




























































































Studia grazie alle numerose risorse presenti su Docsity
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Prepara i tuoi esami
Studia grazie alle numerose risorse presenti su Docsity
Prepara i tuoi esami con i documenti condivisi da studenti come te su Docsity
Trova i documenti specifici per gli esami della tua università
Preparati con lezioni e prove svolte basate sui programmi universitari!
Rispondi a reali domande d’esame e scopri la tua preparazione
Riassumi i tuoi documenti, fagli domande, convertili in quiz e mappe concettuali
Studia con prove svolte, tesine e consigli utili
Togliti ogni dubbio leggendo le risposte alle domande fatte da altri studenti come te
Esplora i documenti più scaricati per gli argomenti di studio più popolari
Ottieni i punti per scaricare
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
tutte le procedure per la sicurezza della navigazione web
Tipologia: Dispense
1 / 106
Questa pagina non è visibile nell’anteprima
Non perderti parti importanti!





























































































EIPASS 7 Moduli User
Questo modulo introduce le regole e le buone prassi che consentono di minimizzare la vulnerabilità dei sistemi informatici. Di fatto, le nuove tecnologie informatiche consentono a un numero sempre più alto di persone di svolgere sempre più attività che hanno come oggetto anche dati e informazioni sensibili. Immagina il computer come la cassaforte delle nostre informazioni più preziose; devi gestirne con attenzione la sicurezza. Di seguito, analizzeremo tutti i metodi di prevenzione, i comportamenti che un utente diligente deve eseguire come netiquette e le tipologie più comuni di virus informatici. Nel linguaggio di Internet, con netiquette ci riferiamo all’insieme delle norme di comportamento, non scritte ma a volte imposte dai gestori, che regolano l’accesso dei singoli utenti alle reti telematiche, spec. alle chat-lines. www.treccani.it Acquisiremo, quindi, le competenze e le conoscenze necessarie per identificare e affrontare le principali minacce alla sicurezza informatica.
L’IT Security^7
L’ IT Security è l’insieme delle tecnologie con cui proteggere reti informatiche, sistemi operativi, programmi e dati, da possibili minacce molto spesso imprevedibili. Lo scopo principale dell’ IT Security è pertanto garantire la protezione dell’integrità fisica ( hardware ) e logico-funzionale ( software ) di un sistema informatico e dei dati in esso contenuti, minimizzandone la vulnerabilità (la vulnerabilità infatti misura il livello di esposizione del sistema rispetto alla minaccia). Considerata la pervasività delle tecnologie informatiche nella nostra sfera privata e lavorativa, l’ IT Security è diventato un tema centrale per tutti noi. Più tecnologie ICT ( Information and Communication Technology ) impieghiamo per svolgere le nostre attività quotidiane, più cresce il rischio di perdere o subire un furto di dati e informazioni.
L’ IT Security deve poter garantire efficacemente cinque requisiti.
Sicurezza informatica 8
Le minacce informatiche sono riconducibili a due ordini di fenomeni: gli eventi accidentali e gli eventi indesiderati. Gli eventi accidentali sono la conseguenza di situazioni non ponderabili, legate a elementi casuali. Ad esempio, i fenomeni atmosferici — soprattutto quando sono di forte intensità — possono causare l’interruzione della corrente elettrica, e pertanto possono danneggiare i dispositivi informatici, con la conseguente perdita dei dati al loro interno. Gli eventi indesiderati sono le operazioni che soggetti malintenzionati eseguono per danneggiare i nostri dispositivi, e per sottrarci dati e informazioni. Possiamo così distinguere gli attacchi malevoli , lanciati per intaccare il funzionamento dei sistemi informatici, dagli accessi ai dispositivi da parte di soggetti non autorizzati , il cui scopo è sottrarre dati e informazioni dai sistemi informatici.
Attacchi malevoli e accessi non autorizzati a banche dati o memorie di archiviazione sono senza dubbio crimini informatici. Rientrano in questa categoria di crimini tutte le azioni compiute tramite l’utilizzo delle tecnologie informatiche, e che costituiscono un reato. Avendo conoscenza di sistemi informatici, un malintenzionato può infatti compromettere, anche in maniera grave, il funzionamento di un PC (o di un altro dispositivo), e minare pertanto l’integrità, la riservatezza e la disponibilità dei dati e delle informazioni in esso immagazzinate. A causa della natura immateriale di molte minacce informatiche, questo tipo di infrazioni sono più complesse da riconoscere, e costituiscono pertanto uno dei più importanti ambiti di studio dell’ IT Security. Per identificare gli autori di crimini informatici, si utilizza la parola inglese hacker. Come spesso accade, la traduzione in italiano delle parole inglesi non è molto precisa, almeno
Sicurezza informatica 10 Lo standard ISO/27001 ( Tecnologia delle informazioni — Tecniche di sicurezza — Sistemi di gestione della sicurezza delle informazioni — Requisiti ) è una norma internazionale che definisce i requisiti per configurare un sistema con cui gestire la sicurezza delle informazioni, e include aspetti relativi alla sicurezza logica, fisica e organizzativa. Ogni organizzazione, con l’assistenza di provider specializzati, può acquisire una certificazione di qualità che attesta l’allineamento del proprio sistema alle regole previste dallo standard.
Avendo compreso quali sono le minacce a cui sono esposti i nostri dispositivi, vediamo come possiamo difenderci.
Per accedere a qualsiasi account (di posta elettronica, di una home banking , di Facebook , e così via), ci viene richiesto di autenticarci. Dobbiamo, cioè, farci riconoscere dal sistema, e inserire dunque la password da noi impostata quando abbiamo registrato l’account. Insieme alla password, molto spesso ci viene richiesto di digitare il nome utente. Il nome utente svolge una funzione diversa rispetto alla password. Stabilisce infatti la nostra identità, ma non è un vero e proprio sistema di sicurezza. Nella maggior parte dei casi, infatti, il nome utente corrisponde al nome dell’utilizzatore del servizio o al suo indirizzo email. Pertanto non è un codice unico, stabilito per accedere al proprio account. Nota. Il nome utente — che in inglese si pronuncia User name — è anche detto ID utente o User ID, o più semplicemente ID. La procedura secondo cui dobbiamo inserire il codice utente e la password per accedere al nostro account si chiama login. Eseguire il login significa dunque fornire i dati necessari per riconoscere la nostra identità prima di accedere a una rete, a un sistema informatico o a un servizio online.
L’IT Security^11 La procedura contraria invece si definisce logout , ed è importante eseguirla ogni volta che si esce dal proprio account. Il logout infatti determina la disconnessione dalla rete, dal sistema informatico o dal servizio online a cui ci eravamo collegati. Pertanto rappresenta un valido sistema di sicurezza per evitare che altre persone possano accedere alle nostre informazioni personali. Suggerimento. Per scegliere le password sicure, osserva queste indicazioni:
L’autenticazione a più fattori è uno dei metodi più sicuri per proteggere qualsiasi account. Moltissimi siti e servizi online, come Google , Facebook , Microsoft , Apple offrono la possibilità di attivare l’autenticazione a due fattori. Il suo funzionamento è molto semplice: per poter accedere al proprio account, oltre all'username e alla password, occorre inserire il PIN (un codice di sicurezza monouso, composto solitamente da 4 o 6 cifre) che ci viene spedito istantaneamente tramite SMS, email, o che possiamo trovare su un'apposita applicazione.
L’IT Security^13 Lo scanner per le impronte digitali, ad esempio, è molto diffuso sugli smartphone: l’accesso allo schermo e alle app è molto più sicuro rispetto all’uso dei metodi di sblocco, come il PIN o la password. Nota. Con il termine “biometria” in informatica si intende un sistema in grado di riconoscere e identificare un individuo in base ad alcune caratteristiche fisiologiche. Si tratta di aspetti personali unici come iride, impronte digitali, retina, fisionomia, e così via. I dati biometrici sono dunque delle informazioni altamente riservate che un apparecchio registra per permettere all’utente di accedere al suo account o al suo dispositivo.
I dati personali riguardano la sfera individuale delle persone fisiche. In base alle disposizioni del codice civile, le persone fisiche sono tutti gli individui a cui la legge attribuisce sia diritti che doveri. Gli istituti pubblici e privati raccolgono dati personali, e sono pertanto tenuti a rispettare precise norme sulla loro conservazione, in modo da impedire a malintenzionati di utilizzarli per scopi illegali. In Europa, la protezione dei dati personali è disciplinata dal GDPR ( General Data Protection Regulation ), ossia dal Regolamento (UE) 2016/679. A partire dal 24 maggio 2016, il GDPR ha sostituito la precedente fonte giuridica in materia di trattamento dei dati personali, ossia la Direttiva 95/46/CE del 24 ottobre 1995. Ai sensi di quanto disposto dal GDPR, il dato personale è qualsiasi informazione che riguarda una persona fisica, come il nome, i dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Sempre più hacker utilizzano sofisticate tecniche per trafugare dati e informazioni personali di ogni genere. Queste tecniche si definiscono di “ingegneria sociale” ( social engineering ), e sono a metà strada tra la psicologia e l’ingegneria.
Sicurezza informatica 14 L’ingegneria sociale è una manipolazione psicologica che induce chi ne è vittima a comportarsi in una determinata maniera o a rivelare informazioni personali senza rendersene realmente conto. Si tratta di attività più articolate dei normali malware, ma possono portare a risultati molto più fruttuosi, in termini di acquisizione di notizie personali. È chiaro che queste tecniche possono essere utilizzate anche nei confronti, ad esempio, dei dipendenti di un’azienda per carpirne i segreti organizzativi e produttivi. Esaminiamo dunque alcune tecniche di ingegneria sociale.
Sicurezza informatica 16 https (la s sta per secure ) e il logo del lucchetto chiuso. Sono indicatori che ti fanno capire che il sito è sicuro.
Un’altra attività dell’ingegneria sociale è il furto di identità e, cioè, il furto di dati personali e sensibili a scopo di frode, un crimine che esiste da sempre, ma che l’avvento del Web ha riportato in auge. Le tecniche usate sono diverse, come diversi sono gli obiettivi di chi li mette in atto. L’informatica e le nuove tecnologie hanno creato rischi fino a ieri impensabili, e ancora troppo poco conosciuti dai consumatori. A tutti coloro che usano Internet viene chiesto regolarmente di fornire informazioni personali per poter accedere a determinati siti o per poter acquistare beni e servizi. Queste informazioni viaggiano spesso in Rete in chiaro e non in modalità protetta. Un crescente numero di utenti, inoltre, fornisce un’elevata quantità di dati personali a blog, siti di chat, social networks, e questo ha attratto molto l’attenzione degli hacker. I dati personali hanno un mercato vastissimo e milionario: con essi si fabbricano documenti falsi, transazioni allo scopo di riciclaggio di denaro sporco, intestazioni di false polizze assicurative, contratti di finanziamento, e così via. Ma vi è di più: soprattutto tra i più giovani, si diffonde il furto d’identità non inteso in senso strettamente economico, ma attuato attraverso l’appropriazione indebita di profili di social network utilizzati, ad esempio, per ledere l’immagine o la professionalità altrui.
L’IT Security^17
Se ci informiamo, ci proteggiamo e gestiamo con attenzione i nostri dati, le possibilità di essere truffati diminuiscono. La prima regola è non sottovalutare la furbizia dei ladri d'identità. Se nel mondo reale possiamo riuscire a comprendere se qualcuno ci sta truffando, in quello virtuale è molto più difficile. Per prevenire il furto di identità, segui queste semplici indicazioni:
Quando sospetti di essere vittima di un furto di identità, segui queste indicazioni:
L’IT Security^19 Nota. Facciamo un esempio: lavori in un’azienda e, alla fine di ogni mese, devi presentare al responsabile della contabilità un foglio elettronico di Excel con un report dei pagamenti ricevuti dai clienti. Potresti decidere di segnare di rosso e in grassetto tutti i clienti morosi: i clienti, cioè, che dovendo pagare entro la fine del mese, sono ancora insolventi. Potresti creare e eseguire una macro per applicare rapidamente queste modifiche di formattazione alle celle selezionate. Nonostante le macro siano scritte nel linguaggio di programmazione Visual Basic for Application , non ci vogliono particolari competenze per utilizzarle. È sufficiente infatti avviare il registratore di macro, ed eseguire le operazioni da memorizzare. In Microsoft Word , per avviare la registrazione di una macro, segui questa procedura:
Sicurezza informatica 20 Figura 1. 1 — La finestra di dialogo di Word da cui avviare la registrazione di una macro