ITC RAMPONE BENEVENTO DELIVERY UNIT CAMPANIA azienda Risorsa umana(personale) Risorsa finanziaria(soldi) La risorsa informatica(o il computer) costituisce un’infrastruttura capace di condizionare l’efficacia di impiego delle risorse umane e finanziarie nel sistema di gestione di un’azienda. Missione o mission target Risorse processi Contesto economico e sociale gestione (Acquisti,vendite,ecc.) Intranet extranet Sistemi aperti Sistema politiche computer informativo della azienda conoscenze decisioni informazioni Realtà operativa dell’azienda Chi è il ragioniere programmatore????? In base a questo rapporto che deve sussistere tra GESTIONE DI UNA AZIENDA e COMPUTER dobbiamo imparare a manipolare tante informazioni con il computer!!!! Per fare questo nel corso dei tre anni dobbiamo: 1) Conoscere il computer (chi è,cosa può fare) e quindi vedremo come è fatto; 2) Comunicare al di là del linguaggio (come lavora e come ci può capire),impareremo ad utilizzare alcuni linguaggi rendendoci conto della struttura alla base della comunicazione uomomacchina; 3) Far si che gestisca le tante informazioni riguardanti un’azienda,utilizzando anche quelle lontane tramite 4) reti oppure viceversa distribuirle!(database in rete) SI-Sistema informativo e organizzazione 1) Rapporto dato-informazione 2) Rapporto tra SI ,come sistema preposto alla produzione di informazioni nell’azienda,e sistema organizzativo cui tali informazioni si indirizzano. 3) SI è inteso come strumento primario di organizzazione e cambiamento della struttura organizzativa 4) Organizzazione e scopo della struttura organizzativa _ uno scopo(missione o mission) o più al cui conseguimento (obiettivi generali o target)sia finalizzata la struttura organizzativa in tutte le sue componenti _ Compito essenziale della organizzazione è razionalizzare il processo di assunzione delle decisioni da parte dei responsabili della azienda SISTEMA AZIENDA FORNITORI, CLIENTI, SERVIZI LAVORATORI DIREZIONE AMMINISTRAZIONE PRODUZIONE BANCHE, FINANZIATORI, SOCI STATO ENTI LOCALI ENTI PREV.LI Sistema informativo e Sistema informatico Informazione: risorsa su cui operano tutte le aziende e che riguarda tutte le altre Sistema informativo : insieme delle informazioni gestite , procedure dati generate,utilizzate ed elaborate dai processi Struttura a livelli E l’evoluzione dei SIA? Sistema informatico: parte del SIA in cui le informazioni sono SIA persone raccolte,elaborate,archiviate,scambiate mediante l’uso delle tecnologie dell’informazione e della comunicazione e la sicurezza? interazione Sistema informativo - Sistema informatico mezzi Struttura a livelli La struttura è articolata su tre livelli; 1) Vi si svolgono i processi di lavoro tipici dell’azienda Es: processo di approvigionamento di materie prime , fasi intermedie per arrivare alla produzione del prodotto finale ,immagazinamento e consegna) 2) Si localizzano problemi di decisioni che sovrintendono al corretto andamento giornaliero dei processi di produzione e distribuzione 3) Processi di progettazione e riprogettazione del sistema organizzativo aziendale nel suo complesso al fine di mantenerlo allineato agli obiettivi che via via si pongono e di poterne controllare con sistematicità le prestazioni di esercizio Fatture (clienti e fornitori) Bollette (ENEL, TELECOM, Ecc.) Parcelle (Notai, Commercialisti, ecc.) Ordini Buste paga Liquidazioni Accantonamenti Ferie, malattie, ecc. Magazzino M.P. Magazzino P.F. Settore tecnico Reparti Cartelle esattoriali, tasse, imposte oneri sociali e assicurativi adempimenti fiscali e amministr. CED Uffici Amministrazione Direzione Estratti conto, contabili (Banche);Premi di assicurazioni, liquidazioni (Ass.);Dividendi, cedole, ecc. (Titoli);Fidi, Mutui, garanzie, ecc. Organizzazione Missione o mission = lo scopo per cui è nata una impresa o istituzione pubblica o privata (come produrre il prodotto) Obiettivi generali o target =obiettivi da perseguire(come ottenere un certo fatturato o l’ingresso in certi mercati) Es. _per aziende industriali è quello di ottenere utili attraverso la progettazione ,produzione e vendita di beni _per aziende di servizio è quello di fornire alle migliori condizioni possibili di qualità e di costo un insieme di servizi come trasporto o di comunicazione o ecc. Risorse Una risorsa è tutto ciò con cui una azienda opera,sia materiale che immateriale,per perseguire i suoi obiettivi generali o specifici Di scambio (prodotti o servizi offerti dall’azienda) Risorse interne Di struttura(persone,finanze,infrastrutture) Di gestione(informazioni,norme,deleghe,piani) Risorse esterne Vi opera solo in maniera indiretta(ambiente sociale,mercato e altri operatori economici,i clienti) Processi È l’insieme delle attività che l’organizzazione nel suo complesso deve svolgere per gestire il ciclo di vita di una risorsa o di un gruppo omogeneo di risorse. Processi per la risorsa umana: 1. Pianificazione _(dell’organico,della formazione ,ecc.) 2. Acquisizione_(selezione,assunzione,ecc.) 3. Gestione_(assegnazione delle attività,valutazione,avanzamento ,ecc.) E ancora …… I POSSIBILI APPROCCI DI INTERFACCIAMENTO DI UN DATABASE IN RETE Un database distribuito è situato fisicamente su un nodo server ed interagisce con i browser situati su un qualsiasi altro nodo client della rete Per integrare un database in un ambiente client/server possiamo considerare i seguenti differenti cinque approcci: 1. 2. 3. 4. 5. primitivo (in base alle attuali conoscenze); basato sui trigger basato sul Web server; basato sul client; basato su ODCBC(trasversale). Approccio primitivo Quando arriva una richiesta di interrogazione al Web server, quest’ultimo la sottopone a un operatore umano (collegato allo stesso server), che effettua “manualmente” l’interrogazione al DBMS. Con il risultato costruisce (sempre manualmente) una pagina HTML, da restituire in riposta al client. In questo modo, a ogni variazione del database,l’operatore deve rifare l’interrogazione e ricostruire la pagina HTML con il risultato. le pagine che il Web server considera sono sempre pagine statiche, ovvero pagine che vengono modificate (manualmente o automaticamente), ma comunque “a sua insaputa”. Infatti, il Web server opera su pagine HTML, disinteressandosi di chi le produce e quando vengono prodotte.In questo approccio, cio’ che arriva al client e’ una pagina HTML che si trova fisicamente sul disco del server che viene creata dinamicamente da parte del trigger del DBMS. APPROCCIO BASATO SUI TRIGGER Un trigger e’ una procedura automatica che viene eseguita non appena si verificano determinati eventi. Potremmo creare del trigger da inserire nel nostro database, in modo che, a ogni variazione di alcuni particolari dati (ad esempio, il prezzo di listino in una tabella Articoli), un opportuno trigger entri in esecuzione,estragga questi dati e crei una pagina HTML da trasferire al client. Attenzione: le pagine che il Web server considera sono sempre pagine statiche,ovvero pagine che vengono modificate (manualmente o automaticamente), ma comunque “a sua insaputa”. Infatti, il Web server opera su pagine HTML, disinteressandosi di chi le produce e quando vengono prodotte. In questo ultimo approccio, cio’ che arriva al client e’ una pagina HTML che si trova fisicamente sul disco del server che viene creata dinamicamente da parte del trigger del DBMS. APPROCCIO BASATO SUL WEB SERVER Nell’approccio basato sul Web server occorre avere un programma applicativo sul server che invia un comando SQL all’SQL server. A questo punto, si crea automaticamente una pagina HTML che “formatti” tale risultato,ovvero lo renda leggibile da parte del browser. In questo approccio, il programma applicativo deve: -inviare comandi SQL al server SQL; -ricevere una risposta dal server SQL; -creare una pagina HTML; -restituire tale pagina al Web server. Il Web server inviera’ la pagina HTML al client. La differenza,rispetto ai casi precedenti, e’ che tale pagina non si trova fisicamente sul disco del server, ma viene generata dinamicamente nel momento in cui arriva la richiesta. Rientrano in questo approccio: 1. le pagine ASP di Microsoft; 2. le pagine JSP DI Java e le Servlet Java; 3. le pagine PHP. Mentre nell’approccio basato sui trigger il carico elaborativi era a carico del server SQL, in questo il carico elaborativo della query e’ a cura del computer server, sul quale e’ installato il Web server e il DBMS, che dovra’ supportare l’elaborazione di tutte le query verso il database, provenienti anche da migliaia di client contemporaneamente. APPROCCIO BASATO SUL CLIENT Nell’approccio basato sul client, il Web server invia al client un applicativo (ad esempio un Applet o un componente ActiveX, che interagisce direttamente con il server SQL del database remoto senza quindi nessuna “intermediazione” da parte del Web server. L’interazione avviene solo con il server SQL e non piu’ con il Web server.Il protocollo HTTP è quindi uscito di scena, dopo aver scaricato l’applicativo sul client. Rientrano in questo approccio le soluzioni come JDBC di Sun Microsystem.: UN APPROCCIO TRASVERSALE, BASATO SU ODBC L ‘ approccio ”trasversale” rispetto ali altri e’ basato su ODBC. ODBC (Open Database Connectivity) e’ l’interfaccia software standard, sia in ambiente Windows sia in altri ambienti, che consente ai programmatori di interfacciarsi a qualsiasi database creato da altri programmatori, purche’ siano stati scritti i driver ODBC per quel database. In sostanza, se si vuola accedere a un database qualsiasi,gestito cioe’ da un qualsiasi DBMS,si possono sfruttare i driver ODBC per quel database e utilizzarli all’interno delle applicazioni per connettersi e interrogare quel database. E ancora….. Per associare e configurare i driver ODBC relativi a un particolare database cui si vuole accedere,bisogna aggiungere cio’ che si chiama un DSN (data Source Name), ovvero il nome della sorgente dati, che consiste nello specificare il tipo di database che si intende utilizzare e i driver ODBC per quel database. Approccio trasversale (oppure “non pulito”) poiche’ bisogna effettuare alcune operazioni di installazione direttamente sul computer client il quale viene a perdere la sua “trasparenza” in relazione ad alcune operazioni di configurazione che il server ha effettuato,poiche’ e’ direttamente coinvolto in tali operazioni (per la parte che gli compete). In particolare in quest’approccio il client deve: • -conoscere il tipo di DBMS che e’ stato installato sul server; • reperire i driver ODBC per il collegamento a quel particolare DBMS; • installare sul proprio sistema operativo tali driver. Non necessita di un browser, ma puo’ utilizzare un client qualsiasi per l’accesso al database,purche’ sia un client SQL (ad esempio,potrebbe utilizzare il client SQL di Microsoft Access); Non e’ basato su HTML(il risultato non deve essere quindi necessariamente formattato in HTML); Non e’ necessario che il database si trovi su una rete TCP/IP. PROGAMMAZIONE LATO CLIENT E LATO SERVER Dato un ambiente client/server in un’architettura di protocolli TCP/IP e HTTP,per programmazione lato server intenderemo lo sviluppo di programmi applicativi che andranno in esecuzione prevalentemente sul server accettando richieste dal client e fornendo a quest’ultimo i risultati dell’elaborazione in forma di pagine HTML. La programmazione lato client e’ lo sviluppo di applicativi che andranno in esecuzione prevalentemente sul client,inviando richieste al server e gestendo i risultati da quest’ultimo ricevuti.(es. gli Applet, il codice Javascript e il codice Vbscript). Esistono programma lato server e programma lato client , così come di linguaggi lato server e linguaggi lato client. Il Web server, infatti, quando riceve una richiesta da parte del client puo’ interpretarla come: -semplice richiesta di invio pagine HTML statiche presenti sul server (o altre risorse come,ad esempio,un’immagine,un file sonoro, un Applet ecc.) -richiesta di esecuzione di un file contenente le istruzioni del programma lato server: La programmazione orientata al Web è l’insieme di tecniche e metodologie che si possono utilizzare in un ambiente client/server con un’architettura TCP/IP-HTTPper far interagire programmi lato server e programmi lato client, con l’obiettivo di realizzare sistemi che possano essere eseguiti in Intranet e Internet. UNA CLASSIFICAZIONE DEI PROCESSI E DELLE DECISIONI AZIENDALI La vita di un’azienda dipende da tre fattori: 1-dalla definizione degli obiettivi strategici dell’azienda: .quali sono i prodotti o i servizi su cui l’azienda punta di piu’ per la propria crescita; .qual e’ il mercato si cui l’azienda vuole operare e affermarsi; 2-dalla traduzione degli obiettivi strategici nell’ambito dell’organizzazione e nella gestione dell’azienda. .come sara’ organizzata la produzione dei beni o l’erogazione dei servizi; .quali saranno le norme di promozione dei prodotti o dei servizi; 3-dall’attuazione degli obiettivi: .la produzione dei beni; .l’erogazione dei servizi; E i processi di un’azienda che concorrono all’attuazione di tali fattori???: “Piramide di Anthony”: -processi direzionali (che concorrono alla definizione degli obiettivi strategici); -processi gestionali (che concorrono alla traduzione degli obiettivi in criteri di gestione ed effettuano il controllo del raggiungimento di tali obiettivi). -processi operativi (che concorrono all’attuazione degli obiettivi). Questa suddivisione puo’ essere ulteriormente caratterizzata dal tipo di decisioni prese in un ‘azienda. Processi direzionali Processi gestionali Processi operativi -decisione strutturale, in cui le regole decisionali sono completamente determinate:e’ sufficiente conoscere le variabili di interesse e applicare a esse tali regole per ottenere meccanicamente l’esito della decisione; -decisioni semi-strutturale, in cui alcune regole decisionali sono determinate, ma l’intervento umano e’ necessario per stabilire l’esito finale; -decisioni, ma l’intero processo decisionale e’ affidato all’esperienza e alla creativita’ dello staff. Non esiste una corrispondenza rigida fra i tre tipi di decisione e i tre livelli di processi aziendali poichè a ciascun livello si possono trovare decisioni caratterizzate da diversi gradi di strutturazione;tuttavia: •a livello operativo la stragrande maggioranza delle decisioni e’ di tipo strutturato; •a livello gestionale la maggior parte delle decisioni sono semi-strtturale; •a livello direzionale le decisioni sono in genere non strutturate. LE TIPOLOGIE DEI SISTEMI INFORMATIVI I sistemi informativi in base al contesto organizzativo in cui si collocano e le scelte tecnologiche possono essere: -sistemi gestionali o transazionali: Sono i sistemi piu’ tradizionali, che hanno come obiettivo l’informatizzazione delle attivita’ strutturate e ripetitive e riguardano quindi prevalentemente i processi e i settori operativi e di controllo; -sistemi per l’automazione d’ufficio. Sono sistemi che si sono diffusi soprattutto a seguito dell’introduzione dei personal computer e dei software per lo svolgimento delle attivita’ tipiche di office management (elaboratori di testi,tabelle,grafici e disegni). Lo sviluppo delle reti (soprattutto di quelle locali) ha favorito una loro trasformazione da sistemi per le attivita’ individuale (personal computer stand alone) a sistemi per le attivita’ di gruppo,attraverso la condivisione di programmi e dati,oltre che di risorse tecnologiche comuni (stampanti,scanner ecc.); -sistemi di comunicazione.Sono sistemi che facilitano lo scambio di comunicazioni informali tra operatori coinvolti nelle stesse attivita’.Le modalita’ oggi piu’ utilizzate per comunicare sono la posta elettronica e alcune sue evoluzioni quali le mailing list -sistemi statistici e direzionali. Sono sistemi il cui obiettivo principale e’ la rilevazione di dati da una o piu fonti,la loro organizzazione,analisi e aggregazione statistica per fini conoscitivi e di pianificazione; sistemi di supporto alla decisioni Sono sistemi realizzati per gli alti livelli aziendali anche se,in alcuni casi,possono fornire supporto a decisioni di tipo gestionale o anche operativo. Sono classificati come: .DSS (Decision Support Systems), se concorrono alla valutazione di ipotesi e alternative per decisioni poco strutturale; .MIS (Management Information Systems), se forniscono supporto alla valutazione di decisioni strutturate per il livello di controllo; .EIS (Executive Information Systems),se caratterizzati da elevata interattivita’ e notevole flessibilita’ nella determinazione dei dati di sintesi; -sistemi in tempo reale. I sistemi in tempo reale sono quelli tipicamente utilizzati dalle aziende in cui la variabile tempo e i vincoli temporali sono critici. Classici esempi sono i sistemi di controllo industriali,i sistemi di controllo e monitoraggio della produzione L’INTEGRAZIONE DELLE TECNOLOGIE E DEI SERVIZI INTERNET CON IL SIA Un’azienda che operi nel mondo del commercio elettronico deve( per rimanere competitiva) integrare il sistema informativo e i processi di lavoro con le tecnologie e i servizi Internet. Sistemi aperti I computer interconnessi in un ambiente client-server costituiscono un “sistema aperto”, in quanto offrono le potenzialita’ necessarie per una effettiva condivisione delle risorse anche fra computer con hardware e sistema operativi. Cio’ e’ di grande importanza per lo sviluppo dei sistemi informativi aziendali poichè un’impresa può : _continuare a utilizzare hardware e software di vecchio tipo, accanto a computer di nuova generazion,risolvendo facilmente i problemi di interfacciamento tra le varie piattaforme; _ad avere lo stesso numero di risorse e il software installato su una sola macchina. Il passaggio definitivo verso l’adozione di OPEN SYSTEM STANDARD e’ stato reso possibile grazie a Internet e alla tecnologia WORLD WIDE WEB. INTRANET ED EXTRANET Intranet e’ il neologismo utilizzato per indicare l’allargamento delle tecnologie Internet ai sistemi informativi aziendali, in sostituzione delle vecchie e costose reti proprietarie (non standard)preesistenti. Una rete Intranet e’una rete aziendale con tecnologia Internet (in particolare basata sui protocolli TCP/IP) e collegata ad Internet. EXTRANET indica un’Intranet esterna all’azienda e accessibile solo ai dipendenti,ai fornitori, nonche’ ai clienti autorizzati. Una rete Extranet è,quindi, una rete interaziendale con tecnologia Internet (in particolare basata INTRANET sui protocolli TCP/IP) e collegata ad Internet. EXTRANET IL COMMERCIO ELETTRONICO il commercio elettronico consiste in ogni iniziativa a supporto dell’attivita’ commerciale di un’azienda che venga svolta sulla rete Internet. Il problema di fondo è come organizzare nei dettagli l’attivita’ commerciale di un’azienda on line. Per fare commercio elettronico non è strettamente necessario arrivare a vendere un bene via Internet. Per migliorare l’attivita’ commerciale attraverso Internet si possono utilizzare tre modi fondamentali: 1.migliorare la comunicazione aziendale verso l’esterno, a fini di marketing o per ottenere un maggiore reattivita’; 2.agire sulla qualità del servizio al cliente,migliorando la cura e l’assistenza pre e post vendita; 3.ulitizzare Internet come vero e proprio canale di vendita,sul quale sia possibile individuare i prodotti di interesse ed effettuare la transazione economica. L’ambiente nel quale si svolge l’attivita’ commerciale e i soggetti coinvolti possono avere natura diversa:l’offerta di una soluzione di commercio elettronico, ad esempio, si può rivolgere al clientefinale, all’agente, alla filiale internazionale o al fornitore. Le esigenze da soddisfare sono diverse e dipendono dalle dinamiche commerciali e dalla tipologia dei soggetti che si vuole coinvolgere. tra aziende per i consumatori finali tra consumatori finali intr _aziendale Il commercio elettronico tra aziende (Business to Business) Le caratteristiche di questo tipo di commercio sono le seguenti: -i rapporti commerciali toccano un limitato numero di soggetti; -la selezione dei prodotti è operata sulla base di una comune classificazione; -gli importi delle transazioni sono di norma elevati e vengono gestiti in modalita’ off line; è necessaria una stretta integrazione tra la gestione della parte produttiva e quella della parte amministrativa. Il commercio elettronico per i consumatori finali (Business to Consumer) E’ la forma piu’ nota di commercio elettronico e riguarda la fornitura di beni e servizi direttamente all’utente finale. Le caratteristiche sono le seguenti: –i prodotti sono offerti a tutti i clienti di Internet; –la classificazione dei prodotti e’ operata dal sito e presentata al cliente; -gli importi delle transazioni sono contenuti; -è necessaria una stretta integrazione tra raccolta degli ordini e gestione della logistica; -i pagamenti sono effettuati preferibilmente on line; -i vantaggi risiedono principalmente nella velocita’,nell’ampiezza della scelta e nella personalizzazione del servizio. Il commercio elettronico tra consumatori finali (Consumer Consumer) Gli utenti possono scambiarsi tra loro prodotti secondo la tecnica dell’asta. Elementi caratteristici sono : -il sito d’asta eroga e amministra l’ambiente in cui gli utenti interagiscono; -gli utenti devono registrarsi al fine di fornire tutte le informazioni necessare per garantire l’identita’ dei soggetti coinvolti nella trattativa; -la scelta e l’esecuzione della transazione commerciale è lasciata alle parti che l’asta ha fatto incontrare,nel senso che il sito d’asta non entra nel merito della transazione economica. Il commercio elettronico intra-aziendale (Intra Business) E’ la forma che coinvolge un’azienda con sede distribuite sul territorio o un Insieme di aziende appartenenti allo stesso gruppo. In tali situazioni, le esigenze di scambio di beni e servizi all’interno delle unita’ della struttura possono essere soddisfatte attraverso Internet ed essere accompagnate da una rendicontazione economica. Le principali caratteristiche del commercio intra-aziendale: -i rapporti commerciali toccano un gruppo di soggetti tassativamente chiuso; -la selezione dei prodotti è operata sulla base di una comune classificazione; -gli importi delle transazioni sono di norma elevati e vengono gestiti in modalita’ off line; L’INTEGRAZIONE DELLE TECNOLOGIE E DEI SERVIZI INTERNET CON IL SISTEMA INFORMATIVO AZIENDALE Un’azienda che operi nel mondo del commercio elettronico deve integrare il sistema informativo e i processi di lavoro con le tecnologie e i servizi Internet. Un sito Internet può essere creato in modi diversi ed essere più o meno integrato con il sistema informativo aziendale. Con “server Web” intendiamo il computer hardware che svolge le funzioni di server all’interno di Internet e in generale di una Intranet. L’attivazione dei servizi di rete Internet può avvenire sostanzialmente in tre modi: 1.il server Web all’interno dell’azienda ,che consente la connessione dell’intera rete locale aziendale a Internet trmite una linea dedicata; 2.l’housing , cioè la presenza di una o piu’ macchine dell’azienda presso le strutture del provider; 3.l’hosting . cioè l’utilizzo di server e servizi preconfigurati dal provider,sui quali caricare e configurare i contenuti e le applicazioni del sito aziendale. Il SERVER WEB ALL’INTERNO DELL’AZIENDA E CONNESSIONE A INTERNET DELL’INTERA RETE AZIENDALE La soluzione prevede che i server che erogano i servizi del sito siano fisicamente presenti presso la sede dell’azienda. _Vi è una sola connessione a Internet che permette ai dipendenti interni di fruire dei servizi esterni e ai visitatori esterni di accedere ai servizi Internet erogati dall’interno.Tali tipi di connessione utilizzano linee telefoniche dedicate che collegano due punti /l’azienda e il provider) e sono sempre attive. Queste linee telefoniche si basano su tecnologie di trasmissione dati digitali, al contrario dei modem che traducono segnali sonori (analogici) in segnali digitali /bit). La soluzione del collegamento diretto assicura: la piena libertà di configurazione e amministrazione dei servizi Internet aziendali. Gli svantaggi in una simile scelta sono: costi elevati problema della sicurezza del sistema informatico aziendale; E’ necessario tenere presente la differenza tra mezzo di trasporto (la linea di connessione) e i dati trasportati (il protocollo Internet, TCP/IP). Le due cose sono separate dal punto di vista concettuale e spesso fornite da entita’ diverse. Il fornitore (in gergo si chiama carrier) del mezzo di trasporto si occupa di fornire le linee per trasportare dati tra due localita’ differenti, per mezzo di circuiti dedicati. L’HOUSING L’erogazione dei servizi di Internet non avviene direttamente dagli uffici e dalla rete aziendale ma dai locali e dalla rete del provider. In questa soluzione, la connessione dell’azienda a Internet e’ separata rispetto alla connessione della macchine (iservr) che erogano i servizi del sito aziendale. L’azienda può infatti avere una connessione via modem che utilizza per la consultazione di Internet,attivata solo poche ore al giorno e non attivata nei giorni di riposo. La continuita’ dei servizi internet è garantita da server che sono posti altrove, presso il provider,sempre funzionanti e connessi alla rete Internet attraverso l’infrastruttura del provider. I server sono di proprietà dell’azienda e sono amministrati da personale dell’azienda, ma sono fisicamente posti presso il provider. La loro amministrazione può essere eseguita attraverso una qualsiasi connessione a Internet. L’HOSTING Mentre l’housing fornisce una semplice connessione a Internet, l’hosting fornisce un servizio completo (erogato da una macchina di proprieta’ del provider e gia’ configurata). La macchina del provider ospita il server dell’azienda (solo la parte software,evidentemente) e può essere amministrata gestendo in remoto alcune sue funzionalita’ (i contenuti delle pagine Web, le caselle di posta,gli strumenti di gestione e analisi degli accessi al sito),attraverso la configurazione di applicazioni come da esempio le mailing list e le consultazioni di database on line. Vantaggi : meno costosa non richiede oneri e particolari conoscenze tecniche di amministrazione Svantaggi : la condivisione delle risorse della macchina con altri clienti (la macchina non è vostra e quindi non ne conoscete mai fino in fondo caratteristiche e prestazioni) la rigidità nella configurazione dei servizi, talvolta troppo limitante per un sito di commercio elettronico. Sicurezza di un sistema informatico Sicurezza di un sistema informatico equivale salvaguardia di alcuni aspetti fondamentali. affidabilita’ dei dati autenticazione o autenticita’ Riservatezza Aspetti della sicurezza non ripudio quando si definisce sicuro un SIA? i dati sono sicuri in rete? integrita’ dei dati -affidabilita’ dei dati. I dati devono essere sempre accessibili o disponibili agli utenti autorizzati. Esempi di violazione di affidabilita’ sono: .mancanza di fornitura elettrica. .rottura di un componente hardware. -integrita’ dei dati. E’ la protezione dei dati realizzata in modo da evitare la loro corruzione. In particolare nella trasmissione i dati devono arrivare cosi’ come trasmessi; nella memorizzazione i dati devono coincidere in ogni istante con quelli memorizzati originariamente. Si dice che l’integrita’ riguarda la protezione da modifiche non autorizzate. Esempi di violazione di integrita’ sono: .cancellazione non autorizzata di un file, .modifica non autorizzata di un file; -riservatezza: E’ la protezione dei dati realizzata in modo che essi siano accessibili “in lettura” solo dai legittimi destinatari. Si dice che la riservatezza riguarda la protezione da letture non autorizzate. Esempi di violazione della riservatezza sono: .intercettazioni dei dati durante la loro trasmissione; .accesso non autorizzato dei dati memorizzati su un server; -autenticazione o autenticita’E’ la protezione sulla certezza della sorgente, della destinazione e del contenuto del messaggio. Un esempio di violazione dell’autenticita’ è: .spedizione di un’e-mail da parte di un pirata informatico che si maschera facendo credere che il mittente dell’e-mail sia una persona conosciuta al destinatario -non ripudio. E’ la protezione sulla certezza che chi trasmette (non ripudio del mittente) e chi riceve (non ripudio del destinatario) non possano negare di aver rispettivamente inviato e ricevuto i dati. Esempi di non ripudio presi dalla vita di tutti i giorni in situazioni analoghe a quelle informatiche, sono: .in una raccomandata con ricevuta di ritorno si garantisce il non ripudio da parte del destinatario, in quanto deve firmare di persona la ricevuta di ritorno /oltre alla sua autenticita’); .con l’autenticazione della firma da parte di un pubblico ufficiale si garantisce invece il non ripudio del mittente (oltre all’autenticita’). Esempi di violazione del non ripudio sono: -carta intestata falsa; -firma falsa; -falsa e-mail. Sistema informatico sicuro equivale le informazioni contenute vengono garantite, attraverso sistemi e misure di sicurezza predisposti , contro il pericolo di violazioni degli aspetti sulla sicurezza. La sicurezza di un SIA coincide con l’insieme di accorgimenti organizzativi e tecnici che debbono essere adottati per ridurre al minimo tutti i possibili attacchi da parte di un qualsiasi agente. Il concetto giuridico di sicurezza informatica è collegato a quel complesso di accorgimenti tecnici e organizzativi che mirano a tutelare i beni giuridici della confidenzialita’ o riservatezza, della integrita’ e della disponibilita’ delle informazioni registrate. L’accesso non autorizzato a un sistema informatico da parte di un pirata informatico può essere equiparato alla violazione di domicilio. L’art. 615 ter della legge 547/93 e’ stato inserito nell’ambito dei delitti contro l’inviolabilità del domicilio. LA SICUREZZA DEI DATI IN RETE Tecnicamente è possibile per chiunque interporsi fisicamente tra l’origine del flusso dei dati e la loro destinazione per intercettare i singoli pacchetti di dati e ricostruire l’intera informazione trasmessa, potendo violare così quasi tutti gli aspetti fondamentali sulla sicurezza ovvero:riservatezza,affidabilità,autenticità e integrità. Ad esempio, è tecnicamente possibile: -intercettare tutte le e-mail indirizzate a u particolare utente; -intercettare i numeri di carta di credito. VIOLAZIONI DELLA SICUREZZA: ATTACCHI AI SISTEMI INFORMATICI Con il termine attacco, in ambito informatico, si intende qualsiasi agente accidentale o intenzionale finalizzato a sovvertire le misure di sicurezza di un sistema informatico. Gli agenti responsabili di attacchi possono essere agenti: attivo passivo Un agente attivo è un qualsiasi agente (umano o non umano) che può violare tutti gli aspetti relativi alla sicurezza. Un agente passivo è un qualsiasi agente (umano o non umano) che può violare solo la riservatezza di un sistema informatico, Umano non umano agente non umano come: eventi catastrofici eccezionali (non frequenti). Ad esempio: un terremoto, un incendio, un’alluvione,un atto terroristico,crolli di edifici; agente non umano come: eventi non catastrofici frequenti Ad esempio: interruzione di corrente elettrica, sbalzi di tensione,malfunzionamenti hardware, un fulmine. E che si può fare? agente umano come: agente intenzionale, o criminale informatico, se vi è la volontà di realizzare un danneggiamento o una frode (in generale, un atto di pirateria o criminoso). Ad esempio:creazione e inserimento di virus in un sistema; Agente umano non intenzionale, se non vi è la volontà dell’atto. Ad esempio, lo stesso personale del sistema che sovrascrive Una nuova versione con una vecchia,perdendo cosi’ Le modifiche effettuare (violazione dell’integrità dei dati. E che si può fare? La sicurezza di un SIA coincide con l’insieme di accorgimenti organizzativi e tecnici che debbono essere adottati per ridurre al minimo tutti i possibili attacchi da parte di un qualsiasi agente. ATTACCHI DI HACHER,PIRATI INFORMATICI O CRIMINALI INFORMATICI Gli attacchi più comuni sono: Sniffing:ascoltare o annusare(to sniff)il passaggio dei dati in rete ,per catturare quelli cercati(violazione della riservatezza). La tecnica di difesa consiste nell’adottare tecniche di crittografia per i messaggi spediti. Spoofing (to spoof che significa “imbrogliare, frodare”) Possono essere distinte in : -spoofing di indirizzi IP; -spoofing di dati. Mediante lo spoofing di indirizzi IP si falsifica la provenienza dei pacchetti, facendo cosi’ credere a un computer che il reale mittente delle informazioni sia una persona differente. La tecnica di difesa consiste quindi nell’applicare tecniche di autenticazione non basate sugli indirizzi IP. Denial of service Una categoria particolare di attacco è definita denial of service o “rifiuto di servizio”. Tali attacchi non sono finalizzati a violare la sicurezza di un sistema, bensi’ a impedire che quest’ultimo possa erogare dei servizi: Un attacco di questo tipo, finalizzato a rendere inutilizzabilela rete per un computer o per un’intera organizzazione, è il network flooding (flood che significa “riempire, sommergere”) il quale agisce saturando la capacità di gestire il traffico su internet. E-mail L’ e-mail bombino, com’è semplice intuire dal termine, è una tecnica che prevede il bombardamento con migliaia di messaggi di posta elettronica, della casella di un utente, per provocare un crash nel server. Una delle possibili conseguenze risulta, per il malcapitato, l’impossibilità di prelevare e visionare la propria posta elettronica non ancora scaricata al momento dell’attacco. Tuttavia tale tecnica può causare danni peggiori. Virus un tipo di attacco particolare, che abbiamo preferito trattare a parte per la sua specificità, è quello mediante i virus informatici. Gli autori di tali virus non possono essere ridotti a un’unica tipologia, quindi non sarebbe esatto definirli unicamente hacker, anche se i contorni tra le due figure non sono molto netti e a volte si è assistito a sovrapposizioni di ruoli. Nuking La semplice conoscenza dell’indirizzo IP numerico di un utente che sta navigando (che peraltro può essere individuato in vari modi, ad esempio mediante una richiesta WHOIS durante un collegamento a un programma di chat come IRC) fornisce a un hacker la principale informazione che stava cercando. Ping e nuke Una volta ottenuto l’IP dell’utente, l’hacker può, ad esempio, far resettare a distanza il suo computer sfruttando un bug di Windows (basta un semplice ping fatto in un certo modo). Questa operazione è nota come nuke. In particolare, accade molto spesso di essere nukati da qualche “buontempone” mentre si sta dialogando su un canale affollato di IRC. La gravità di un incidente informatico non è solo in funzione dei danni arrecati a dati e programmi presenti sulla macchina attaccata, ma anche delle operazioni eseguite dall’hacker per garantirsi un eventuale accesso in futuro. L’operazione più comune per raggiungere tale scopo, ma anche la più temuta dal gestore del sistema, Backdoor è la creazione di una backdoor (letteralmente “porta sul retro”), una specie di entrata di servizio segreta agli occhi di tutti tranne che a quelli dell’hacker. Una volta installata, essa permette all’intruso di divenire “utente amministratore” del sistema in questione, e a nulla serve la modifica delle password d’entrata o la soppressione di qualche account. Una tecnica di difesa consiste nell’utilizzare in modo sistematico i file di log del sistema che registrano il passaggio nel sistema e le modifiche da questo subito e che rappresentano il maggior pericolo per gli intrusi. PROTEZIONE DA ATTACCHI DI AGENTI NON UMANI Per proteggere il sistema informatico da attacchi portati da agenti non umani occorre: -localizzare i dispositivi attivi del sistema informatico (computer, hub, apparecchiature di acquisizione ecc.) in ambienti controllati, ad esempio, temperatura e umidità devono restare entro certi limiti; -garantire l’alimentazione in modo costante; devono quindi essere presenti sistemi di UPS (Uniform Power Supply) per garantire l’alimentazione in caso di black-out elettrico. effettuare il recovery. disporre di un software di base stabile. Disporre di locali ad accesso fisico controllato. L’accesso fisico al computer garantisce sempre l’accesso fisico ai dati. I computer condati riservati devono sempre restare in locali ad accesso ristretto e controllato; Effettuare copie di back-up periodiche su memoria permanente o su altro computer. Generalmente si parla di ridondanza dei dati, distinguendo tra: -ridondanza fisica o hardware. Ad esempio, avere due hard-disk o due computer con lo stesso hardware e la stessa co figurazione. Di questi, il secondo è una copia fisica del primo ed entra in funzione se il primo ha problemi di carattere hardware; -ridondanza logica o software. Sono le copie di back-up di progranni e di basi di dati accennate precedentemente. I VIRUS Il termine virus deriva dalla microbiologia e viene utilizzato per indicare un agente patogeno capace di riprodursi solamente nelle cellule viventi, di cui può divenire un pericolosissimo nemico, Il medesimo concetto è stato trasferito nel linguaggio dell’informatica. Un virus informatico è un programma (o parte di programma) che riesce in vario modo a introdursi in un sistema informatico, all’insaputa degli utenti e quindi a compiere un certo numero di operazioni più o meno dannose (si va dalla semplice apparizione di messaggi alla cancellazione del contenuto dell’hard-disk). Il termine virus è molto generico: occorre definire prima cosa si intende per “codice malefico” per poter poi facilmente classificare i virus. Il codice malefico e’ un programma progettato per queste finalita’: -permettere la propria riproduzione; -nascondersi nel sistema per: -modificare dati e/o programmi; -distruggere dati e/o programmi; -interrompere momentaneamente o definitivamente il sistema; -sostituire l’identità di utenti. PROTEZIONE DA ATTACCHI DI AGENTI UMANI INTENZIONALI E’ necessario proteggersi anche da una serie di possibili attacchi da parte di agenti umani, come: -atti vandalici; -furto fisico di apparecchiature; -danneggiamento (ad esempio, racket); -codice malefico o virus. Il tipo di protezione dai primi tre tipi di attacchi riguarda più il gestore degli impianti di sicurezza degli edifici in cui sono situati i sistemi informatici che il gestore del sistema informatico. Sono attuabili meccanismi di protezione a vari livelli per la violazione dell’autenticazione: -login e password; -parametri biometrici, come: .il riconoscimento vocale; .il riconoscimento tramite impronte digitali; .il riconoscimento tramite lineamenti del volto; .il riconoscimento dell’iride; -limitazione di accesso a file tramite autorizzazioni e permessi (permission). Ad esempio, il sistema operativo Linux (e Unix in genere) è molto ricco sotto questo aspetto. TIPI DI CODICE MALEFICO Cavalli di Troia Un cavallo di Troia o trojan è un codice che si nasconde all’interno di un programma o di un documento. Si attiva al verificarsi di alcuni eventi (ad esempio, il 13 di ogni mese oppure ogni volta che si apre un particolare documento ecc.) Virus propriamente detti Un virus è un programma autonomo che, a differenza dei cavalli di Troia, non ha bisogno di un altro programma che lo ospiti. Ha inoltre un meccanismo di replica Possiamo distinguere i virus in : .virus di boot, che infettano il record di boot dei dischi; -virus polimorfici, che si moltiplicano producendo cloni sempre diversi tra loro e che,nascondendosi dietro queste nuove forme,tentano di sfuggire alla cattura; -virus stealth (“nascosti”), che sono progettati in modo da non essere riconosciuti neppure dagli antivirus. Per questa micidiale caratteristica, provocano danni quasi sempre senza possibilità di difesa; -virus TSR, che si attivano quando viene eseguito il programma infetto. Installandosi nella memoria RAM, infettano tutti gli altri programmi in esecuzione,propagando il contagio. Worn o vermi I worm o vermi sono programmi che si inseriscono nella memoria (sia quella centrale sia quella di massa), cercando aree libere per replicarsi fino a saturare il sistema: LA CRITTOGRAFIA La crittografia è quella branca della matematica che studia i metodi per trasformare un messaggio in modo da renderlo visibile solo a un ristretto gruppo di persone. In particolare possiamo dire che il messaggio deve essere visibile solo al suo mittente e al suo destinatario. Un buon sistema di crittografia risolve molti dei problemi finora crittografia visti e cioè garantisce: -autenticazione e non ripudio del mittente e del destinatario; -riservatezza e integrità dei dati Un sistema di crittografia consiste nel codificare,cifrare o criptare i messaggi da trasmettere in una rete prima che essi siano spediti, e decodificare. Decifrare o decriptare tali messaggi una volta arrivati a destinazione. I componenti di base per un buon sistema di crittografia sono: -gli algoritmi; -le chiavi di crittografia. Attualmente esistono due tecniche di crittografia che garantiscono una notevole efficacia e sicurezza e che sono largamente utilizzate in ambiente Internet: -la crittografia a chiave privata o crittografia simmetrica; - la crittografia a chiave pubblica o crittografia asimmetrica.