Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


Informatica Generale: IT Security, Sintesi del corso di Elementi di Informatica

Slide di Informatica Generale inerenti all' IT Security

Tipologia: Sintesi del corso

2020/2021

Caricato il 08/06/2022

shaia
shaia 🇮🇹

4.3

(4)

3 documenti

1 / 114

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
Introduzione:
Modulo IT Security
Scopi del modulo
Il presente modulo definisce i concetti e le competenze fondamentali per comprendere l’uso sicuro dell’Information e
Communication Tecnology nelle attività quotidiane e per utilizzare tecniche e applicazioni rilevanti che consentono di gestire una
connessione di rete sicura, usare Internet in modo sicuro e senza rischi e gestire in modo adeguato dati e informazioni.
Gli argomenti sviluppati in questo modulo sono:
Comprendere i concetti fondamentali relativi all’importanza di rendere sicure informazioni e dati, di assicurare protezione
fisica e privacy, e di difendersi dal furto di identità.
Proteggere un computer, un dispositivo o una rete da malware e da accessi non autorizzati.
Comprendere i tipi di reti, i tipi di connessioni e le problematiche specifiche alle reti, firewall inclusi.
Navigare nel World Wide Web e comunicare in modo sicuro su Internet.
Comprendere i problemi di sicurezza associati alle comunicazioni, inclusa la posta elettronica e la messaggistica istantanea.
Effettuare copie di sicurezza e ripristinare i dati in modo corretto e sicuro, ed eliminare dati e dispositivi in modo sicuro.
Con questo modulo sono certificate le capacità di individuare e comprendere i concetti principali alla base di un uso sicuro della
Tecnologia dell'Informazione e Comunicazione (ICT) e le competenze per proteggere i propri dati e quelli dell'organizzazione per
la quale si lavora.
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15
pf16
pf17
pf18
pf19
pf1a
pf1b
pf1c
pf1d
pf1e
pf1f
pf20
pf21
pf22
pf23
pf24
pf25
pf26
pf27
pf28
pf29
pf2a
pf2b
pf2c
pf2d
pf2e
pf2f
pf30
pf31
pf32
pf33
pf34
pf35
pf36
pf37
pf38
pf39
pf3a
pf3b
pf3c
pf3d
pf3e
pf3f
pf40
pf41
pf42
pf43
pf44
pf45
pf46
pf47
pf48
pf49
pf4a
pf4b
pf4c
pf4d
pf4e
pf4f
pf50
pf51
pf52
pf53
pf54
pf55
pf56
pf57
pf58
pf59
pf5a
pf5b
pf5c
pf5d
pf5e
pf5f
pf60
pf61
pf62
pf63
pf64

Anteprima parziale del testo

Scarica Informatica Generale: IT Security e più Sintesi del corso in PDF di Elementi di Informatica solo su Docsity!

Introduzione: Modulo IT Security Scopi del modulo Il presente modulo definisce i concetti e le competenze fondamentali per comprendere l’uso sicuro dell’Information e Communication Tecnology nelle attività quotidiane e per utilizzare tecniche e applicazioni rilevanti che consentono di gestire una connessione di rete sicura, usare Internet in modo sicuro e senza rischi e gestire in modo adeguato dati e informazioni. Gli argomenti sviluppati in questo modulo sono:

  • Comprendere i concetti fondamentali relativi all’importanza di rendere sicure informazioni e dati, di assicurare protezione fisica e privacy, e di difendersi dal furto di identità.
  • Proteggere un computer, un dispositivo o una rete da malware e da accessi non autorizzati.
  • Comprendere i tipi di reti, i tipi di connessioni e le problematiche specifiche alle reti, firewall inclusi.
  • Navigare nel World Wide Web e comunicare in modo sicuro su Internet.
  • Comprendere i problemi di sicurezza associati alle comunicazioni, inclusa la posta elettronica e la messaggistica istantanea.
  • Effettuare copie di sicurezza e ripristinare i dati in modo corretto e sicuro, ed eliminare dati e dispositivi in modo sicuro. Con questo modulo sono certificate le capacità di individuare e comprendere i concetti principali alla base di un uso sicuro della Tecnologia dell'Informazione e Comunicazione (ICT) e le competenze per proteggere i propri dati e quelli dell'organizzazione per la quale si lavora.

Capitolo 1

Minacce ai dati Salvaguardare le informazioni Distinguere tra dati e informazioni.

  • I dati sono informazioni non ancora sottoposte a elaborazione. I dati possono essere una collezione di numeri, testi o immagini non elaborate. Dall’elaborazione dei dati si ottengono le:
  • informazioni sono il risultato dell’utilizzo dei dati e della loro eventuale modifica in modo da renderli significativi per la persona che li riceve. Comprendere il termine crimine informatico. Il crimine informatico è un’attività illegale che avviene utilizzando dei mezzi informatici come la rete Internet o, in generale, un computer. Esempi di crimine informatico includono le frodi informatiche, il furto di identità e l’intrusione nei sistemi informatici. Le frodi informatiche possono riguardare la riproduzione e/o l’utilizzo di programmi informatici senza la specifica autorizzazione. Infatti, i programmi informatici sono ritenuti opere dell’ingegno e quindi sono tutelati dalla legge sul diritto d’autore. Le frodi informatiche possono riguardare anche la vendita on line di prodotti inesistenti o contraffatti. Differenza tra Hacking, Kracking e Hacking etico L’attività di Hacking (dall’inglese to hack, intaccare) è svolta da programmatori (hacker) che si collegano e accedono a risorse di rete senza averne l’autorizzazione, solo per gusto di sfidare il computer e i sistemi di protezione. Solitamente un hacker non vuole causare un danno ma usare le risorse del sistema attaccato oppure semplicemente dimostrare di essere riuscito ad accedervi.

Riconoscere le minacce ai dati provocate da forza maggiore. Per Forza maggiore si intende una forza superiore o un evento imprevisto che può minacciare la conservazione dei dati. Queste forze o eventi possono essere naturali o generate dall’uomo. Ad esempio incendi, inondazioni, terremoti, guerre, furti, atti vandalici, ecc. In vista di questi frangenti è opportuno adottare delle misure di sicurezza per ridurre al minimo il danno che ne può derivare. Una buona norma da seguire è assicurarsi che per tutti i dati importanti esista una copia di riserva, una copia di backup. È consigliabile conservare anche una copia dei software che sono installati nel computer. Esistono servizi in Internet che offrono la possibilità di effettuare dei backup su dispositivi messi in rete: si chiamano memorie online , o dischi virtuali. Uno memoria online è come in un magazzino, un hard disk virtuale, uno spazio di memoria in un sito internet che si apre solo se si possiede la password di accesso. È un sistema avanzato di backup per avere una copia dei propri dati immediatamente accessibile anche in caso di emergenza. Basta collegarsi alla rete, dovunque ci si trovi senza avere il proprio computer. Un esempio di questo servizio è Dropbox. Inoltre può essere utile come spazio per scambio di file tra utenti (chiaramente tutti in possesso della password). Minacce ai dati provocate da impiegati, fornitori di servizi e persone esterne I dati privati e personali di un utente, di una azienda, di una scuola, di un ospedale, ecc. sono un bene da proteggere, sia per evitare il furto di know how aziendale sia perché c’è una legislazione sulla privacy dei dati riservati molto rigorosa. Abbiamo visto a quali rischi possono essere soggette queste informazioni. Ma la sicurezza dei dati di una organizzazione può essere minacciata anche dagli utilizzatori di questi dati o da persone esterne che accedono casualmente ad essi.

Ad esempio, gli stessi impiegati , con le loro azioni, possono compromettere le informazioni importanti dell’azienda dove lavorano: in modo accidentale, cancellando o modificando questi dati o per scopi fraudolenti, ad esempio rubando e vendendo alla concorrenza le specifiche dei prodotti. Anche i fornitori di servizi , ad esempio gli addetti alla manutenzione dell’hardware e del software, potrebbero accedere casualmente a informazioni e dati e provocare, in modo volontario o meno, dei danni. In ultima analisi, se delle persone esterne possono accedere al sistema informatico senza alcun controllo, ad esempio nel caso di una rete Wi-Fi senza chiavi di protezione, i dati sono a rischio di furto o danneggiamento. Per evitare le problematiche esposte è importante che l’incaricato alla conservazione dei dati riservati o elenchi di aziende, di persone o banche dati deve salvaguardarli dall’intrusione di altri soggetti e non divulgarli se non con esplicita autorizzazione. Un modo è impostare una corretta gestione degli accessi attraverso autorizzazioni e password.

Capitolo 2

Valore delle informazioni Importanza delle informazioni Motivi per proteggere le informazioni personali I motivi per cui è importante proteggere i dati riguardanti le proprie informazioni personali spesso sono abbastanza evidenti. Si pensi alle conseguenze di un accesso al proprio conto corrente bancario da parte di una persona che non sia il proprietario. Un fenomeno frequente, nel campo della violazione dei dati personali, è il furto d’identità. Il furto d’identità consiste nell’ottenere indebitamente le informazioni personali di un soggetto al fine di sostituirsi in tutto o in parte al soggetto stesso e compiere azioni illecite in suo nome o ottenere credito tramite false credenziali. Le informazioni personali carpite possono essere: nome, cognome, indirizzo, codice fiscale, numero di telefono/cellulare, luogo e data di nascita, numero della carta di credito, estremi del conto corrente, nome dei figli, ecc. L’attività di carpire informazioni ingannando un utente ed indurlo a rivelare dati sensibili e personali come le credenziali di accesso al proprio conto online è detta ingegneria social e. L’ingegneria sociale si riferisce alla manipolazione delle persone, che vengono portate ad eseguire delle azioni o a divulgare informazioni riservate, invece di utilizzare tecniche di hacking per ottenere le stesse informazioni.

Attraverso operazioni di ingegneria sociale è possibile:

  • Raccogliere informazioni riservate o di valore.
  • Realizzare frodi , utilizzando le informazioni raccolte per commettere atti fraudolenti.
  • Accedere a sistemi informatici in modo non autorizzato e, di conseguenza, consentendo potenzialmente l’accesso ad altre informazioni riservate. Il fenomeno dell’ingegneria sociale è cresciuto proporzionalmente al diffondersi della rete internet. Infatti, nell’enorme mare di dati presente in internet è semplice reperire informazioni su una persona o un’azienda. A tutti coloro che usano internet viene chiesto regolarmente di fornire dati personali per poter accedere a determinati siti o per poter acquistare beni. Spesso queste informazioni viaggiano sulla rete in chiaro e non in modalità protetta. Un crescente numero di utenti, inoltre, sta fornendo un’elevata quantità di dati personali a social networks come MySpace, Facebook, chat, blog, ecc. Ci sono poi delle tecniche specifiche di ingegneria sociale tramite internet, quali:
  • Phishing Vedere il Capitolo 30 del Modulo 1 Diversi modi con cui si può nascondere il malware
  • Questionari on line.
  • Ingannare qualcuno a proposito della propria identità durante una chat, in un forum, ecc.
  • Finte promozioni o vincite : mediante la ricezione di messaggi (SMS, Email) che, con la scusa di promozioni o vincite ad esempio di un telefonino di ultima generazione, portano a un link che porta ad una azione di phishing finalizzata ad acquisire i dati personali.

Sono evidenti i motivi per cui è opportuno proteggere le proprie informazioni personali: se qualcuno entra in possesso di dati riservati, come le credenziali di accesso alla posta elettronica o a una rete sociale, ne può fare un uso illegale facendo ricadere la colpa su di noi ( furto di indentità ).

Domande

1. L’ingegneria sociale comprende solo tecniche informatiche online.

a. Falso, comprende solo tecniche informatiche ma non online

b. Falso, comprende solo tecniche online ma non informatiche

c. Vero

d. Falso

2. L’ingegneria sociale comprende:

a. azioni telefoniche

b. azioni con contatto “fisico”

c. azioni on line

d. tutte le risposte sono corrette

3. Quali delle seguenti tecniche non fa parte dell’ingegneria sociale?

a. Pishing

b. Dialer

c. Shoulder surfing

d. Telefonate

Se per il nome utente non ci sono raccomandazioni particolari, può essere un nome di fantasia semplice da ricordare, la password deve essere scelta in modo oculato, non deve essere comunicata ad altre persone e, in casi di dati riservati o importanti, deve essere cambiata con regolarità. Come deve essere una password? La password deve essere lunga a sufficienza, composta da lettere, numeri e caratteri speciali e soprattutto non facilmente associabile alla vita dell’utente: quindi non il proprio nome, cognome, soprannome, data di nascita, indirizzo, ecc. Ci sono tecniche che impediscono l’utilizzo dei dati se, nonostante le misure preventive, qualcuno sia venuto in possesso di queste informazioni. La Crittografia analizza come “offuscare” un messaggio in modo che non sia comprensibile a persone non autorizzate a leggerlo Un tale messaggio si chiama crittogramma e le tecniche usate per rendere incomprensibile il messaggio si chiamano tecniche di cifratura. La crittografia è utilizzata in tutti gli ambiti dove è necessaria la segretezza delle informazioni: informazioni militari (soprattutto in caso di conflitti), informazioni bancarie riservate, comunicazioni tra Stati, spionaggio, ecc. Esistono metodi di crittografia molto sofisticati per l’importanza dei dati che devono trattare. Un esempio (molto semplice) di tecnica crittografica è il disco cifrante di Leon Battista Alberti, che per primo insegnò a cifrare per mezzo di un con un alfabeto segreto che si ottiene spostando il disco interno di due o tre parole.

Caratteristiche fondamentali della sicurezza delle informazioni Riassumendo, i dati personali e/o riservati per essere sicuri, devono avere un alto fattore di confidenzialità , cioè devono essere protette da accessi o divulgazione non autorizzati. Queste protezioni non devono comunque essere di ostacolo all’ integrità dell’informazione, la quale deve essere affidabile cioè integra, completa, senza modifiche rispetto all'originale. È fondamentale poi la disponibilità dell’informazione al momento del bisogno: non avrebbe senso esasperare la sicurezza dei dati se poi, quando servono, per qualche motivo non si riesce a recuperarli nei tempi necessari. Principali requisiti per la protezione, conservazione e controllo di dati/privacy che si applicano in Italia Nel gennaio 2012, la Commissione Europea ha approvato la proposta di un regolamento sulla protezione dei dati personali, in sostituzione della direttiva 95/46/CE valida per i 27 stati membri dell'Unione Europea e una direttiva che disciplina i trattamenti per finalità di giustizia e di polizia (attualmente esclusi dal campo di applicazione della direttiva 95/46/CE). In accordo con questo regolamento sulla protezione dei dati personali in Italia è stato emesso Decreto Legislativo n. 5 del 9 febbraio 2012 che ha preso il posto del precedente Dlgs 196/2003. Il decreto contiene un articolato pacchetto di interventi volto ad alleggerire il carico degli oneri burocratici gravanti sui cittadini e sulle imprese, con una semplificazione delle procedure amministrative, ad esempio per il cambio di residenza, comunicazioni di dati tra le amministrazioni, partecipazione a concorsi, ecc.

  • Mettere i dipendenti a conoscenza dei rischi di frode di identità aziendale: questo può garantire che rimarranno vigili.
  • Assicurarsi che la procedura di gestione dei documenti sia comunicata e correttamente eseguita da tutti i dipendenti. Fare in modo che siano cauti nel fornire le informazioni dell’azienda on-line o via telefono, verificando con chi effettivamente hanno a che fare.
  • Assicurarsi che il sistema operativo antivirus e firewall siano tenuti aggiornati. In questo modo i dipendenti possono aprire in sicurezza gli allegati delle e-mail ricevute.

Domande

  1. Il regolamento sulla protezione dei dati personali in Italia è a. Il Decreto Legislativo n. 5 del 9 febbraio 2012 b. Dlgs 196/ c. Direttiva 95/46/CE d. Nessuno dei precedenti
  2. Con “Disponibilità dei dati” si garantisce l’assenza di modifiche non autorizzate nel file a. No, è la possibilità di accedere ai dati b. È corretto c. Dipende dal tipo di dati d. No, garantisce l’assenza di modifiche autorizzate
  3. Una password, per essere efficace, deve essere formata da una combinazione di lettere, numeri e caratteri speciali. a. No, solo lettere b. No, solo numeri c. No, solo caratteri speciali d. È vero
  4. I dipendenti di una azienda devono essere messi a conoscenza dei rischi di frode di identità aziendale. a. È falso b. È vero c. Solo i quadri dirigenziali d. Solo gli addetti ai terminali

Aprire un file contenente delle macro Abbiamo già visto che l’icona di un file con macro presenta un punto esclamativo, per porre attenzione sulla diversità rispetto ai file “normali”. Quando si apre un file con macro il programma ci avvisa della presenza di questo codice con un avviso di protezione nella barra di notifica. I programmi Office, per impostazione predefinita, disattivano le macro presenti in un file. È una questione di sicurezza. Non conoscendo a priori il contenuto delle macro presenti, se sono “sicure” o se è codice “pericoloso” (per questo l’icona del file ha il segnale di attenzione) scritto per creare dei danni, si decide di disabilitare il codice. Se si è sicuri del contenuto della macro, ad esempio perché è stata scritta dal proprietario del file, si può abilitare il codice con il pulsante Opzioni.

Le macro abilitate possono essere eseguite, Chiaramente, nel caso di macro di provenienza non nota o se l’autore delle macro non è attendibile, questa esecuzione potrebbe comportare dei danni al computer. Impostare una password per file quali Documenti e/o fogli di calcolo È possibile proteggere un documento o un foglio di calcolo dall’apertura e/o dalla modifica mediante una password. Abbiamo già visto, nei capitoli precedenti, le caratteristiche che deve avere una password. Aggiungendo a un documento una password di apertura non sarà possibile aprirlo se non si digita la password corretta. Aggiungendo una password di modifica sarà possibile aprire il documento senza digitare la password, ma esso verrà aperto in sola lettura. Per aggiungere una protezione mediante password a un documento o foglio di calcolo, per i programmi Microsoft Office, dal pulsante Office (versione 2007 ) o dal menu File (per la versione 2010), si sceglie il comando Salva , o Salva con nome se il documento era già stato salvato in precedenza. Dal menu Strumenti , selezionare la voce Opzioni generali. Appare la finestra per impostare le password di apertura e di modifica.