



Studia grazie alle numerose risorse presenti su Docsity
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Prepara i tuoi esami
Studia grazie alle numerose risorse presenti su Docsity
Prepara i tuoi esami con i documenti condivisi da studenti come te su Docsity
Trova i documenti specifici per gli esami della tua università
Preparati con lezioni e prove svolte basate sui programmi universitari!
Rispondi a reali domande d’esame e scopri la tua preparazione
Riassumi i tuoi documenti, fagli domande, convertili in quiz e mappe concettuali
Studia con prove svolte, tesine e consigli utili
Togliti ogni dubbio leggendo le risposte alle domande fatte da altri studenti come te
Esplora i documenti più scaricati per gli argomenti di studio più popolari
Ottieni i punti per scaricare
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Corso Sicurezza informatica e dei sistemi informativi
Tipologia: Appunti
1 / 7
Questa pagina non è visibile nell’anteprima
Non perderti parti importanti!




Informazioni nelle attività umane vengono rappresentate e scambiate in base alla lingua scritta, parlata, disegni, figure, numeri. Nei sistemi informatici le informazioni vengono rappresentate con dati che di per se stesso non hanno alcun significato finché le informazioni non vengono associate e organizzate.
Il crimine Informatico è un’attivitá criminale che utilizza i sistemi informatici come la frode informatica, il furto di indentitá. Hacking è un insieme di attività atte a valutare la sicurezza e l’affidabilitá del sistema informatico e vengono sottoposti a test e controlli specifici. Quindi Hacking è un’artivita volta a studiare le caratteristiche tecniche dei sistemi informatici con l’obbiettivo di invidi idearne i difetti e poterli migliorare. Hacker chi studia, sviluppa, modifica e migliora i sistemi informatici. Cracker chi utilizza le proprie capacità per carpire le informazioni.
CRIMINE INFORMATICO: Intercettazione, interferenze di dati, riproduzione non autorizzata, diffusione di virus e malware. Polizia Postale contro crimini informatici in Italia: C.N.A.I.P.I.C. A livello europeo c’è un centro dell’Europool chiamato EC3( European Cybercrime Center)
MINACCE DOLOSE, la maggior parte delle minacce dolose non vengono dall’esterno ma dall’interno da chi conosce dati, codici di accesso e misure di sicurezza. Ci son poi delle minacce provocate da eventi naturali come terremoti, inondazioni o incendi e non si può fare molto se non prevedere in anticipo un piano di ripristino. Un Business Continuity Plan
CLOUD COMPUTING: spostare le informazioni dai Pc aziendali ai server Farm utilizzando la rete internet. Facendo così un’azienda perde il controllo dei dati fisici e l’esposizione dei dati sensibili espone a problemi di privacy.
Confidenzialitá o riservatezza, le informazioni devono essere accessibili sono a chi è autorizzato. Integrità le informazioni devono essere trattate in modo che siano difese Disponibilità impone che le info siano sempre disponibili alle persone autorizzate Documento di riferimento ISO/IEC 27002:2013 dove si descrivono gli obbiettivi di sicurezza mediante il paradigma C.I.A. o Italiano CID. CON L’uso dei dispositivi mobili come tablet e smartphone il problema della protezione dei dati personali assume una certa importanza
PRINCIPI COMUNI PER PROTEZIONE, CONSERVAZIONE, CONTROLLO DATI, RISERVATEZZA La tutela della riservatezza, cioè il controllo dell’interessato sull’utilizzo delle informazioni che lo riguardano La necessità di rendere sempre disponibili i dati per ragioni di legalità e trasparenza
CODICE DELLA PRIVACY Trasparenza: attività di raccolta deve essere manifestata è dichiarata, devono essere descritte finalità e motivi, devono essere dichiarate le procedure adottate per il rispetto delle regole, devono essere comunicate le modalità di contestazione. Legittimità : la raccolta ed il trattamento sono consentiti solo se perseguono fini legittimi, non violano i dirti dell’interessato Proporzionalità: i dati personali devono essere adeguati, pertinenti, e non eccedenti le finalità per cui sono raccolti; devono essere accurati, mantenuti è aggiornati
INTERESSATO: la persona fisica cui si riferiscono i dati personali RESPONSABILE: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente prdi posto dal titolare al trattamento dei dati personali DIRITTI DELL’INTERESSATO: essere informato sull’esistenza dei dati personali con comunicazione in forma intellegibile, conoscere l’origine dei dati, le finalità, modalità, gli estremi del titolare, i soggetti ai quali possono essere comunicati tali dati; ottenere cancellazione, aggiornamento, rettifica, integrazione dei dati; opporsi per motivi legittimi, trattamento dei propri dati personali ai fini di invio materiale pubblicitario o vendita diretta
DOVERI RESPONSABILE: Principio di conservazione: i dati devono essere conservati per un tempo non superiore al necessario per gli scopi per i quali sono raccolti; Principio di sicurezza: i dati devono essere conservati in modo sicuro ed al riparo da intrusioni esterne applicando misere di sicurezza come protezioni fisica, procedurali, tecniche, da intrusioni, da infezioni, protezione da perdete di dati. ICT: Information and Communications Tecnology
INGEGNERIA SOCIALE: è un ramo della sicurezza che si occupa di manipolare psicologicamente delle persone al fine di compiere azioni o carpire le informazioni riservate. Implicazioni: Raccolta delle informazioni, Frode, Accesso non autorizzato ai dati L’ingegenria sociale applica i seguenti metodi: PISHING: invio di messaggi di posta elettronica ingannevoli SHOULDER SURFING: spiare dietro le spalle DUMPSTER DIVING: analisi della spazzatura prodotta dalla vittima EAVESDROP origliare conversazioni di nascosto WIRETAP intercettazione di telefonate, messaggistica istantanea
FURTO DI IDENTITA’: ottenere informazioni personali del soggetto al fine di sostituirsi del tutto o in parte ad esso, si attua attraverso DUMPSTER DIVING, PISHING, SKIMMING PHISHING: fingersi qualcun altro come persona autorevole che può chiedere le credenziali della vittima SKIMMING: clonazione della carta di credito
UTILIZZARE LE MACRO Nei programmi di produzione di testo si usa spesso azionare le MACRO, cioè azioni che si eseguono automaticamente al verificarsi si un evento, ma possono contenere codice malevolo. Il rilevamento di una MACRO all’apertura di un file causa la comparsa di un messaggio che ci avvisa e chiede se si vuole abilitare. Meglio abilitare la macro di file di cui si conosce la provenienza. CIFRATURA/CRITTOGRAFIA La crittografia può essere SIMMETRICA utilizzata per documenti di MS Office e viene indicata come password che però va custodita; ASIMMETRICA utilizzata nelle firme digitali e nella trasmissione di informazioni, si utilizzano due tipi di chiavi una privata ed una pubblica disponibili attraverso l’ID digitale, che perso causa l’impossibilità del proprietario di poter accedere al contenuto del messaggio. La sottrazione o la perdita di una password di crittografia causa la perdita della confidenzialità, se invece si perde un ID Digitale di deve procedere alla Revoca dello stesso. CIFRARE UN FILE O CARTELLA: esplora risorse-selezionare la cartella o file-menu file- avanzate-attributi avanzati- crittografa contenuto per la protezione dei dati. Per crittografare un intero disco si usa la funzionalità BitLocker IMPOSTARE UNA PASSWORD SU FILE:scheda file- comando informazioni-proteggi tipo documento-crittografa con password
La rete è veicolo di malware di virus e di accessi non autorizzati per questo si è istituita la figura dell’amministratore di rete, cioè quel professionista proposto alla gestione tecnica di computer cioè alla prograttazione, realizzazione, autorizzazione e controllo di LAN e WAN. E’ responsabile dell’assegnazione degli account interni poiché la definizione degli accessi è regolata dall’Access Control List quindi ogni utente avrà una propria USerID ed una password. FIREWALL: muro tagliafuoco, una difesa fra PC e internet. Ci sono Firewall perimetrali utilizzati per le aziende al protezione LAN, e Firewall personali utilizzati in ambito personale. Il firwall monitora il traffico di rete e lo filtra tramite delle regole. Il firewall ha più limiti e si attiva da : windows firewall- pannello controllo- sistema sicurezza- attiva/disattiva firewall. Il firewall blocca la maggior parte dei programmi per garantire una maggiore sicurezza ma questo programmi si possono sbloccare : windows firewall- consenti programma o funzionalità- modifica impostazioni – selezionare il programma e cliccare ok
TIPI DI SICUREZZA RETI WIRELESS WEP: wired equivalent privacy, nasce nel 1999 creata per dare una sicurezza comparabile alle reti camblate ma i suoi molti difetti resero necessarie delle revisioni. Al momento utilizzo basso per semplice da violare WPA E WPA2 wi-fi protected access, 2003-2004 mettono a disposizione una maggiore sicurezza WARDDRIVING attività illegale nata dal mancato utilizzo di una password di sicurezza nelle reti, consiste nell’intercettare reti wi-fi e connettersi abusivamente. Utilizzare reti wi-fi non protette si rischia che qualcuno rubi i nostri dati sensibili. Le tipologie di attacco sono: EAVESDROPPING catturare segnali radio e decodificare dati trasmetti, e WARDRIVING già descritta; NETWORLK HIJACKING consiste nell’entrare in account altrui rubando i cookie di sessione MAN IN THE MIDDLE: chi attacca si inserisce al posto di due interlocutori per intercettare messaggi e inserire modificare a piacere.
TETHERING: traducibile con espressione incatenamento cioè una funzionalità che permette ad uno smartphone di diventare gateway. La connessione può avvenire wireless o con cavetto USB. Quando si usa wi-fi il telefono diventa un ACCESS POINT cioè crea un HOTSPOT cioè condividere la connessione dati di un telefono o tablet per scambiare dati senza connessione fisica. Questo termine è stato coniato dalla Apple. GATEWAY: dispositivo che veicola il traffico verso internet ACCESS POINT: dispositivo che permette ad un utente mobile di accedere ad internet tramite wi.fi HOTSPOT: luogo dove presente la connessione internet. ATTIVAZIONE HOTSPOT PERSONA IPHONE Impostazioni-hotspot personale e attivare- attivare wi-fi o bluetooth, impostare password. Al termine chiudere la connessione impostando su spento l’Hotspot
ACCESSO NON AUTORIZZATI AI DATI AUTENTICAZIONE: il processo con il quale un sistema informatico verifica l’identità di un altro computer autorizzando ad usufruire dei servizi associati, il sistema deve essere in grado di riconoscere chi è autorizzato da chi non lo è quindi l’accesso viene gestito con nome utente e password. I metodi di autenticazione utilizzabili da un essere umano sono divisi in tre classi: qualcosa che conosce tipo PIN qualcosa che ha TESSERINO , SMART CARD qualcosa che è, IMPRONTA DIGITALE, CALLIGRAFIA ATC
ONE-TIME PASSWORD una password USA E GETTA usata per accedere una sola volta fino alla disconnessione. Chiamata OTP protegge da attacchi di replica. Possono essere rese note
all’utente in molti modi: con una chiavetta usata spesso nell’home banking, con software da cellulare, messaggistica sms, scheda stampata che ha l’utente. RETI PERIFERICHE: computer funzioni simili, autenticazione locale e le risorse sono condivise in base alle impostazioni delle singole macchine RETI CLIENT/SERVER server si occupa dell’autenticazione e centralizza i permessi, nelle aziende queste reti sono basate su un DOMINIO cioè un insieme di PC che vengono amministrate con stesse regole. Con ACCONT DI RETE l’amministratore può decidere chi ha accesso a cosa. L’accesso viene gestito anche qui con nome utente e password dal proprio pc all’avvio, quando l’utente si allontana il pc va bloccato e quando l’account non è più utilizzato ed inutile deve essere eliminato. TECNICE BIOMETRICHE ACCESSO:
tenerla segreta, cambiarla con regolarità, deve essere definita robusta cioè lunghezza di 8 caratteri alfanumerici con lettere minuscole e maiuscole e simboli speciali. Non deve essere riconducibile ad un oggetto fisico, non deve essere un nome di parente ne parola da dizionario, può contenere spazi. Si usano innumerevoli password per siti, e per qualunque cosa in internet ormai e sempre più di consueto si usa un programma di gestione password che tramite la cifratura dei dati gestisce e tiene sicure le password utilizzate. Con una sola password quella di accesso al database.
COMPLETAMENTO AUTOMATICO E SALVATAGGIO DELLE PASSWORD, rappresentano una minaccia per la privacy. Per impostare questa funzione in internet: opzioni internet-strumenti- contenuto-impostazioni della sezione completamento automatico, togliere poi la spunta sulle voci interessate. Per eliminare dati privati da browser: menu sicurezza-elimina cronologia esplorazioni-elimina. Per utilizzare una connessione sicura si utilizza il protocollo HTTPS che trasmette i dati attraverso i canali cifrato al fine di garantire al client di riconoscere le informazioni. Questo protocollo richiedere che il server si autentichi tramite certificato per riconoscerne la validità, se supera questo controllo il browser visualizza l’icona di un lucchetto. TECNICHE PER IDENTIFICARE LA VALIDITA’ DELLA SICUREZZA:
BACKUP DIFFERENZIALE: backup cumulativo di tutti i cambiamenti a partire dall’ultimo backup. C’è la possibilità anche di fare delle copie di sicurezza, in dispositivi esterni, in cloud. Backup e ripristino-esegui backup- Per ripristino: backup e ripristino-ripristino file personali-ripristina file degli utenti.