Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


Sicurezza Privacy, Appunti di Elementi di Informatica

Riassunto della dispensa del docente Alesse Raffaele che tratta della Sicurezza e della Privacy nel campo dell'informatica. Dopo un'introduzione viene affrontato il tema della sicurezza delle informazioni ed in ambito ITC, l'ultima parte invece riguarda il tema della privacy.

Tipologia: Appunti

2013/2014

Caricato il 18/03/2014

d_valsecchi
d_valsecchi 🇮🇹

1 documento

1 / 4

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
Sicurezza Privacy
Introduzione
Sicurezza indica che esiste qualcosa o qualcuno da proteggere. Iter:
_ Cosa proteggere? Quali elementi sono coinvolti?
_ Analisi dei rischi: vulnerabilità e minacce
probabilità e danni
contromisure adeguate
_ Revisione continua
Non è possibile renderlo sicuro al 100% e l’obiettivo è quello di ridurre tale rischio.
Sicurezza delle informazioni
Cosa si vuole proteggere? I dati trattati e le informazioni oggetto delle elaborazioni che
hanno diversi attributi:
_ riservatezza (nota solo ad alcuni soggetti)
_ integrità (rimanere inalterata)
_ disponibilità (essere disponibile)
_ autenticità (risalire all’autore)
_ non ripudio (impossibilità di negare)
La sicurezza in ambito ICT
Il metodo di indagine cerca di vedere le caratteristiche dell’informazione da diversi punti di
vista con lo scopo di individuare gli elementi critici, definire gli obiettivi di sicurezza ed
indirizzare l’implementazione delle contromisure.
Vulnerabilità e minacce
Vulnerabilità si intende l’esistenza di un elemento di debolezza che potrebbe mettere in
crisi l’intero sistema il quale deve dotarsi di un meccanismo di sicurezza che è un continuo
rincorrersi tra minacce e contromisure.
_ Vulnerabilità fisica: è relativa all’infrastruttura che ospita i sistemi informatici
_ Vulnerabilità dei programmi: sono parti di codici scritti male (bug) che hanno
conseguenze sulla funzionalità e sul contesto
Vulnerabiliy disclosure: come rendere pubbliche le informazioni in relazione ad un
problema di sicurezza.
Exploit: sfruttare il periodo di vulnerabilità prima della soluzione (patch)
Hacker: “smanettone” persona con grande abilità ad usare i computer
L’articolo 615-ter del codice penale disciplina l’accesso abusivo a un sistema informatico
con pena la reclusione fino a 3 anni. (Esistono però anche gli Ethical Hacker).
Relazione Copasir su sicurezza nazionale e spazio cibernetico
Soggetti con finalità pericolose: criminalità organizzata, gruppi terroristici o attori statuali.
Doc. XXXIV n. 4 contiene la relazione sulle possibili implicazioni e minacce per la
sicurezza nazionale derivanti dall’utilizzo dello spazio cibernetico:
_ Cyber crime: truffa, furto d’identità, furto d’informazioni o di creazioni e proprietà
intellettuali;
_ Cyber terrorism: propaganda, denigrazione o affiliazione;
_ Cyber espionage: sottrarre segreti industriali per concorrenza sleale;
pf3
pf4

Anteprima parziale del testo

Scarica Sicurezza Privacy e più Appunti in PDF di Elementi di Informatica solo su Docsity!

Sicurezza Privacy

Introduzione

Sicurezza indica che esiste qualcosa o qualcuno da proteggere. Iter: _ Cosa proteggere? Quali elementi sono coinvolti? _ Analisi dei rischi: vulnerabilità e minacce probabilità e danni contromisure adeguate _ Revisione continua Non è possibile renderlo sicuro al 100% e l’obiettivo è quello di ridurre tale rischio.

Sicurezza delle informazioni

Cosa si vuole proteggere? I dati trattati e le informazioni oggetto delle elaborazioni che hanno diversi attributi: _ riservatezza (nota solo ad alcuni soggetti) _ integrità (rimanere inalterata) _ disponibilità (essere disponibile) _ autenticità (risalire all’autore) _ non ripudio (impossibilità di negare)

La sicurezza in ambito ICT

Il metodo di indagine cerca di vedere le caratteristiche dell’informazione da diversi punti di vista con lo scopo di individuare gli elementi critici, definire gli obiettivi di sicurezza ed indirizzare l’implementazione delle contromisure.

Vulnerabilità e minacce

Vulnerabilità si intende l’esistenza di un elemento di debolezza che potrebbe mettere in crisi l’intero sistema il quale deve dotarsi di un meccanismo di sicurezza che è un continuo rincorrersi tra minacce e contromisure. _ Vulnerabilità fisica: è relativa all’infrastruttura che ospita i sistemi informatici _ Vulnerabilità dei programmi: sono parti di codici scritti male (bug) che hanno conseguenze sulla funzionalità e sul contesto Vulnerabiliy disclosure: come rendere pubbliche le informazioni in relazione ad un problema di sicurezza. Exploit: sfruttare il periodo di vulnerabilità prima della soluzione (patch) Hacker: “smanettone” persona con grande abilità ad usare i computer L’articolo 615-ter del codice penale disciplina l’accesso abusivo a un sistema informatico con pena la reclusione fino a 3 anni. (Esistono però anche gli Ethical Hacker).

Relazione Copasir su sicurezza nazionale e spazio cibernetico

Soggetti con finalità pericolose: criminalità organizzata, gruppi terroristici o attori statuali. Doc. XXXIV n. 4 contiene la relazione sulle possibili implicazioni e minacce per la sicurezza nazionale derivanti dall’utilizzo dello spazio cibernetico: _ Cyber crime: truffa, furto d’identità, furto d’informazioni o di creazioni e proprietà intellettuali; _ Cyber terrorism: propaganda, denigrazione o affiliazione; _ Cyber espionage: sottrarre segreti industriali per concorrenza sleale;

_ Cyber war: disturbo o spegnimento delle reti di comunicazione e integrazione di queste con reti belliche. Per prevenire le minacce è necessario un approccio di tipo sistemico dove attori statali e privati devono collaborare insieme. Le fonti di attacco cibernetico secondo il DHS: _ Bot-network operator: hacker che usano molti computer; _ Gruppi criminali: attaccano per profitto finanziario; _ Servizi di intelligence stranieri: attività di spionaggio; _ Hacker: attaccano per gusto della sfida; _ Insider: lavoratori insoddisfatti e fornitori servizi outsourcing; _ Phisher: sfruttano schemi di phishing per ottenere informazioni; _ Spammer: diffondono email non richieste; _ Autori di spyware/malfare: producono e distribuiscono software malevolo; _ Terroristi: sfruttano la rete informatica per distruggere. Le principali minacce informatiche: _ Cyber spionaggio: sfruttano Internet, reti telematiche, software e computer; _ Vandalismo: attacchi per compromettere un sito web (DoS); _ Propaganda: diffusione di messaggi politici; _ Attacchi DDoS: coinvolti molti computer; _ Sabotaggio di equipaggiamento e strumentazione: attacchi ad attività militari; _ Attacchi ad infrastrutture critiche: attacchi ai Sistemi di controllo di infrastrutture; _ Compromised counterfeit hardware: installazione preventiva di software malevolo. Importante è il rispetto di regole di buon senso per prevenire le minacce informatiche, l’aspetto della diligenza e un’attenta attività di monitoraggio di tipo automatico sono esempi di comportamenti di buon senso.

Le best practices e gli standard internazionali

_ Sicurezza fisica: aspetto fisico degli elementi in gioco per prevenire pericoli naturali, alimentazioni elettriche, black-out, accesso fisico ai locali; _ Sicurezza logica: aspetto informatico quali programmi, rete di collegamento tra i computer, collegamento alla rete pubblica; _ Sicurezza organizzativa: riguarda la selezione del personale e la sua formazione. Lo standard ISO/IEC27001 contempla la necessità che venga instaurato un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) all’interno del quale l’organizzazione deve dotarsi di un sistema di policy di sicurezza. Due sono gli elementi che rivestono particolare interesse: il top management deve essere coinvolto ed il processo di sicurezza deve essere continuo e deve essere composto da quattro attività: pianificare il sistema, attuare i processi, monitorare e misurare, migliorare i processi (Plan-Do-Check-Act). L’allegato A della ISO/IEC27001 e lo standard ISO/IEC27002 elenca le misure di sicurezza ma specifica che queste devono essere valutate singolarmente e in funzione del contesto. L’organizzazione provvede a verificarne l’andamento attraverso sessioni interne di audit e vi è la possibilità di ottenere una certificazione ISO/IEC27001 che va periodicamente rinnovata.

Contromisure di sicurezza

La persona ha diritto a mantenere riservate certe informazioni che lo riguardano.

La legislazione italiana

Legge sulla privacy n. 196 del 30 giugno 2003. Articolo 1: “Chiunque ha diritto alla protezione dei dati personali che lo riguardano” Articolo 3: “Principio di necessità nel trattamento”, cioè escludere il trattamento quando i dati possono essere sostituiti con dati anonimi. Dato personale è qualunque informazione, relativa a persona fisica, giuridica, ente (soggetti interessati), che è identificato ed identificabile anche indirettamente. _ Dati identificativi. _ Dati sensibili. _ Dati giudiziari. Nell’ambito del trattamento la legge individua diversi soggetti: _ Titolare: colui che prende decisioni in ordine alle finalità, modalità e strumenti di trattamento. _ Responsabile: colui preposto dal titolare. _ Incaricati: coloro che sono autorizzate a compiere operazioni. _ Amministratori di sistema: gestiscono l’infrastruttura informatica. Il titolare ed il responsabile devono selezionare, designare e definire gli ambiti di competenza e di intervento di tutti gli amministratori di sistema, mantenendo l’elenco aggiornato. La legge 196/2004 riconosce agli interessati il diritto di avere: _ La conferma dell’esistenza o meno di dati personali che lo riguardano. _ Ottenere l’aggiornamento, la rettifica o l’integrazione dei dati. _ La cancellazione, la trasformazione ed il blocco dei dati _ L’attestazione che le richieste siano comunicate anche a coloro i cui dati sono comunicati. Per quanto riguarda i sistemi utilizzati nei trattamenti, la legge dice di ridurre al minimo il rischio di distruzione o perdita, l’accesso non autorizzato ed il trattamento non consentito. Questo viene fatto attraverso un sistema di autenticazione informatica ed un sistema di autorizzazione. Necessari sono anche gli aggiornamenti degli strumenti informatici di protezione adottati e degli aggiornamenti di sicurezza dei programmi.