2. Agenda
Riferimenti alla legge
◦ Il D.lgs 231/2001
◦ i reati informatici
La sicurezza informatica
◦ Fisica
◦ Logica
◦ Organizzativa
Metodologia di controllo
Un caso reale
i MASTER di ECCELLENZA
3. Introduzione
L’evoluzione della normativa societaria
In generale, la produzione normativa degli ultimi anni, e
quindi anche il D.Lgs. 231/01, ha posto particolare enfasi
sull’adeguatezza del sistema di controllo interno aziendale e
quindi sulla capacità da parte degli organi societari di definire
adeguati sistemi di controllo che garantiscano il rispetto
delle politiche e procedure aziendali da un lato e dall’altro il
raggiungimento degli obiettivi prefissati
i MASTER di ECCELLENZA
4. Il D.Lgs. 231/2001
La responsabilità amministrativa degli enti
A norma del D.Lgs. 8 giugno 2001, n. 231 le società sono
passibili di responsabilità amministrativa per i reati commessi
a loro vantaggio o nel loro interesse da parte di :
Persone che rivestono Funzioni di Rappresentanza Legale, di
Amministrazione, di Direzione dell’Ente, di una sua unità
organizzativa o da chi esercita, anche di fatto, Funzioni di
Direzione e Controllo
Persone sottoposte alla Direzione o alla Vigilanza di uno dei
soggetti di cui al punto precedente
i MASTER di ECCELLENZA
5. Il D.Lgs. 231/2001
L’esimente della responsabilità
L‘esimente dalla responsabilità dell’ente, offerta dal Decreto , si
realizza se lo stesso è in grado di provare:
che ha preventivamente adottato ed attuato efficacemente
modelli organizzativi e di gestione idonei a individuare e prevenire
reati della specie di quello verificatosi
che ha affidato ad un proprio organismo (Organismo di Vigilanza) -
dotato di autonomi poteri di iniziativa e di controllo - il compito di
vigilare sul funzionamento e l’osservanza dei modelli e di curarne il
loro aggiornamento
la violazione fraudolenta dei modelli da parte degli autori
del reato;
la diligenza dell’Organismo di Vigilanza e dei soggetti inca-
ricati della gestione e del controllo
i MASTER di ECCELLENZA
6. Il D.Lgs. 231/2001
Le fattispecie di reato rilevanti sono comprese nelle seguenti categorie:
delitti contro la pubblica amministrazione (art. 24 e 25 del Decreto)
reati informatici (art. 24-bis del Decreto)
delitti contro la fede pubblica (art. 25-bis del Decreto)
reati societari (art. 25-ter del Decreto)
delitti con finalità di terrorismo ed eversione dell’ordine democratico (Art. 25-quater del
Decreto)
delitti contro la personalità individuale (art. 25-quater 1 e art. 25-quinquies del Decreto)
abusi di mercato (Art. 25-sexies del Decreto)
salute e sicurezza sul lavoro (art. 25-septies del Decreto)
reati di ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita (Art.
25-opties del Decreto)
reati transnazionali (Art. 10 - Legge 16 Marzo 2006 n. 146)(*)
(*) La legge 16 marzo 2006, n. 146 (pubblicata sulla Gazzetta Ufficiale n. 85 dell’11 aprile 2006) ratifica e dà esecuzione alla Convenzione ed ai Protocolli delle
Nazioni Unite contro il crimine organizzato transnazionale
i MASTER di ECCELLENZA
7. I reati informatici
Per “reato informatico” si intende qualsiasi comportamento, sanzionato
dall’ordinamento penale, che si realizza per mezzo delle nuove tecnologie o
comunque rivolta contro i beni informatici,. Può essere considerato reato
informatico tanto la frode commessa attraverso il computer che il
danneggiamento del sistema informatico.
Una definizione “dottrinaria” di crimine informatico è:
“crimine nel quale un sistema di elaborazione o una sua parte ricopre uno dei
seguenti ruoli:
Oggetto - ovvero obiettivo della distruzione o manipolazione dell’elaboratore, dei
dati e dei programmi in esso contenuti e delle relative apparecchiature di
supporto
Soggetto - ovvero quando l’elaboratore è il luogo, il motivo o la fonte del crimine)
Strumento - ovvero quando l’elaboratore è usato come mezzo attraverso il quale
compiere l’atto criminoso (frodi, sabotaggi, falsificazioni, ….)
i MASTER di ECCELLENZA
8. I reati informatici
La Legge 18.03.2008, n. 48 recante la “Ratifica ed esecuzione della
Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a
Budapest il 23 novembre 2001, e norme di adeguamento
dell’ordinamento interno” ha inserito nel D.Lgs. 231 /2001 l’art. 24-bis il
quale:
recepisce l’art. 491-bis c.p. che, a sua volta, estende le ipotesi di
falsità in atti di cui al Libro II, Titolo VII, Capo III c.p. a tutte le
fattispecie delittuose in cui una o più delle suddette falsità abbia ad
oggetto un c.d. “documento informatico”
introduce all’interno del Decreto alcune ipotesi di reato in materia di
criminalità informatica, già disciplinate all’interno del Codice Penale
Estendendo così la responsabilità amministrativa degli enti anche
a “Delitti informatici e trattamento illecito dei dati”.
i MASTER di ECCELLENZA
9. I reati informatici
• Art. 420 c.p.: Attentato a impianti di pubblica utilità compreso il danneggiamento
• Art. 615-ter c.p.: Accesso abusivo ad un sistema informatico o telematico
• Art. 615-quarter c.p.: Detenzione e diffusione abusiva di codici di accesso ai sistemi informatici
o telematici
• Art. 615-quinquies c.p.: Diffusione di apparecchiature, dispositivi o programmi informatici
diretti a danneggiare o interrompere un sistema informativo o telematico
•Art. 617-quarter c.p.: Intercettazione, impedimento o interruzione illecita di comunicazioni
informatiche o telematiche
• Art. 617-quinquies c.p.: Installazione di apparecchiature atte ad intercettare, impedire od
interrompere comunicazioni informatiche o telematiche
• Art. 635-bis c.p.: Danneggiamento di informazioni, dati e programmi informatici
• Art. 635-ter c.p.: Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo
Stato o da altro ente pubblico o comunque di pubblica utilità
• Art. 635-quarter c.p.: Danneggiamento di sistemi informatici o telematici
• Art. 635-quinquies c.p.: Danneggiamento di sistemi informatici o telematici di pubblica utilità
• Art. 640-quinquies c.p.: Frode informatica del soggetto che presta servizi di
certificazione di firma elettronica
• Art. 491-bis c.p.: Falsità di documenti informatici
i MASTER di ECCELLENZA
10. Sicurezza, D.Lgs. 231/2001 e Privacy
La normativa Privacy (D.Lgs. 196/2003) copre l’intero
ambito dei processi aziendali e, se implementata
correttamente e mantenuta costantemente nel tempo,
offre strumenti per prevenire e provare gli illeciti di cui alla
disciplina del D.Lgs. 231/2001.
L’applicazione delle misure minime di sicurezza richieste
dalla normativa Privacy è fondamentale per l’adeguamento
al sistema 231 per poter gestire una serie di rischi (accessi
non autorizzati, trattamenti illeciti, etc.)
D.LGS. 231/2001 D.LGS. 196/2003
“Disciplina della responsabilità
amministrativa delle persone giuridiche, “Codice in materia di protezione dei dati
delle società e delle associazioni anche personali”
prive di personalità giuridica”
i MASTER di ECCELLENZA
11. Cos’è l’Information Security?
E’ la capacità di garantire:
la riservatezza,
l’integrità e
la disponibilità… dell’informazione…
elaborata dai sistemi informatici, memorizzata
su archivi elettronici e
trasmessa su reti di telecomunicazione
Per cui garantire
L’autenticazione ovvero autenticità dell’identità dichiarata dal mittente;
Il non ripudio ovvero né il mittente, né il destinatario possano negare la
trasmissione o la ricezione di un messaggio
Il controllo accessi ovvero limitare l’accesso ai soli utenti autorizzati,
attraverso meccanismi di autenticazione e autorizzazione.
i MASTER di ECCELLENZA
12. I Rischi informatici …
di frodi, furto o diffusione di informazioni, arresto
di servizi con prevedibili conseguenze di natura
legale o economica, di perdita di immagine o di
efficienza, etc.
ad es. attacchi, intrusioni e
accessi non autorizzati, etc..
ad es. scorretto utilizzo dei
sistemi informatici,
diffusione non controllata
di dati aziendali, diffusione
involontaria di virus, etc..
i MASTER di ECCELLENZA
13. Nessun sistema informatico
è mai completamente sicuro !!!
anche i sistemi più curati e sofisticati possono rivelarsi vulnerabili, magari
per comportamenti non corretti da parte di utenti autorizzati che abusano
dei privilegi loro concessi o disattendano semplici norme comportamentali
la sicurezza deve essere considerata “un processo, non un prodotto” e va
analizzata ed affrontata attraverso un approccio integrato (tecnologico ed
organizzativo, organico, strutturato ed interdisciplinare) ovvero
mediante la strutturazione di un processo continuo di identificazione,
analisi e valutazione dei rischi, nonché di selezione delle migliore strategie
di prevenzione e gestione degli stessi.
L’adozione di tale processo, più comunemente noto come Information
Security Management System (ISMS), finisce per costituire un indicatore
di efficienza e di solidità dell’organizzazione che sarà in grado di garantire
l’affidabilità e la continuità dei servizi erogati, il mantenimento di
appropriati livelli di confidenzialità, integrità e disponibilità delle
informazioni.
i MASTER di ECCELLENZA
14. Nessun sistema informatico
è mai completamente sicuro !!!
Tenere
sempre
alta
l’asticella
i MASTER di ECCELLENZA
14
16. Sicurezza fisica
Sistemi di Rilevazione Passiva /Attiva: rilevano la presenza
di situazioni anomale (ad es. incendio, allagamento, fumo), inviando uno
specifico allarme ai centri di controllo senza attivare / attivando
contromisure;
Sistemi di Controllo Accesso Fisico: regolano l’accesso fisico
in determinate aree riservate alle sole persone e mezzi autorizzati.
Sistemi di Continuità di Alimentazione: garantiscono la
continuità dell’alimentazione elettrica ai sistemi informatici, almeno per il
tempo sufficiente alla chiusura ordinata.
Infrastrutture: accorgimenti specifici sugli edifici e disposizione dei locali
al fine di garantire la sicurezza degli impianti (edifici antisismici, uscite di
sicurezza dotate di sistemi di allarme, separazione ambienti a rischio, ecc…).
i MASTER di ECCELLENZA
17. Sicurezza logica (1)
Provisionig dell’utente
Formalizzazione Attivazione/spostamento/disattivazione utente ( credenziali, accesso
applicazioni, profili adeguati)
Identification e Authentication
Associazione biunivoca utente/credenziale di accesso (Non gestire credenziali jolly)
Gestione Password (pwd forti, a scadenza, utilizzo di supporti fisici, …)
Screen saver con password a tempo
Associazione di un indirizzo IP univoco per postazione/utente e non riassegnabile
Access Control
Sign On Process , assicurare solo agli utenti autorizzati l’espletamento delle
operazioni di propria competenza.
gestione profili utente / applicazione / funzioni,
Single Sign On
Gestione Amministratori di Sistema
Procedure formali per l’assegnazione di privilegi speciali (ad es. amministratori di
sistema, super-user)
Log di tutte le operazioni effettuate dagli Amm. Sistema
i MASTER di ECCELLENZA
18. Password forti
Una password è considerata sicura quando :
è composta da almeno 8 caratteri
contiene lettere sia minuscole che maiuscole (a-z, A-Z)
contiene lettere, numeri o caratteri di speciali (0-9|!ӣ$%&/()=?^*][ /<>#,.;)
non viene scritta e lasciata visibile
viene cambiata almeno ogni 3 mesi
E’ di seguito elencata una lista di cose da non fare :
non comunicare la password per telefono a nessuno
non comunicare la password in un messaggio di e-mail
non comunicare la password di fronte ad altri
non condividere la password con altri
non usare “memorizza password” richiesto in alcune finestre
di applicazioni
non lasciare scritta la password, soprattutto nelle vicinanze
della propria stazione di lavoro.
i MASTER di ECCELLENZA
19. Pass-Phrase
Scegliere una frase personale
Il mio secondo figlio è nato alla Clinica Mangiagalli alle 18:30
Possiamo utilizzare questa frase personale per creare la password :
Im2fen@CM@18:30
Quello che abbiamo fatto è stato semplicemente utilizzare l’iniziale di ogni parola, mettendo
alcune di esse in maiuscolo. Inoltre, abbiamo sostituito i termini “alla” e “alle” con il
simbolo “@”. Infine, abbiamo collocato l’ora al termine della password. Il risultato è
una password lunga e complessa, che sarà molto difficile da individuare, ma semplice
da ricordare.
i MASTER di ECCELLENZA
21. Sicurezza logica (2)
Gestione sistemi Hardware e software
Configurazioni standard delle postazioni lavoro
Inventario hardware e software
Controllo licenze sw / installazione sw pirata
Gestione network e TLC
Inventario apparati rete (lan, WiFi,…)
Configurazione apparati
Segregazione reti
Salvaguardia dei dati
Procedure di backup/restore , Memorizzazione di massa sicure( disco, cassette, armadi ignifughi,
luoghi separati, …..), Tempo di Retention
Traffic Filtering (Firewall)
Controllo navigazione internet (Accordo sindacale, Log dei siti visitati per utente/IP , Tempo di
navigazione)
Web filter (Black list, White list , Categorizzazione dei siti, Social network)
Application filter (Limitazione di applicazioni non sicure quali Skype, chat, peer to peer, desktop
remoto, ….)
Antivirus /antispam
Electronic mail
Controllo allegati (dimensioni, estensioni,. ..)
Policy per il corretto utilizzo della mail
Disclaimer, Antivirus, Antispam, Antipishing,….
i MASTER di ECCELLENZA
22. Sicurezza logica (3)
Third Party Access /External Access
Società ICT outsourcing, fornitori, clienti, progettisti, ….
Gestione credenziali nominali temporanee per il periodo della durata del contratto
Gestione della Password (strong authentication, scadenza temporale,….)
VPN / SSL per la riservatezza delle informazioni scambiate
Lettera di incarico, ovvero accordo formale con inclusione di attribuzione di responsabilità in caso di
incidenti
Segmentazione rete per isolare i sistemi accessibili dall’ esterno
Log degli accessi
Document management
Scanning dei documenti ,Verifica della firma digitale, Invio di documentazione in formato digitale
Monitoring
Sistema monitoraggio automatico delle risorse informatiche
Controllo periodici dei log (firewall, …..)
Network
Change management
Procedure per la gestione dei cambiamenti ( patch, upgrade sistemi, D.B.,
nuove implementazioni software)
Service continuity
Disaster recovery, Business continuity, Contingency plan
i MASTER di ECCELLENZA
23. Sicurezza organizzativa
Ruoli e Responsabilità: definizione delle figure organizzative coinvolte negli
aspetti di gestione della sicurezza, dei loro compiti e delle relative responsabilità.
Procedure di Gestione: strutturazione di un sistema documentale rivolto agli
addetti alla gestione della sicurezza informatica atto a descrivere le modalità
operative di svolgimento delle attività di competenza.
Procedure di Utilizzo: strutturazione di un sistema documentale rivolto agli utenti
dei sistemi informatici atto a descrivere le norme comportamentali e le modalità
operative di utilizzo sicuro delle risorse informatiche.
Formazione e Comunicazione: pianificazione di attività finalizzate alla diffusione
di conoscenze e competenze volte a migliorare i comportamenti organizzativi ed
operativi degli addetti e degli utenti che operano sulle risorse informatiche.
Redigere un Security Handbook ovvero una Policy di Utilizzo dei sistemi
informatici - Norme per il corretto utilizzo del pc, creazione e gestione
password, uso di supporti esterni, rete aziendale, utilizzo di internet,
utilizzo della posta elettronica, Divieto utilizzo di chat, Norme antivirus, …
i MASTER di ECCELLENZA
24. Il perché di una policy ….
Utilizzo delle nuove tecnologie:
personal computer, posta Possono indurre
elettronica, internet… ad abusi !?
Tesi a ledere l’immagine
dell’azienda
Tutela del Tutela della Azienda in
Lavoratore in termini di controlli di
termini di privacy tipo “Difensivo”
La policy è un documento il cui principale obiettivo
è aumentare il grado di “consapevolezza” su un
corretto uso degli strumenti informatici.
• Spiegare alcuni argomenti
• Suggerire comportamenti da tenere
• Indicare ciò che è consentito
• Evidenziare ciò che non è lecito
i MASTER di ECCELLENZA
25. I reati informatici Art. 420 c.p.
Reato Condotta Ipotesi di reato
Art. 420 c.p. Punisce la condotta di chi commette un fatto Soggetti che integrano il reato attraverso
“Attentato a impianti di diretto a danneggiare o distruggere impianti di l’attentato ed il danneggiamento di impianti di
pubblica utilità pubblica utilità o sistemi informatici di pubblica pubblica utilità al fine di suscitare un interesse o
compreso il utilità, ovvero dati, informazioni, o programmi in un vantaggio per la Società.
danneggiamento” essi contenuti o ad essi pertinenti.
Es. Protocolli di controllo Casi
Provisioning dell ‘utente - Creazione, modifica e cancellazione di account e “bomba logica” o virus informatico.
profili •Per bomba logica si intende “un programma che
Identification ed authentication –Definizione Politica per la gestione e uso entra in azione ad un determinato evento (orario,
delle password dato o altro) e che effettua un’opera di
Access control- modalità di effettuazione dei log-in e log-out, cancellazione o comunque di sabotaggio”.
Amministratori sistemi - Procedure formali per l’assegnazione di privilegi •Il “virus informatico” è invece “un programma
speciali (ad es. super-user, pwd si sistema) creato per diffondersi da computer a computer,
Electronic mail - sistemi di protezione (antivirus, spam, phishing, spy) spesso danneggiando i dati e gli altri programmi
presenti sulla macchina che lo esegue”.
External access - log degli accessi
•“azione violenta diretta a tentare di arrecare
Traffic filtering (Firewall) –politiche contro intrusioni indesiderate e danno a cose o persone”.
monitoraggio eventi di sicurezza sulla rete •Supporti removibili
Monitoring - Tracciamento degli accessi remoti o locali alla rete aziendale, • profilo di accesso ai PC come “user”
agli applicativi CONTROMISURE
Controllo accesso fisico dei siti ove risiedono i sistemi IT • Backup /Restore dei dati e dei sistemi
• Procedure di Disaster Recovery o di Business
Continuity
i MASTER di ECCELLENZA
26. I reati informatici Art. 615-ter c.p
Reato Condotta Ipotesi di reato
Art. 615-ter c.p. Punisce la condotta di chi si introduce Si punisce l’accesso abusivo sia da
“Accesso abusivo ad un abusivamente, ossia eludendo una qualsiasi remoto che da locale.
sistema informatico o forma, anche minima, di barriere ostative Soggetti che si introducono nel
telematico” all’accesso, in un sistema informatico o sistema informatico della Società per
telematico protetto da misure di sicurezza, effettuare operazioni che portino un
ovvero vi si mantiene contro la volontà di chi ha interesse o vantaggio per la Società
diritto di escluderlo (diminuzione del credito dei clienti,
maggiorazione dei costi dei servizi
Es. Protocolli di controllo erogati, fatturazione di servizi non
richiesti)
Provisioning dell ‘utente - Creazione, modifica e cancellazione di account e profili
Identification ed authentication –Definizione Politica per la gestione, conservazione Soggetti si introducono
e uso delle password, abusivamente in sistemi informatici
Access control- modalità di effettuazione dei log-in e log-out, screen saver con pwd esterni al fine di procurare un
Amministratori sistemi - Procedure formali per l’assegnazione di privilegi speciali (ad interesse o vantaggio alla Società.
es. super-user, pwd si sistema) e controllo delle loro attività (Log) Ad esempio:
External access - log degli accessi accesso abusivo nel sistema
Traffic filtering (Firewall) –politiche contro intrusioni inderiderate e monitoraggio eventi informatico di un concorrente al
fine di conoscere l'offerta
di sicurezza sulla rete
economica presentata per la
Monitoring - Tracciamento degli accessi remoti o locali alla rete aziendale, agli
partecipazione alla gara di appalto
applicativi
accesso abusivo nel sistema
Sicurezza organizzativa – Security Handbook
informatico di un concorrente al
fine di conoscere il portafoglio
clienti
i MASTER di ECCELLENZA
27. I reati informatici Art. 615-quater c.p.
Reato Condotta Ipotesi di reato
Art. 615-quater c.p. Punisce la condotta di chi abusivamente si procura, Soggetti si procurano codici di accesso ai
“Detenzione e diffusione riproduce, diffonde, comunica o consegna codici, sistemi informatici al fine di accedere al
abusiva di codici di parole chiave o altri mezzi idonei all’accesso ad un sistema interno ed effettuare operazioni
accesso ai sistemi sistema informatico o telematico protetto da misure di che portino interesse o vantaggio per la
informatici o telematici” sicurezza, o comunque fornisce indicazioni o istruzioni Società
in questo senso, allo scopo di procurare a sé o ad altri
un profitto, o di arrecare ad altri un danno Soggetti si procurano codici di accesso di
sistemi informatici al fine di accedere a
sistemi esterni e procurare un interesse o
vantaggio alla Società
Es. Protocolli di controllo
Provisioning dell ‘utente Creazione, modifica e cancellazione di account e profili
Identification ed authentication –Definizione Politica per la gestione, conservazione
e uso delle password, Gestione credenziali fisiche (token authenticator,OTP, Badge,
impronta digitale o valori biometrici, ecc.)
Access control- modalità di effettuazione dei log-in e log-out,
Amministratori sistemi - Procedure formali per l’assegnazione di privilegi speciali (ad
es. super-user, pwd di sistema) e controllo delle loro attività (Log)
Electronic mail – corretto utilizzo delle mail ( diffusione/comunicazione)
External access - log degli accessi , credenziali nominali e a scadenza, strong
authentication
Monitoring - Tracciamento degli accessi remoti o locali alla rete aziendale, agli
applicativi
Sicurezza organizzativa – Handbook security
i MASTER di ECCELLENZA
28. I reati informatici Art. 615-quinquies c.p.
Reato Condotta Ipotesi di reato
Art. 615-quinquies c.p. Punisce la condotta di chi, allo scopo di danneggiare Soggetti danneggiano o interrompono
“Diffusione di illecitamente un sistema informatico o telematico, le il sistema informatico/telematico o
apparecchiature, informazioni, i dati o i programmi in esso contenuti o ad parte di esso per creare un
dispositivi o programmi esso pertinenti ovvero di favorire l’interruzione, totale o disservizio ad un competitor o per
informatici diretti a parziale, o l’alterazione del suo funzionamento, si creare situazioni di boicottaggio di
procura, produce, riproduce, importa, diffonde, altri soggetti interlacciati alle reti
danneggiare o
comunica, consegna o, comunque, mette a
interrompere un disposizione di altri apparecchiature, dispositivi o Diffusione di un programma capace
sistema informativo o programmi informatici di infettare il sistema informatico di un
telematico” Ente Pubblico al fine di posticipare i
termini fissati per la presentazione
Es. Protocolli di controllo delle offerte necessarie per la
partecipazione a gare di appalto
Provisioning dell ‘utente. Creazione, modifica e cancellazione di account e profili IT il fatto di chi diffonde, comunica o
Identification ed authentication –Definizione Politica per la gestione, conservazione consegna un programma informatico
e uso delle password, di propria o altrui creazione, volto o
Access control- modalità di effettuazione dei log-in e log-out, screen saver con pwd atto a danneggiare un sistema
Amministratori sistemi - Procedure formali per l’assegnazione di privilegi speciali (ad informatico/telematico oppure volto
es. super-user, pwd di sistema) e controllo delle loro attività (Log) ad interrompere o alterare, seppur
parzialmente, il funzionamento di un
Gestione Network e TLC – segregazioni rete
sistema informatico.
Gestione sistemi Hw e Sw – controllo inventari
CONTROMISURE
Traffic filtering (Firewall) –politiche contro intrusioni indesiderate e monitoraggio eventi
•Backup /Restore dei dati e dei
di sicurezza sulla rete
sistemi
External access - log degli accessi per società sviluppo software
•Procedure di Disaster Recovery o di
Change Management-Implementazione, creazione e manutenzione di Sw e Hw Business Continuity
Sicurezza fisica dei siti ove risiedono i sistemi IT
Sistemi di rilevazione (incendio e temperatura) e sistemi continuità alimentazione
Sicurezza organizzativa – ruoli e repsonsabilità sicurezza fisica beni informatici
i MASTER di ECCELLENZA
29. I reati informatici Art. 617-quater c.p.
Reato Condotta Ipotesi di reato
Art. 617-quater c.p. Punisce la condotta di chi, in maniera fraudolenta, intercetta Soggetti integrano il reato
“Intercettazione, comunicazioni relative ad un sistema informatico o telematico o intercettando terze parti e
impedimento o intercorrenti tra più sistemi, le impedisce o le interrompe oppure carpendo informazioni che
interruzione illecita di rivela, mediante qualsiasi mezzo di informazione al pubblico, in possano essere di interesse o
comunicazioni tutto o in parte, il contenuto delle comunicazioni informatiche o vantaggio per la Società
telematiche di cui fraudolentemente abbia preso conoscenza.
informatiche o
telematiche” Intercettazione di flussi informativi
tra società concorrenti allo scopo
di spionaggio industriale (es.
Es. Protocolli di controllo dettagli tecnici dei prodotti/servizi
delle aziende concorrenti, dati dei
clienti)
Provisioning dell ‘utente Creazione, modifica e cancellazione di account e profili IT
Identification ed authentication –Definizione Politica per la gestione, conservazione e uso
delle password,
Access control- modalità di effettuazione dei log-in e log-out, screen saver con pwd,
Controllo dei sistemi software (accessi ai database o agli applicativi)
Amministratori sistemi - Procedure formali per l’assegnazione di privilegi speciali (ad es.
super-user, pwd di sistema) e controllo delle loro attività (Log)
Gestione Network e TLC – Adozione di collegamenti esterni sicuri VPN, security per FTP,
Traffic filtering –politiche contro intrusioni indesiderate e monitoraggio eventi di sicurezza
sulla rete
Electronic mail – per comunicazioni riservate utilizzo di PEC
Sicurezza fisica dei siti ove risiedono i sistemi IT
Sicurezza organizzativa – ruoli e repsonsabilità sicurezza fisica beni informatici
i MASTER di ECCELLENZA
30. I reati informatici Art. 617- quinquies c.p.
Reato Condotta Ipotesi di reato
Art. 617- quinquies c.p. Sanziona la condotta di chi, fuori dei casi Soggetti installano le apparecchiature di
“Installazione di apparecchiature consentiti dalla legge, installa cui al reato per intercettare terze parti e
atte ad intercettare, impedire od apparecchiature atte ad intercettare, carpire informazioni che possono
interrompere comunicazioni impedire o interrompere comunicazioni essere di interesse o vantaggio per la
informatiche o telematiche” relative ad un sistema informatico o Società.
telematico, ovvero intercorrenti fra più
sistemi Le apparecchiature possono essere Hw
e sw, interne o esterne alla società.
Es. Protocolli di controllo
Snif rete per catturare pwd
Amministratori sistemi - Procedure formali per l’assegnazione di privilegi
speciali (ad es. super-user, pwd di sistema) e controllo delle loro attività (Log)
Gestione sistemi Hw e Sw - Implementazione e manutenzione di nuovi
software e hardware, Inventario aggiornato dell'hardware e del software
Gestione Network e TLC – Implementazione e manutenzione di nuove reti
TLC, inventario hw e sw apparati di rete locale
Traffic Filtering (Firewall) –politiche contro intrusioni indesiderate e
monitoraggio eventi di sicurezza sulla rete
Sicurezza fisica dei siti ove risiedono i sistemi IT e apparati di rete
Sicurezza organizzativa – ruoli e responsabilità sicurezza fisica beni informatici
i MASTER di ECCELLENZA
31. I reati informatici Art. 635-bis c.p.
Reato Condotta Ipotesi di reato
Art. 635-bis c.p. Punisce la condotta di chi distrugge, deteriora, Soggetti integrano il reato per indurre
“Danneggiamento di cancella, altera o sopprime informazioni, dati o terze parti all'acquisto di servizi extra per
informazioni, dati e programmi informatici altrui, salvo che il fatto la gestione dei loro dati su infrastrutture
programmi informatici” costituisca più grave reato
Soggetti si introducono abusivamente in
sistemi informatici esterni ed integrano il
Es. Protocolli di controllo reato ad interesse o vantaggio della
Società
Provisioning dell ‘utente Creazione, modifica e cancellazione di account e profili IT
Identification ed authentication –Definizione Politica per la gestione,
conservazione e uso delle password,
Access control- Abilitare gli utenti all’ accesso alle sole ris. Informative necessarie
Amministratori sistemi - Procedure formali per l’assegnazione di privilegi speciali
(ad es. super-user, pwd di sistema) e controllo delle loro attività (Log)
Gestione Network e TLC – segregazioni rete
Gestione sistemi Hw e Sw – controllo inventari
Traffic filtering (Firewall) –politiche contro intrusioni indesiderate e monitoraggio
eventi di sicurezza sulla rete
External access - log degli accessi per società sviluppo software
Change Management- Misure per la applicazioni in produzione di
Implementazione, creazione e manutenzione di Sw
Salvaguardia dati – Back up dei dati e dei programmi
Sicurezza fisica , controllo accesso ai siti ove risiedono i sistemi IT
i MASTER di ECCELLENZA
32. I reati informatici Art. 635-ter c.p.
Reato Condotta Ipotesi di reato
Art. 635-ter c.p. Sanziona la condotta di chi commette un fatto diretto a Soggetti che integrano il reato con i
“Danneggiamento di distruggere, deteriorare, cancellare, alterare o sopprimere dati informatici conservati per legge
informazioni, dati e informazioni, dati o programmi informatici utilizzati dallo (i.e. tabulati dei dati telefonici o
programmi informatici Stato o da altro ente pubblico o ad essi pertinenti, o telematici) al fine di suscitare un
utilizzati dallo Stato o comunque di pubblica utilità, salvo che il fatto costituisca più interesse o un vantaggio per la
grave reato Società
da altro ente pubblico o
comunque di pubblica
Soggetti che integrano il reato per
utilità”
ad esempio per limitare le frequenze
per le comunicazioni di soccorso
Es. Protocolli di controllo
Soggetti che violano sistemi
Provisioning dell ‘utente Creazione, modifica e cancellazione di account e profili IT informatici dello Stato o equipollenti
Identification ed authentication –Definizione Politica per la gestione, conservazione e integrano il reato
uso delle password,
Access control- Abilitare gli utenti all’ accesso alle sole ris. Informative necessarie
Amministratori sistemi - Procedure formali per l’assegnazione di privilegi speciali (ad es.
super-user, pwd di sistema) e controllo delle loro attività (Log)
Gestione Network e TLC – segregazioni rete
Gestione sistemi Hw e Sw – controllo inventari
Traffic filtering (Firewall) –politiche contro intrusioni e monitoraggio eventi sulla rete
External access - log degli accessi per società sviluppo software
Change Management- Misure per la applicazioni in produzione di Implementazione,
creazione e manutenzione di Sw
Salvaguardia dati – Back up dei dati e dei programmi
Sicurezza fisica , controllo accesso ai siti ove risiedono i sistemi IT
i MASTER di ECCELLENZA
33. I reati informatici Art. 635-quater c.p.
Reato Condotta Ipotesi di reato
ART. 635-quater c.p. Punisce la condotta di chi, mediante le condotte di cui Soggetti che alterano il
“Danneggiamento di all’articolo 635-bis, ovvero attraverso l’introduzione o la funzionamento del sistema
sistemi informatici o trasmissione di dati, informazioni o programmi, distrugge, informatico usato da un cliente per
telematici” danneggia, rende, in tutto o in parte, inservibili sistemi la gestione delle sue attività
informatici o telematici altrui o ne ostacola gravemente il
funzionamento salvo che il fatto costituisca più grave reato Soggetti che si introducono
abusivamente in sistemi
Es. Protocolli di controllo informatici esterni e integrano il
reato (e.g. cancellano i software o
altri file in genere che permettono
Provisioning dell ‘utente Creazione, modifica e cancellazione di account e profili IT il funzionamento del sistema)
Identification ed authentication –Definizione Politica per la gestione, conservazione e
uso delle password,
Access control- Abilitare gli utenti all’ accesso alle sole ris. Informative necessarie
Amministratori sistemi - Procedure formali per l’assegnazione di privilegi speciali (ad es.
super-user, pwd di sistema) e controllo delle loro attività (Log)
Gestione Network e TLC – segregazioni rete
Gestione sistemi Hw e Sw – controllo inventari
Traffic filtering (Firewall) –politiche contro intrusioni indesiderate e monitoraggio eventi di
sicurezza sulla rete
External access - log degli accessi per società sviluppo software
Change Management- Misure per la applicazioni in produzione di Implementazione,
creazione e manutenzione di Sw
Salvaguardia dati – Back up dei dati e dei programmi
Sicurezza fisica , controllo accesso ai siti ove risiedono i sistemi IT
i MASTER di ECCELLENZA
34. I reati informatici Art. 635-quinquies c.p.
Reato Condotta Ipotesi di reato
Art.. 635-quinquies c.p. Incrimina la condotta descritta al precedente articolo 635- Soggetti integrano il reato al fine
“Danneggiamento di quater, qualora essa sia diretta a distruggere, danneggiare, di rendere inservibili i sistemi che
sistemi informatici o rendere, in tutto o in parte, inservibili sistemi informatici o tracciano il traffico telematico o
telematici di pubblica telematici di pubblica utilità o ad ostacolarne gravemente il per limitare i canali radio per le
utilità” funzionamento comunicazioni di soccorso
Es. Protocolli di controllo
Provisioning dell ‘utente Creazione, modifica e cancellazione di account e profili IT
Identification ed authentication –Definizione Politica per la gestione, conservazione e
uso delle password,
Access control- Abilitare gli utenti all’ accesso alle sole ris. Informative necessarie
Amministratori sistemi - Procedure formali per l’assegnazione di privilegi speciali (ad es.
super-user, pwd di sistema) e controllo delle loro attività (Log)
Gestione Network e TLC – segregazioni rete
Gestione sistemi Hw e Sw – controllo inventari
Traffic filtering (Firewall) –politiche contro intrusioni indesiderate e monitoraggio eventi di
sicurezza sulla rete
External access - log degli accessi per società sviluppo software
Change Management- Misure per la applicazioni in produzione di Implementazione,
creazione e manutenzione di Sw
Salvaguardia dati – Back up dei dati e dei programmi
Sicurezza fisica , controllo accesso ai siti ove risiedono i sistemi IT
i MASTER di ECCELLENZA
35. I reati informatici Art. 640-quinquies c.p.
Reato Condotta Ipotesi di reato
Art. 640-quinquies c.p. Punisce il soggetto che presta servizi di certificazione Soggetti integrano il reato al fine di
“Frode informatica del di firma elettronica qualora questi, al fine di procurare alterare, modificare documenti sottoposti
certificatore di firma a sé o ad altri un ingiusto profitto ovvero di arrecare a firma elettronica
elettronica” ad altri danno, viola gli obblighi previsti dalla legge
per il rilascio di un certificato qualificato
Es. Protocolli di controllo
Document management - Politica per la gestione documentale digitale ed uso di
controlli crittografici per la protezione delle informazioni
Archiviazione elettronica
Ruoli e responsabilita’ – Responsabile della conservazione sostitutiva,
Responsabile della firma digitale
Procedure di gestione - che regolamentano la digitalizzazione con firma digitale
dei documenti, disciplinando il/i responsabile, livelli autorizzativi, utilizzo dei
sistemi di certificazione, eventuale utilizzo e invio dei documenti,
i MASTER di ECCELLENZA
36. I reati informatici Art. 491-bis c.p.
Reato Condotta Ipotesi di reato
Art. 491-bis c.p. Punisce chi integra uno dei reati relativi alle falsità in Soggetti integrano il reato al fine di
“Falsità di documenti atti, se alcuna delle falsità previste dal Libro II, Titolo modificare un documento informatico ad
VII, Capo III Codice Penale, riguarda un documento interesse o vantaggio della Società
informatici”
informatico pubblico o privato, avente efficacia (*)
Di seguito si riportano alcune delle
probatoria (*) tipologie delittuose particolarmente
rilevanti, a titolo esemplificativo:
Es. Protocolli di controllo − falsità materiali commesse da un
pubblico ufficiale o da un incaricato
Document management - Politica per la gestione documentale digitale ed uso di di pubblico servizio in atti pubblici e
controlli crittografici per la protezione delle informazioni documenti ad essi assimilabili
Archiviazione elettronica − falsità materiali in scrittura privata
Ruoli e responsabilita’ – Responsabile della conservazione sostitutiva, − falsità ideologiche in documenti
Responsabile della firma digitale pubblici commesse da un pubblico
Procedure di gestione - che regolamentano la digitalizzazione con firma digitale ufficiale, da un incaricato di pubblico
dei documenti, disciplinando il/i responsabile, livelli autorizzativi, utilizzo dei servizio ovvero dal un privato
sistemi di certificazione, eventuale utilizzo e invio dei documenti, − uso di atto falso (qualora l’autore
materiale non sia precedentemente
concorso nella falsificazione del
documento)
− soppressione, distruzione e
occultamento, parziale o totale, di
atti veri
i MASTER di ECCELLENZA
37. Reati Informatici
Art. 420 Art. 615 Art. 615 - Art. 615 - Art. 617 - Art. 617 - Art. 635 - Art. 635 – Art. 635 - Art. 635 - Art. 491 Art. 640-
-ter quater quinquies quarter quinquies Bis Ter Quater Quinquies - Bis Quinquies
(Attentato (accesso (detenzione (diffusione di (intercettazion (installazione di (Danneggiam (Danneggiament (Danneggiame (Danneggiame (Document (Frode
a impianti di abusivo ad o diffusione apparecchiatur e, apparecchiatur ento di o di nto di sistemi nto di sistemi i informatica
pubblica un sitema abusiva di e, dispositivi o impedimento e atte ad informazioni, informazioni, informatici o informatici o informatici del soggetto
utilità informatico codici di programmi o interruzione intercettare, dati e dati e telematici) telematici di ) che presta
compreso il o accesso a informatici illecita di impedire o programmi programmi pubblica utilità) servizi di
ATTIVITA' DI CONTROLLO danneggiam telematico) sistemi diretti a comunicazione interrompere informatici) informatici certificazione
ento) informatici o danneggiare o informatiche o comunicazioni utilizzati dallo di firma
telematici) interrompere telematiche informatiche o Stato o da altro elettronica)
un sistema telematiche) ente pubblico o
informatico o comunque di
telematico) pubblica utilità)
SICUREZZA LOGICA
Provisionig dell’utente x x x x x x x x
Identification e Authentication x x x x x x x x x
Access Control x x x x x x x x x
Gest. Amministratori sistemi x x x x x x x x x x x x
Gestione sistemi Hw e Sw x x x x x x x x
Gestione network e TLC x x
Salvaguardia dei dati c c c c c c
Traffic Filtering (Firewall) x x x
Electronic mail x x x x
External Access x x x x
Document management x x
Monitoring x x x x x
Change management x
Service continuity c c c c c c
SICUREZZA ORGANIZZATIVA
Ruoli e responsabilità x x x x x x x x x x x
Procedure di gestione x x x x x x x x x x
Procedure di utilizzo x x x
Formazione e comunicazione x x x
SICUREZZA FISICA
Rilevazione Attiva/Passiva c c
Controllo Accesso Fisico x x x x
Continuità Alimentazione elettr. c x
Infrastrutture c i MASTER di ECCELLENZA
38. Il modello di controllo ICT
La progettazione e lo sviluppo di un Modello idoneo ed efficace ai fini sopra
descritti prevedono le seguenti fasi di lavoro:
• Pianificazione e ricognizione di tutti gli elementi dell'IT potenzialmente
collegabili al rischio di reati informatici, inclusi i sistemi, le reti, le
applicazioni e i dati.
• Valutazione del livello di rischio associato agli elementi dell'IT.
• Valutazione delle procedure e dei sistemi di controllo e di sicurezza
adottati dall'ente, anche tramite delle fasi di test della loro operatività.
• Analisi delle lacune, dei malfunzionamenti e delle inefficienze esistenti.
• Predisposizione dei principi di riferimento nella gestione dell'IT, quali la
riservatezza delle informazioni, l'integrità delle stesse, l'autenticazione e
l'autorizzazione degli utenti.
• Implementazione di software o hardware, definizione di criteri
organizzativi e progettazione di un sistema in base ai risultati delle fasi
precedenti con l'obiettivo di migliorare la gestione dell’ente e di prevenire la
commissione dei reati informatici.
i MASTER di ECCELLENZA
39. Un caso reale di contraffazione
Da: Weijiang Calvin Lin (Personal) per conto di Weijiang Lin
Inviato: giovedì 15 settembre 2011 10.25
A: Cimini Raffaella
Cc: Di Zhao Rita
Oggetto: Payment 011
Allegati: CI011.jpg; PL011.pdf
i MASTER di ECCELLENZA
40. Da: Weijiang Calvin Lin (Personal) per conto di Weijiang Lin
Inviato: venerdì 16 settembre 2011 1.14
A: Cimini Raffaella
Oggetto: Payment 011
Allegati: CI011.jpg; PL011.pdf; revised.rtf
Dear Raffaella,
Dear Raffaella,
We were informed by our bank on the inability to receive TT on
We were informed by our bank on the inability to receive TT on
previous account. Please find revised invoice and make payment.
previous account. Please find revised invoice and make payment.
We're arranging the next shipment on Sep.23th and please pay
We're arranging the next shipment on Sep.23th and please pay
total amount Eur.24736.40 at your earliest convenience.
total amount Eur.24736.40 at your earliest convenience.
Thanks for your attention and best regards!
Thanks for your attention and best regards!
--
--
Calvin
Calvin
TEL:18621871206
TEL:18621871206
Teuco Guzzini SPA
Teuco Guzzini SPA
www.teuco.com
www.teuco.com
i MASTER di ECCELLENZA
41. Da: Weijiang Calvin Lin (Personal) per conto di Weijiang Lin
Inviato: sabato 17 settembre 2011 10.25
A: Cimini Raffaella
Oggetto: Re:R: Payment 011
Allegati: Accounts.rtf
Dear Raffaella,
Dear Raffaella,
We received instruction from our bank that the account 049468898016159108091001 will be unable to
We received instruction from our bank that the account 049468898016159108091001 will be unable to
receive TT, we apologise for the inconveniences. Please pay to the account below. Every other thing
receive TT, we apologise for the inconveniences. Please pay to the account below. Every other thing
remains same, the next shipment on Sep.23th.
remains same, the next shipment on Sep.23th.
BANK NAME: CHINA CONSTRUCTION BANK CORPORATION
BANK NAME: CHINA CONSTRUCTION BANK CORPORATION
BANK ADDRESS: HAINAN BRANCH
BANK ADDRESS: HAINAN BRANCH
SWIFT CODE: PCBCCNBJHNX
SWIFT CODE: PCBCCNBJHNX
ACCOUNT NUMBER: 46014203600220501325
ACCOUNT NUMBER: 46014203600220501325
BENEFICIARY NAME: SINOWORLD SUPPLIES CO. LTD
BENEFICIARY NAME: SINOWORLD SUPPLIES CO. LTD
------------------------------------------------------------------------
------------------------------------------------------------------------
Thanks for your attention and best regards!
Thanks for your attention and best regards!
--
--
Calvin
Calvin
TEL:18621871206
TEL:18621871206
Teuco Guzzini SPA
Teuco Guzzini SPA
www.teuco.com
www.teuco.com
i MASTER di ECCELLENZA
42. Documento Documento
originale contraffatto
i MASTER di ECCELLENZA
44. I reati
Art. 617- quarter
Intercettazione della mail e degli allegati
Dimostrazione della non certezza e non sicurezza della
posta elettronica come mezzo di trasmissione
Autenticazione (Information Security)
Invio di successive mail forzando il mittente
Dimostrazione della non certezza del mittente
Art. 491 - bis
Manipolazione ed Alterazione del documento
Dimostrazione della vulnerabilità di documenti non
“congelati” e non “immodificabili”
i MASTER di ECCELLENZA
45. CONOSCERE,
CONOSCERE,
PROGRAMMARE E
PROGRAMMARE E
GESTIRE IL D.LGS.
GESTIRE IL D.LGS. GRAZIE DELL’ATTENZIONE!
GRAZIE DELL’ATTENZIONE!
231/01
231/01
2° CORSO DI SPECIALIZZAZIONE
2° CORSO DI SPECIALIZZAZIONE
MANAGERIALE E
Ing. Mataloni Romano
Ing. Mataloni Romano
MANAGERIALE E
PROFESSIONALE
PROFESSIONALE
Email : Mataloni.r@gmail.com
Email : Mataloni.r@gmail.com
Add me on LinkedIn: http://it.linkedin.com/in/mataloniromano
Add me on LinkedIn: http://it.linkedin.com/in/mataloniromano
Ancona, 21, 22 e 23 giugno 2012
Ancona, 21, 22 e 23 giugno 2012
i MASTER di ECCELLENZA