatto incontrare,nel senso che il sito d’asta non
entra nel merito della transazione economica.
Il commercio elettronico intra-aziendale (Intra Business)
E’ la forma che coinvolge un’azienda con sede distribuite sul territorio o un
Insieme di aziende appartenenti allo stesso gruppo.
In tali situazioni, le esigenze di scambio di beni e servizi all’interno delle unita’
della struttura possono essere soddisfatte attraverso Internet ed essere
accompagnate da una rendicontazione economica.
Le principali caratteristiche del commercio intra-aziendale:
-i rapporti commerciali toccano un gruppo di soggetti tassativamente
chiuso;
-la selezione dei prodotti è operata sulla base di una comune
classificazione;
-gli importi delle transazioni sono di norma elevati e vengono gestiti in
modalita’ off line;
L’INTEGRAZIONE DELLE TECNOLOGIE E DEI SERVIZI
INTERNET CON IL SISTEMA INFORMATIVO AZIENDALE
Un’azienda che operi nel mondo del commercio elettronico deve integrare
il sistema informativo e i processi di lavoro con le tecnologie e i servizi
Internet. Un sito Internet può essere creato in modi diversi ed essere
più o meno integrato con il sistema informativo aziendale. Con “server
Web” intendiamo il computer hardware che svolge le funzioni di server
all’interno di Internet e in generale di una Intranet.
L’attivazione dei servizi di rete Internet può avvenire sostanzialmente in tre
modi:
1.il server Web all’interno dell’azienda ,che consente la connessione
dell’intera rete locale aziendale a Internet trmite una linea dedicata;
2.l’housing , cioè la presenza di una o piu’ macchine dell’azienda presso le
strutture del provider;
3.l’hosting . cioè l’utilizzo di server e servizi preconfigurati dal provider,sui
quali caricare e configurare i contenuti e le applicazioni del sito
aziendale.
Il SERVER WEB ALL’INTERNO DELL’AZIENDA E
CONNESSIONE A INTERNET DELL’INTERA RETE
AZIENDALE
La soluzione prevede che i server che erogano i servizi del sito siano fisicamente
presenti presso la sede dell’azienda.
_Vi è una sola connessione a Internet che permette ai dipendenti interni di fruire
dei servizi esterni e ai visitatori esterni di accedere ai servizi Internet erogati
dall’interno.Tali tipi di connessione utilizzano linee telefoniche dedicate che
collegano due punti /l’azienda e il provider) e sono sempre attive. Queste linee
telefoniche si basano su tecnologie di trasmissione dati digitali, al contrario
dei modem che traducono segnali sonori (analogici) in segnali digitali /bit).
La soluzione del collegamento diretto assicura:
la piena libertà di configurazione e amministrazione dei servizi Internet aziendali.
Gli svantaggi in una simile scelta sono:
costi elevati
problema della sicurezza del sistema informatico aziendale;
E’ necessario tenere presente la differenza tra mezzo di trasporto (la linea di
connessione) e i dati trasportati (il protocollo Internet, TCP/IP).
Le due cose sono separate dal punto di vista concettuale e spesso fornite da
entita’ diverse. Il fornitore (in gergo si chiama carrier) del mezzo di trasporto si
occupa di fornire le linee per trasportare dati tra due localita’
differenti, per mezzo di circuiti dedicati.
L’HOUSING
L’erogazione dei servizi di Internet non avviene direttamente dagli uffici e dalla
rete aziendale ma dai locali e dalla rete del provider.
In questa soluzione, la connessione dell’azienda a Internet e’ separata rispetto alla
connessione della macchine (iservr) che erogano i servizi del sito aziendale.
L’azienda può infatti avere una connessione via modem che utilizza per la
consultazione di Internet,attivata solo poche ore al giorno e non attivata nei
giorni di riposo. La continuita’ dei servizi internet è garantita da server che
sono posti altrove, presso il provider,sempre funzionanti e connessi alla rete
Internet attraverso l’infrastruttura del provider.
I server sono di proprietà dell’azienda e sono amministrati da personale
dell’azienda, ma sono fisicamente posti presso il provider. La loro
amministrazione può essere eseguita attraverso una qualsiasi connessione a
Internet.
L’HOSTING
Mentre l’housing fornisce una semplice connessione a Internet, l’hosting fornisce
un servizio completo (erogato da una macchina di proprieta’ del provider e gia’
configurata).
La macchina del provider ospita il server dell’azienda (solo la parte
software,evidentemente) e può essere amministrata gestendo in remoto alcune
sue funzionalita’ (i contenuti delle pagine Web, le caselle di posta,gli strumenti
di gestione e analisi degli accessi al sito),attraverso la configurazione di
applicazioni come da esempio le mailing list e le consultazioni di database on
line.
Vantaggi : meno costosa
non richiede oneri e particolari conoscenze tecniche di amministrazione
Svantaggi : la condivisione delle risorse della macchina con altri clienti (la
macchina non è vostra e quindi non ne conoscete mai fino in fondo
caratteristiche e prestazioni)
la rigidità nella configurazione dei servizi, talvolta troppo limitante per un sito di
commercio elettronico.
Sicurezza di un sistema informatico
Sicurezza di un sistema informatico equivale salvaguardia di alcuni aspetti fondamentali.
affidabilita’
dei dati
autenticazione o
autenticita’
Riservatezza
Aspetti della sicurezza
non ripudio
quando si definisce sicuro un SIA?
i dati sono sicuri in rete?
integrita’
dei dati
-affidabilita’ dei dati. I dati devono essere sempre accessibili o disponibili
agli utenti autorizzati. Esempi di violazione di affidabilita’ sono:
.mancanza di fornitura elettrica.
.rottura di un componente hardware.
-integrita’ dei dati. E’ la protezione dei dati realizzata in modo da evitare la
loro corruzione. In particolare nella trasmissione i dati devono arrivare cosi’
come trasmessi; nella memorizzazione i dati devono coincidere in ogni
istante con quelli memorizzati originariamente. Si dice che l’integrita’ riguarda
la protezione da modifiche non autorizzate. Esempi di violazione di integrita’
sono:
.cancellazione non autorizzata di un file,
.modifica non autorizzata di un file;
-riservatezza: E’ la protezione dei dati realizzata in modo che essi siano
accessibili “in lettura” solo dai legittimi destinatari. Si dice che la riservatezza
riguarda la protezione da letture non autorizzate. Esempi di violazione della
riservatezza sono:
.intercettazioni dei dati durante la loro trasmissione;
.accesso non autorizzato dei dati memorizzati su un server;
-autenticazione o autenticita’E’ la protezione sulla certezza della
sorgente, della destinazione e del contenuto del messaggio. Un esempio di
violazione dell’autenticita’ è:
.spedizione di un’e-mail da parte di un pirata informatico che si maschera
facendo credere che il mittente dell’e-mail sia una persona conosciuta
al destinatario
-non ripudio. E’ la protezione sulla certezza che chi trasmette (non ripudio del
mittente) e chi riceve (non ripudio del destinatario) non possano negare di aver
rispettivamente inviato e ricevuto i dati. Esempi di non ripudio presi dalla vita
di tutti i giorni in situazioni analoghe a quelle informatiche, sono:
.in una raccomandata con ricevuta di ritorno si garantisce il non ripudio da parte
del destinatario, in quanto deve firmare di persona la ricevuta di ritorno /oltre
alla sua autenticita’);
.con l’autenticazione della firma da parte di un pubblico ufficiale si garantisce
invece il non ripudio del mittente (oltre all’autenticita’).
Esempi di violazione del non ripudio sono:
-carta intestata falsa;
-firma falsa;
-falsa e-mail.
Sistema informatico sicuro equivale le informazioni
contenute vengono garantite, attraverso sistemi e misure
di sicurezza predisposti , contro il pericolo di violazioni
degli aspetti sulla sicurezza.
La sicurezza di un SIA coincide con l’insieme di accorgimenti organizzativi e
tecnici che debbono essere adottati per ridurre al minimo tutti i possibili
attacchi da parte di un qualsiasi agente.
Il concetto giuridico di sicurezza informatica è collegato a
quel complesso di accorgimenti tecnici e organizzativi che
mirano a tutelare i beni giuridici della confidenzialita’ o
riservatezza, della integrita’ e della disponibilita’ delle
informazioni registrate.
L’accesso non autorizzato a un sistema informatico da parte
di un pirata informatico può essere equiparato alla
violazione di domicilio.
L’art. 615 ter della legge 547/93 e’ stato inserito
nell’ambito dei delitti contro l’inviolabilità del
domicilio.
LA SICUREZZA DEI DATI IN RETE
Tecnicamente è possibile per chiunque interporsi fisicamente tra l’origine del
flusso dei dati e la loro destinazione per intercettare i singoli pacchetti di dati e
ricostruire l’intera informazione trasmessa, potendo violare così quasi tutti gli
aspetti fondamentali sulla sicurezza ovvero:riservatezza,affidabilità,autenticità
e integrità.
Ad esempio, è tecnicamente possibile:
-intercettare tutte le e-mail indirizzate a u particolare utente;
-intercettare i numeri di carta di credito.
VIOLAZIONI DELLA SICUREZZA: ATTACCHI AI SISTEMI INFORMATICI
Con il termine attacco, in ambito informatico, si intende qualsiasi agente
accidentale o intenzionale finalizzato a sovvertire le misure di sicurezza di un
sistema informatico.
Gli agenti responsabili di attacchi possono essere agenti:
attivo
passivo
Un agente attivo è un qualsiasi agente (umano o non umano) che può violare tutti
gli aspetti relativi alla sicurezza.
Un agente passivo è un qualsiasi agente (umano o non umano) che può violare
solo la riservatezza di un sistema informatico,
Umano
non umano
agente non umano come:
eventi catastrofici eccezionali (non frequenti).
Ad esempio: un terremoto, un incendio,
un’alluvione,un atto terroristico,crolli di edifici;
agente non umano come:
eventi non catastrofici frequenti
Ad esempio: interruzione di corrente elettrica,
sbalzi di tensione,malfunzionamenti hardware,
un fulmine.
E che si può fare?
agente umano come:
agente intenzionale, o criminale informatico, se vi è
la volontà di realizzare un danneggiamento o una
frode (in generale, un atto di pirateria o criminoso).
Ad esempio:creazione e inserimento di virus in un sistema;
Agente umano
non intenzionale, se non vi è la volontà dell’atto.
Ad esempio, lo stesso personale del sistema che sovrascrive
Una nuova versione con una vecchia,perdendo cosi’
Le modifiche effettuare (violazione dell’integrità dei dati.
E che si può fare?
La sicurezza di un SIA coincide con l’insieme di accorgimenti
organizzativi e tecnici che debbono essere adottati per ridurre
al minimo tutti i possibili attacchi da parte di un qualsiasi agente.
ATTACCHI DI HACHER,PIRATI INFORMATICI O CRIMINALI INFORMATICI
Gli attacchi più comuni sono:
Sniffing:ascoltare o annusare(to sniff)il passaggio dei dati in rete ,per catturare
quelli cercati(violazione della riservatezza).
La tecnica di difesa consiste nell’adottare tecniche di crittografia per i messaggi
spediti.
Spoofing (to spoof che significa “imbrogliare, frodare”)
Possono essere distinte in :
-spoofing di indirizzi IP;
-spoofing di dati.
Mediante lo spoofing di indirizzi IP si falsifica la provenienza dei pacchetti,
facendo cosi’ credere a un computer che il reale mittente delle informazioni sia
una persona differente. La tecnica di difesa consiste quindi nell’applicare
tecniche di autenticazione non basate sugli indirizzi IP.
Denial of service Una categoria particolare di attacco è definita denial of service o
“rifiuto di servizio”. Tali attacchi non sono finalizzati a violare la sicurezza di
un sistema, bensi’ a impedire che quest’ultimo possa erogare dei servizi: Un
attacco di questo tipo, finalizzato a rendere inutilizzabilela rete per un
computer
o per un’intera organizzazione, è il network flooding (flood che
significa “riempire, sommergere”) il quale agisce saturando la
capacità di gestire il traffico su internet.
E-mail L’ e-mail bombino, com’è semplice intuire dal termine, è una tecnica che
prevede il bombardamento con migliaia di messaggi di posta elettronica, della
casella di un utente, per provocare un crash nel server. Una delle possibili
conseguenze risulta, per il malcapitato, l’impossibilità di prelevare e visionare
la propria posta elettronica non ancora scaricata al momento dell’attacco.
Tuttavia tale tecnica può causare danni peggiori.
Virus un tipo di attacco particolare, che abbiamo preferito trattare a parte per la
sua specificità, è quello mediante i virus informatici. Gli autori di tali virus
non possono essere ridotti a un’unica tipologia, quindi non sarebbe esatto
definirli unicamente hacker, anche se i contorni tra le due figure non sono
molto netti e a volte si è assistito a sovrapposizioni di ruoli.
Nuking La semplice conoscenza dell’indirizzo IP numerico di un utente che sta
navigando (che peraltro può essere individuato in vari modi, ad esempio
mediante una richiesta WHOIS durante un collegamento a un programma di
chat come IRC) fornisce a un hacker la principale informazione che stava
cercando.
Ping e nuke Una volta ottenuto l’IP dell’utente, l’hacker può, ad esempio, far
resettare a distanza il suo computer sfruttando un bug di Windows (basta un
semplice ping fatto in un certo modo). Questa operazione è nota come nuke.
In particolare, accade molto spesso di essere nukati da qualche
“buontempone” mentre si sta dialogando su un canale affollato di IRC.
La gravità di un incidente informatico non è solo in funzione dei
danni arrecati a dati e programmi presenti sulla macchina
attaccata, ma anche delle operazioni eseguite dall’hacker per
garantirsi un eventuale accesso in futuro. L’operazione più
comune per raggiungere tale scopo, ma anche la più temuta dal
gestore del sistema,
Backdoor è la creazione di una backdoor (letteralmente “porta sul
retro”), una specie di entrata di servizio segreta agli occhi di tutti
tranne che a quelli dell’hacker.
Una volta installata, essa permette all’intruso di divenire “utente
amministratore” del sistema in questione, e a nulla serve la
modifica delle password d’entrata o la soppressione di qualche
account.
Una tecnica di difesa consiste nell’utilizzare in modo sistematico i
file di log del sistema che registrano il passaggio nel sistema e
le modifiche da questo subito e che rappresentano il maggior
pericolo per gli intrusi.
PROTEZIONE DA ATTACCHI DI AGENTI NON UMANI
Per proteggere il sistema informatico da attacchi portati da agenti non umani
occorre:
-localizzare i dispositivi attivi del sistema informatico (computer, hub,
apparecchiature di acquisizione ecc.) in ambienti controllati, ad esempio,
temperatura e umidità devono restare entro certi limiti;
-garantire l’alimentazione in modo costante; devono quindi essere presenti
sistemi di UPS (Uniform Power Supply) per garantire l’alimentazione in caso
di black-out elettrico.
effettuare il recovery.
disporre di un software di base stabile.
Disporre di locali ad accesso fisico controllato. L’accesso fisico al computer
garantisce sempre l’accesso fisico ai dati. I computer condati riservati
devono sempre restare in locali ad accesso ristretto e controllato;
Effettuare copie di back-up periodiche su memoria permanente o su altro
computer.
Generalmente si parla di ridondanza dei dati, distinguendo tra:
-ridondanza fisica o hardware. Ad esempio, avere due hard-disk o due computer
con lo stesso hardware e la stessa co figurazione.
Di questi, il secondo è una copia fisica del primo ed entra in funzione se il primo
ha problemi di carattere hardware;
-ridondanza logica o software. Sono le copie di back-up di progranni
e di basi di dati accennate precedentemente.
I VIRUS
Il termine virus deriva dalla microbiologia e viene utilizzato per indicare un agente
patogeno capace di riprodursi solamente nelle cellule viventi, di cui può divenire un
pericolosissimo nemico, Il medesimo concetto è stato trasferito nel linguaggio
dell’informatica.
Un virus informatico è un programma (o parte di programma) che riesce in vario modo
a introdursi in un sistema informatico, all’insaputa degli utenti e quindi a compiere un
certo numero di operazioni più o meno dannose (si va dalla semplice apparizione di
messaggi alla cancellazione del contenuto dell’hard-disk).
Il termine virus è molto generico: occorre definire prima cosa si intende per “codice
malefico” per poter poi facilmente classificare i virus.
Il codice malefico e’ un programma progettato per queste finalita’:
-permettere la propria riproduzione;
-nascondersi nel sistema per:
-modificare dati e/o programmi;
-distruggere dati e/o programmi;
-interrompere momentaneamente o definitivamente il sistema;
-sostituire l’identità di utenti.
PROTEZIONE DA ATTACCHI DI AGENTI UMANI INTENZIONALI
E’ necessario proteggersi anche da una serie di possibili attacchi da parte di
agenti umani, come:
-atti vandalici;
-furto fisico di apparecchiature;
-danneggiamento (ad esempio, racket);
-codice malefico o virus.
Il tipo di protezione dai primi tre tipi di attacchi riguarda più il gestore degli
impianti di sicurezza degli edifici in cui sono situati i sistemi informatici che il
gestore del sistema informatico.
Sono attuabili meccanismi di protezione a vari livelli per la violazione
dell’autenticazione:
-login e password;
-parametri biometrici, come:
.il riconoscimento vocale;
.il riconoscimento tramite impronte digitali;
.il riconoscimento tramite lineamenti del volto;
.il riconoscimento dell’iride;
-limitazione di accesso a file tramite autorizzazioni e permessi (permission). Ad
esempio, il sistema operativo Linux (e Unix in genere) è molto ricco sotto
questo aspetto.
TIPI DI CODICE MALEFICO
Cavalli di Troia
Un cavallo di Troia o trojan è un codice che si nasconde all’interno di un
programma o di un documento. Si attiva al verificarsi di alcuni eventi (ad esempio, il
13 di ogni mese oppure ogni volta che si apre un particolare documento ecc.)
Virus propriamente detti
Un virus è un programma autonomo che, a differenza dei cavalli di Troia, non ha
bisogno di un altro programma che lo ospiti. Ha inoltre un meccanismo di replica
Possiamo distinguere i virus in :
.virus di boot, che infettano il record di boot dei dischi;
-virus polimorfici, che si moltiplicano producendo cloni sempre diversi tra loro e
che,nascondendosi dietro queste nuove forme,tentano di sfuggire alla cattura;
-virus stealth (“nascosti”), che sono progettati in modo da non essere riconosciuti
neppure dagli antivirus. Per questa micidiale caratteristica, provocano danni quasi
sempre senza possibilità di difesa;
-virus TSR, che si attivano quando viene eseguito il programma infetto.
Installandosi nella memoria RAM, infettano tutti gli altri programmi in
esecuzione,propagando il contagio.
Worn o vermi
I worm o vermi sono programmi che si inseriscono nella memoria (sia quella
centrale sia quella di massa), cercando aree libere per replicarsi fino a saturare il
sistema:
LA CRITTOGRAFIA
La crittografia è quella branca della matematica che studia i metodi per trasformare un
messaggio in modo da renderlo visibile solo a un ristretto gruppo di persone. In
particolare possiamo dire che il messaggio deve essere visibile solo al suo mittente e al
suo destinatario.
Un buon sistema di crittografia risolve molti dei problemi finora crittografia visti e cioè
garantisce:
-autenticazione e non ripudio del mittente e del destinatario;
-riservatezza e integrità dei dati
Un sistema di crittografia consiste nel codificare,cifrare o criptare i messaggi da
trasmettere in una rete prima che essi siano spediti, e decodificare. Decifrare o
decriptare tali messaggi una volta arrivati a destinazione.
I componenti di base per un buon sistema di crittografia sono:
-gli algoritmi;
-le chiavi di crittografia.
Attualmente esistono due tecniche di crittografia che garantiscono una notevole efficacia
e sicurezza e che sono largamente utilizzate in ambiente Internet:
-la crittografia a chiave privata o crittografia simmetrica;
- la crittografia a chiave pubblica o crittografia asimmetrica.